HƯỚNG DẪN SỬ DỤNG KASPERSKY SECURITY CENTER 10 PHIÊN BẢN 10.2.434 2015 THƠNG TIN KIỂM SỐT Đơn vị chịu trách nhiệm CƠNG TY CỔ PHẦN TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN Số 20 Tăng Bạt Hổ,Phường 11,Quận Bình Thạnh.TP HCM Tel: +848 3526 8355 Fax: +848 3526 8356 www.nts.com.vn Email : ntssi@nts.com.vn Mô tả Tài liệu hướng dẫn sử dụng KSC 10 Tác giả Cao Minh Toàn NTSSI Biên tập Lê Hoàng Vũ NTSSI Phiên 2.0 Thời hạn hiệu lực Phạm vi lưu hành Tài liệu thay cho Các tài liệu đính kèm Khách hàng Địa Điện thoại Người liên hệ Dành riêng cho nội NTSSI khách hàng liên quan Mục lục YÊU CẦU HỆ THỐNG 1.1 Yêu cầu cho KSC 10 1.1.1 Yêu cầu phần mềm 1.1.2 Hệ điều hành 1.1.3 Database Server 1.1.4 Yêu cầu phần cứng 1.2 Yêu cầu cho Kaspersky Endpoint 10 1.2.1 Yêu cầu chung 1.2.2 Yêu cầu phần cứng phần mềm 2 CÀI ĐẶT KSC 10 3 QUẢN LÍ CẬP NHẬT DATABASE 15 3.1 Cập nhật database cho KSC 15 3.1.1 Cập nhật offline 15 3.1.2 Cập nhật online 16 3.2 Cập nhật database cho máy trạm 17 TRIỂN KHAI KASPERSKY ĐẾN MÁY TRẠM 19 4.1 Kết nối đến máy trạm 19 4.2 Triển khai phần mềm 23 4.2.1 Triển khai từ KSC 23 4.2.2 Cài trực tiếp máy trạm 31 4.3 Triển khai license 33 QUẢN LÍ TASK, POLICY 36 5.1 Quản lí task 36 5.2 Quản lí policy 39 5.3 Tạo policy cho Network Agent 41 5.4 Một số tùy chỉnh khác 43 CẤU HÌNH TÍNH NĂNG ENDPOINT CONTROL 49 6.1 Applications control 49 6.2 Devices control 53 6.3 Web control 55 YÊU CẦU HỆ THỐNG 1.1 Yêu cầu cho KSC 10 1.1.1 Yêu cầu phần mềm Microsoft Data Access Components (MDAC) 2.8 and later Windows DAC 6.0 Microsoft Windows(r) Installer 4.5 1.1.2 Hệ điều hành Microsoft Windows Server 2003 SP2 (all editions) Microsoft Windows Server 2003 х64 SP2 (all editions) Microsoft Windows Server 2008 (all editions) Microsoft Windows Server 2008 (х64) (all editions) Microsoft Windows Server 2008 х64 SP1 (all editions) Microsoft Windows Server 2008 R2 (all editions) Microsoft Windows Server 2012 (all editions) Microsoft Windows Server 2012 R2 (all editions) Microsoft Windows Small Business Server 2003 SP2 (all editions) Microsoft Windows Small Business Server 2008 (all editions) Microsoft Windows Small Business Server 2011 (all editions) Microsoft Windows XP Professional SP2 and later Microsoft Windows XP Professional x64 SP2 and later Microsoft Windows Vista Business / Enterprise / Ultimate SP1 and later Microsoft Windows Vista Business / Enterprise / Ultimate SP1 and later x64 Microsoft Windows Professional / Enterprise / Ultimate Microsoft Windows Professional / Enterprise / Ultimate x64 Microsoft Windows Professional / Enterprise Microsoft Windows Professional / Enterprise x64 Microsoft Windows 8.1 Professional / Enterprise Microsoft Windows 8.1 Professional / Enterprise x64 1.1.3 Database Server Microsoft SQL 2005 Express Microsoft SQL 2008 Express Microsoft SQL 2008 R2 Express Microsoft SQL 2012 Express Microsoft SQL 2014 Express Microsoft SQL Server 2005 Microsoft SQL Server 2008 Microsoft SQL Server 2008 R2 Microsoft SQL Server 2008 R2 Service Pack Microsoft SQL Server 2012 Microsoft SQL Server 2014 MySQL 5.0.67, 5.0.77, 5.0.85, 5.0.87 (SP1), 5.0.91 MySQL Enterprise 5.0.60 (SP1), 5.0.70, 5.0.82 (SP1), 5.0.90 1.1.4 Yêu cầu phần cứng CPU: tối thiểu GHz cho OS 32-bits 1.4 GHz cho OS 64-bit RAM: tối thiểu GB Dung lượng ổ cứng: tối thiểu 10 GB trống để cài đặt tối thiểu 100 GB sử dụng cho chức quản lý 1.2 Yêu cầu cho Kaspersky Endpoint 10 1.2.1 Yêu cầu chung CPU: tối thiểu GHz RAM: GB of free disk space Ổ cứng: trống tối thiểu GB Microsoft Internet Explorer 7.0 cao Microsoft Windows Installer 3.0 cao Kết nối internet cho việc kích hoạt ứng dụng cập nhật database phần mềm 1.2.2 Yêu cầu phần cứng phần mềm Microsoft Windows 8.1 Update Pro x86 / х64 Microsoft Windows 8.1 Update Enterprise x86 / х64 Microsoft Windows 8.1 Pro x86 / х64 Microsoft Windows 8.1 Enterprise x86 / х64 Microsoft Windows Pro x86 / х64 Microsoft Windows Enterprise x86 / х64 Microsoft Windows Professional x86 / х64 SP1 and later Microsoft Windows Enterprise / Ultimate x86 / х64 SP1 and later Microsoft Windows Professional x86 / х64 Microsoft Windows Enterprise / Ultimate x86 / х64 Microsoft Windows Vista x86 / х64 SP2 and later Microsoft Windows XP Professional x86 SP3 and later CÀI ĐẶT KSC 10 Đầu tiên, bạn cần tải gói cài đặt KSC 10 Link: http://www.kaspersky.com/product-updates/security-center Chạy file exe để bắt đầu trình cài đặt Các bước cài đặt theo dẫn hình đây: Điền tên địa IP server cài KSC (hoặc chọn danh sách sổ xuống): Tiếp theo chọn vào plugin cần cài đặt cho hệ thống nhấn Install để bắt đầu cài đặt: Tại cửa sổ tiếp theo, mục Synchronization interval chọn thời gian đồng KSC Kaspersky Network Agent máy trạm (thời gian máy trạm gửi thông tin tới KSC) (hình dưới): 5.4 Một số tùy chỉnh khác  Tùy chọn thừa kế policy từ group Managed computer 43 Nếu muốn policy tạo cho group không thừa kế cấu hình từ policy group Managed, ta bấm chuột phải vào Policy  Properties  General  bỏ chọn dòng Inherit settings from parent policy:  Đặt password bảo vệ chương trình Kaspersky Endpoint Security: khơng cho phép người dùng máy trạm can thiệp, chỉnh sửa, xóa chương trình Kaspersky Vào group Workstation  Policies  Click phải vào Policy for Workstation  Properties  mục Advanced Settings chọn Interface  Đánh dấu chọn vào Enable password protection  Settings… 44 Tiếp theo đặt password nhấn ok: Lúc máy trạm thực thao tác Disable policy hay Exit Kaspersky,… bị đòi nhập password: 45  Mở khóa cho phép người dùng tùy chỉnh máy trạm Bạn muốn cho phép người dùng có khả tùy chỉnh tính check bỏ khóa tính Vd: bạn muốn cho phép người dùng bật/tắt tính Firewall: click chuột phải vào Policy for Workstations chọn Properties  Firewall cấu hình mở khóa hình dưới:  Đưa chương trình hay thư mục vào vùng trusted zone Exclusions and trusted zone Mục đích: Khi số chủ thể (tập tin/thư mục/ ứng dụng, ) bị chặn chương trình Kaspersky, bạn đưa chủ thể vùng Trusted zone để bỏ qua việc giám sát điều khiển chương trình Kaspersky - Trusted zone: nơi chứa chủ thể (tập tin/thư mục/ ứng dụng,…) mà KES không thực việc giám sát điều khiển (quét virus) 46 Exclusion rule: luật tạo để rõ chủ thể thỏa điều kiện - mà KES không thực việc giám sát điều khiển Vào Policies  Kaspersky Endpoint Security 10 Service Pack for Windows General Protection Settings  Tại mục Exclusions and trusted zone, chọn Settings Scan exclusions: Add Select file or folder Tại đường dẫn tới file thư mục muốn bỏ qua việc quét virus Nếu đường dẫn thư mục phải có dấu “\” cuối 47 Chọn vào Object name  Enter object name Tại đây, bạn sử dụng kí tự đặc biệt sau: - Kí tự “*”: đại diện cho khơng nhiều kí tự - Ký tự “?”: đại diện cho kí tự Ví dụ: *.exe tất file có exe ABC\*.exe – tất file exe nằm thư mục ABC A??\*.* - tất file thư mục có chữ A kí tự Trusted Applications Các ứng dụng đưa vào phần Scan Exclusions, rõ hành động khơng bị điều khiển chương trình Kaspersky Thực hiện: Add  đường dẫn file thực thi ứng dụng Path  Chọn hành động khơng bị điều khiển chương trình Kaspersky 48 CẤU HÌNH TÍNH NĂNG ENDPOINT CONTROL 6.1 Applications control Cơng ty bạn có sách cho phép sử dụng trình quyệt IE 8, phiên cũ IE trình duyệt khác bị ngăn lại Bước 1: Bạn đến Applications Management  Application categories  Create a category  Category with content added manually… - hình dưới: Tiếp theo, điền tên category Browsers (có thể đặt tên khác tùy thích)  chọn KL category từ danh sách sổ xuống  chọn Browsers (hình dưới) 49 Chọn Add sau bạn chọn From file Properties  chọn Get data để đến file chạy chương trinh IE8 (hình dưới) Trong dòng Version bạn chọn More than or equal to, tương tự dòng Application bạn chọn More than or equal to Điều có nghĩa loại trừ phiên IE8 các phiên IE8 Sau bạn bấm Next để hoàn thành bước tạo category Category vừa tạo tên Browsers, category chứa thông tin hầu hết trình duyệt Internet loại trừ trình duyệt IE IE8 50 Bước 2: Đi đến Managed computers  Chọn group cần áp dụng sách, ví dụ chọn group Workstations  Create Kaspersky Endpoint Security…  Đặt tên cho policy  Next: Các bước theo mặc định chọn Next: Sau tạo xong policy Deny browsers click chuột phải vào Deny browsers chọn Properties  Application Startup Control  chọn Add  Trong mục Category chọn Category Browsers tạo trên, phần Users and/or groups that are denied permission vào Select chọn Everyone (hình dưới): 51 Việc cấu hình có nghĩa tất user bị từ chối không cho sử dụng danh sách trình duyệt Internet category “Browsers” Tuy nhiên, tạo category Browsers bạn loại từ IE8 phiên IE IE8 Sau cấu hình thành cơng, tất nhân viên khơng có khả sử dụng trình duyệt Firefox, Opera, Chrome, nhân viên dụng IE8 phiên IE8 (không sử dụng phiên cũ IE8) Hình cho thấy nhân viên chạy Firefox bị ngăn lại, chạy IE8 bình thường Từ ví dụ đây, bạn tạo nhiều sách ngăn ứng dụng khác cho công ty bạn Nguyên tắc tạo category danh sách ứng dụng cần ngăn, q trình tạo, bạn loại trừ danh sách ứng dụng phép sử dụng Ngoài ra, việc 52 kết hợp với user domain giúp bạn tạo policy ngăn ứng dụng khác cho nhân viên, phòng ban 6.2 Devices control Cơng ty bạn có sách khơng cho nhân viên sử dụng USB số thiết bị ngoại vi khác Bạn đến group Workstations  click chuột phải vào policy “Policy for Workstations” chọn Properties  Device Control  đảm bảo dòng Enable Device Control chọn  tab Types of devices, click chuột phải vào Removable drives  chọn Block (hình dưới): Tương tự, bạn cấu hình ngăn thiết bị ngoại vi khác máy in, modem, ổ CD/DVD,… Sau cấu hình xong, nhân viên cắm USB vào máy tính, thơng báo ngăn sử dụng USB Kaspersky xuất Ngồi ra, bạn vào Removable drives  chọn Yes Tại đây, bạn cấu hình phân quyền việc sử dụng USB theo hình thức đọc - ghi (bạn cho đọc liệu từ USB, không cho ghi liệu vào USB), bạn click vào Add để thêm user bị ngăn sử dụng USB, bạn click Create để tạo lịch ngăn sử dụng USB (vd: ngăn không cho sử dụng USB khoảng thời gian đó) – hình dưới: 53 Bạn chuyển qua tab Connection buses, bạn ngăn thiết bị ngoại vi theo loại kết nối: USB, Serial, Parallel, FireWire,…(hình dưới) Trường hợp bạn cấu hình khơng cho sử dụng USB, nhiên số USB sếp phép sử dụng  bạn đến tab Trusted devices  Add  giao diện chọn loại thiết bị Device type  Refesh  chọn USB cần tin tưởng  chọn Select để điền user có quyền sử dụng USB (hình dưới) 54 Nhân viên lúc bị cấm truy cập USB (hoặc thiết bị khác) theo sách cơng ty 6.3 Web control Bạn đến group Workstations  click chuột phải vào policy “Policy for Workstations” chọn Properties > Web Control > chọn Add:  Ngăn theo phân loại: 55 - Name: điền tên mô tả cho rule - Filter content bạn chọn By content category sau chọn loại nội dung theo chuẩn đánh giá Kaspersky, ví dụ Adult content trang web có nội dung 18+ - Specify users and / or groups giúp bạn định nghĩa nhân viên bị ngăn truy cập (nếu bạn không định nghĩa, Kaspersky hiểu bạn ngăn tất máy tính nằm Group Workstations) - Phần Action bạn chọn hành động Block, - Phần Rule Schedules bạn tạo lịch truy cập (vd: bạn tạo lịch nhân viên bị ngăn truy cập làm việc) – hình  Ngăn trang web định: Làm tương tự ngăn theo phân loại, lưu ý: - Filter content bạn chọn Any content - Apply to addresses bạn chọn To Individual addresses - Bạn chọn Add  Add address  điền vào trang web bị ngăn lại (bạn chọn Add a group để tạo group trang web) (hình dưới) 56 Ngồi ra, bạn tạo rule cấu hình ngăn khơng cho nhân viên nghe nhạc, xem phim, tải tập tin cài đặt (hình dưới) Cấu hình thành cơng xuất Rule mà bạn tạo Nhân viên lúc bị cấm truy cập website theo sách công ty bạn 57