Развёртывание KSMM

Компонент KSMM позволяющий подключать мобильные устройства iOS к Серверу администрирования и управлять ими с помощью Apple Push Notifications (APNs).

Kaspersky Protection для iOS предоставляет следующие ключевые функции:

• Веб-Защита. Позволяет блокировать вредоносные сайты, цель которых – распространить вредоносный код. Веб-Защита также блокирует поддельные (фишинговые) сайты, цель которых – украсть конфиденциальные данные пользователя (например, пароли от интернет-банка или платежных систем) и получить доступ к его финансовым счетам. Веб-Защита проверяет сайты перед открытием, используя облачную службу Kaspersky Security Network. По результатам проверки Веб-Защита разрешает загрузку сайтов, признанных надежными, и блокирует сайты, признанные вредоносными. Вы можете настроить этот компонент в Kaspersky Security Center Web Console, определив настройки групповых политик.
• Обнаружение модификации прошивки (jailbreak). Если приложение Kaspersky Protection для iOS обнаруживает модификацию прошивки (jailbreak), оно отображает критическое сообщение и информирует вас о проблеме.

Корпоративный каталог приложений – веб-портал, позволяющий пользователям загружать приложения из каталога на устройства через браузер. Также пользователи могут установить Kaspersky Endpoint Security на Android-устройства и устройства на ОС Аврора и управляющий профиль или Kaspersky Security для iOS на iOS-устройства. После установки приложения или управляющего профиля устройства становятся управляемыми через Kaspersky Security Center.

Для использования KSMM и подключения мобильных устройств необходимо добавить и установить следующие плагины:

• Плагин Kaspersky Mobile Devices Protection and Management
• Плагин параметров Сервера iOS MDM

Плагины можно загрузить из файла через веб консоль сервера администрирования:

1. Необходимо скачать веб плагины с сайта "Лаборатории Касперского"
   
   
2. Для каждого веб-плагина загрузится zip-архив с двумя файлами: zip-архивом plugin.zip и текстовым документом с подписью signature.txt.
3. Для установки  в веб консоли из раздела веб-плагины выбрать Добавить из файла
   

   

Также возможно добавление веб-плагинов напрямую из веб-консоли. Для этого в разделе Веб-плагины нажмите Добавить и выберите необходимые.

Чтобы мобильные устройства могли подключиться к Серверу администрирования, перед установкой настройте параметры подключения мобильных устройств в свойствах Сервера администрирования (нажмите на имя Сервера администрирования в главном меню KSC Linux).

При использовании Шлюза соединения необходимо сначала настроить его, а затем выполнить настройку мобильного сертификата 

Чтобы настроить параметры Сервера администрирования для подключения мобильных устройств, выполните следующие действия:

• В разделе Дополнительные порты включите Открыть порт для мобильных устройств. В поле Порт для синхронизации мобильных устройств укажите порт, по которому к Серверу администрирования будут подключаться мобильные устройства.
  • По умолчанию указан порт 13292. Если флажок Открыть порт для мобильных устройств снят или порт для подключения указан неверно, мобильные устройства не смогут подключаться к Серверу администрирования.
• В поле Порт активации мобильных устройств укажите порт для подключения мобильных устройств к Серверу администрирования для активации приложения Kaspersky Endpoint Security для Android. По умолчанию указан порт 17100.

Сохраните выбранные параметры.

• Затем необходимо настроить параметры мобильного сертификата . В разделе сертификаты убедитесь, что мобильный сертификат выпущен на адрес KSC и действителен
• При необходимости изменить параметры сертификата нажать Перевыпустить и указать нужный адрес подключения (сертификат активен 365 дней)

Чтобы настроить параметры Веб-сервера KSC Linux для мобильных устройств, выполните следующие действия в свойствах Сервера администрирования:

• Выберите раздел Веб-сервер. Убедитесь, что в поле FQDN Веб-сервера указано DNS имя Сервера администрирования Kaspersky Security Center Linux, а порты HTTP 8060 и HTTPS 8061 (используются по умолчанию) открыты для публикации автономных инсталляционных пакетов для мобильных устройств и сертификатов. При необходимости порты можно сменить. Также, помимо смены портов, возможна смена серверного сертификата для HTTPS протокола и смена FQDN-имени веб-сервера для HTTP-протокола и настройка дополнительного веб-сервера на шлюзе соединения (только для шлюзов под управлением ОС Linux и агентом администрирования версии 15.2 и выше).

Необходимо сначала выполнить развёртывание и настройку шлюза соединения

• Необходимо настроить параметры Веб-сервера на шлюзе соединения. В свойствах KSC Linux в разделе Веб-сервер.
• Необходимо выбрать Запустить дополнительный Веб-сервер на шлюзе соединения и в выпадающем списке выбрать используемый шлюз соединения.
• Затем выбрать Открыть HTTPS-порт Веб-сервера и указать HTTPS-порт. Убедитесь, что адреса в полях Адрес Веб-сервера и Адрес сертификата совпадают. В противном случае необходимо перевыпустить сертификат, выданный Сервером администрирования, или загрузить другой пользовательский сертификат.

При нажатии кнопки "Перевыпустить" появится запись "Запрошен перевыпуск сертификата". После этого необходимо будет сохранить настройки  Веб-сервера и дождаться несколько минут синхронизации шлюза соединения с KSC для передачи параметров. Т.е. перевыпуск не произойдёт мнгновенно.

• Далее выбрать Открыть HTTP-порт Веб-сервера и указать HTTP-порт

Необходимо загрузить дистрибутив агента администрирования на Linux-устройство, которое планируется использовать в качестве шлюза соединения с сайта Лаборатории Касперского

Вы также можете установить агент администрирования в качестве шлюза соединения через KSC, указав этот параметр в инст. пакете. 

• Запустить установку агента администрирования командой:
  • apt install ./klnagent64_<номер сборки>.deb
• Затем выполнить настройку агента администрирования:
  • /opt/kaspersky/klnagent64/bin/setup/postinstall.pl

• Будет необходимо пошагово принять лицензионное соглашение, указать адрес сервера администрирования (выбрать y), ввести номер порта Сервера администрирования (по умолчанию 14000), ввести номер SSL-порта Сервера администрирования (по умолчанию 13000), указать использование SSL-шифрования для трафика между агентом администрирования и сервером администрирования (выбрать y или n). Далее задать режим работы агента администрирования в качестве шлюза соединения (выбрать 4).
  

  

После этого настройка агента администрирования завершена. Устройство должно появиться в веб консоли в разделе Обнаружение устройств и развертывание --> Нераспределенные устройства. Выберите его и переместите в управляемые устройства (при необходимости создайте отдельную группу).

• Необходимо перейти в свойства сервера администрирования в раздел точки распространения, выбрать Вручную назначать точки распространения, добавить точку распространения из управляемых устройств и указать группу действия точки распространения и нажать сохранить.

• В списке появится выбранное устройство. Необходимо перейти в свойства точки распространения нажав на появившийся хост и выбрать раздел Шлюз соединения.
• Включить Шлюз соединения, в свойстве Имена DNS доменов точки распространения, под которыми она будет доступна мобильным устройствам (включаются в сертификат) необходимо указать DNS-имя шлюза соединения, которое будет использоваться для подключения к мобильному устройству.
  •  При необходимости выбрать Установить соединение с шлюзом со стороны Сервера администрирования (если шлюз размещен в демилитаризованной зоне).
• Затем установить следующие флажки:
  • • Открыть порт для мобильных устройств (аутентификация SSL только для Сервера администрирования).
    • Открыть порт для мобильных устройств (двусторонняя аутентификация SSL).
      

      

Необходимо выпустить (перевыпустить) мобильный сертификат на имя шлюза соединения.

• В свойствах KSC Linux в разделе Сертификаты выбрать Перевыпустить. Затем изменить адрес подключения на адрес шлюза соединения и выбрать немедленную активацию мобильного сертификата. Нажать ОК для подтверждения
  

  

• Вернуться к п.1 (Настройка параметров Веб-Сервера KSC Linux для мобильных устройств: при использовании шлюза соединения)

• Скачайте инсталляционный пакет Сервера iOS MDM под необходимую ОС, на которую он будет устанавливаться и добавьте его на KSC из этого файла
  
• Перейдите в свойства созданного инст. пакета и укажите Адрес Сервера iOS MDM, либо оставьте использование FQDN устройства.
  • Адрес сервера iOS MDM должен быть доступен для мобильных устройств по внешнему порту (по умолчанию 443).

• Затем в KSC перейдите в раздел Управление активами --> Мобильные --> Серверы iOS MDM и нажимте Установить, чтобы установить новый сервер.

• Запустится мастер создание задачи установки.
  • Укажите устройства, на которые необходимо выполнить установку
  • И инст. пакет сервера iOS MDM
  • Запустите задачу и дождитесь успешного выполнения

• После завершения установки Сервера iOS MDM нажмите на него, чтобы перейти в его параметры. Выберите раздел Параметры приложения --> Сертификаты и нажмите Выпустить или обновить

• Откроется окно Создание запроса Certificate Signing Request (CSR). Укажите название запроса, название компании и отдел, город, область и страну. Нажмите на кнопку Сохранить. Приватная часть (private key) будущего сертификата будет сохранена в памяти устройства. Затем нажмите Далее и перейдите по ссылке в CompanyAccount

• Отправьте созданный файл с CSR-запросом на подпись в "Лабораторию Касперского" через ваш CompanyAccount. Для этого загрузите созданный файл с запросом на и выполните действия для подписания CSR.

Примечание! Подписание CSR доступно только после загрузки на портал CompanyAccount файла ключа, разрешающего использование функциональности Управление мобильными устройствами (MDM).

• Затем отправьте подписанный файл CSR-запроса на веб-сайт Apple, используя произвольный Apple ID.
  • Для этого загрузите подписанный "Лабораторией Касперского" файл CSR на портал https://identity.apple.com/pushcert. Для авторизации на портале Вам потребуется Apple ID. Apple ID можно получить на сайте https://appleid.apple.com.

Примечание! Не рекомендуется использовать персональный Apple ID. Создайте отдельный Apple ID, чтобы использовать его как корпоративный. Созданный Apple ID привяжите к почтовому ящику организации, а не отдельного сотрудника.

• После обработки CSR-запроса в Apple Inc. вы получите публичную часть APNs-сертификата. Сохраните полученный файл на диск.
• Далее экспортируйте APNs-сертификат вместе с приватным ключом, созданным при формировании CSR-запроса, в файл формата PFX. Для этого выполните следующие действия:
  • В открывшемся окне выберите файл с публичной частью сертификата, полученный после обработки CSR-запроса в Apple Inc., и нажмите на кнопку Открыть. Запустится экспорт сертификата.
  • В открывшемся окне Сохранение APNs-сертификата укажите имя файла для сохранения APNs-сертификата, выберите папку, в которую он будет сохранен, и нажмите на кнопку Сохранить.
    

• Приватная и публичная части сертификата будут объединены, APNs-сертификат будет сохранен в файл формата PFX. 

Установку Корпоративного каталога приложений и Консоли управления Корпоративным каталогом приложений можно осуществить с помощью дистрибутива (опционально). Дистрибутив включает в себя следующие компоненты:

• Корпоративный каталог приложений
• Консоль управления Корпоративным каталогом приложений
• Сервер Apache

Если установка решения с помощью мастера установки завершилась с ошибками или у вас уже установлен сервер Apache 2.4 или более поздней версии, вы можете настроить сервер Apache вручную.
Пошаговая инструкция установки и настройки описана здесь. Предоставление прав и авторизация в корпоративном каталоге приложений подробно описаны здесь. Также необходимо ознакомиться с входом в Консоль управления Корпоративным каталогом приложений.
Подробная информация по управлению приложениями в Консоли управления Корпоративным каталогом приложений приведена в справке решения.

При использовании 2FA в KSC Linux учётную запись для корп. каталога необходимо добавить в искючения.