ksc kaspersky что это
Kaspersky Security Center — борьба за автоматизацию
Как это ни странно, я нашёл на Хабре всего одну статью по данной тематике — и ту в песочнице и сильно незаконченную фактически содержащую в себе маленький кусочек чуть переделанной справки по продукту. Да и Google по запросу klakaut молчит.
Я не собираюсь рассказывать, как администрировать иерархию Kaspersky Security Center (далее по тексту KSC) из командной строки — мне это пока не понадобилось ни разу. Просто хочу поделиться некоторыми соображениями по поводу средств автоматизации с теми, кому это может понадобиться, и разберу один кейс, с которым мне пришлось столкнуться. Если тебе, %habrauser%, эта тема будет интересной — добро пожаловать под кат.
Исторически сложилось так, что в качестве средства антивирусной защиты на работе я предпочитаю продукты Лаборатории Касперского (далее ЛК). Причины и прочие священные войны личных мнений, пожалуй, оставим за кадром.
Естественно, хотелось бы централизованно развернуть, защитить, оградить и не пущать рисовать красивые графики, интегрироваться в существующие системы мониторинга и заниматься прочим перекладыванием работы с больной головы на здоровый сервер. И если с развёртыванием и защитой тут всё более или менее в порядке (у ЛК даже есть какие-то онлайн-курсы по продуктам), то с интеграцией уже сильно грустнее: в последней на текущий момент версии KSC 10.2.434 появилась интеграция аж с двумя SIEM: Arcsight и Qradar. На этом всё.
Для интеграции в что-то своё KSC предоставляет аж 2 интерфейса:
Минусы klakdb очевидны: чтобы напрямую обратиться к БД, нужно иметь к этой БД доступ, что приводит к необходимости лишних телодвижений по созданию правил доступа в межсетевых экранах, настройке прав доступа на серверах СУБД и прочему крайне неувлекательному времяпрепровождению. Ну и плюс мониторинг актуальности всех этих правил, естественно. Особенно интересно становится, когда имеется 20+ серверов — и все в разных филиалах, в каждом из которых свои администраторы.
Ну и вишенки на этом торте: доступ исключительно Read Only и, мягко говоря, неполная информация о среде. Плюсы не столь очевидны, но тоже есть: можно очень быстро выгрузить по одному серверу статистическую информацию по количеству хостов, используемым версиям антивирусов и антивирусных баз, а главное — можно весьма удобно (удобство зависит от знания SQL) работать с зарегистрированными на KSC событиями антивирусной инфраструктуры.
klakaut в этом плане значительно более интересен: подключившись к корневому серверу иерархии, можно средствами самого KSC пройтись по оной иерархии и получить доступ ко всем нужным данным. Например, построить дерево серверов KSC с пометкой, кто из них живой, а кто нет, позапускать задачи, поперемещать компьютеры и вообще дать волю фантазии.
Минусы тоже есть, естественно: долго и сложно. Если нужно собрать какую-то статистику — нужно будет сначала долго писать скрипт, а потом долго ловить баги ждать, когда он отработает.
Естественно, никто не запрещает (по крайней мере, мне про это неизвестно) использовать оба механизма вместе: например, пройтись по иерархии серверов с помощью klakaut, получить полный список серверов KSC с информацией об используемых БД, а потом уже передать эту информацию в более другие средства автоматизации, которые удалят устаревшие правила из сетевых экранов, создадут новые, дадут разрешения на доступ и принесут кофе в постель отредактируют список источников данных в вашей системе мониторинга, которая, в свою очередь, опросит список и, обнаружив какие-нибудь девиации, с помощью klakaut сделает что-нибудь хорошее. Ну, или просто зарегистрирует инцидент в трекере. Тогда что-нибудь хорошее сделают администраторы в ручном режиме.
Воодушевлённый всеми этими соображениями, я написал свой первый скрипт:
И запустил его на сервере:
Открыв консоль KSC, я убедился, что с правами у меня всё в порядке.
К сожалению, KSC не логирует неудачные попытки входа. Переписка с вендором показала, что логирование неудачных попыток входа можно включить (это была отдельная увлекательная история, которая, кстати, ещё не закончилась), однако данная конкретная попытка в логи всё равно попадать отказалась.
Казалось бы, можно сделать вот так:
В этом случае никаких ошибок не будет, но указывать логин с паролем открытым текстом в скрипте мне не показалось замечательной идеей. Новая переписка с техподдержкой ЛК подарила мне следующую рекомендацию:
Необходимо выставить в настройках COM, на вкладке Default Properties:
Default Authentication Level: Packet
Default Impersonation Level: Delegate
Эта инструкция заставила работать исходный скрипт, но показалась мне сомнительной в плане безопасности, поэтому я решил покопать чуть глубже. После некоторого времени поисков нашёлся добрый человек, который подсказал мне, как задать указанные уровни проверки подлинности и олицетворения для конкретного объекта, а не разрешать всем и всё сразу:
Вот так скрипт никаких ошибок выдавать не стал. Первый квест пройден.
Следующая задача: получить от KSC данные об используемой БД.
А вот тут всё сложно: документация о том, как это сделать, молчит. Исследование класса KlAkProxy ничего интересного не выявило, кроме параметра KLADMSRV_SERVER_HOSTNAME, который оказался идентификатором компьютера, на котором установлен KSC.
Перейдём тогда к компьютеру, для этого есть специальный класс KlAkHosts2. Для сокращения количества кода приведу только содержимое блока try:
Данный код вернул значение «KSC», а значит, я на верном пути.
Метод GetHostInfo класса KlAkHosts2 достаточно хорошо задокументирован, но — не содержит нужной мне информации. Увы и ах. Зато есть метод GetHostSettings. Всё описание для которого сводится к следующему:
Returns host’s settings as setting storage.
Давайте, заглянем внутрь:
В klakaut.chm есть раздел «List of KLHST_WKS_PRODUCT_NAME and KLHST_WKS_PRODUCT_VERSION values for products», где можно подсмотреть, что поле PRODUCT для KSC должно быть 1093, соответственно, всё остальное можно смело проигнорировать. Пока что, по крайней мере.
Пробежавшись глазами по названиям секций, я решил просмотреть 85 и 87, поскольку остальные на нужное мне были не очень похожи.
Секция 85, судя по всему, отвечает за события и ныне нам неинтересна. А вот в 87 есть что-то, на что стоит обратить внимание:
Тут я воспользовался одним из предыдущих кейсов, где упоминалось, что нужные данные следует брать именно из KLSRV_CONNECTION_DATA (тогда я ещё не знал, что это вообще такое, просто отложилось).
Ну, вот, в общем-то, и всё. Данные об используемой БД получены. Квест пройден.
Наверное, ещё неплохо бы набросать скрипт для прохождения по иерархии серверов. Здесь ничего загадочного не оказалось, всё было вполне по документации. Я написал скрипт, который выбирает UID родителя, UID самого сервера, экземпляр СУБД и имя БД и выводит их в stdout через разделитель.
Стенд маленький, поэтому результат оказался не очень впечатляющим:
Естественно, чтобы превратить точку в актуальное имя сервера, придётся поколдовать с KlAkHosts2.GetHostInfo(), но это уже не столь страшно, просто ещё сколько-то кода.
Техподдержка ЛК, естественно, пугала меня тем, что структура SS_SETTINGS в следующих релизах KSC может поменяться, поэтому так лучше не делать. К сожалению, даже мой внутренний перфекционист считает, что скрипт нельзя просто написать и забыть: при смене версии используемого ПО его по-любому придётся тестировать и отлаживать. Так что пока пользуемся тем, что есть, а проблемы будем решать по мере поступления, благо, техника уже отработана.
Kaspersky Security Center
Kaspersky Security Center – это единая консоль для управления решениями «Лаборатории Касперского» для защиты рабочих мест и управления всеми защитными продуктами. В Kaspersky Security Center всегда будут включены только те средства управления, которые необходимы для работы с выбранным вами продуктом «Лаборатории Касперского». Если вы решите перейти на продукт Kaspersky Endpoint Security для бизнеса более высокого уровня или на самое полное решение Kaspersky TOTAL Security для бизнеса, то в консоли управления Kaspersky Security Center автоматически появятся дополнительные средства управления.
Управление защитой рабочих мест
Многоуровневая защита
Гибкий контроль всех функций защиты рабочих мест:
Мощные инструменты контроля
Централизованное управление функциями Контроля программ Контроля устройств и Веб-Контроля позволяет значительно усилить защиту сети:
Шифрование данных
Настройка шифрования с помощью интегрированных политик безопасности, обеспечивающих защиту данных в случае утери или кражи устройства или файлов:
Управление мобильными устройствами и их защита
Kaspersky Security Center позволяет настраивать защиту любых моделей популярных мобильных устройств, включая Android, iOS и Windows Phone, точно так же, как защиту других рабочих мест.
Защита от вредоносного ПО
Комплексные технологии безопасности мобильных устройств управляются посредством той же единой консоли:
Управление мобильными приложениями
Инструменты контроля «Лаборатории Касперского» в сочетании с контейнеризацией защищают корпоративные приложения и данные:
Управление мобильными устройствами (MDM)
Позволяя управлять мобильными устройствами на базе различных платформ через единый интерфейс, Kaspersky Security Center помогает развертывать универсальные политики безопасности мобильных устройств:
Управление безопасностью виртуальных сред
Kaspersky Security Center также управляет защитными решениями «Лаборатории Касперского» для виртуальных серверов и виртуальных рабочих столов. Предлагаются оптимизированные решения для платформ виртуализации VMware, Citrix и Microsoft, в которых эффективная защита сочетается с высокой степенью консолидации.
Выбор технологий защиты виртуальной среды
В зависимости от используемого в компании гипервизора и необходимых функций безопасности «Лаборатория Касперского» предлагает защитные приложения без установки агента и с легким агентом:
Оба приложения полностью управляются через Kaspersky Security Center.
Системное администрирование (Systems Management)
Kaspersky Security Center обеспечивает контроль всех параметров IT-безопасности, а также дает централизованный доступ к широкому спектру функций управления системами.
Мониторинг уязвимостей и управление установкой исправлений
Kaspersky Security Center упрощает выявление и устранение уязвимостей в операционных системах и приложениях, позволяя быстрее устанавливать исправления:
Учет и управление IT-ресурсами
Все аппаратное и программное обеспечение в сети автоматически обнаруживается и заносится в реестры, что дает администратору полное представление обо всех ресурсах, которые нуждаются в защите и управлении:
Развертывание программного обеспечения (ПО)
Автоматическое развертывание ПО, а также проверяемый удаленный доступ и устранение неполадок сокращают затраты времени и ресурсов на настройку новых рабочих станций и установку новых приложений.
Развертывание операционных систем (ОС)
Kaspersky Security Center предоставляет централизованный контроль за созданием, хранением и копированием защищенных образов систем, чтобы оптимизировать и ускорить развертывание ОС. Поддерживается интерфейс UEFI.
Управление на уровне предприятия
Разграничение прав администраторов по ролям и поддержка популярных SIEM-систем помогают упростить управление сложными IT-средами.
Системные требования
Общие требования
Внимание! Ниже представлены минимальные требования к процессору и размеру оперативной памяти, необходимые для установки компонентов решения. Рекомендуется использовать оборудование с большим размером оперативной памяти и более высокой частотой процессора.
Сервер администрирования
Аппаратные требования:
Аппаратные требования:
Консоль администрирования
Аппаратные требования:
Программные требования:
Веб-Консоль (Kaspersky Security Center Web Console)
Сервер администрирования
Работа с Kaspersky Security Center Web Console осуществляется через веб-браузер.
Ниже перечислены типы и версии веб-браузеров, а также типы и версии операционных систем, которые вы можете использовать для работы с программой:
Агент администрирования
Данные требования относятся к компьютерам, на которые устанавливается Агент администрирования:
Аппаратные требования:
Компьютер, на котором установлен Агент администрирования, который будет дополнительно выполнять роль Агента обновлений, должен удовлетворять следующим требованиям:
Операционная система:
Сканирование уязвимостей и управление патчами в Kaspersky Security Center
В них есть баги Вот нечто вроде аксиомы, хорошо знакомой каждому ИТ-специалисту: программное обеспечение содержит ошибки. И чем сложнее и современнее программа, чем больше (тысяч) строк кода написано для её
В них есть баги
Вот нечто вроде аксиомы, хорошо знакомой каждому ИТ-специалисту: программное обеспечение содержит ошибки. И чем сложнее и современнее программа, чем больше (тысяч) строк кода написано для её работы, тем выше вероятность ошибок и уязвимостей, а значит, и больше хлопот у администраторов, в ведении которых находится безопасность корпоративной сети, которой всегда угрожает опасность.
Хорошей новостью является то, что производители наиболее популярного программного обеспечения обновляют свои пакеты регулярно, но не все из них предоставляют механизмы автоматического обновления, а это означает, что есть, по крайней мере, какое-то время (иногда достаточно долгое) между выпуском обновлений и их фактической установкой. Основная проблема здесь заключается как раз в том, что этот временной зазор может быть (и часто бывает) использован злоумышленниками.
Сканирование уязвимостей и управление патчами в Kaspersky Security Center #ksc
Кроме того, источники информации об обновлениях порой весьма разрозненны, что только усложняет задачу.
Решения
Системный администратор должен знать обо всём происходящем в инфраструктуре его компании. Это является необходимым условием обеспечения безопасности. Отслеживание всего вручную — почти непосильная задача, но существуют средства автоматизации.
Kaspersky Security Center 10, единая консоль управления «Лаборатории Касперского», облегчает управление и защиту всех конечных точек, включая физические, виртуальные и мобильные устройства. Вдобавок, наша веб-консоль позволяет управлять системами и безопасностью с любого устройства, подключенного к интернету.
В составе Systems Management присутствуют функции оценки уязвимостей и управления патчами, которые помогают выявлять и устранять баги как в операционных системах, так и в приложениях, используемых в корпоративной инфраструктуре. Установка патчей может производиться гораздо быстрее.
Как определяются уязвимости? Информация о них поступает из базы данных, составляемой экспертами «Лаборатории Касперского». Она, в свою очередь, пополняется данными собственных аналитиков и информацией из базы данных уязвимостей Secunia. База данных обновлений Windows, разумеется, также используется. Предоставляются и ссылки на подробное описание уязвимости в базе данных CVE и в Securelist (см. выше).
Оценка уязвимостей и управление патчами также позволяют устанавливать приоритет уязвимостей так, чтобы баги, считающиеся критическими, исправлялись в первую очередь. Серьёзность ошибок оценивается экспертами «Лаборатории Касперского» на основе базы данных Secunia, а также дополнительного анализа. И при наличии вредоносных программ, эксплуатирующих уязвимость, она признаётся критической.
Kaspersky Security Center позволяет определить конкретные компьютеры с уязвимым программным обеспечением. Это особенно полезно при обслуживании большого парка конечных точек.
Обеспечивается автоматическое распределение патчей и обновлений (для ПО Microsoft и прочего софта) и снижение объемов трафика в удалённых офисах при установке исправлений: дистанционная рабочая станция в таком случае используется в качестве агента обновлений.
Присутствует мониторинг установки патчей, и если некоторые исправления устанавливаются неправильно (такое случается!), проблему можно решить дистанционно.4
Системный администратор должен знать обо всём происходящем в инфраструктуре его компании. #безопасность
Администратор может использовать Kaspersky Security Center для реализации различных методов исправления уязвимостей. Можно настроить автоматическое исправление всех найденных брешей (это, очевидно, рекомендуемый образ действий), либо только уязвимостей, которые отвечают определённым критериям (всех критичных, например). Автоматическая установка обновлений также конфигурируется в зависимости от заданных условий, например, инсталляция всех подтверждённых обновлений.
Администратор также может настроить установку выбранных патчей и обновлений. Цель одна: установить обновления приложений и исправить уязвимости. Одной задачи этого типа достаточно для выполнения всех описанных действий. Такая задача задается мастером быстрого запуска, если администратор выберет поиск и установку обновлений, а не просто поиск. По умолчанию выполнение задачи начинается ежедневно в 01:00.
Kaspersky Security Center входит в состав следующих пакетов:
Функции управления патчами активируются лицензией на управление системой, которая поставляется с тремя продуктами: Kaspersky Endpoint Security for Business – Advanced, Kaspersky Total Security for Business и Kaspersky Systems Management.
Ksc kaspersky что это
Это текущая политика, которая применяется к устройству. Для программы «Лаборатории Касперского» в каждой группе администрирования может быть активна только одна политика. Значения параметров активной политики программы «Лаборатории Касперского» применяются к устройству.
Политика, которая в настоящее время не применяется к устройству.
Для автономных пользователей
Если выбран этот вариант, политика начинает действовать при выходе устройства из сети организации.
Политики действуют по следующим правилам:
Вы можете использовать политики для подготовки к экстренным ситуациям, например, к вирусной атаке. Например, если происходит атака через флеш-накопители USB, можно активировать политику, блокирующую доступ к флеш-накопителям. В этом случае текущая активная политика автоматически становится неактивной.
Чтобы не поддерживать большое число политик, например, когда в разных случаях предполагается изменение только нескольких параметров, вы можете использовать профили политик.
Профиль политики – это именованное подмножество параметров политики, которые заменяют значения параметров политики. Профиль политики влияет на формирование эффективных параметров управляемого устройства. Эффективные параметры – это набор параметров политики, параметров профиля политики и параметров локальной программы, которые в настоящее время применяются к устройству.
Профили политик работают по следующим правилам:
Kaspersky Security Center
Kaspersky Security Center — это инструмент для централизованного управления комплексной системой защиты, который предоставляет администратору доступ к детальной информации об уровне безопасности корпоративной сети и позволяет гибко настраивать все компоненты системы защиты. Этот мощный и удобный инструмент способствует обеспечению бесперебойной работы ИТ-инфраструктуры компании и повышению эффективности ее бизнеса.
Защита на опережение
Продукт входит в состав:
Быстрое развертывание защиты
Простые и гибкие сценарии развертывания позволяют обеспечить защиту мультиплатформенных и распределенных сетей.
Централизованное управление защитой
Удобный интерфейс, предусматривающий поддержку основных сценариев работы, обеспечивает легкое и простое управление системой защиты в сетях любого размера и сложности, что значительно упрощает работу системных администраторов.
Контроль рабочих мест под управлением Windows*
Позволяет осуществлять усовершенствованный контроль рабочих мест под управлением операционной системы Windows.
*Только для управления Kaspersky Endpoint Security 8 для Windows. Дополнительная информация о Kaspersky Endpoint Security 8 для Windows доступна по адресу: www.antiviirus.ee/ru/endpoint-security-windows.
Удобная система мониторинга
Инструменты Kaspersky Security Center предоставляют актуальные сведения о состоянии системы защиты, позволяя администратору получать информацию о ключевых событиях, где бы он ни находился.
Поддержка мультиплатформенных сред
Полный список поддерживаемых приложений:
Kaspersky Security Center обеспечивает управление работой следующих решений «Лаборатории Касперского» для защиты от информационных угроз:
Обратите внимание, что поддержка некоторых версий защитных решений для Microsoft Exchange и ISA Server, а также предыдущих версий приложений для защиты серверов и рабочих станций под управлением Linux по-прежнему осуществляется с помощью Kaspersky Administration Kit – предыдущей версии средства централизованного управления системой защиты.
Системные требования
Сервер администрирования
Microsoft® Data Access Components (MDAC) 2.8 или выше или Microsoft® Windows® DAC 6.0
Microsoft® Windows® Installer 4.5 (для Windows Server® 2008 / Windows Vista®)
Microsoft® SQL Server Express 2005, 2008
Microsoft® SQL Server® 2005, 2008, 2008 R2
MySQL Enterprise
Консоль администрирования
Microsoft® Management Console 2.0 или новее
Microsoft® Internet Explorer® 8.0
- что вы знаете такого что заставляет людей спрашивать вас откуда ты вообще это знаешь
- что делать если котенок не ходит в туалет по большому 1 день после переезда