Политики с разными параметрами

[DeniTornado 0]

Доброго всем.

Не понимаю как сделать. 

Дано:

Структура групп

Управляемые устройства

              Наша компания

                      Компьютеры

                                 Отдел А

                                 Отдел Б

                      Серверы

                                  RDS

                                  Контроллеры домена

                                  Прочие серверы

 

На самый верхний уровень (управляемые устройства) действует пока только одна политика - "Kaspersky Endpoint Security для Windows (12.1.0)", что была создана по умолчанию, мастером первичной настройки. В этой политике я немного подправил параметры, что-то сделал принудительно, что-то просто изменил по своему усмотрению

 

Задача 1.

В политике задан пароль защиты приложения. Чтобы ни кто не зная пароля не смог закрыть антивирус, удалить его или поменять настройки.

Нужно чтобы эта политика влияла на Отдел А и Отдел Б (сейчас так и есть - наследуется подгруппами от родительской), но для Отдела Б нужно задать другой пароль защиты, отличный от того что задан сейчас! Этому отделу можно приостанавливать защиту в производственных целях. Я не понимаю, если создать еще одну политику с другим паролем, то она не перекрывает значение пароля заданного изначально (т.к. принудительно первое значение), да и написано в документации что для группу может быть активна только одна политика! И я сейчас читаю про работу с профилями политики, но не понимаю логики, так как профили вроде как активируются по некоему условию! А у меня условия нет, просто надо на группу Б применить все тоже самое только с другим паролем

 

Задача 2.

Почти похожа на задачу 1. Мне надо теперь разворачивать антивирус на моих терминальных серверах (Windows Server 2019). Сейчас в политике что создана по умолчанию, параметр Интерфейса=С полным интерфейсом. Так нужно для всех ПК и серверов, кроме RDS. Опять же как сделать отдельную политику или профиль, чтобы на RDS антивирус работал но с параметром интерфейса=без интерфейса? Пользователям RDS ни к чему видеть вообще антивирус.

Прошу подсказать как правильно.

Спасибо.

Изменено 4 июля пользователем DeniTornado

[DeniTornado 0]

Хм.. С паролем кажется догнал. Сделал все таки профиль политики. В нем сделал значение пароля принудительно и задал новый пароль. Условие активации сделал по тегу (я назначаю теги своих защищаемым узлам) - вроде получилось!

Наверное с RDS-ами надо так же.....

[oit 2 104]

Можно поиграться с галочкой Наследовать, но политик будет больше и все их придется администрировать.

Но про профили также вам не нужно забывать

Изменено 4 июля пользователем oit

[ElvinE5 47]

12 часов назад, DeniTornado сказал:

но для Отдела Б нужно задать другой пароль защиты, отличный от того что задан сейчас! Этому отделу можно приостанавливать защиту в производственных целях.

Для этих целей можно не использовать профили, а в разделе интерфейса паролей добавить пользователя ДОМЕНА с необходимыми правами, указав им свой пароль и выдать его группе Б (и не говорить группе А). Однако пользователь будет глобальный и сможет отключать политику не только в Б но и А группе устройств (если мы говорим о глобальной политике), такие записи удобно выдавать тех. персоналу что занимается обслуживанием устройств.

 

Ели это не приемлемо то лучше все же создать отдельного пользователя с ограниченными правами в профиле политик, не забыв при этом указать пароль для KLAdmin.

вообще наверно не рекомендуется давать пароль от пользователя KLAdmin кому то кроме администраторов KSC

 

со второй задачей RDP наверно выбранный вами вариант с профилем и активацией по тегу - лучшее решение

так как таких устройств значительно меньше чем рабочих станций, и их проще назначить вручную.

 

[DeniTornado 0]

СПАСИБО

Сообщение от модератора kmscom

https://forum.kasperskyclub.ru/guidelines/

На форуме запрещено: 
15.    Писать сообщения/называть темы только заглавным регистром букв.