KL 002.12.

1: Kaspersky Endpoint Security and Management

KL 002.12.1

Kaspersky Endpoint Security

and Management

Инструкция
по настройке класса
Содержание
1. Введение..............................................................................................................................2

2. Описание полигона.............................................................................................................2
Компьютеры ................................................................................................................................................. 2
Домен ............................................................................................................................................................ 3
Пользователи ............................................................................................................................................... 3
Подсети ........................................................................................................................................................ 3
Статическая адресация .............................................................................................................................. 3
Операционные системы .............................................................................................................................. 3
Резюме по компьютерам ............................................................................................................................ 3
Аппаратные требования ............................................................................................................................. 4
Дополнительные настройки виртуальных машин .................................................................................... 4

3. Настройка сети VMware Workstation ................................................................................5

4. Схема лабораторного полигона ........................................................................................6

5. Инструкция по настройке ...................................................................................................6

DC ................................................................................................................................................................. 6
KSC ............................................................................................................................................................... 7
Alex-Desktop ................................................................................................................................................. 8
Admin-Laptop ..............................................................................................................................................10
Kali ...............................................................................................................................................................12

1
KL 002.12.1: Kaspersky Endpoint Security and Management

1. Введение
Данное руководство предназначено для курса KL 002.12.1, который объединяет внедрение KSC
14.2 и KES 12.1, управление компонентами защиты и контроля в KES 12.1, централизованное
обнаружение и реагирование на инциденты, общие вопросы обслуживания, такие как обновление
баз, использование инструментов уведомления и отчетности.

Задача этой инструкции - помочь подготовить класс к проведению учебных занятий, посвященных
продуктам Kaspersky Security Center 14.2 и Kaspersky Endpoint Security 12.1.

Инструкция содержит пошаговое описание настройки физических и виртуальных компьютеров —

для тех, кто не хочет или не должен разбираться в самих тренингах, а просто выполняет
техническое задания по подготовке класса.

Для преподавателей, которым полезно иметь общее представление об устройстве класса,

инструкция содержит описание того, что должно получиться в результате настройки. Какие
виртуальные машины, с какими характеристиками, как они должны быть связаны между собой.

Дополнительно инструкция может содержать пояснения причин, по которым была выбрана та или
иная конфигурация. Обсуждение возможных отклонений от инструкции в зависимости от
особенностей оборудования.

2. Описание полигона
Лабораторные работы всех перечисленных курсов выполняются на виртуальных машинах.
Инструкция предполагает использование VMware Workstation, однако ничего принципиально не
мешает воспроизвести аналогичную виртуальную конфигурацию на другой виртуальной
платформе.

Во всех лабораторных работах рассматривается абстрактная компания ABC. Компьютеры этой

компании входят в домен abc.lab и используют почтовый домен abc.lab.

Компьютеры
В лабораторных работах могут использоваться следующие компьютеры:

— DC — контроллер домена и DNS-сервер домена abc.lab. Используется во всех

лабораторных работах как элемент инфраструктуры, то есть должен быть запущен, но
действия там не выполняются. В некоторых лабораторных DC также выступает в качестве
почтового сервера для домена abc.lab.
— KSC — компьютер, основной задачей которого является запуск Сервера
администрирования в компании ABC. Он принадлежит домену ABC и имеет статический IP-
адрес
— Alex-Desktop — компьютер, олицетворяющий собой рабочие станции в компании ABC. Он
также входит в домен ABC и имеет статический IP-адрес.
— Admin-Laptop — компьютер, олицетворяющий собой ноутбук администратора в компании
ABC. Администратор использует этот компьютер для подключения к различным системам и
их настройки. Он также входит в домен ABC и имеет статический IP-адрес.
KL 002.12.1: Kaspersky Endpoint Security and Management. Class Setup Guide 2. Описание полигона

— Kali — компьютер, олицетворяющий собой компьютер злоумышленника. Не принадлежит к

домену ABC; имеет статический IP-адрес. Используется в некоторых лабораторных
работах для выполнения хакерских атак.

Домен
Большинство компьютеров входит в домен ABC.

Пользователи
Учетная запись администратора домена, ABC\Administrator, используется только во время
настройки стенда. Alex-Desktop — учетная запись ABC\Alex, Admin-Laptop — учетная запись
ABC\Admin. Kali — локальная учетная запись hacker.

Пароль всех пользователей: Ka5per$Ky.

Подсети
Компьютеры относятся к подсети 10.28.0.0/24, которая представляет собой сеть штаб-квартиры
компании ABC. Конкретные IP-адреса подсетей особого значения не имеют, но именно эти адреса
использовались при разработке лабораторных работ и ссылки на эти адреса встречаются в
руководстве по выполнению лабораторных работ.

Статическая адресация
Для всех компьютеров используется статическая адресация

Операционные системы
Компьютеры, выполняющие серверные функции, работают под управлением Windows Server 2019
Standart. На остальных компьютерах домена используется Windows 10 Professional. На
компьютере злоумышленника установлен CentOS 8 Stream.

Резюме по компьютерам
Ниже представлена таблица с именами, операционными системами и адресами компьютеров.

Операционная
Компьютер Адрес RAM, МБ CPU, шт HDD, ГБ
система
Windows Server
DC 10.28.0.10 2048 1 60
2019 Standart

Windows Server
KSC 10.28.0.20 5120 4 60
2019 Standart

3
KL 002.12.1: Kaspersky Endpoint Security and Management. Class Setup Guide 2. Описание полигона

Alex- Windows 10
10.28.0.200 4096 2 42
Desktop Professional

Admin- Windows 10
10.28.0.100 4096 2 42
Laptop Professional

Centos 8 Stream
Kali 10.28.0.50 2048 1 40
x64

Аппаратные требования
Ввиду необходимости запускать до 5 виртуальных машин с современными операционными
системами, на хост-машине должно быть минимум 20 Гб оперативной памяти.

Вторым (а может и первым) по значимости узким местом является дисковая подсистема. Хост-
машина с одним HDD диском как правило не дает комфортной производительности. SSD–диск или
ориентированная на производительность RAID-конфигурация предпочтительнее.

Дополнительные настройки виртуальных машин

Дополнительные настройки виртуальных машин, которые потребуются в этом курсе:

— DC — должен быть почтовым (SMTP и POP3/IMAP4) сервером для домена abc.lab.

Почтовый сервер должен обслуживать почтовые ящики administrator@abc.lab и
alex@abc.lab. В инструкции по созданию полигона используется почтовый сервер
hmailserver
— Alex-Desktop — предполагается наличие установленного браузера Firefox. В одной из
лабораторных 3-й части имитируется блокирование запуска сторонних браузеров. Должен
быть настроенный почтовый клиент для пользователя alex@abc.lab. Предполагается
наличие установленного стороннего антивируса. В инструкции используется антивирус
clamwin
— Admin-Laptop — должен быть установлен и настроен почтовый клиент для пользователя
administrator@abc.lab.

Поскольку все компьютеры находятся в подсети 10.28.0.0/24 и, как минимум, в некоторых

лабораторных работах нуждаются в доступе к интернету, проще всего изменить настройки NAT-
интерфейса в VMware Workstation. Обычно это интерфейс VMNet8.

4
KL 002.12.1: Kaspersky Endpoint Security and Management. Class Setup Guide 3. Настройка сети VMware Workstation

3. Настройка сети VMware Workstation

1. Откройте Virtual Network Editor (отдельная утилита в меню Пуск\VMware или пункт меню
Edit\Virtual Network Editor в VMware Workstation)
2. Проверьте, что для VMnet8 тип сети и External Connection соответствует NAT
3. Выделите VMnet8 и выставьте для него:
— Subnet IP = 10.28.0.0
— Subnet mask = 255.255.255.0

5
KL 002.12.1: Kaspersky Endpoint Security and Management. Class Setup Guide 4. Схема лабораторного полигона

4. Схема лабораторного полигона

5. Инструкция по настройке

DC
1. Создайте виртуальную машину с такими минимальными параметрами:
— 2048 МБ памяти
— 60 ГБ диска
— Одна сетевая карта (NAT)
2. Установите Windows Server 2019:
— имя компьютера — DC
— IP адрес — 10.28.0.10
— DNS-сервер и шлюз — 10.28.0.1
— Пароль локального администратора — Ka5per$Ky
3. Установите VMware Tools
4. Добавьте серверную роль Доменные службы Active Directory c такими параметрами:
— Новый лес
— Новый домен с именем abc.lab
— Уровень функциональности — Windows Server 2019
— Добавьте роль DNS-сервера
— Остальные параметры — по умолчанию
— Directory Services Restore Mode Administrator Password: Ka5per$Ky
5. Добавьте доменных пользователей:
— Alex с паролем Ka5per$Ky
— Admin с паролем Ka5per$Ky
6. Измените доменную политику

— Отключите автоматическую загрузку обновлений Windows Update (в редакторе политик

— Конфигурация компьютера, Политики, Административные шаблоны:

6
KL 002.12.1: Kaspersky Endpoint Security and Management. Class Setup Guide 5. Инструкция по настройке

определения политик…, Компоненты Windows, Центр обновления Windows,

Настройка автоматического обновления = Отключить)

— Отключите Windows Defender (в редакторе политик — Конфигурация компьютера,

Политики, Административные шаблоны: определения политик…, Компоненты
Windows, Защитник Windows, Выключить защитник Windows = Включить)

Вероятнее всего на компьютерах KSC, Admin-Laptop и Alex-Desktop придется дополнительно

отключить Windows Defender в соответствии с интсрукцией (ссылка)

— Отключите брандмауэр Windows для доменного профиля (в редакторе политик —

Конфигурация компьютера, Политики, Конфигурация Windows, Параметры
безопасности, Брандмауэр Windows в режиме повышенной безопасности)

— Отключите максимальный срок действия пароля — выберите для этого параметра

значение Не определено (в редакторе политик — Конфигурация компьютера,
Политики, Конфигурация Windows, параметры безопасности, Политики учетных
записей, Политика паролей)

— Отключите SmartScreen фильтр — Конфигурация компьютера, Политики,

Административные шаблоны: определения политик…, Компоненты Windows,
Internet Explorer.

⎯ Prevent bypassing SmartScreen Filter warnings about files are not commonly
downloaded the Internet = Disabled
⎯ Prevent bypassing SmartScreen Filter warnings = Disabled
⎯ Prevent managing SmartScreen Filter = Enabled. Select SmartScreen Filter mode = off
7. Для пользователей Администратор, Alex и Admin установите параметр Срок действия
пароля не ограничен
8. Создайте группу Admins и добавьте ее в группы Administrators и Remote Desktop Users
9. Добавьте пользователей Admin и Alex в группу Admins
10. Установите программу hMailServer (можно загрузить с сайта www.hmailserver.com)
— Создайте почтовый домен abc.lab
— Создайте в домене abc.lab 2 почтовых ящика: administrator@abc.lab, alex@abc.lab все
с паролем Ka5per$Ky
— В окне Settings\Advanced\Auto-ban снимите отметку с Enable, сохраните изменения
— Перейдите к Settings\Advanced\IP Ranges\My computer, где снимите все флаги в
секции Require SMTP authentication
— Перейдите к Settings\Advanced\IP Ranges\Internet, где снимите все флаги в секции
Require SMTP authentication (возможно, флаг External to external e-mail addresses
будет недоступен для изменения – в этом случае вы можете оставить его как есть)
11. Отключите IPv6 в настройках сетевого интерфейса
12. Сделайте снимок (snapshot) — kl_002.12.1

KSC
1. Создайте виртуальную машину с параметрами:
— Не менее 4 CPU.
— Не менее 5120 МБ памяти
— Не менее 60 ГБ диска
— Одна сетевая карта (NAT)

7
KL 002.12.1: Kaspersky Endpoint Security and Management. Class Setup Guide 5. Инструкция по настройке

2. Установите Windows Server 2019 Standard Edition:

— Имя компьютера — KSC
— IP-адрес — 10.28.0.20
— Основной шлюз — 10.28.0.1
— DNS — 10.28.0.10
— Пароль учетной записи администратора: Ka5per$Ky
3. Войдите под учетной записью .\Administrator
4. Установите VMware Tools
5. Добавьте Features: .NET Framework 3.5.1 without WCF Activation
6. Установите PostgreSQL 14
7. Установите браузер Google Chrome
8. Сделайте Google Chrome браузером по умолчанию
9. В качестве фонового цвета рабочего стола выберите цвет R/G/B = 0/168/142 (темно-
зеленый)
10. Скачайте полный дистрибутив Kaspersky Security Center 14.2 для Windows с официального
сайта (ссылка) и разместите его на рабочем столе
11. Отключите автоматическое отключение экрана
12. Отключите Windows Defender в соответствии с инструкцией (ссылка)

Данная инструкция требуется для новых ОС. На старых версиях было достаточно выключить
Windows Defender в групповой политике.

13. Отключите IPv6 в настройках сетевого интерфейса

14. Сделайте снимок (snapshot) — kl_002.12.1

Alex-Desktop
1. Создайте виртуальную машину с параметрами:
— не менее 2 CPU
— 4096 МБ оперативной памяти
— 40 ГБ на жестком диске
— Одная сетевая карта (NAT)
2. Установите Windows 10 Professional
— Имя — Alex-Desktop
— IP-адрес — 10.28.0.100
— Основной шлюз — 10.28.0.1
— DNS-сервер — 10.28.0.10
3. Установите VMware Tools
4. Добавьте компьютер в домен abc.lab (компьютер DC должен быть включен)
5. После перезагрузки войдите под учетной записью ABC\Alex
6. Установите Microsoft Office Word 2013
7. Установите браузер Mozilla Firefox
8. Установите браузер Google Chrome
9. Сделайте Google Chrome браузером по умолчанию.
10. Установите почтовый клиент Mozilla Thunderbird
11. Установите антивирус ClamWin

8
KL 002.12.1: Kaspersky Endpoint Security and Management. Class Setup Guide 5. Инструкция по настройке

12. Установите файловый архиватор 7-Zip

13. В почтовом клиенте Mozilla Thunderbird настройте учетную запись для alex@abc.lab:
— Пароль — Ka5per$Ky
— Имя пользователя — alex@abc.lab
— Email — alex@abc.lab
— POP3/SMTP-сервера — 10.28.0.10 (или dc.abc.lab)
14. Установите утилиту шифрования aescrypt.exe с параметрами по умолчанию. Дистрибутив
можно загрузить www.aescrypt.com/download/
15. Поместите на рабочий стол следующие файлы:
— ransomware.bat — исполняемый файл для имитации действий ransomware.
Содержание ransomware.bat:

@echo off

if exist "C:\Program Files\AESCrypt\aescrypt.exe" goto :Step1

echo **** not exist C:\Program Files\AESCrypt\aescrypt.exe ****
pause
exit

:Step1
if exist .\invoice.txt goto :Step2
echo **** not exist .Desktop\invoice.txt ****
pause
exit

:Step2
"C:\Program Files\AESCrypt\aescrypt.exe" -e -p root .\invoice.txt
if exist .\invoice.txt.aes goto :Step3

:Step3
del .\invoice.txt
echo **** Congratulations!!! Your personal files are encrypted ****
pause
exit
— ransomware2.bat — исполняемый файл для имитации действий ransomware.
Содержание ransomware.bat:

@echo off

if exist "C:\Program Files\AESCrypt\aescrypt.exe" goto :Step1

echo **** not exist C:\Program Files\AESCrypt\aescrypt.exe ****
pause
exit

:Step1
if exist \\ADMIN-LAPTOP\temp\invoice.txt goto :Step2
echo **** not exist \\ADMIN-LAPTOP\temp\invoice.txt ****
pause
exit

:Step2
"C:\Program Files\AESCrypt\aescrypt.exe" -e -p root \\ADMIN-
LAPTOP\temp\invoice.txt
if exist \\ADMIN-LAPTOP\temp\invoice.txt.aes goto :Step3

:Step3
del \\ADMIN-LAPTOP\temp\invoice.txt

9
KL 002.12.1: Kaspersky Endpoint Security and Management. Class Setup Guide 5. Инструкция по настройке

echo **** Congratulations!! Your personal files are encrypted! ****

pause
exit
— invoice.txt – обычный текстовый документ пользователя. Содержание
invoice.txt:

Test_ransomware
16. Разрешите удаленное администрирование через Remote Desktop with Network Level
Authentication
17. Разместите архив Document1.zip в папке Documents
18. Разместите архив Procmon.zip в папке Documents
19. Разместите текстовый документ invoice.txt в папке Documents
20. Разместите архив WeeklyReport.rar в папке Documents
21. Создайте папку C:\Reports
22. Разместите архив Report with converting macros.zip в папке C:\Reports
23. Настройте меню Пуск – уберите лишние ярлыки и добавьте в меню почтовый клиент
Mozilla Thunderbird
24. В качестве фонового цвета рабочего стола выберите цвет R/G/B = 0/168/142 (темно-
зеленый)
25. Отключите Windows Defender в соответствии с инструкцией (ссылка)

Данная инструкция требуется для новых ОС. На старых версиях было достаточно выключить
Windows Defender в групповой политике.

26. Отключите автоматическое отключение экрана

27. Отключите IPv6 в настройках сетевого интерфейса
28. Сделайте снимок (snapshot) — kl_002.12.1

Admin-Laptop
1. Создайте виртуальную машину с параметрами:
— Не менее 2 CPU.
— 4096 МБ оперативной памяти
— 40 ГБ на жестком диске
— Одной сетевой картой (NAT)
2. Установите Windows 10 Professional с настройками:
— Имя — Admin-Laptop
— IP-адрес — 10.28.0.200
— Основной шлюз — 10.28.0.1
— DNS-сервер — 10.28.0.10
3. Добавьте компьютер в домен abc.lab (компьютер DC должен быть включен)
4. Войдите в систему под доменным пользователем ABC\Admin
5. Установите VMware Tools
6. Установите Microsoft Office Word 2013
7. Установите браузер Google Chrome
8. Сделайте Google Chrome браузером по умолчанию

10
KL 002.12.1: Kaspersky Endpoint Security and Management. Class Setup Guide 5. Инструкция по настройке

9. Установите почтовый клиент Mozilla Thunderbird

10. Установите файловый архиватор 7-Zip
11. Установите MMC-консоль управления Kaspersky Security Center. Дистрибутив можно
загрузить https://www.kaspersky.com/small-to-medium-business-
security/downloads/endpoint?utm_content=endpoint-select
12. В почтовом клиенте Mozilla Thunderbird настройте учетную запись для
administrator@abc.lab:
— Пароль — Ka5per$Ky
— Имя пользователя — administrator@abc.lab
— Email — administrator@abc.lab
— POP3/SMTP-сервера — 10.28.0.10 (или dc.abc.lab)
13. Установите утилиту шифрования aescrypt.exe с параметрами по умолчанию. Дистрибутив
можно загрузить www.aescrypt.com/download/
14. Установите утилиту Putty.exe. Дистрибутив можно загрузить
https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html
15. Добавьте ярлык Putty.exe на рабочий стол
16. Создайте папку общего доступа C:\temp\ с возможностью записи всем пользователям
17. Поместите архив bsstest_amsi.zip в папку C:\temp\
18. Поместите в папку C:\temp\ следующий файл:
— invoice.txt – обычный текстовый документ пользователя. Содержание
invoice.txt:

Test_ransomware
19. Поместите на рабочий стол следующий файл:
— Malware_Common_Paths.txt – обычный текстовый документ. Содержание
Malware_Common_Paths.txt:

C:\Users\*\Appdata\Roaming*
C:\Users\*\Appdata\Local*
C:\Windows\Temp*
C:\Users\*\Desktop*
C:\$Recycle.Bin*
C:\Windows
C:\Windows\system32*
C:\Users\*\Documents*
C:\Users\*\Downloads*
C:\Users\*\AppData\Roaming\Microsoft\Windows\Start
Menu\Programs\Startup*
C:\Documents and Settings\*\Application Data*
C:\Documents and Settings\*\Local Settings\Application Data\*
C:\Documents and Settings\*\Local Settings\Temporary Internet Files*
C:\Documents and Settings\*\Desktop*
C:\Documents and Settings\*\My Documents*
C:\Documents and Settings\*\Start Menu\Programs\Startup*
20. Разрешите запускать локальные скрипты PowerShell без ограничения. Запустите
PowerShell с правами администратора и введите команду:

set-executionpolicy remotesigned
21. Отключите автоматическое отключение экрана
22. Настройте меню Пуск — удалите лишние ярлыки. Добавьте в меню ярлыки Mozilla
Thunderbird и Putty.exe.

11
KL 002.12.1: Kaspersky Endpoint Security and Management. Class Setup Guide 5. Инструкция по настройке

23. В качестве фонового цвета рабочего стола выберите цвет R/G/B = 0/168/142 (темно-
зеленый)
24. Отключите Windows Defender в соответствии с инструкцией (ссылка)

Данная инструкция требуется для новых ОС. На старых версиях было достаточно выключить
Windows Defender в групповой политике.

25. Отключите IPv6 в настройках сетевого интерфейса

26. Сделайте снимок (snapshot) — kl_002.12.1

Kali
1. Создайте виртуальную машину с параметрами:
— 2048 МБ оперативной памяти
— 40 ГБ на жестком диске
— Одной сетевой картой (NAT)
2. Установите Centos 8 Stream x64 с настройками:
— Имя — Kali
— IP-адрес — 10.28.0.50
— Основной шлюз — 10.28.0.1
— DNS-сервер — 10.28.0.10; 8.8.8.8
3. Создайте пользователя hacker с паролем Ka5per$Ky
4. Войдите в систему под пользователем hacker
5. Обновите дистрибутивы:
— sudo dnf update
6. Установите Metasploit framework

curl https://raw.githubusercontent.com/rapid7/metasploit-
omnibus/master/config/templates/metasploit-framework-
wrappers/msfupdate.erb > msfinstall
chmod +x msfinstall
sudo ./msfinstall
7. Установите почтовый сервер postfix

sudo dnf install -y postfix

8. Запустите postfix и добавьте его в автозапуск

sudo systemctl start postfix

sudo systemctl enable postfix
9. Установите почтовый клиент mailx:

sudo dnf install -y mailx

10. Настройте postfix. Внесите следующие изменения в конфигурационный файл
/etc/postfix/main.cf
— раскомментируйте и отредактируйте следующие строки:

myhostname = hacker.abc.lab
mydomain = abc.lab

12
KL 002.12.1: Kaspersky Endpoint Security and Management. Class Setup Guide 5. Инструкция по настройке

myorigin = $mydomain
inet_interfaces = all
inet_protocols = all
mydestination =
11. Перезапустите postfix

sudo systemctl restart postfix

12. Отключите IPv6 в настройках сетевого интерфейса
13. Добавьте в исключения фаервола порты 4444/tcp и 8080/tcp

sudo firewall-cmd –permanent –add-port=4444/tcp

sudo firewall-cmd –permanent –add-port=8080/tcp
sudo firewall-cmd --reload
14. Сделайте снимок (snapshot) — kl_002.12.1

13