Рекомендации для шифрования SSD-дисков в KES11. Обновление зашифрованного устройства с KES11. ТЗ KESB Стандартный.

Пользователь:

Добрый день!

1. Как обновить операционную систему на устройстве с Kaspersky Endpoint Security 11 для Windows, которое зашифровано с помощью полнодискового шифрования (FDE) (только для рабочих станций)?

2. Общие рекомендации для шифрования SSD-дисков в Kaspersky Endpoint Security 11 для Windows (только для рабочих станций).

3. Для составления технического задания, для тендера, прошу предоставить требования к программным средствам антивирусной защиты мобильных устройств, для программы Kaspersky Endpoint Security для бизнеса Стандартный.

Консультант:

Здравствуйте!

1. Чтобы обновить операционную систему Windows на устройстве с Kaspersky Endpoint Security 11 для Windows, которое зашифровано с помощью полнодискового шифрования (FDE):

Создайте новую папку.

Скопируйте в нее следующие файлы из папки %Program Files%\Kaspersky Lab\Kaspersky Endpoint Security 11 для Windows:

cm_km.inf;

cm_km.sys;

klfde.cat;

klfde.inf;

klfde.sys;

klfdefsf.cat;

klfdefsf.inf;

klfdefsf.sys.

Запустите обновление операционной системы с ключом:

/reflectdrivers: setup.exe /reflectdrivers <путь к папке с драйверами cm_km, klfde и klfdedmp>

2. Поддерживаемые типы дисков

Шифрование Kaspersky FDE поддерживается на SSD-дисках, гибридных SSHD-дисках и дисках с технологией Intel Smart Response.

Ограничение в шифровании SSD-дисков

Шифрование Kaspersky FDE не поддерживается на дисках с технологией Intel Rapid Start. Отключите функцию Intel Rapid Start до начала шифрования.

Особенности шифрования SSD-дисков

Если SSD-диск новый и на нем не хранятся конфиденциальные данные, в политике Kaspersky Endpoint Security 11 для Windows установите флажок Шифровать только занятое пространство. Это позволит перезаписать необходимые секторы диска.

Если SSD-диск используется и на нем хранятся конфиденциальные данные, выберите один из вариантов:

Выполните полную очистку (Secure Erase) SSD-диска с помощью средств, которые предлагает производитель. Установите на него новую операционную систему и зашифруйте SSD-диск с опцией Шифровать только занятое пространство.

Зашифруйте SSD-диск без опции Шифровать только занятое пространство.

Требования к свободному пространству на SSD-диске при шифровании

В таблице указан объем, который должен быть на SSD-диске для хранения служебных данных шифрования.

3. Выдержка из ТЗ - KESB Стандартный для тендера/аукциона:

Требования к программным средствам централизованного управления, мониторинга и обновления

Программные средства централизованного управления, мониторинга и обновления должны функционировать на компьютерах, работающих под управлением операционных систем следующих версий:

• Microsoft Windows 7 32-разрядная / 64-разрядная;

• Microsoft Windows 8 32 разрядная / 64-разрядная;

• Microsoft Windows 8;1 32-разрядная / 64-разрядная;

• Microsoft Windows 10 32-разрядная / 64-разрядная;

• Windows Server 2008, 2008 R2 32-разрядная / 64-разрядная;

• Windows Server 2012, 2012 R2 64-разрядная;

• Windows Server 2016 64-разрядная.

Программные средства централизованного управления, мониторинга и обновления должны поддерживать установку на следующих виртуальных платформах:

• VMware vSphere 5.5, 6;

• VMware Workstation 12.x Pro;

• Microsoft Hyper-V Server 2008, 2008 R2, 2008 R2 SP1, 2012, 2012 R2;

• Microsoft Virtual PC 2007 (6.0.156.0);

• Citrix XenServer 6.2, 6.5, 7;

• Parallels Desktop 11 для Mac;

• Oracle VM VirtualBox 4.0.4-70112 (поддерживаются гостевые операционные системы Windows).

Программные средства централизованного управления, мониторинга и обновления должны функционировать с СУБД следующих версий:

• Microsoft SQL Server 2008 Express 32-разрядная;

• Microsoft SQL 2008 R2 Express 64-разрядная;

• Microsoft SQL 2012 Express, 2014 Express 64-разрядная;

• Microsoft SQL Server 2008 (все редакции) 32-разрядная / 64-разрядная;

• Microsoft SQL Server 2008 R2 (все редакции) 64-разрядная;

• Microsoft SQL Server 2008 R2 Service Pack 2 64-разрядная;

• Microsoft SQL Server 2012 (все редакции) 64-разрядная;

• Microsoft SQL Server 2014 (все редакции) 64-разрядная;

• Microsoft SQL Server 2016 (все редакции) 64-разрядная;

• Microsoft SQL Server 2017 (для Windows) 64-разрядная;

• Microsoft Azure SQL Database;

• MySQL 5.5 32-разрядная / 64-разрядная (не поддерживаются версии MySQL 5.5.1, 5.5.2, 5.5.3, 5.5.4, 5.5.5);

• MySQL Enterprise 5.5 32-разрядная / 64-разрядная;

• MySQL 5.6 32-разрядная / 64-разрядная;

• MySQL Enterprise 5.6 32-разрядная / 64-разрядная;

• MySQL 5.7 32-разрядная / 64-разрядная;

• MySQL Enterprise 5.7 32-разрядная / 64-разрядная.

Программные средства управления для всех защищаемых ресурсов должны обеспечивать реализацию следующих функциональных возможностей:

• установка системы управления антивирусной защиты из единого дистрибутива;

• выбор установки в зависимости от количества защищаемых узлов;

• возможность чтения информации из Active Directory, с целью получения данных об учетных записях компьютеров и пользователей в организации;

• возможность поиска и обнаружения компьютеров в сети по IP-адресу, имени хоста, имени домена, маске подсети;

• автоматическое распределение учетных записей компьютеров по группам управления, в случае появления новых компьютеров в сети; Возможность настройки правил переноса по ip-адресу, типу ОС, нахождению в OU AD;

• централизованные установка, обновление и удаление программных средств антивирусной защиты; Централизованная настройка, администрирование, просмотр отчетов и статистической информации по их работе;

• централизованное удаление (ручное и автоматическое) несовместимых приложений средствами центра управления;

• сохранение истории изменений политик и задач, возможность выполнить откат к предыдущим версиям;

• наличие различных методов установки антивирусных агентов: для удаленной установки - RPC, GPO, средствами системы управления, для локальной установки – возможность создать автономный пакет установки;

• возможность указания в политиках безопасности специальных триггеров, которые переопределяют настройки антивирусного решения в зависимости от УЗ, под которой пользователь вошел в систему, текущего ip-адреса, а также от того, в каком OU находится компьютер или в какой группе безопасности; Должна быть реализована возможность поддержки иерархии таких триггеров;

• тестирование загруженных обновлений средствами ПО централизованного управления перед распространением на клиентские машины; доставка обновлений на рабочие места пользователей сразу после их получения;

• распознавание в сети виртуальных машин и распределение баланса нагрузки запускаемых задач между ними в случае, если эти машины находятся на одном физическом сервере;

• построение многоуровневой системы управления с возможностью настройки ролей администраторов и операторов, а также форм предоставляемой отчетности на каждом уровне;

• создание иерархии серверов администрирования произвольного уровня и возможность централизованного управления всей иерархией с верхнего уровня;

• поддержка мультиарендности (multi-tenancy) для серверов управления;

• обновление программных средств и антивирусных баз из разных источников, как по каналам связи, так и на машинных носителях информации;

• доступ к облачным серверам производителя антивирусного ПО через сервер управления;

• автоматическое распространение лицензии на клиентские компьютеры;

• наличие механизма оповещения о событиях в работе установленных приложений антивирусной защиты и настройки рассылки почтовых уведомлений о них;

• функция управления мобильными устройствами через сервер Exchange ActiveSync;

• функция управления мобильными устройствами через сервер iOS MDM;

• возможность отправки SMS-оповещений о заданных событиях;

• централизованная установка приложений на управляемые мобильные устройства;

• централизованная установка сертификатов на управляемые мобильные устройства;

• возможность указания любого компьютера организации центром ретрансляции обновлений для снижения сетевой нагрузки на систему управления;

• возможность указания любого компьютера организации центром пересылки событий антивирусных агентов, выбранной группы клиентских компьютеров, серверу централизованного управления для снижения сетевой нагрузки на систему управления;

• построение графических отчетов как по событиям антивирусной защиты, так и по данным инвентаризации, лицензирования и тд;

• наличие преднастроенных стандартных отчетов о работе системы;

• экспорт отчетов в файлы форматов PDF и XML;

• централизованное управление объектами резервных хранилищ и карантинов по всем ресурсам сети, на которых установлено антивирусное программное обеспечение;

• создание внутренних учетных записей для аутентификации на сервере управления;

• создание резервной копии системы управления встроенными средствами системы управления;

• поддержка Windows Failover Clustering;

• поддержка интеграции с Windows сервисом Certificate Authority;

• наличие веб-консоли управления приложением;

• наличие портала самообслуживания пользователей;

• портал самообслуживания должен обеспечивать возможность подключения пользователей с целью: Установки агента управления на мобильное устройство, просмотр мобильных устройств, отправка команд блокировки, поиска устройства и удаления данных на мобильном устройстве пользователя;

• наличие системы контроля возникновения вирусных эпидемий;

• возможность установки в облачной инфраструктуре Microsoft Azure;

• возможность интеграции по OpenAPI

ТЗ постоянно корректируется производителем, и в открытом доступе можно скачать только устаревшие варианты.

Чтобы получить актуальный документ(файл) технического задания на Kaspersky Endpoint Security для бизнеса Стандартный, перейдите по ссылке на сайт официального партнера.