I. CÀI ĐẶT VÀ CẤU HÌNH KASPERSKY SECURITY CENTER
8. Triển khai license
Mặc định khi triển khai Kaspersky đến các máy tính từ KSC, bản quyền cũng đã được triển khai kèm. Tuy nhiên, một số trường hợp bạn cần tạo thao tác deploy license Kaspersky đến các máy:
- Máy trạm mất license
- Đang dùng license trial và muốn triển khai license thương mại vừa mới mua
- Đã dùng license hết thời hạn, bạn vừa mua license renew và muốn triển khai license này đến các máy.
Người quản trị có thể thực hiện theo các cách sau:
+ Cách 1: Mở giao diện KSC > Advanced > Application management > Kaspersky Lab > Deploy key to managed computers
Các bước tiếp theo bạn giữ mặc định > đến bước yêu cầu key file, bạn chọn Browse để đi đến đường dẫn chứa file license > đến bước tiếp theo bạn chọn danh sách các máy tính cần Add license (Ví dụ hình dưới)
Sau khi tạo xong thao tác, bạn vào Administration Server -> Tasks sẽ thấy xuất hiên một task triển khai license mới > Chọn Start để bắt đầu chạy thao tác triển khai license đến các máy trạm
+ Cách 2: Tạo task đẩy license cho các máy tính trong Group, click Create a task để tạo task Deploy license.
Lựa chọn cách thức add license :
- Activation code : Mã code của key
- Key file : chọn key đã add trước đó vào KSC hoặc chọn file key khác trong máy.
Đặt lịch để đẩy license key :
Click Finish ở bước tiếp theo để hồn tất q trình tạo task deploy license. - Khởi chạy Task vừa tạo để đẩy license cho các máy
Lưu ý: Mỗi phiên bản phần mềm cần tạo tương ứng 1 task đẩy license 9. Các gói cài đặt
Mục “Advanced -> Remote installation >> Installation Packages” quản lý các gói cài đặt trên KSC. Người quản trị có thể thêm gói cài đặt hoặc tùy chỉnh thành phần trong gói cài đặt .
Hướng dẫn thêm gói cài đặt vào bộ quản trị
Kaspersky Endpoint Security 10. Do đó nếu muốn thêm gói cài đặt khác, ví dụ phiên bản 6 dùng để cài đặt cho các máy cũ, cấu hình thấp ta phải tạo thêm bộ cài cho phiên bản Kaspersky AntiVirus 6.0 vào KSC,.
Để thêm gói cài đặt vào KSC ta thực hiện theo các bước sau:
- Chọn Create installation package để thêm gói cài đặt vào KSC
- Lựa chọn thêm các gói cài đặt của Kaspersky và đặt tên:
Click Select… trỏ vào nơi lưu trữ file cài đặt, ví dụ ở đây chọn phiên bản Kaspersky 6.0: Bấm Next để thực hiện tạo gói cài đặt
Q trình thêm bộ cài đặt cho phiên bản Kaspersky Antivirus 6.0 hồn tất Hướng dẫn tạo gói cài đặt tự động 1-click:
Trong mục Installation Packages , click chuột phải vào gói cài đặt và chọn Create
stand-alone installation package
Chọn đóng gói cả Netagent vào trong bộ cài tự động :
Q trình tạo gói hồn tất, chương trình chỉ ra đường dẫn chia sẻ mặc định của gói vừa tạo
Lưu ý: Để thay đổi tùy chỉnh các gói cài đặt này (ví dụ: tắt vài tính năng) trong Installation packages
> Click chuột phải vào gói cài đặt chọn Properties > tiến hành các thay đổi – bỏ hoặc tick chọn tính năng theo nhu cầu
10. Triển khai Kaspersky đến máy trạm và máy chủ
Nếu hệ thống bạn hoạt động theo mơ hình Workgroup và account Administrator tại các máy tính khơng thống nhất password, tham khảo cách triển khai chương trình Kaspersky đến máy trạm và máy chủ bằng tay (đến từng máy để khởi chạy thao tác cài đặt)
Trường hợp hệ thống hoạt động theo mơ hình Domain (hoặc account Administrator local đồng nhất tại các máy trạm) ta có thể tiến hành triển khai từ xa theo hướng dẫn sau:
Việc triển khai từ xa có thể thành cơng hay không phụ thuộc vào các yếu tố như Firewall tại máy trạm, phần mềm diệt virus chặn, máy tính bị virus, hệ thống mạng hoạt động tốt, các thư mục chia sẻ mặc định admins$ được bật lên.
- Cách 1: Thực hiện triển khai từ xa: Mở giao diện chính của chương trình > chọn Administration Server > chọn Install Kaspersky Anti-Virus > Deploy installation package on managed computers
Ví dụ ở đây ta chọn Deploy Kaspersky Endpoint Security 10 for Windows
Chọn Select computer for deployment
Ngồi ra, bạn có thể chọn vào Add (hình trên) > sau đó chọn Add IP range để add nguyên dãy IP Local trong hệ thống. Ví dụ: IP của máy trạm và máy chủ từ 192.168.0.1 đến 192.168.0.100 > add dãy này vào
Giao diện tiếp theo bạn giữ mặc định và bấm Next , nếu triển khai Netagent lần đầu thì bỏ chọn mục “Using Network Agents”
Mặc định khi quá trình Quick Start Wizard khởi chạy lần đầu, bạn đã khai báo license (bạn có thể chọn
Add để add license nếu tại quá trình Quick Start Wizard bạn khơng có khai báo)
Bước tiếp theo bạn giữ mặc định. Sau khi triển khai thành công Kaspersky Endpoint Security, chương trình sẽ nhắc nhở người dùng tại máy trạm thông báo đã cài đặt thành công và phải khởi động lại máy tính
Khi triển khai chương trình Kaspersky đến máy trạm và máy chủ, các phần mềm antivirus khơng tương thích của các hãng khác sẽ tự động được remove nếu nằm trong danh sách hỗ trợ. Bạn bấm Next để qua bước tiếp theo (hình dưới)
Sau khi triển khai thành cơng chương trình Kaspersky đến các máy trạm, các máy này mặc định sẽ được move vào group Managed computer. Bạn giữ mặc định và chọn Next (hình dưới)
Bước tiếp theo, bạn thực hiện khai báo Account có quyền Administration tại máy trạm. Chọn Add (hình dưới)
Trường hợp 1: Nếu mạng cơng ty bạn hoạt động theo mơ hình Domain, bạn điền vào thơng tin account
có quyền administrator, cách điền: Tên domain\user (ví dụ: nts\administator)
Trường hợp 2: Nếu cơng ty bạn hoạt động theo mơ hình Workgroup, tuy nhiên account Administrator
tại tất cả các máy bạn đặt cùng mật khẩu. Bạn có thể dùng account này để khai báo
Các cửa sổ tiếp theo bạn chọn Next để chương trình Kaspersky bắt đầu được triển khai đến các máy trạm (hình dưới)
Lúc này, trong phần Task > Deploy Kaspersky Endpoint Security… > bạn có thể click vào Details để xem chi tiết quá trình triển khai (hình dưới)
Sau khi triển khai thành cơng, bạn có thể vào phần Managed computer > Computer > tại đây bạn thấy tại các mục Agent installed và Real-time file system protection có dấu tích màu xanh -> cho thấy chương trình Kaspersky Network Agent và Kaspersky Endpoint Security đã được cài đặt tại máy tính
Sau này, muốn triển khai cho một máy tính nào đó, bạn có thể vào chỉnh sửa task deploy đã tạo Tasks >
Deploy Kaspersky Endpoint Security…> chọn Properties > Tại thẻ Client Computers bạn bỏ các máy tính đã triển khai ra và chọn Add các máy tính cần triển khai mới (hình dưới)
Ngồi ra, bạn có thể vào Network poll > chọn cùng lúc các máy tính cần cài đặt > Click chuột phải chọn
Cách 2 : Đến trực tiếp máy trạm cài đặt bằng gói tự động 1 Click
Trong trường hợp khơng thể thực hiện việc cài đặt từ xa thông qua bộ quản trị tập trung, ta phải đi đến từng máy tính để cài đặt chương trình Kaspersky, việc cài đặt sẽ diễn ra trong lần đầu triển khai, khi đã quản lý được các máy tính trên KSC ta có thể thực hiện các thao tác nâng cấp, gỡ bỏ, renew từ xa mà không cần phải xuống máy trạm nữa.
Sử dụng các gói cài đặt tự động sẽ khơng phải thao tác cấu hình gì thêm, các gói này đã được tạo ra từ mục “Installation Packages “, mặc định được chia sẻ trên máy chủ KSC.
Tại máy trạm chỉ cần truy cập đến máy chủ KSC, vào folder chia sẽ KLSHARE và chạy file
setup.exe. Bạn có thể chép file setup.exe sang USB, sang thư mục chia sẽ khác trên
server,…để tiện cho việc chạy cài đặt sau này
Ngồi ra, bạn có thể gửi email chứa đường link chia sẻ file này cho tất cả nhân viên (vd: nội dung email là công ty đang triển khai phần mềm Kaspersky, anh chị vui lòng click vào đường link này để cài đặt chương trình Kaspersky giúp nhân viên IT)
Sau khi file setup.exe được chạy, chương trình Kaspersky Network Agent và
Kaspersky Enpoint Security sẽ được tự động cài đặt vào máy tính mà khơng cần làm thêm
Cách 3 : Đến trực tiếp máy trạm, kết nối đến KSC để cài đặt thủ công
Trong nhiều trường hợp,khi triển khai từ xa khơng được và cài đặt gói tự động gặp lỗi, bạn có thể phải đến từng máy trạm để kết nối lên máy chủ KSC và vào thư mục chia sẻ KLSHARE > Package và cài đặt bằng tay chương trình Kaspersky Network Agent và Kaspersky Endpoint Security.
Ví dụ: KSC có IP là 192.168.1.50: bạn truy cập theo đường dẫn \\192.168.1.50\KLSHARE\Packages. Tại đây bạn sẽ thấy 2 thư mục cài đặt:
- NetAgent...> chứa source cài đặt chương trình Kaspersky Network Agent
- KES_10…> chứa source cài đặt chương trình Kaspersky Endpoint Security
Với cách cài đặt này, bắt buộc bạn phải cài đặt cả 2 chương trình: Network Agent và Kaspersky Endpoint Security.
11. Cấu hình các tính năng Endpoint
Tính năng Endpoint giúp người quản trị có thể thiết lập các luật giúp quản lý các ứng dụng, thiết bị, Web nhằm nâng cao độ bảo mật của hệ thống.
Quản lý ứng dụng
Ví dụ: Ngăn cả một thể loại ứng dụng nào đó (loại trừ một ứng dụng được phép chạy)
- Cơng ty bạn có chính sách là chỉ cho phép sử dụng trình duyệt IE 8 hoặc mới hơn, các phiên bản cũ hơn của IE cũng như các trình duyệt khác sẽ bị ngăn lại
Bước 1: Tạo category - Bạn đi đến Applications categories > chọn Create a category > cửa sổ tiếp theo
Tiếp theo, bạn điền tên category (thể loại) là Browsers > đến cửa sổ tiếp theo bạn chọn KL category > cửa sổ tiếp theo bạn chọn Web Browsers (hình dưới). Điều này có nghĩa là bạn add tất cả các loại trình duyệt Internet và phiên bản của trình duyệt theo thống kê của Kaspersky Lab
Tiếp theo, bạn khai báo loại trừ trình duyệt IE 8 (và mới hơn) mà theo policy bạn muốn cho nhân viên sử dụng. Có nhiều cách bạn chọn trình duyệt. Chọn Add > sau đó bạn có thể chọn From file Properties > chọn Get data để đi đến file chạy của chương trinh IE8 (hình dưới)
Trong dịng Version bạn chọn More than or equal to, tương tự trong dòng Application bạn cũng chọn More than or equal to. Điều này có nghĩa là sẽ loại trừ phiên bản IE8 và các các phiên bản mới hơn IE8 (hình dưới)
Sau đó bạn bấm Next để hồn thành bước tạo một category. Category vừa tạo tên là Browsers, category này chứa thơng tin hầu hết các trình duyệt Internet và cũng đã được loại trừ trình duyệt IE 8 và mới hơn IE8
Bước 2: Cấu hình ngăn Category - Đi đến group Client> click chuột phải vào policy “Policy for Client”
chọn Properties > đi đến Application Startup Control > chọn Add > trong phần Category bạn chọn category “Browsers” vừa tạo ở trên, trong phần Users and / or groups that are denied a permission bạn chọn select rồi chọn Everyone (hình dưới)
Việc cấu hình này có nghĩa là tất cả các user sẽ bị từ chối khơng cho sử dụng danh sách các trình duyệt Internet trong category “Browsers”. Tuy nhiên, do khi tạo category “Browsers” bạn đã loại từ IE8 cũng như các phiên bản IE mới hơn IE8. Sau khi cấu hình thành cơng, tất cả nhân viên khơng có khả năng sử dụng trình duyệt Firefox, Opera, Chrome,..nhân viên chỉ có thể sử dụng IE8 hoặc phiên bản mới hơn IE8 (không sử dụng được các phiên bản cũ hơn IE8). Hình dưới cho thấy khi nhân viên chạy Firefox sẽ bị ngăn lại, nhưng chạy IE8 thì bình thường
Tương tự theo cách thiết lập ở trên, người quản trị có thể tạo nhiều chính sách ngăn ứng dụng khác nhau cho công ty bạn. Nguyên tắc là đầu tiên tạo một category danh sách các ứng dụng cần ngăn (trong q trình tạo, bạn có thể loại trừ danh sách ứng dụng, phiên bản cùng loại được phép sử dụng). Ngoài ra, việc kết hợp với user domain cũng giúp bạn tạo ra các policy ngăn ứng dụng khác nhau cho các nhân viên, các phịng ban khác nhau
Ví dụ 2: Ngăn một chương trình chỉ định cụ thể nào đó - Cơng ty bạn có chính sách là ngăn khơng cho nhân viên sử dụng Skype. Tuy nhiên, qua quá trình theo dõi, bạn thấy chương trình Skype vẫn được cài đặt tại một số máy tính trong mạng (hình dưới). Tại phần Applications registry là nơi thống kê tất các các phần mềm được cài đặt trên tất cả các máy tính của nhân viên.
Bạn cần tạo một category mới tên là Skype: Đi đến Applications categories > chọn Create a category > cửa sổ tiếp theo chọn dòng trên > Cửa sổ tiếp theo bạn chọ Add > chọn From applications registry > chọn chương trình Skype 5.0 (hình dưới) > Các bước tiếp theo bạn chọn Next.
Sau khi tạo xong category > bạn đi đến group Client > click chuột phải vào policy “Policy for Client” chọn Properties > đi đến Application Startup Control > chọn Add > trong phần Category bạn chọn category Skype vừa tạo, trong phần Users and / or groups that are denied a permission bạn chọn
Sau khi tạo thành cơng, chương trình Skype sẽ bị ngăn lại, nhân viên trong tồn cơng ty khơng có khả năng sử dụng chương trình này.
Device Control
Cơng ty bạn có chính sách khơng cho nhân viên sử dụng USB hoặc một số thiết bị ngoại vi khác. Bạn đi đến group Client > click chuột phải vào policy cho máy trạm và chọn Properties > đi đến Device Control
> đảm bảo dòng Enable Device Control được chọn > tại tab Types of devices > click chuột phải vào
Removable drives > chọn Block (hình dưới). Tương tự, bạn có thể cấu hình ngăn các thiết bị ngoại vi
khác như máy in, modem, ổ CD/DVD,… Sau khi cấu hình xong, khi nhân viên cắm USB vào máy tính, thơng báo ngăn sử dụng USB của Kaspersky sẽ xuất hiện
Ngồi ra, bạn có thể click đơi chuột vào Removable drives > chọn Yes. Tại đây, bạn có thể cấu hình phân quyền việc sử dụng USB theo hình thức đọc/ghi (bạn có thể chỉ cho đọc dữ liệu từ USB, không cho ghi dữ liệu vào USB), bạn cũng có thể chọn các user sẽ bị ngăn sử dụng USB (vd: chỉ ngăn USB của nhân viên, không ngăn USB của các trưởng phịng, giám đốc,…), bạn cũng có thể click Create để tạo một lịch ngăn sử dụng USB (vd: ngăn khơng cho sử dụng USB trong khoảng thời gian ngồi giờ làm việc,…) – hình trên
Ngồi ra, bạn có thể chuyển qua tab Connection buses, tại đây bạn có thể ngăn thiết bị ngoại vi theo loại kết nối: USB, Serial, Parallel, FireWire,…(hình dưới)
Trường hợp bạn đã cấu hình khơng cho sử dụng USB, tuy nhiên một số USB của các giám đốc, trưởng phịng thì vẫn được phép sử dụng > bạn đi đến tab Trusted devices > chọn Add > giao diện tiếp theo chọn Refesh > sau đó lựa chọn ID của USB cần tin tưởng > chọn Select để điền user có quyền sử dụng
Web Control
Ngăn web theo thể loại: Vd: Cơng ty bạn có chính sách ngăn các trang mạng xã hội (facebook,…), các
trang web chơi game,.... Tuy cơng ty có sử dụng Firewall để ngăn, tuy nhiên nhân viên vẫn có thể sử dụng một số phần mềm vượt tường lửa và vẫn truy cập được facebook. Bạn có thể sử dùng Kaspersky Endpoint Security để ngăn các thể loại các trang web chỉ định, nhân viên khơng có cách nào để có thể truy cập được
Vd: Ngăn nhóm trang games - Bạn đi đến group Client > click chuột phải vào policy “Policy for
Client” chọn Properties > đi đến Web Control > chọn Add (hình dưới)
- Ví dụ bạn điền tên của rule này là “Computer Games”
- Phần Filter content bạn chọn là By content category sau đó chọn Computer Games (danh sách các trang games theo chuẩn đánh giá của Kaspersky),
- Phần Specify users and / or groups giúp bạn định nghĩa các nhân viên bị ngăn truy cập (nếu bạn