Kaspersky Administration
Kit 8.0
GUIA DO
ADMINISTRADOR
V E R S Ã O D O A P L I C A T I V O : 8 . 0
2 Caro usuário.
Obrigado por escolher nosso produto. Esperamos que esta documentação lhe ajude em seu trabalho e forneça respostas sobre este software.
Todos os materiais somente podem ser duplicados, independente da forma, ou distribuídos, incluindo a tradução, com permissão por escrito da Kaspersky Lab.
Este documento e as imagens gráficas relacionadas ao mesmo podem ser usados exclusivamente para fins de informação e uso não comercial ou pessoal.
O documento pode ser modificado sem notificação prévia. Para a última versão deste documento, consulte o site da Kaspersky Lab em http://brazil.kaspersky.com/docs/.
A Kaspersky Lab não será responsável pelo conteúdo, qualidade, frequência de atualizações ou precisão dos materiais usados neste documento que pertença a outros indivíduos ou entidades, incluindo responsabilidade por qualquer perda potencial associada ao uso desses materiais.
Esse documento envolve as marcas registradas e as marcas de serviço que são propriedades de seus respectivos donos.
Data de revisão: 14/9/09 © 1997-2009 Kaspersky Lab ZAO. Todos os direitos reservados.
http://brazil.kaspersky.com http://brazil.kaspersky.com/suporte/
3
CONTEÚDO
KASPERSKY ADMINISTRATION KIT ... 5
Serviços para usuários registrados ... 5
Obtenção de informações sobre o aplicativo ... 5
Fontes de dados para pesquisa independente ... 6
Contatando o Serviço de Suporte Técnico ... 7
Discussão de aplicativos da Kaspersky Lab no fórum na web ... 8
Propósito do documento ... 8
Recursos do aplicativo ... 8
Estrutura do aplicativo ... 9
Requisitos de hardware e software ... 9
O que há de novo ... 11
CONCEITOS BÁSICOS ... 14
Servidor de Administração. Grupos de administração ... 14
Hierarquia do Servidor de Administração ... 15
Computador cliente. Grupo ... 15
Estação de trabalho do administrador ... 16
Plugin de configuração do aplicativo ... 17
Políticas, configurações de aplicativo e tarefas ... 17
Relação entre políticas e configurações de aplicativo locais ... 19
CONCEITO DE OPERAÇÃO DO KASPERSKY ADMINISTRATION KIT ... 20
Implementação do sistema de proteção antivírus ... 20
Compatibilidade com Cisco Network Admission Control (NAC). ... 21
Compatibilidade com Microsoft Network Access Protection (NAP) ... 21
Criação do sistema de gerenciamento centralizado para proteção antivírus ... 21
Conexão de computadores clientes ao Servidor de Administração ... 22
Conexão segura ao Servidor de Administração ... 23
Certificado do Servidor de Administração ... 23
Autenticação do Servidor de Administração durante conexão de computador cliente ... 23
Autenticação do Servidor de Administração durante conexão do Console ... 24
Autenticação de computadores clientes no Servidor de Administração ... 24
Direitos de acesso ao Servidor de Administração e seus objetos ... 24
Conceito de interface de usuário ... 26
Configuração de interface ... 26
Início do aplicativo ... 27
Janela principal do programa ... 27
Árvore do console ... 28
Painel de tarefas ... 30
Painel de resultados ... 33
Menu de contexto ... 33
GERENCIAMENTO DE COMPUTADORES DE REDE ... 35
Conexão ao Servidor de Administração... 35
Concessão de direitos ... 36
Visualização de informações sobre a rede de computadores. Domínios, sub-redes IP e grupos de Diretório Ativo37 Assistente de Início Rápido ... 39
GU I A D O AD M I N I S T R A D O R
4
Criação, visualização e edição da estrutura de grupos de administração ... 39
Grupos ... 42
Computadores clientes... 43
Servidores de Administração escravos ... 45
GERENCIAMENTO REMOTO DE APLICATIVOS ... 48
Gerenciamento de políticas ... 48
Configurações locais de aplicativo ... 52
Gerenciamento da operação de aplicativos ... 52
ATUALIZAÇÃO DO BANCO DE DADOS E MÓDULOS DE PROGRAMA ... 59
Download de atualizações no repositório do Servidor de Administração... 59
Distribuição de atualizações aos computadores clientes ... 62
Atualização de servidores escravos e seus computadores clientes ... 63
Distribuição de atualizações via Agentes de Atualização ... 65
MANUTENÇÃO ... 66
Renovação de sua licença ... 67
Quarentena e Backup ... 68
Registros de eventos. Seleções de eventos ... 70
Relatórios ... 74
Detecção de computadores ... 77
Seleções de computadores ... 79
Registro de aplicativo... 81
Controle de ataques de vírus ... 82
Arquivos não processados ... 85
Cópia backup e restauração dos dados do Servidor de Administração ... 85
GLOSSÁRIO ... 87
KASPERSKY LAB ... 92
INDEX ... 93
5
KASPERSKY ADMINISTRATION KIT
O Kaspersky Administration Kit fornece uma solução centralizada para gerenciar os sistemas de segurança antivírus corporativos que são baseados nos aplicativos da Kaspersky Lab incluídos nos produtos Kaspersky Open Space Security. O Kaspersky Administration Kit aceita todas as configurações de rede que utilizam o protocolo TCP/IP. O aplicativo é uma ferramenta para administradores de rede corporativa e oficiais de segurança antivírus. NESTA SEÇÃO
Pacote de distribuição ... 5
Serviços para usuários registrados ... 5
Obtenção de informações sobre o aplicativo ... 5
Propósito do documento ... 8
Recursos do aplicativo ... 8
Estrutura do aplicativo ... 9
Requisitos de hardware e software ... 9
O que há de novo ... 11
S
ERVIÇOS PARA USUÁRIOS REGISTRADOS
A Kaspersky Lab oferece um grande pacote de serviços, possibilitando que seus usuários legais desfrutem de todos os recursos disponíveis do aplicativo.
Se você comprar licenças para um produto da Kaspersky Lab incluído no Kaspersky Open Space Security, você se torna um usuário registrado do Kaspersky Administration Kit. Durante o período de validade da licença, você tem direito a:
atualizações a cada hora do banco de dados do aplicativo e módulos do programa daquele produto de software;
aconselhamento por telefone ou e-mail sobre assuntos relacionados à instalação, configuração e operação do aplicativo antivírus;
Quando entrar em contato com o Serviço de Suporte Técnico, forneça informações sobre sua licença para o aplicativo da Kaspersky Lab que é usado com o Kaspersky Administration Kit.
A Kaspersky Lab não fornece suporte para questões relacionadas à operação e uso de seu sistema operacional ou várias outras tecnologias.
O
BTENÇÃO DE INFORMAÇÕES SOBRE O APLICATIVO
Se tiver perguntas relacionadas à seleção, compra, instalação ou uso do Kaspersky Administration Kit, você pode encontrar respostas rapidamente para elas.
A Kaspersky Lab oferece muitas fontes de informação sobre o aplicativo. A partir delas, você pode selecionar a fonte mais conveniente, dependendo da urgência ou importância de sua pergunta.
GU I A D O AD M I N I S T R A D O R
6 NESTA SEÇÃO
Fontes de dados para pesquisa independente ... 6
Contatando o Serviço de Suporte Técnico ... 7
Discussão de aplicativos da Kaspersky Lab no fórum na web ... 8
F
ONTES DE DADOS PARA PESQUISA INDEPENDENTE
Você pode ver as seguintes fontes de informação sobre o aplicativo: página do aplicativo no site da Kaspersky Lab;
página do aplicativo no site do servidor de Suporte Técnico (na Base de Dados de Conhecimento); sistema de ajuda online;
documentação.
Página do aplicativo no site da Kaspersky Lab
http://brazil.kaspersky.com/products/empresas/components/administration_kit.php
Nesta página, você pode encontrar informações gerais sobre o aplicativo, seus recursos e particularidades. Página do aplicativo no site do servidor de Suporte Técnico (na Base de Dados de Conhecimento).
http://usa.kaspersky.com/support/corporate/remote_management
Esta página contém artigos publicados pelos especialistas do serviço de Suporte Técnico.
Os artigos contêm informações úteis, diretrizes e respostas às perguntas frequentes relativas à compra, instalação e uso do aplicativo. Os artigos são ordenados por assunto, por exemplo, "Gerenciamento de licença", "Atualizações de bancos de dados" e "Resolução de problemas". Os artigos podem responder perguntas que estejam
relacionadas não somente a este aplicativo em particular, mas também a outros produtos da Kaspersky Lab. Eles podem conter também notícias gerais do serviço de Suporte Técnico.
Sistema de ajuda online
O pacote do aplicativo inclui um arquivo de ajuda completa.
A ajuda completa contém descrição passo a passo dos recursos oferecidos pelo aplicativo.
Para abrir a ajuda completa, selecione sistema de ajuda online do Kaspersky Administration Kit no menu Ajuda do console.
Se tiver uma pergunta sobre uma janela específica do aplicativo, você pode usar a ajuda de contexto.
Para abrir a ajuda de contexto, pressione o botão Ajuda ou a tecla <F1> na janela sobre a qual precisa de Ajuda. Documentação
A documentação fornecida com o aplicativo visa fornecer todas as informações que você precisar. Ela consiste dos seguintes documentos:
Guia do Administrador descreve o propósito, os conceitos básicos, recursos e esquemas gerais para se trabalhar com o Kaspersky Administration Kit.
KA S P E R S K Y AD M I N I S T R A T I O N KI T
7
Guia de Implementação contém uma descrição dos procedimentos de instalação para os componentes do Kaspersky Administration Kit, assim como instalação remota de aplicativos em redes de computador usando configuração simples.
Guia Rápido contém uma descrição de etapas, o que permite que um administrador de segurança antivírus comece a trabalhar com o Kaspersky Administration Kit rapidamente e implante uma proteção antivírus com base nos aplicativos da Kaspersky Lab na rede gerenciada.
Guia de Referência contém o propósito do Kaspersky Administration Kit e descrições passo a passo dos recursos que oferece.
Você pode baixar os arquivos de documentação a partir da página do aplicativo no site da Kaspersky Lab.
C
ONTATANDO O
S
ERVIÇO DE
S
UPORTE
T
ÉCNICO
Você pode receber informações sobre o aplicativo provenientes de especialistas do serviço de Suporte Técnico por telefone ou pela Internet. Quando entrar em contato com o serviço de Suporte Técnico, queira fornecer as informações sobre sua licença para o produto da Kaspersky Lab usado com o Kaspersky Administration Kit.
Os especialistas do serviço de Suporte Técnico responderão suas perguntas relativas à instalação e uso do aplicativo que não estejam cobertas nos tópicos de Ajuda. Se o seu computador foi afetado, eles irão lhe ajudar a neutralizar as consequências da atividade de malware.
Leia as regras do suporte antes de entrar em contato com o serviço de Suporte Técnico
http://support.kaspersky.com/support/rules.
Solicitação por e-mail ao serviço de Suporte Técnico
Você pode fazer sua pergunta aos especialistas do serviço de Suporte Técnico preenchendo o formulário online do Helpdesk em http://support.kaspersky.com/helpdesk.html.
Você pode enviar sua consulta em russo, inglês, alemão, francês ou espanhol.
Para enviar uma solicitação por e-mail, você deve especificar sua ID de cliente recebida durante o registro no site do serviço de Suporte Técnico web site, e a sua senha.
Se você não for ainda um usuário registrado dos aplicativos da Kaspersky Lab, poderá preencher um formulário de registro (https://support.kaspersky.com/en/personalcabinet/registration/form/). Durante o registro, insira o código de
ativação de seu aplicativo ou o número serial da chave de licença.
O serviço de Suporte Técnico responderá à sua solicitação em seu Gabinete pessoal
https://support.kaspersky.com/en/PersonalCabinet), e no endereço de e-mail que especificou em sua solicitação. Queira descrever seu problema com todos os detalhes possíveis no formulário de consulta na web. Especifique os campos obrigatórios:
Tipo de solicitação. As perguntas mais frequentes de usuários estão dispostas em tópicos independentes, por exemplo, "Problemas com configuração / Remoção de aplicativo" ou "Desinfecção de vírus". Se não encontrar uma seção compatível, selecione "Pergunta geral".
Nome de aplicativo e número de versão.
Descrição da solicitação. Descreva seu problema com todos os detalhes.
ID de cliente e senha. Insira a ID de cliente e a senha recebidas durante o registro no site do serviço de Suporte Técnico.
Endereço de e-mail. Os especialistas do serviço de Suporte Técnico enviarão para aquele endereço a resposta para sua consulta.
GU I A D O AD M I N I S T R A D O R
8
Suporte técnico pelo telefone
Se ocorrer um problema urgente, você pode ligar para o serviço de Suporte Técnico em sua cidade. Antes de entrar em contato com o Suporte Técnico em russo (http://support.kaspersky.ru/support/support_local) ou internacional (http://support.kaspersky.com/support/international), queira coletar as informações
(http://support.kaspersky.com/support/details) sobre seu computador. Isso ajudará nossos especialistas a lhe
prestar assistência com o máximo de eficiência.
D
ISCUSSÃO DE APLICATIVOS DA
K
ASPERSKY
L
AB NO FÓRUM NA
WEB
Se a sua pergunta não precisar de uma resposta imediata, você pode discuti-la com os especialistas da Kaspersky Lab e outros usuários no nosso fórum em http://forum.kaspersky.com.
No fórum, você pode visualizar as discussões existentes, deixar seus comentários, criar tópicos novos e usar a busca.
P
ROPÓSITO DO DOCUMENTO
Esse Guia contém uma descrição dos conceitos básicos e recursos do Kaspersky Administration Kit, assim como esquemas gerais para trabalhar com o produto. É fornecida uma descrição passo a passo no Guia de Referência do Kaspersky Administration Kit. Os recursos descritos no Guia de Referência estão sublinhados no texto.
R
ECURSOS DO APLICATIVO
O aplicativo possibilita ao administrador da rede corporativa:
Executar instalação remota e remoção de aplicativos da Kaspersky Lab por toda a rede de maneira centralizada. Esse recurso possibilita ao administrador copiar o conjunto necessário de aplicativos da Kaspersky Lab para um computador selecionado, e depois instalar esses aplicativos remotamente aos computadores da rede.
Gerenciar remotamente aplicativos da Kaspersky Lab de maneira centralizada. O administrador pode criar um sistema de proteção antivírus de múltiplos níveis e gerenciar a operação de todos os aplicativos a partir de sua estação de trabalho. Isso é particularmente importante para empresas maiores cuja rede local consiste de um grande número de computadores que possam estar localizados em vários edifícios ou escritórios em separado. Esse recurso inclui:
criação da hierarquia de Servidores de Administração;
associação de hosts em grupos de administração baseados nas funções executadas pelos computadores e no conjunto de aplicativos neles instalados;
definição das configurações de aplicativo de um modo centralizado ao criar e aplicar políticas;
definição das configurações de aplicativo para computadores individuais, utilizando as configurações de aplicativo;
gerenciamento da operação de aplicativos de maneira centralizada ao criar e executar tarefas de grupo e tarefas para computadores específicos no Servidor de Administração;
construção de modelos individuais para a operação do aplicativo ao criar e executar tarefas para um conjunto de computadores de diferentes grupos de administração.
Atualização automática do banco de dados antivírus e módulos de aplicativo nos computadores. Esse recurso permite a atualização dos bancos de dados antivírus para todos os aplicativos da Kaspersky Lab instalados de maneira centralizada em vez de cada computador acessar o servidor de atualizações da Kaspersky Lab na internet para cada atualização individual. A atualização pode ser executada automaticamente de acordo com a
KA S P E R S K Y AD M I N I S T R A T I O N KI T
9
programação definida pelo administrador. O administrador pode monitorar a distribuição de atualizações aos computadores clientes.
Recebimento de relatórios usando um sistema dedicado. Esse recurso permite a coleta de estatísticas sobre a operação de todos os aplicativos da Kaspersky Lab instalados de maneira centralizada e a criação de relatórios baseados nas estatísticas. O administrador pode criar um relatório de rede acumulado sobre a operação do aplicativo ou relatórios sobre a operação de todos os aplicativos instalados em computadores individuais. Utilização do sistema de notificação de eventos. Entrega de notificações. O administrador pode criar uma lista de eventos que surgem na operação de aplicativos sobre os quais quer ser notificado. A lista de tais eventos pode incluir, por exemplo, a detecção de um novo vírus, um erro que ocorreu devido ao encerramento incorreto da atualização do banco de dados em um computador ou detecção de um novo computador na rede.
Gestão de licenças. Esse recurso permite ao administrador instalar licenças a todos os aplicativos da
Kaspersky Lab instalados de maneira centralizada, para monitorar a observância do acordo de licença (ou seja, que o número de aplicativos operando na rede é menor ou igual ao número de licenças) e a data de expiração.
E
STRUTURA DO APLICATIVO
O Kaspersky Administration Kit consiste de três principais componentes:
O Servidor de Administração executa as funções de armazenamento centralizado de informações sobre os aplicativos da Kaspersky Lab instalados na rede corporativa e sobre o gerenciamento desses aplicativos. O Agente de Rede coordena a interação entre o Servidor de Administração e aplicativos da Kaspersky Lab instalados em um nó de rede específico (uma estação de trabalho ou um servidor). Este componente suporta todos os aplicativos do Windows incluídos nos produtos Kaspersky Open Space Security. Versões separadas do Agente de Rede existem para aplicativos Novell e Unix da Kaspersky Lab.
O Console de Administração fornece uma interface de usuário para os serviços de administração do Servidor de Administração e do Agente de Rede. O módulo de gerenciamento é implementado como uma extensão do Microsoft Management Console (MMC). O Console de Administração permite a conexão ao Servidor de Administração remoto através da internet.
R
EQUISITOS DE HARDWARE E SOFTWARE
Servidor de Administração
Requisitos de software:
Microsoft Data Access Components (MDAC) 2.8 ou superior.
MSDE 2000 com Service Pack 3 instalado, ou Microsoft SQL Server 2000 com Service Pack 3 ou superior instalado, ou MySQL Enterprise 5.0.32 e 5.0.70, ou Microsoft SQL 2005 ou superior; ou Microsoft SQL Express 2005 ou superior, Microsoft SQL Express 2008, Microsoft SQL 2008.
Recomenda-se usar Microsoft SQL 2005 com Service Pack 2, Microsoft SQL Express 2005 com Service Pack 2 e versões posteriores.
Microsoft Windows 2000 com Service Pack 4 ou superior instalado; Microsoft Windows XP Professional com Service Pack 2 ou superior instalado; Microsoft Windows XP Professional x64 ou superior; Microsoft Windows Server 2003 ou superior; Microsoft Windows Server 2003 x64 ou superior; Microsoft Windows Vista com Service Pack 1 ou superior instalado, Microsoft Windows Vista x64 com Service Pack 1 instalado e todas as atualizações feitas; para Microsoft Windows Vista x64, o Microsoft Windows Installer 4.5 deve ser instalado; Microsoft Windows Server 2008; Microsoft Windows Server 2008 implementado no modo Server Core; Microsoft Windows Server 2008 x64 com Service Pack 1 instalado e todas as atualizações feitas; para Microsoft Windows Server 2008 x64, o Microsoft Windows Installer 4.5 deve ser instalado; Microsoft Windows 7.
GU I A D O AD M I N I S T R A D O R
10
Quando usar Microsoft Windows 2000 com Service Pack 4 instalado, é necessário instalar as seguintes atualizações para Microsoft Windows: 1) Update Rollup 1 para Windows 2000 SP4 (KB891861); 2) Security Update para Windows 2000 (KB835732).
Requisitos de hardware:
Intel Pentium III 800 MHz ou superior. 256 MB de RAM.
1 GB de espaço disponível em disco.
Console de Administração
Requisitos de software:
Microsoft Windows 2000 com Service Pack 4 ou superior instalado; Microsoft Windows XP Professional com Service Pack 2 ou superior instalado; Microsoft Windows XP Home Edition com Service Pack 2 ou superior instalado; Microsoft Windows XP Professional x64 ou superior; Microsoft Windows Server 2003 ou superior; Microsoft Windows Server 2003 x64 ou superior; Microsoft Windows Vista com Service Pack 1 ou superior instalado, Microsoft Windows Vista x64 com Service Pack 1 instalado e todas as atualizações feitas; para Microsoft Windows Vista x64, o Microsoft Windows Installer 4.5 deve ser instalado; Microsoft Windows Server 2008; Microsoft Windows Server 2008 implementado no modo Server Core; Microsoft Windows Server 2008 x64 com Service Pack 1 instalado e todas as atualizações feitas; para Microsoft Windows Server 2008 x64, o Microsoft Windows Installer 4.5 deve ser instalado; Microsoft Windows 7. Microsoft Management Console 1.2 ou superior.
O trabalho com Microsoft Windows 2000 requer Microsoft Internet Explorer 6.0 instalado.
O trabalho com Microsoft Windows 7 E Edition e Microsoft Windows 7 N Edition requer Microsoft Internet Explorer 8.0 ou superior instalado.
Requisitos de hardware:
Intel Pentium III 800 MHz ou superior. 256 MB de RAM.
70 MB de espaço disponível em disco.
Agente de Rede
Requisitos de software: Para sistemas Windows:
Microsoft Windows 2000 com Service Pack 4 ou superior instalado; Microsoft Windows XP Professional com Service Pack 2 ou superior instalado; Microsoft Windows XP Professional x64 ou superior; Microsoft Windows Server 2003 ou superior; Microsoft Windows Server 2003 x64 ou superior; Microsoft Windows Vista com Service Pack 1 ou superior instalado, Microsoft Windows Vista x64 com Service Pack 1 instalado e todas as atualizações feitas; para Microsoft Windows Vista x64, o Microsoft Windows Installer 4.5 deve ser instalado; Microsoft Windows Server 2008; Microsoft Windows Server 2008 implementado no modo Server Core; Microsoft Windows Server 2008 x64 com Service Pack 1 instalado e todas as atualizações feitas; para Microsoft Windows Server 2008 x64, o Microsoft Windows Installer 4.5 deve ser instalado; Microsoft Windows 7.
Para sistemas Novell:
KA S P E R S K Y AD M I N I S T R A T I O N KI T
11 Para sistemas Linux:
A versão aceita do sistema operacional é determinada pelo requisito do aplicativo da Kaspersky Lab compatível instalado no computador cliente.
Requisitos de hardware: Para sistemas Windows:
Intel Pentium 233 MHz ou superior. 32 MB de RAM.
20 MB de espaço disponível em disco. Para sistemas Novell:
Intel Pentium 233 MHz ou superior. 32 MB de RAM.
32 MB de espaço disponível em disco. Para sistemas Linux:
Intel Pentium® 133 MHz ou superior. 64 MB de RAM.
100 MB de espaço disponível em disco. Agente de Atualização
Requisitos de software para os sistemas Windows:
Microsoft Windows 2000 com Service Pack 4 ou superior instalado; Microsoft Windows XP Professional com Service Pack 2 ou superior instalado; Microsoft Windows XP Professional x64 ou superior; Microsoft Windows Server 2003 ou superior; Microsoft Windows Server 2003 x64 ou superior; Microsoft Windows Vista com Service Pack 1 ou superior instalado, Microsoft Windows Vista x64 com Service Pack 1 instalado e todas as atualizações feitas; para Microsoft Windows Vista x64, o Microsoft Windows Installer 4.5 deve ser instalado; Microsoft Windows Server 2008; Microsoft Windows Server 2008 x64 com Service Pack 1 instalado e todas as atualizações feitas; para Microsoft Windows Server 2008 x64, o Microsoft Windows Installer 4.5 deve ser instalado; Microsoft Windows 7.
Requisitos de hardware para os sistemas Windows: Intel Pentium III 800 MHz ou superior.
256 MB de RAM.
500 MB de espaço disponível em disco.
O
QUE HÁ DE NOVO
Mudanças introduzidas no Kaspersky Administration Kit 8.0 em comparação com o Kaspersky Administration Kit 6.0: Foi introduzido um modo simplificado de instalação de aplicativo.
GU I A D O AD M I N I S T R A D O R
12
O kit do aplicativo agora inclui o pacote de distribuição MS SQL 2005 Express: MS SQL 2005 Express é instalado automaticamente se for selecionada a configuração padrão.
Foi adicionado suporte para monitoramento SNMP de parâmetros básicos de proteção antivírus na LAN corporativa.
Foi adicionada a oportunidade de criar um pacote de instalação independente para aplicativos da Kaspersky Lab.
Interface de usuário redesenhada: painel de resultados, visualização de relatórios, painéis de informações (veja a seção "Janela principal do programa" na página 27).
Foi adicionada a oportunidade de coleta de informações sobre os aplicativos instalados nos computadores clientes (registro de aplicativos).
O sistema de direitos de acesso foi redesenhado e ampliado. Foi adicionado o suporte para Microsoft NAP.
Foi adicionada a oportunidade para alternar clientes móveis entre servidores de administração. Foi ampliado o critério para alternar clientes entre as políticas móveis e regulares.
Foram ampliadas as oportunidades para realocação automática de computadores a grupos de administração. Foi adicionada a oportunidade de criar grupos de administração com base no Diretório Ativo.
Novos relatórios e uma oportunidade de criar sistemas de relatórios personalizados foram adicionados e as informações exibidas nos relatórios foram ampliadas.
Foi adicionada a oportunidade de exportar relatórios para os formatos PDF e XML (Excel).
Foi adicionada a oportunidade de coletar dados detalhados durante a criação dos relatórios sumarizados. Foi implementada a funcionalidade de colocação de dados em cache para geração de sumários, incluindo informações de Servidores de Administração escravos.
Adicionado o suporte para dois grupos de colunas no Console de Administração da Kaspersky e ampliados os grupos de colunas (veja a seção "Painel de resultados" na página 33).
Foram adicionadas novas colunas para a lista de computadores: "Reinício", "Descrição de status", "Versão de Agente de Rede", "Versão da proteção", "Versão do banco de dados", e "Hora da ligação".
Adicionado novo critério usado para atribuir status individuais de computadores.
Foram adicionadas novas seleções de computadores criados por predefinição, assim como foi adicionada a oportunidade de criar seleções de computadores usando dados de Servidores de Administração escravos. Foi adicionada a oportunidade de manter uma lista de comentários de administrador.
Foi adicionada a oportunidade de visualizar as sessões atuais de usuários em um computador e as informações de contato de usuário.
Foi adicionada uma interface gráfica para o utilitário klbackup.
Arquivos de políticas e tarefas de grupo são distribuídos usando entrega IP de múltiplos endereços.
O uso da funcionalidade Wake On LAN está também disponível para clientes em redes que não sejam sub-rede do Servidor de Administração no caso de lançamento manual de tarefa.
Configurações de reinício para computadores clientes podem ser especificados nas propriedades da tarefa de implementação remota.
KA S P E R S K Y AD M I N I S T R A T I O N KI T
13
O algoritmo usado para restrição do número de notificações enviadas dentro da unidade de tempo especificada foi modificado; agora as restrições são calculadas independentemente para cada tipo de evento.
Foi adicionada a funcionalidade para procura de grupos e Servidores de Administração escravos por hierarquia de servidor.
Foram ampliadas as estatísticas dos Agentes de Atualização.
A tarefa para remoção de aplicativos externos agora permite a remoção de vários aplicativos de uma vez. O utilitário foi desenvolvido para preparação de computadores incluídos em um grupo de trabalho para implementação remota.
Foi implementada a funcionalidade de resgate de atualizações necessárias para um aplicativo imediatamente após a criação de seu pacote de instalação.
Foi implementada a oportunidade de levar em consideração os aplicativos conectados aos Servidores de Administração escravos enquanto é feito o download das atualizações.
Foi introduzida a classificação de possíveis erros retornados pelo subsistema de implementação de aplicativo e foram adicionadas diretrizes para resolução de problemas típicos.
Foi adicionada uma funcionalidade para aplicação automática de emendas de módulos de componentes do sistema de administração.
14
CONCEITOS BÁSICOS
Essa seção explica os conceitos básicos usados no Kaspersky Administration Kit. As definições desses conceitos e alguns termos estão listados no Glossário.
NESTA SEÇÃO
Servidor de Administração. Grupos de administração ... 14
Hierarquia do Servidor de Administração ... 15
Computador cliente. Grupo ... 15
Estação de trabalho do administrador ... 16
Plugin de configuração do aplicativo ... 17
Políticas, configurações de aplicativo e tarefas ... 17
Relação entre políticas e configurações de aplicativo locais ... 19
S
ERVIDOR DE
A
DMINISTRAÇÃO
.
G
RUPOS DE
ADMINISTRAÇÃO
Os componentes do Kaspersky Administration Kit permitem o gerenciamento remoto de aplicativos da Kaspersky Lab dentro de uma rede corporativa.
Os computadores com o componente do Servidor de Administração instalado serão citados mais adiante como Servidores de Administração (ou Servidores).
Todos os tipos de computadores na rede corporativa podem ser subdivididos em grupos dispostos em certa estrutura hierárquica. Devemos nos referir a tais grupos como grupos de administração. A estrutura dos grupos de administração é exibida na árvore de console dentro do nó do Servidor de Administração.
O Servidor de Administração é instalado no computador host como um serviço com o seguinte conjunto de atributos: sob o nome de Servidor de Administração da Kaspersky;
usando um tipo de inicialização automática quando inicia o sistema operacional;
usando para acessar a conta do Sistema Local ou conta do usuário selecionada durante a instalação do componente.
As funções realizadas por um Servidor de Administração ou, mais especificamente, pelo componente do Servidor de Administração nele instalado, são as seguintes:
armazenamento da estrutura dos grupos de administração;
armazenamento de cópias dos dados de configuração para os computadores clientes; organização de repositórios para pacotes de distribuição dos aplicativos da Kaspersky Lab; implementação remota e remoção de aplicativos dos computadores;
CO N C E I T O S B Á S I C O S
15 atualização dos bancos de dados e módulos de aplicativo; gerenciamento de políticas e tarefas nos computadores clientes; armazenamento de informações sobre eventos;
geração de relatórios sobre a operação de aplicativo;
distribuição de licenças aos computadores clientes, armazenamento de informações de licença;
entrega de notificações sobre desempenho de tarefas. Tais notificações podem informar, por exemplo, sobre a detecção de vírus em um computador.
H
IERARQUIA DO
S
ERVIDOR DE
A
DMINISTRAÇÃO
Os Servidores de Administração podem ser dispostos em hierarquia do tipo "servidor mestre – servidor escravo". Cada Servidor de Administração pode ter vários Servidores escravos nos mesmos ou em diferentes níveis de alojamento da hierarquia. O nível de alojamento para servidores escravos não é limitado. Os grupos de administração do Servidor mestre incluirão então os computadores clientes de todos os servidores escravos. Assim, seções isoladas e
independentes das redes de computadores podem ser controladas por Servidores de Administração diferentes que, por sua vez, são gerenciados pelo Servidor principal.
A oportunidade de construir uma de hierarquia de Servidores pode ser empregada para:
diminuir a carga no Servidor de Administração (em comparação com um Servidor único funcionando em uma rede inteira).
diminuir o tráfego na intranet e simplificar o trabalho com escritórios remotos. Não há necessidade de estabelecer conexões entre o Servidor principal e todos os computadores de rede, os quais podem estar localizados em outras regiões, por exemplo. É suficiente para instalar em cada segmento de rede um Servidor de Administração escravo, distribuir computadores entre os grupos de administração de servidores escravos e estabelecer conexões entre os servidores escravos e Servidor principal em canais de comunicação rápida. distribuir responsabilidades entre os administradores de segurança antivírus. Todas as oportunidades para gerenciamento centralizado e monitoramento de segurança antivírus em redes corporativas permanecem disponíveis.
Cada computador incluído na estrutura dos grupos de administração pode ser conectado somente a um Servidor de Administração. Os administradores devem controlar a conexão correta dos computadores aos Servidores de
Administração usando os recursos para procura de computador em grupos de administração de Servidores diferentes com base nos atributos de rede.
C
OMPUTADOR CLIENTE
.
G
RUPO
A interação entre o Servidor de Administração e os hosts é executada usando o Agente de Rede. Essa interação implica:
fornecimento de informações sobre o status atual dos aplicativos; envio e recebimento de comandos de gerenciamento;
sincronização de dados de configuração;
fornecimento de informações sobre eventos de aplicativo ao Servidor; operação do Agente de Atualização.
GU I A D O AD M I N I S T R A D O R
16
O Agente de Rede deve ser instalado em todos os computadores que executam os aplicativos gerenciados através do Kaspersky Administration Kit.
O componente é instalado no computador host como um serviço com o seguinte conjunto de atributos: sob o nome de Agente de Rede da Kaspersky;
usando um tipo de inicialização automática quando inicia o sistema operacional; usando a conta do Sistema Local.
O Agente de Rede é instalado no computador visado juntamente com um plugin para funcionar com o Cisco NAC. Esse plugin é usado se o computador tiver o Cisco Trust Agent instalado. As configurações da operação conjunta com o Cisco NAC são definidas nas propriedades do Servidor de Administração.
Quando integrado com o Cisco NAC, o Servidor de Administração age como um servidor de política Posture Validation Server (PVS) padrão, que um administrador pode usar para permitir que um computador acesse ou evite o acesso à rede, dependendo da condição da proteção antivírus.
O Computador, o servidor ou a estação de trabalho com o Agente de Rede instalado e os aplicativos da Kaspersky Lab gerenciados serão citados como o cliente do Servidor de Administração correspondente (ou apenas computador
cliente).
Os computadores clientes podem ser distribuídos em grupos de administração de acordo com a estrutura corporativa organizacional ou territorial, funções executadas e o conjunto de aplicativos da Kaspersky Lab instalados. Isso é feito para o gerenciamento conveniente dos computadores agrupados como um todo. Essa distribuição é realizada usando qualquer combinação dos princípios mencionados e também outros sinais definidos pelo administrador. Por exemplo, o nível superior pode ser constituído pelos grupos correspondentes aos departamentos. No próximo nível, os
computadores dentro de cada departamento são combinados de acordo com as funções que executam: um grupo de computadores pode incluir todas as estações de trabalho, outro grupo - todos os servidores de arquivo, etc.
O Grupo de administração (daqui por diante também citado como o Grupo) é um conjunto de computadores clientes combinados na base de certo sinal com o propósito de gerenciar os computadores agrupados como um todo. Todos os computadores clientes dentro de um grupo são configurados para:
usar configurações de aplicativo comuns (definidas em políticas de grupo);
modo comum de operação de aplicativos (estabelecido usando tarefas de grupo, isto é, recursos do aplicativo com um conjunto especificado de parâmetros, por exemplo: criação e instalação de um pacote de instalação comum, atualização de bancos de dados e módulos de aplicativo, varredura de computador por comando e proteção em tempo real).
Um computador cliente só pode ser incluído em um único grupo de administração.
O administrador pode criar uma hierarquia de Servidores e grupos com qualquer nível de alojamento se isso pode simplificar o gerenciamento de aplicativos instalados. Um único nível de hierarquia pode incluir Servidores de Administração escravos, grupos e computadores clientes.
E
STAÇÃO DE TRABALHO DO ADMINISTRADOR
Os computadores com o Console de Administração da Kaspersky instalado serão citados mais adiante como as estações de trabalho do administrador. Os Administradores podem usar esses computadores para gerenciar remotamente todos os aplicativos da Kaspersky Lab instalados nos computadores clientes de maneira centralizada. Após o Console de Administração da Kaspersky ser instalado, seu ícone aparece no menu Iniciar Programas
Kaspersky Administration Kit e pode ser usado para iniciar o console.
A estação de trabalho do administrador não é um objeto do grupo de administração, mas também pode ser incluído em um grupo como um computador cliente. Não há restrições quanto ao número de estações de trabalho do administrador. As estações de trabalho do administrador para diferentes Servidores de Administração podem ser as mesmas; cada
CO N C E I T O S B Á S I C O S
17
estação de trabalho pode ser usada para gerenciar os grupos de administração de qualquer Servidor de Administração dentro de uma rede corporativa.
Dentro dos grupos de administração de qualquer Servidor, o mesmo computador pode agir como um Servidor de Administração cliente, Servidor de Administração ou estação de trabalho do administrador.
P
LUGIN DE CONFIGURAÇÃO DO APLICATIVO
A interface para gerenciamento de um aplicativo específico via Console de Administração da Kaspersky é fornecida por um componente especializado – plugin de configuração de aplicativo. Está incluído em todos os aplicativos da Kaspersky Lab que possam ser controlados usando o Kaspersky Administration Kit. Cada aplicativo que possa ser gerenciado através do Kaspersky Administration Kit possui seu próprio plugin. Está instalado na estação de trabalho do administrador e fornece:
o conjunto de diálogos (interface) para criação e edição de políticas de aplicativo; o conjunto de diálogos (interface) para criação e edição de políticas de aplicativo;
o conjunto de diálogos (interface) para criação e edição de configurações para as tarefas de aplicativo; informações sobre as tarefas implementadas em um aplicativo;
informações sobre eventos de aplicativo;
funcionalidade necessária para exibir as informações sobre operação de aplicativo e estatísticas recebidas de computadores clientes no Console de Administração da Kaspersky.
P
OLÍTICAS
,
CONFIGURAÇÕES DE APLICATIVO E TAREFAS
Uma operação nomeada executada por um aplicativo da Kaspersky Lab é chamada de tarefa. As tarefas são subdivididas em tipos de acordo com as funções executadas.
Cada tarefa é associada a certas configurações de aplicativo usadas durante seu desempenho. O conjunto de parâmetros de aplicativo comum a todos os tipos de suas tarefas constitui as configurações de aplicativo. As configurações de aplicativo específicas para cada tipo de tarefa individual constituem as configurações de tarefa correspondentes. As configurações de aplicativo e as configurações de tarefa não se sobrepõem.
Descrições detalhadas do tipo de tarefas para cada aplicativo da Kaspersky Lab podem ser encontradas em seus respectivos Guias.
Para iniciar o desempenho de alguma função necessária, você tem que definir as configurações de aplicativo, criar e configurar a tarefa correspondente e iniciá-la.
As configurações de aplicativo definidas para um computador cliente individual através da interface local ou remotamente através do Console de Administração serão citadas como configurações locais de aplicativo. A definição centralizada de configurações de aplicativo em computadores clientes é realizada através de definição de políticas.
Política é uma coleção de configurações que regulam a operação de um aplicativo em um grupo. A política não define todas as configurações de aplicativo.
As configurações de aplicativo são definidas pelas configurações de política e pelas configurações de tarefa. Cada parâmetro representado em uma política possui um atributo de "trava", o que mostra se é permitido modificar a configuração nas políticas dos níveis de hierarquia secundários (para grupos alojados e Servidor de Administração escravo), em configurações de tarefa e configurações locais de aplicativo. Se um parâmetro estiver "travado" na política, seu valor não pode ser redefinido (veja a seção "Relação entre as políticas e configurações locais de aplicativo" na
GU I A D O AD M I N I S T R A D O R
18
página 19). A caixa configurações herdadas de política precursora desmarcada desabilita a "trava" para políticas herdadas.
Uma política específica é definida para cada aplicativo em um grupo. Várias políticas com configurações diferentes podem ser definidas em um único aplicativo. Porém, um aplicativo só pode usar uma política ativa por vez.
Há uma oportunidade de ativar uma política desabilitada mediante certo evento. Assim, você pode, por exemplo, fazer cumprir configurações de proteção antivírus mais rígidas durante ataques de vírus.
Você pode também criar uma política para usuários móveis. Ela entrará em vigor quando um computador for desconectado da rede corporativa.
As configurações de aplicativo podem diferir em vários grupos. Cada grupo pode ter sua própria política para um aplicativo.
Grupos secundários e Servidores de Administração escravos herdam as políticas de grupos pertencentes a um nível de hierarquia mais alto.
Tarefas para objetos gerenciados por um único Servidor de Administração são criadas e configuradas de maneira centralizada. Podem ser definidas tarefas dos seguintes tipos:
Tarefa de grupo é uma tarefa que define configurações para um aplicativo instalado nos computadores dentro de um grupo de administração;
Tarefa local é uma tarefa para um computador individual;
Tarefa para seleção de computadores é uma tarefa para um conjunto arbitrário de computadores incluídos ou não em grupos de administração;
Tarefa do Servidor de Administração é uma tarefa definida diretamente para um Servidor de Administração. A tarefa de grupo pode ser definida para um grupo mesmo se um aplicativo correspondente da Kaspersky Lab for instalado somente em determinados computadores clientes daquele grupo. Neste caso, a tarefa de grupo será executada somente em computadores onde o aplicativo estiver instalado.
Grupos secundários e Servidores de Administração escravos herdam as tarefas de grupos pertencentes a níveis de hierarquia mais altos. Uma tarefa definida para um grupo será executada não somente nos computadores clientes incluídos naquele grupo, mas também em computadores clientes incluídos em seus grupos secundários e pertencentes aos servidores escravos em todos os níveis de hierarquia mais baixos.
As tarefas criadas para um computador cliente localmente serão executadas somente para aquele computador. Durante a sincronização de cliente com o Servidor de Administração, tarefas locais serão adicionadas á lista de tarefas criadas para aquele computador cliente.
Já que as configurações de aplicativo são definidas na política, as configurações de tarefa podem redefinir aquelas que não estão bloqueadas na política e também os parâmetros que podem ser configurados para uma ocorrência de tarefa específica. Por exemplo, para tarefa de varredura de uma unidade de disco, elas incluirão o nome da unidade de disco, as máscaras de arquivos para varredura, etc.
Uma tarefa pode ser iniciada automaticamente (de acordo com uma programação) ou manualmente. Os resultados da tarefa são salvos localmente e no Servidor de Administração. O administrador pode receber notificações informando sobre o desempenho de certa tarefa e visualizar relatórios detalhados.
As informações sobre políticas, configurações de aplicativo, tarefas para computadores específicos e tarefas de grupo são salvas no Servidor de Administração e distribuídas aos computadores clientes durante a sincronização. Durante esse procedimento, as informações no Servidor de Administração são atualizadas, com as mudanças locais feitas nos computadores clientes e permitidas na política aplicável. Além disso, a lista de aplicativos sendo executados em um computador cliente, seus status e as tarefas existentes são atualizados.
CO N C E I T O S B Á S I C O S
19
R
ELAÇÃO ENTRE POLÍTICAS E CONFIGURAÇÕES DE
APLICATIVO LOCAIS
As políticas podem ser usadas para impor as mesmas configurações de aplicativo para todos os computadores dentro de um grupo.
Os valores das configurações definidos em uma política podem ser redefinidos para computadores individuais em um grupo usando configurações de aplicativo locais. Você pode editar somente as configurações permitidas para modificação na política, ou seja, configurações "desbloqueadas".
O valor da configuração usada de fato em um aplicativo no computador cliente (veja a figura abaixo) é determinado pela posição da "trava" para aquela configuração na política:
Se a modificação da configuração for "travada", o mesmo valor definido na política é utilizado e todos os computadores clientes;
Se a modificação da configuração for "destravada", então o aplicativo utiliza em cada computador cliente o valor local em vez do valor definido na política. O valor do parâmetro pode então ser alterado nas configurações de aplicativo locais.
Figura 1. Política e configurações de aplicativo locais
Assim, durante o desempenho da tarefa nos aplicativos de computadores clientes, use os parâmetros definidos de duas maneiras diferentes:
por configurações de tarefa e configurações de aplicativo locais se o parâmetro correspondente não estiver bloqueado na política;
por política de grupo se o parâmetro estiver bloqueado naquela política.
As configurações de aplicativo locais são alteradas depois da primeira imposição de política de acordo com as configurações de política.
20
CONCEITO DE OPERAÇÃO DO KASPERSKY
ADMINISTRATION KIT
Esta seção descreve as normas da operação principal do aplicativo, soluções para algumas tarefas e fornece uma visão geral breve da interface do usuário e os métodos para trabalhar com ela.
NESTA SEÇÃO
Implementação do sistema de proteção antivírus ... 20
Compatibilidade com Cisco Network Admission Control (NAC). ... 21
Compatibilidade com Microsoft Network Access Protection (NAP) ... 21
Criação do sistema de gerenciamento centralizado para proteção antivírus ... 21
Conexão de computadores clientes ao Servidor de Administração ... 22
Conexão segura ao Servidor de Administração ... 23
Autenticação de computadores clientes no Servidor de Administração ... 24
Direitos de acesso ao Servidor de Administração e seus objetos ... 24
Conceito de interface de usuário ... 26
I
MPLEMENTAÇÃO DO SISTEMA DE PROTEÇÃO ANTIVÍRUS
Há duas variantes disponíveis para implementação de um sistema de proteção antivírus gerenciado através do Kaspersky Administration Kit:
Instalação remota centralizada de aplicativos em computadores clientes. Nesse caso, a instalação de aplicativos e a conexão ao sistema de gerenciamento remoto centralizado são realizadas automaticamente, não exigindo qualquer participação do administrador, e permitem a implementação do software antivírus em qualquer número de computadores clientes.
Instalação local de aplicativos em cada computador cliente. Nesse caso, os componentes necessários são instalados manualmente nos computadores clientes e na estação de trabalho do administrador, e as
configurações para a conexão de cliente ao Servidor são definidas durante a configuração inicial do Agente de Rede. Esse método de instalação é utilizado nos casos em que a implementação remota centralizada for impossível.
A implementação remota pode ser empregada para instalar um aplicativo ao critério do usuário. Porém, lembre-se de que o Kaspersky Administration Kit aceita somente o gerenciamento de aplicativos da Kaspersky Lab instalados a partir de pacotes de distribuição que incluem um componente especializado: o plugin de gerenciamento de aplicativo.
CO N C E I T O D E O P E R A Ç Ã O D O KA S P E R S K Y AD M I N I S T R A T I O N KI T
21
C
OMPATIBILIDADE COM
C
ISCO
N
ETWORK
A
DMISSION
C
ONTROL
(NAC)
O Kaspersky Administration Kit permite ao administrador associar as condições da proteção antivírus do computador e os status de segurança atribuídos pelo Cisco Network Admission Control (NAC).
Para fazer isso, você precisa criar as condições que serão usadas para atribuir aos computadores clientes os status de segurança do Cisco Network Admission Control (NAC): Saudável, Verificação, Quarentena ou Infectado. Se um computador cliente não atender a uma das condições acima, será atribuído a ele o status de Desconhecido. O status Saudável é atribuído somente se todas as condições selecionadas forem atendidas; e os status Verificação,
Quarentena ou Infectado se aplicam se pelo menos uma das condições selecionadas for atendida.
C
OMPATIBILIDADE COM
M
ICROSOFT
N
ETWORK
A
CCESS
P
ROTECTION
(NAP)
O Kaspersky Administration Kit aceita a integração com o Microsoft Network Access Protection (NAP). O Microsoft (NAP) permite o regulamento do acesso do computador cliente à rede. O Microsoft (NAP) assume que a rede inclui um servidor dedicado com Microsoft Windows Server 2008 instalado e executando o PVS (Posture Validation Server), e computadores clientes tendo sistemas operacionais compatíveis com NAP instalados: Microsoft Windows Vista ou Microsoft Windows XP com Service Pack 3.
A integração do Kaspersky Administration Kit requer os seguintes passos:
1. Implementar o Kaspersky Administration Kit na rede de maneira regular.
2. Instalar no PVS o Kaspersky Lab System Health Validator (SHV). Para fazer isso, habilite a caixa de marcação Kaspersky Lab System Health Validator (SHV) enquanto seleciona os componentes para instalar durante a configuração inicial do Kaspersky Administration Kit.
Nesse ponto, o produto instalará o Agente de Rede nos computadores clientes, o qual funciona como o Kaspersky Lab System Health Agent (SHE), o que fornecerá informações sobre as configurações de proteção antivírus e suas alterações nos computadores clientes ao agente Microsoft NAP.
Como resultado, o Kaspersky Lab System Health Validator (SHV) aparecerá na lista de SHV disponível no console PVS, onde as regras para avaliação dos dados do computador cliente coletados pelo Health Agent podem ser configuradas.
C
RIAÇÃO DO SISTEMA DE GERENCIAMENTO
CENTRALIZADO PARA PROTEÇÃO ANTIVÍRUS
O primeiro passo na criação de um sistema de gerenciamento centralizado para a proteção antivírus usando o Kaspersky Administration Kit é o projeto da estrutura dos grupos de administração. Durante esse estágio, as seguintes decisões devem ser tomadas:
1. Identifique os segmentos de rede isolados e determine quantos Servidores de Administração devem ser instalados.
2. Define quais computadores de rede executarão as funções do Servidor de Administração principal e dos servidores escravos, e quais funcionarão como estações de trabalho do administrador e computadores clientes. Os computadores clientes devem incluir todos os computadores onde aplicativos da Kaspersky Lab serão instalados.
3. Determine o sinal que será usado para combinar computadores clientes nos grupos e a hierarquia de grupos. 4. Escolha o método de implementação do sistema de proteção antivírus: instalação remota ou local.
GU I A D O AD M I N I S T R A D O R
22
Durante o próximo passo o administrador deve criar a estrutura das pastas do Servidor de Administração instalando aos componentes de software apropriados do Kaspersky Administration Kit nos computadores da rede corporativa, ou seja:
1. Instalar o Servidor de Administração nos computadores dentro da rede corporativa.
2. Instalar o Console de Administração da Kaspersky nos computadores que serão usados para propósitos de gerenciamento.
3. Decidir quem serão os administradores do Kaspersky Administration Kit, determinar outras categorias de usuários permitidos a trabalhar com o sistema e assegurar uma lista de funções executadas para cada categoria.
O sistema permite trabalho simultâneo de diferentes administradores com os mesmos recursos. As configurações do sistema usarão os últimos valores aplicados. Nesse caso, todas as operações que os administradores executarem devem ser coordenadas.
4. Criar grupos de usuário e fornecer a cada grupo os direitos de acesso necessários para que seus usuários desempenhem suas responsabilidades.
Depois, você deve criar a hierarquia de Servidores de Administração, construir para cada servidor a hierarquia de grupos de administração e distribuir computadores aos grupos apropriados.
Durante o próximo passo você deve implementar o Agente de Rede nos computadores clientes, os aplicativos da Kaspersky Lab necessários, e instalar os plugins de gerenciamento de aplicativo correspondentes na estação de trabalho do administrador.
A instalação remota nos computadores clientes é possível somente para alguns (não todos) dos aplicativos da Kaspersky Lab que podem ser gerenciados através do Kaspersky Administration Kit. Para obter detalhes, consulte os Guias dos aplicativos correspondentes.
Quando a implementação remota for usada, o Agente de Rede pode ser instalado junto com qualquer aplicativo. Quando a implementação remota for usada, o Agente de Rede pode ser instalado junto com qualquer aplicativo.
Durante o último estágio, você tem que configurar os aplicativos instalados, definindo e aplicando políticas de grupo (veja a seção "Gerenciamento de políticas" na página 48) e criando as tarefas necessárias (veja a seção "Configurações
locais de aplicativo" na página 52).
O aplicativo permite a criação de um sistema de gerenciamento centralizado para proteção antivírus com o mínimo de configurações exigidas usando o Assistente de Início Rápido (veja a seção "Assistente de Início Rápido" na página 39). Durante o procedimento o assistente cria a estrutura de grupos de administração idêntica à estrutura do domínio da rede Windows, e monta o sistema de proteção antivírus usando o Kaspersky Anti-Virus para Windows Workstations 6.0 MP4. Depois da criação da estrutura de pastas do Servidor de Administração, instalação e configuração da proteção antivírus, os administradores são aconselhados a executar regularmente procedimentos de manutenção de rede (veja a seção "Manutenção" na página 66).
C
ONEXÃO DE COMPUTADORES CLIENTES AO
S
ERVIDOR DE
A
DMINISTRAÇÃO
A interação entre computadores clientes e o Servidor de Administração é realizada durante a conexão de clientes ao Servidor. Essa funcionalidade é fornecida pelo Agente de Rede instalado em computadores clientes.
A conexão é estabelecida para executar as seguintes operações:
sincronização da lista de aplicativos instalados em um computador cliente;
CO N C E I T O D E O P E R A Ç Ã O D O KA S P E R S K Y AD M I N I S T R A T I O N KI T
23
submissão ao Servidor de informações atuais sobre o status de aplicativos e tarefas existentes; fornecimento de informações de eventos ao Servidor para processamento.
O método principal para conexão entre computadores clientes e o Servidor implica que um cliente se conecte ao Servidor. Esse tipo de conexão é usado durante a sincronização automática dos dados de cliente e Servidor e fornecimento de informações sobre eventos de aplicativo ao Servidor.
A sincronização automática é executada regularmente de acordo com as configurações do Agente de Rede (por exemplo: a cada 15 minutos). O intervalo entre conexões é definido pelo administrador.
As informações sobre um evento são fornecidas ao Servidor imediatamente após sua ocorrência.
A opção Não desconecte do Servidor de Administração é fornecida aos computadores clientes para definir se um cliente desconectará do Servidor depois da conclusão das operações listadas acima. A conexão permanente é necessária nos casos em que o controle constante do status do aplicativo é exigido e o Servidor não é capaz de estabelecer uma conexão ao cliente por alguma razão (conexão protegida por um firewall, abertura de portas no cliente não é permitida, endereço IP do cliente é desconhecido, etc.).
A sincronização pode também ser executada manualmente pelos administradores usando o comando sincronizar a partir do menu de contexto (veja a seção "Menu de contexto" na página 33) do computador cliente. Nesse caso, o sistema utiliza um método de conexão auxiliar onde a conexão for iniciada pelo Servidor. Uma porta UDP é aberta no computador cliente para esse propósito. O Servidor envia à porta UDP uma solicitação de conexão. Em resposta, é realizada a autenticação do Servidor no cliente (usando a assinatura digital do Servidor de Administração) e se o Servidor for, de fato, autorizado a contatar o cliente, a conexão será estabelecida.
O segundo método de conexão é também utilizado enquanto acessa os dados do cliente no Servidor: para obter as informações atuais sobre o status de aplicativos, tarefas e estatísticas de aplicativo.
C
ONEXÃO SEGURA AO
S
ERVIDOR DE
A
DMINISTRAÇÃO
A troca de dados entre computadores clientes e Servidor de Administração, assim como a conexão de Console ao Servidor de Administração podem ser realizadas usando o protocolo SSL (Secure Socket Layer). Ele permite a identificação de partes interagentes, codificação de dados transferidos e proteção destes contra modificação durante a transferência. O protocolo SSL usado nas conexões seguras é baseado na autenticação das partes interagentes e da codificação de dados usando chaves públicas.
C
ERTIFICADO DO
S
ERVIDOR DE
A
DMINISTRAÇÃO
A autenticação do Servidor de Administração durante conexão de Console de Administração a ele e troca de dados com computadores clientes é baseada no certificado do Servidor de Administração. O certificado é também usado para autenticação entre os Servidores de Administração mestre e escravo.
O certificado do Servidor de Administração é criado durante instalação do componente do Servidor de Administração; ele é armazenado no Servidor de Administração, na subpasta Cert da pasta do programa.
O certificado do Servidor de Administração é criado somente uma vez durante a instalação. Aconselha-se usar o assistente de configuração para preservá-lo durante a instalação do Servidor de Administração. Se um certificado do Servidor de Administração for extraviado, sua restauração requer a reinstalação do componente do Servidor de Administração e a recuperação dos dados (veja a seção "Cópia backup e restauração dos dados do Servidor de Administração" na página 85).
A
UTENTICAÇÃO DO
S
ERVIDOR DE
A
DMINISTRAÇÃO DURANTE
CONEXÃO DE COMPUTADOR CLIENTE
Na primeira conexão de um computador cliente ao Servidor seu Agente de Rede baixa o certificado do Servidor de Administração e o salva localmente.
GU I A D O AD M I N I S T R A D O R
24
Se o Agente de Rede for instalado localmente, o administrador pode selecionar manualmente o certificado do Servidor de Administração.
A cópia baixada do certificado é usada para verificar os direitos e permissões do Servidor de Administração durante conexões subsequentes.
Depois disso, o Agente de Rede solicita o certificado do Servidor de Administração em cada conexão do computador cliente ao Servidor e o compara à cópia local. Se a cópia não corresponder, o Servidor de Administração o acesso do computador cliente não é permitido.
Se a conexão for iniciada por um Servidor de Administração, então a solicitação a partir do Servidor de Administração para uma conexão através de uma porta UDP primeiro é verificada da mesma maneira.
A
UTENTICAÇÃO DO
S
ERVIDOR DE
A
DMINISTRAÇÃO DURANTE
CONEXÃO DO
C
ONSOLE
Durante a primeira conexão ao Servidor após a instalação, o Console de Administração solicita o certificado do Servidor de Administração e o salva localmente na estação de trabalho do administrador. A cópia do certificado baixada será usada durante conexões subsequentes ao Servidor de Administração com aquele nome para autenticação do Servidor. Se o certificado do Servidor de Administração não corresponder à cópia armazenada na estação de trabalho do administrador, aparece uma indicação oferecendo para confirmar a conexão ao Servidor com o nome especificado e baixar um novo certificado. Após o êxito da conexão, o Console de Administração salva uma cópia do novo certificado do Servidor de Administração, a qual será usada para identificar o Servidor após isso.
A
UTENTICAÇÃO DE COMPUTADORES CLIENTES NO
S
ERVIDOR DE
A
DMINISTRAÇÃO
A autenticação de computadores clientes é baseada em seus nomes. Um nome de computador cliente é único entre todos os nomes de computadores conectados ao Servidor de Administração.
O nome de um computador cliente é transferido ao Servidor de Administração quando a rede Windows é consultada e um novo computador é descoberta nela, ou durante a primeira conexão do Agente de Rede instalado em um
computador cliente. Por predefinição, o nome corresponde ao nome do computador na rede Windows (nome NetBIOS). Se um computador cliente com este nome já estiver registrado no Servidor de Administração, será adicionado um sufixo com o próximo número ao novo nome de computador cliente, por exemplo: <nome>-1, <nome>-2, etc. O computador cliente será adicionado ao grupo de administração sob aquele nome.
D
IREITOS DE ACESSO AO
S
ERVIDOR DE
A
DMINISTRAÇÃO
E SEUS OBJETOS
O Kaspersky Administration Kit aceita os seguintes tipos de permissões para acesso à funcionalidade do aplicativo: Leitura:
conexão ao Servidor de Administração;
visualização da estrutura de pastas do Servidor de Administração;
visualização dos valores de políticas, tarefas e configurações de aplicativos. Escrita:
CO N C E I T O D E O P E R A Ç Ã O D O KA S P E R S K Y AD M I N I S T R A T I O N KI T
25
criação de grupos de administração, adição de grupos secundários e computadores clientes a eles; instalação do componente do Agente de Rede em computadores clientes;
atualização da versão de aplicativos instalados nos computadores clientes;
criação de políticas, tarefas para grupos e para computadores individuais, e definição de configurações de aplicativo;
gerenciamento centralizado de aplicativos, recebendo relatórios sobre suas operações que usam os serviços fornecidos pelo Servidor de Administração, Agente de Rede e componentes do Console de Administração.
Execução: inicia e pára as tarefas de grupo existentes e tarefas de computadores específicos; geração de relatório.
Modificar privilégios de acesso: concede aos usuários e grupos de usuários, direitos de acesso à funcionalidade do Kaspersky Administration Kit.
Editar configurações de registro de evento. Editar configurações de notificação.
Instalação remota de aplicativos da Kaspersky Lab.
Instalação remota de aplicativos externos: preparação dos pacotes de instalação e instalação remota de aplicativos de terceiros nos computadores clientes.
Editar configurações de hierarquia do Servidor de Administração.
Depois da instalação do Servidor de Administração, os direitos predefinidos para conectar ao Servidor e trabalhar com seus objetos são concedidos aos usuários incluídos nos grupos KLAdmins e KLOperators.
Esses grupos são criados durante a instalação do componente do Servidor de Administração dependendo da conta selecionada para iniciar o serviço do Servidor de Administração:
no domínio incluindo o Servidor de Administração e no computador host do Servidor de Administração, se o Servidor começar a usar a conta pertencente ao domínio;
somente no computador host do Servidor de Administração, se o Servidor começar a usar a conta do sistema local.
O grupo KLAdmins possui todos os direitos de acesso e o grupo KLOperators somente possui direitos de leitura e execução. O conjunto de direitos concedidos ao grupo KLAdmins não pode ser modificado.
Os usuários incluídos no grupo KLAdmins serão citados como administradores do Kaspersky Administration, usuários do grupo KLOperators são chamados operadores do Kaspersky Administration Kit.
A visualização dos grupos LAdmins e KLOperators e a introdução das modificações necessárias estão disponíveis nas ferramentas de administração do Windows padrão – gerenciamento de computador / Usuários locais e Grupos. Sem considerar os usuários do grupo KLAdmins, os direitos do administrador são concedidos a:
administradores do domínio incluindo os computadores do grupo de administração atribuído a esse Servidor; administradores locais de computadores com o Servidor de Administração instalado.
O administrador local pode ser excluído da lista de usuários permitidos a gerenciar o Servidor de Administração.
GU I A D O AD M I N I S T R A D O R
26
Toda as operações iniciadas pelos administradores do Kaspersky Administration Kit serão realizadas utilizando os direitos da conta do Servidor de Administração. Para cada Servidor de Administração, um grupo KLAdmins individual pode ser criado; ele terá os direitos necessários para trabalhar somente com aquele Servidor.
Se os computadores pertencentes ao mesmo domínio forem incluídos nos grupos de administração de diferentes Servidores, então o administrador do domínio é o administrador do Kaspersky Administration Kit para todos os grupos. O grupo KLAdmins é comum para aqueles grupos de administração; é criado durante a instalação do primeiro Servidor de Administração. Ele pode ser suplementado usando as ferramentas de administração dos sistemas operacionais. As operações iniciadas pelos administradores do Kaspersky Administration Kit serão realizadas utilizando os direitos da conta do Servidor de Administração.
Os direitos de usuário (veja a seção "Concessão de direitos" na página 36) no Kaspersky Administration Kit são
definidos com base na autenticação Windows de usuários na rede.
Depois da configuração do aplicativo um administrador do Kaspersky Administration Kit pode: modificar os direitos concedidos aos grupos KLOperators;
conceder os direitos para acessar a funcionalidade do Kaspersky Administration Kit a outros grupos de usuário e usuários individuais registrados em um computador com o Console de Administração instalado;
conceder vários direitos de acesso para trabalhar em cada grupo de administração.
C
ONCEITO DE INTERFACE DE USUÁRIO
A visualização, criação, modificação e configuração de grupos de administração, assim como gerenciamento centralizado de todos os aplicativos da Kaspersky Lab instalados no computador cliente são realizadas a partir da estação de trabalho do administrador. A interface de gerenciamento é fornecida pelo componente do Console de Administração da Kaspersky. É uma ferramenta snap-in independente e especializada para Microsoft Management Console (MMC); portanto, o Kaspersky Administration Kit utiliza uma interface unificada no estilo MMC.
O Console de Administração permite a conexão ao Servidor de Administração remoto através da internet.
Para trabalho local com computadores clientes o aplicativo aceita conexão remota a um computador através do Console de Administração da Kaspersky usando o aplicativo Remote Desktop Connection (Conexão Remota da Área de Trabalho) do Microsoft Windows.
Para usar esta funcionalidade, as conexões remotas da área de trabalho devem ser permitidas no computador cliente.
