Развертывание решения для управления мобильными устройствами в Kaspersky Security Center Web Console

Для подключения и управления мобильными устройствами с помощью Kaspersky Security Center Web Console необходимо развернуть решение для управления мобильными устройствами. В этом разделе описаны действия, которые вам рекомендуется выполнить при начале работы с Kaspersky Secure Mobility Management.

Развертывание Kaspersky Security Center Linux и Kaspersky Security Center Web Console

Выберите устройство с операционной системой Linux, которое будет использовано в качестве рабочей станции администратора; убедитесь, что аппаратное и программное обеспечение устройства соответствует требованиям, и установите на это устройство Kaspersky Security Center Web Console.

Инструкции по установке Kaspersky Security Center Linux приведены в справке Kaspersky Security Center.

Инструкции по установке Kaspersky Security Center Web Console приведены в справке Kaspersky Security Center Linux.

Развертывание плагинов для управления мобильными устройствами

Для использования решения Kaspersky Secure Mobility Management и подключения мобильных устройств необходимо добавить и установить следующие плагины:

• Плагин Kaspersky Mobile Devices Protection and Management
  • on_prem_ksm_policies_<версия>.zip

    Архив, содержащий файлы, необходимые для установки плагина Kaspersky Mobile Devices Protection and Management:

    • plugin.zip

      Архив, содержащий плагин Kaspersky Mobile Devices Protection and Management.

    • signature.txt

      Файл, содержащий подпись для плагина Kaspersky Mobile Devices Protection and Management.

• Плагин параметров Сервера iOS MDM
  • on_prem_iosmdm_<версия>.zip

    Архив, содержащий файлы, необходимые для установки плагина параметров Сервера iOS MDM:

    • plugin.zip

      Архив, содержащий плагин параметров Сервера iOS MDM.

    • signature.txt

      Файл, содержащий подпись для плагина параметров Сервера iOS MDM.

Чтобы установить плагин управления:

1. В главном окне Kaspersky Security Center Web Console выберите Параметры > Веб-плагины.
2. В открывшемся окне нажмите Добавить.

   Отобразится список доступных плагинов.

3. В списке доступных плагинов нажмите на имя плагина, который требуется установить.

   Отобразится страница с описанием плагина.

4. На странице описания плагина нажмите Установить плагин.
5. После завершения установки нажмите ОК.

Плагин управления будет загружен в конфигурации по умолчанию и появится в списке плагинов управления.

Вы можете добавлять плагины и обновлять загруженные плагины из файла. Вы можете загрузить плагины управления с сайта Службы технической поддержки "Лаборатории Касперского".

Чтобы загрузить или обновить плагин управления из файла:

1. В главном окне Kaspersky Security Center Web Console выберите Параметры > Веб-плагины.
2. В открывшемся окне:
   • Нажмите Добавить из файла, чтобы загрузить плагин из файла.
   • Нажмите Обновить из файла, чтобы загрузить обновление для плагина из файла.
3. Укажите файл и подпись файла.
4. Загрузите указанные файлы.

Плагин управления будет загружен из файла и появится в списке плагинов управления.

Функциональность обновлений (включая обновления антивирусных сигнатур и обновления кодовой базы), а также функциональность KSN могут быть недоступны в решении на территории США.

Настройка параметров Сервера администрирования для подключения мобильных устройств

Перед подключением мобильных устройств к Kaspersky Security Center Web Console необходимо настроить параметры подключения в свойствах Сервера администрирования.

Чтобы настроить параметры Сервера администрирования для подключения мобильных устройств:

1. В главном окне Kaspersky Security Center Web Console нажмите на значок настроек () рядом с названием Сервера администрирования.
2. В открывшемся окне свойств Сервера администрирования настройте порт Сервера администрирования, который будет использоваться для мобильных устройств:
   1. На вкладке Общие выберите раздел Дополнительные порты.
   2. Включите переключатель Открыть порт для мобильных устройств.

      Если этот параметр включен, порт Сервера администрирования открыт для мобильных устройств.

   3. В поле Порт для синхронизации мобильных устройств укажите порт, по которому мобильные устройства будут подключаться к Серверу администрирования.

      По умолчанию указан порт 13292.

      Если переключатель Открыть порт для мобильных устройств выключен или порт указан неверно, мобильные устройства не смогут подключаться к Серверу администрирования.

3. При необходимости замените сертификат, используемый устройствами для подключения к Серверу администрирования.

   По умолчанию используется сертификат, созданный после открытия порта для мобильных устройств. Замените сертификат, выданный Сервером администрирования, на другой сертификат или перевыпустите его.

   Чтобы изменить сертификат:

   1. На вкладке Общие выберите раздел Сертификаты.
   2. Задайте необходимые параметры.

      Подробная информация о работе с сертификатами Kaspersky Security Center Linux приведена в справке Kaspersky Security Center.

4. Нажмите Сохранить, чтобы сохранить внесенные изменения и закрыть окно свойств Сервера администрирования.

Параметры для подключения мобильных устройств настроены.

Сценарий: Настройка шлюза соединения для подключения мобильных устройств к Kaspersky Security Center Web Console

Шлюз соединения – это Агент администрирования, работающий в особом режиме. Агент администрирования является компонентом Kaspersky Security Center, который осуществляет взаимодействие между Сервером администрирования и приложениями "Лаборатории Касперского". Шлюз соединения принимает соединения от других Агентов администрирования и туннелирует их к Серверу администрирования через собственное соединение с Сервером.

В отличие от обычного Агента администрирования, шлюз соединения ожидает соединений от Сервера администрирования, а не устанавливает соединения с ним. Шлюз соединения принимает подключение от Сервера администрирования в демилитаризированной зоне по TLS-порту 13000. Так как шлюз соединения в демилитаризованной зоне не может получить доступ к портам Сервера администрирования, Сервер администрирования создает и поддерживает постоянное сигнальное соединение с шлюзом соединения. Сигнальное соединение не используется для передачи данных - оно используется только для отправки приглашения к сетевому взаимодействию. Когда шлюзу соединения необходимо подключиться к Серверу администрирования, он уведомляет Сервер через сигнальное соединение, а затем Сервер устанавливает необходимое соединение для передачи данных.

Шлюз соединения позволяет более эффективно применять средства безопасности для защиты сетевой инфраструктуры от потенциальных уязвимостей.

• Использование шлюза соединения упрощает мониторинг подозрительной активности на отдельном сетевом узле за пределами локальной сети (LAN). Это позволяет избежать прямых вредоносных атак по мобильному протоколу за счет реализации отдельного протокола для связи между шлюзом соединения и Kaspersky Security Center.
• Уменьшается поверхность потенциальных сетевых атак, поскольку шлюз соединения принимает подключение от Сервера администрирования по одному порту (по умолчанию 13000), через который обрабатываются все запросы.
• Использование шлюза соединения позволяет проверять мобильный сертификат за пределами локальной сети и запрещать устройствам отправлять данные в Kaspersky Security Center до их аутентификации, что защищает сетевую инфраструктуру от уязвимостей протоколов более низкого уровня, таких как TLS/SSL.

Требования

Чтобы шлюз соединения корректно работал с мобильными устройствами, должны соблюдаться следующие требования:

• На хосте со шлюзом соединения должен быть открыт один из портов - 13293 или 13292.

  Эти порты предназначены для подключения и синхронизации мобильных устройств.

  • При использовании порта 13293 на шлюзе соединения проверяется TLS-сертификат (без отправки сертификата на Сервер администрирования).
  • При использовании порта 13292 сертификат не проверяется (при этом игнорируется флаг LP_MobileMustUseTwoWayAuthOnPort13292).
• Между шлюзом соединения и Kaspersky Security Center должен быть открыт порт 13000, по которому шлюз соединения принимает подключение от Сервера администрирования. Его открытие наружу из демилитаризованной зоны не требуется.
• Хост должен иметь статический адрес, доступный из интернета.

Этапы

Настройка включает в себя следующие шаги:

1. Установка Агента администрирования на хост, выполняющий роль шлюза соединения

   Сначала нужно установить Агент администрирования на выбранном устройстве-хосте, который будет выступать в качестве шлюза соединения.

   Информация о создании инсталляционного пакета Агента администрирования приведена в справке Kaspersky Security Center.

   Вы можете установить Агент администрирования в интерактивном режиме, указав параметры установки шаг за шагом. Вы также можете использовать файл ответов – текстовый файл, который содержит пользовательский набор параметров установки: переменные и их соответствующие значения. Использование файла ответов позволяет запустить установку в тихом режиме, то есть без участия пользователя. Информация об установке Агента администрирования в тихом режиме приведена в справке Kaspersky Security Center.

2. Настройка шлюза соединения на Сервере администрирования Kaspersky Security Center

   После установки Агента администрирования в качестве шлюза соединения нужно подключить его к Серверу администрирования. Сервер администрирования пока не отображает устройство со шлюзом соединения в списке управляемых устройств, поскольку шлюз соединения еще не подключался к Серверу администрирования.

   Нужно создать новую группу в группе Управляемые устройства и добавить устройство, выступающее в качестве шлюза соединения, в созданную группу. Информация о том, как вручную добавлять устройства в группы в Kaspersky Security Center Web Console, приведена в справке Kaspersky Security Center.

   После этого назначьте устройство точкой распространения и настройте точку распространения для работы в качестве шлюза соединения в разделе Шлюз соединения свойств точки распространения. Затем включите параметры Открыть порт для мобильных устройств (SSL-аутентификация только Сервера администрирования) и Открыть порт для мобильных устройств (двусторонняя SSL-аутентификация) и укажите порты и имена DNS-доменов точки распространения для подключения мобильных устройств.

   Если в основных ограничениях пользовательского мобильного сертификата Сервера администрирования не установлено свойство "CA: true", на шлюзе соединения будет использоваться тот же сертификат, что и на Сервере администрирования.

Результаты

Будет настроен шлюз соединения. Теперь вы сможете добавлять новые мобильные устройства, указав адрес шлюза соединения.

Чтобы изменить адрес подключения мобильных устройств, перевыпустите мобильный сертификат с новым адресом подключения, указанном при настройке шлюза соединения (в окне свойств Сервера администрирования выберите Общие → Сертификаты). Дополнительная информация о перевыпуске мобильных сертификатов приведена в разделе Перевыпуск мобильного сертификата Сервера администрирования.

Чтобы мобильные устройства синхронизировались с Kaspersky Security Center на шлюзе соединения, в свойствах инсталляционных пакетов Kaspersky Endpoint Security для Android необходимо указать адрес подключения, заданный при настройке шлюза соединения (Операции → Хранилища → Инсталляционные пакеты).

Добавление инсталляционных пакетов в хранилище Сервера администрирования

Для дальнейшего развертывания систем управления мобильными устройствами необходимо добавить в хранилище Сервера администрирования следующие инсталляционные пакеты:

• Инсталляционный пакет Агента администрирования для Linux (для последующей установки Агента администрирования на рабочую станцию).
• Инсталляционный пакет Сервера iOS MDM (для последующей установки Сервера iOS MDM для подключения и управления iOS-устройствами).
• Инсталляционный пакет Kaspersky Endpoint Security для Android (для последующей установки Kaspersky Endpoint Security для Android на устройства).

Инструкции по добавлению инсталляционных пакетов в хранилище Сервера администрирования приведены в справке Kaspersky Security Center.

Добавление лицензионного ключа в хранилище Сервера администрирования

Для подключения мобильных устройств к Kaspersky Security Center Web Console и управления ими необходимо указать лицензионный ключ, поддерживающий решение для управления мобильными устройствами.

Используемая лицензия определяет набор базовых и расширенных параметров, которые вы можете настраивать. С лицензией без поддержки расширенной функциональности Kaspersky Secure Mobility Management в плагине Kaspersky Mobile Devices Protection and Management доступны только базовые параметры защиты устройств. Подробная информация о лицензиях приведена в разделе О лицензии.

Чтобы указать лицензионный ключ в параметрах действующей лицензии свойств Сервера администрирования:

• В главном окне Kaspersky Security Center Web Console нажмите на значок настроек () рядом с названием Сервера администрирования.

  Откроется окно свойств Сервера администрирования.

  1. На вкладке Общие выберите раздел Лицензионные ключи.
  2. В блоке параметров Действующая лицензия нажмите Выбрать и выполните одно из следующих действий:
     • Выберите один из существующих лицензионных ключей.
     • Укажите файл в формате KEY, который вы хотите добавить.

     Выбранная лицензия должна поддерживать решение для управления мобильными устройствами.

  3. Нажмите Сохранить.

Лицензионный ключ указан в параметрах действующей лицензии свойств Сервера администрирования.

Чтобы добавить лицензионный ключ в хранилище Сервера администрирования:

1. В главном окне Kaspersky Security Center Web Console выберите Операции → Лицензии "Лаборатории Касперского".
2. Нажмите Добавить.
3. В открывшемся окне нажмите Добавить файл ключа.
4. Нажмите Выберите файл ключа и укажите файл в формате KEY, который вы хотите добавить.

   Выбранная лицензия должна поддерживать решение для управления мобильными устройствами.

5. Нажмите Сохранить.

Лицензионный ключ добавлен в хранилище Сервера администрирования.

Установка Агента администрирования для Linux

Агент администрирования для Linux - это компонент Kaspersky Security Center, осуществляющий взаимодействие между Сервером администрирования и приложениями "Лаборатории Касперского", установленными на рабочей станции или сервере.

Для развертывания системы управления iOS-устройствами необходимо установить Агент администрирования на рабочую станцию, на которой в дальнейшем будет развернут Сервер iOS MDM. После установки Агента администрирования вы сможете настроить и установить Сервер iOS MDM для последующего подключения и управления iOS-устройствами.

Инструкции по установке Агента администрирования для Linux приведены в справке Kaspersky Security Center.

Настройка параметров Веб-сервера Kaspersky Security Center Linux

Веб-сервер Kaspersky Security Center Linux - это компонент Kaspersky Security Center Linux, который устанавливается в составе Сервера администрирования. Веб-сервер предназначен для передачи по сети автономных пакетов установки, управляющих профилей, а также файлов из папки общего доступа.

Созданные инсталляционные пакеты публикуются на Веб-сервере автоматически и удаляются после первой загрузки. Администратор может передать сформированную ссылку пользователю любым удобным способом, например, по электронной почте.

Дополнительная информация приведена в справке Kaspersky Security Center.

Для подключения мобильных устройств убедитесь, что в свойствах Сервера администрирования правильно указан FQDN веб-сервера:

1. В главном окне Kaspersky Security Center Web Console нажмите на значок настроек () рядом с названием Сервера администрирования.
2. В открывшемся окне свойств Сервера администрирования на вкладке Общие выберите раздел Веб-сервер.
3. Убедитесь, что указанное в поле FQDN Веб-сервера полное доменное имя (FQDN) является публичным и определяется DNS-серверами.

Настройка Веб-сервера на шлюзе соединения (Агент администрирования для Linux)

На точке распространения в режиме шлюза соединения реализована отдельная служба Веб-сервера, которая позволяет работать с мобильными устройствами, подключенными к Kaspersky Security Center. С помощью этой службы вы можете передавать устройствам инсталляционные пакеты приложений и управляющие профили без прямого подключения устройств к Серверу администрирования. Передача происходит через обработку службой на шлюзе соединения HTTP/HTTPS-запросов файлов.

Служба Веб-сервера на шлюзе соединения работает только для загрузки на мобильные устройства следующих видов файлов:

• Мобильные приложения "Лаборатории Касперского"

  Инсталляционные пакеты мобильных приложений "Лаборатории Касперского", добавленные администратором в политику через Kaspersky Security Center Web Console.

• Сторонние мобильные приложения

  Инсталляционные пакеты сторонних мобильных приложений, созданные администратором для их последующей установки на устройства из локального файла.

• Управляющие профили для iOS MDM-устройств

Для подключения новых устройств к Kaspersky Security Center инсталляционные пакеты и управляющие профили публикуются на Веб-сервере на шлюзе соединения в случае, если он развернут.

Ссылки на инсталляционные пакеты размещены в параметрах политики и разделах "Приложения и файлы" и "Инсталляционные пакеты" Kaspersky Security Center.

Эта функциональность доступна с Kaspersky Security Center Linux 15.2 или выше.

Служба Веб-сервера на шлюзе соединения устанавливается вместе с Агентом администрирования для Linux. Для использования службы вам необходимо назначить устройство, которое будет выполнять роль точки распространения в режиме шлюза соединения для использования в качестве Веб-сервера, и указать необходимые настройки.

Назначьте устройство, которое будет выполнять роль точки распространения в режиме шлюза соединения

Чтобы назначить устройство, которое будет выполнять роль точки распространения в режиме шлюза соединения:

1. В главном окне Kaspersky Security Center Web Console нажмите на значок настроек () рядом с названием Сервера администрирования.

   Откроется окно свойств Сервера администрирования.

2. На вкладке Общие выберите раздел Точки распространения.
3. Нажмите Назначить.
4. В открывшемся окне выберите устройство, которое будет выполнять роль точки распространения.
5. Нажмите OK.

   Выбранное устройство появится в списке точек распространения.

6. Нажмите на имя устройства.
7. В открывшемся окне свойств точки распространения перейдите в раздел Шлюз соединения.
8. Включите переключатель Шлюз соединения.
9. Задайте имя DNS-домена точки распространения, под которым она будет доступна мобильным устройствам.
10. Нажмите OK.

Устройство, которое будет выполнять роль точки распространения в режиме шлюза соединения, назначено.

Настройте параметры Веб-сервера на шлюзе соединения

Чтобы настроить параметры Веб-сервера на шлюзе соединения:

1. В главном окне Kaspersky Security Center Web Console нажмите на значок настроек () рядом с названием Сервера администрирования.

   Откроется окно свойств Сервера администрирования.

2. На вкладке Общие выберите раздел Веб-сервер.
3. В блоке параметров Параметры Веб-сервера на шлюзе соединения (Агент администрирования для Linux) установите флажок Запустить дополнительный Веб-сервер на шлюзе соединения.

   Этот Веб-сервер будет использоваться для передачи файлов устройствам.

4. В появившемся поле Шлюз соединения укажите устройство, на котором будет развернут Веб-сервер для использования в качестве шлюза соединения. В выпадающем списке отображаются только те устройства, которые поддерживают эту функциональность.
5. В появившемся блоке параметров Параметры Веб-сервера для выбранного шлюза соединения настройте порты Веб-сервера:
   1. Выберите Открыть HTTPS-порт Веб-сервера, если вы хотите, чтобы Веб-сервер был доступен по HTTPS-порту и обрабатывал HTTPS-запросы. Для защиты этого порта также потребуется настройка соответствующего сертификата.
      1. Укажите HTTPS-порт.
      2. Укажите Источник сертификата для HTTPS-порта Веб-сервера.

         По умолчанию используется сертификат, выпущенный Сервером администрирования – он действителен в течение 397 дней и обновляется автоматически по истечении этого срока. При необходимости сертификат можно обновить вручную по кнопке Перевыпустить.

         Чтобы продолжить использование этого сертификата, выберите Выпустить сертификат средствами Сервера администрирования. Чтобы загрузить пользовательский сертификат вручную, выберите Загрузить сертификат из файла.

         Чтобы загрузить сертификат из файла:

         • Нажмите Загрузить из файла.
         • В открывшемся окне загрузки сертификата выберите Формат сертификата.
         • Для формата PKCS #12 укажите путь к файлу сертификата (P12 или PFX) и введите пароль сертификата.

           Для формата X.509 укажите пути к файлам открытого и закрытого ключей и введите пароль закрытого ключа.

         • Нажмите Сохранить.
      3. Убедитесь, что адреса в полях Адрес Веб-сервера (адрес Веб-сервера, запросы от которого будет обрабатывать Kaspersky Security Center) и Адрес сертификата (адрес выпущенного сертификата) совпадают. В противном случае необходимо перевыпустить сертификат, выданный Сервером администрирования, или загрузить другой пользовательский сертификат.

      Чтобы устройства могли безопасно загружать файлы с Веб-сервера на шлюзе соединения через HTTPS, на них должен быть установлен сертификат Веб-сервера.

   2. Выберите Открыть HTTP-порт Веб-сервера, если вы хотите, чтобы Веб-сервер был доступен по HTTP-порту и обрабатывал HTTP-запросы.
      1. Укажите HTTP-порт.
   3. Нажмите Сохранить.

Параметры Веб-сервера на шлюзе соединения настроены.

При изменении параметров HTTP или HTTPS-порта необходимо обновить ссылки на ранее опубликованные инсталляционные пакеты для мобильных устройств, подключенных к Веб-серверу на шлюзе соединения. Обновите ссылки в параметрах политики и разделах "Приложения и файлы" и "Инсталляционные пакеты" Kaspersky Security Center.

Чтобы обновить ссылки на инсталляционные пакеты:

• В разделе "Приложения и файлы":
  1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Приложения и файлы.
  2. Нажмите Android или iOS в зависимости от требуемой операционной системы.
  3. В открывшемся списке приложений выполните одно из действий:
     • Установите флажок рядом с названиями приложений, ссылки на инсталляционные пакеты которых необходимо обновить, а затем нажмите Опубликовать повторно.
     • Нажмите на название приложения, ссылку на инсталляционный пакет которого необходимо обновить, а затем в открывшемся окне нажмите Опубликовать повторно.
• В разделе "Инсталляционные пакеты":
  1. В главном окне Kaspersky Security Center Web Console выберите Операции → Хранилища → Инсталляционные пакеты.
  2. В открывшемся окне нажмите Просмотреть список автономных пакетов.
  3. Выберите приложение, ссылку на инсталляционный пакет которого необходимо обновить, а затем нажмите Отменить публикацию.
  4. Нажмите Опубликовать.

Ссылки на инсталляционные пакеты обновлены.

Передача на устройства сертификата Веб-сервера на шлюзе соединения

Чтобы устройства могли безопасно загружать файлы с Веб-сервера на шлюзе соединения через HTTPS, на них должен быть установлен сертификат Веб-сервера.

Передача сертификата Веб-сервера на iOS MDM-устройства

При подключении новых iOS MDM-устройств Kaspersky Security Center автоматически добавляет открытый ключ сертификата Веб-сервера на шлюзе соединения в управляющие профили.

Таким образом, устройства могут проверять корректность HTTPS-соединения и безопасно загружать сторонние приложения с Веб-сервера на шлюзе соединения.

В случае изменения сертификата он обновляется на iOS MDM-устройствах в процессе синхронизации с Сервером iOS MDM.

Передача сертификата Веб-сервера на Android-устройства

Если вы используете сертификат Веб-сервера на шлюзе соединения, выпущенный Kaspersky Security Center, стандартный загрузчик Android позволяет вам скачивать файлы с Веб-сервера на шлюзе соединения только через HTTP.

Чтобы безопасно скачивать на устройства файлы с сертификатом, выпущенным Kaspersky Security Center, вы можете использовать встроенный загрузчик Kaspersky Endpoint Security для Android, который всегда скачивает файлы через HTTPS. Подробная информация доступна в статье Выбор загрузчика для Android-устройств.