На этой странице описан порядок действий при обновлении KES на новую версию с использованием KSC. Представлен опыт на примере нашей организации. В сети 350 компьютеров, на всех установлен агент администрирования и KES версии 12.5. Обновление будет выполнено на версию 12.6. Какие-то дополнительные особенности, например шифрования дисков в серверах, или созданные точки распространения отсутствуют. Т.е. обновление в простейшем виде с использованием графического интерфейса.
Нужно ли обновляться при выходе новой версии KES? На этот сложный вопрос каждый админ отвечает для себя самостоятельно в зависимости от обстоятельств (количества рабочих мест, сложность сети и тп). В обновлениях, как правило, добавляется новый функционал, закрываются обнаруженные уязвимости и устраняются баги. Что нового в версии 12.6 можно посмотреть на этой странице.
У каждой версии есть свой жизненный цикл. Посмотреть его можно тут.
Выбираем через фильтр KES и смотрим на какой период рассчитана версия.
Например, у версии 12.6 полная поддержка до середины 2026 года и ограниченная поддержка еще на год.
Полная поддержка гарантирует исправления всех выявленных проблем в процессе эксплуатации. Для KES с ограниченной поддержкой исправления не гарантируются и выпускаются на усмотрение «Лаборатории Касперского».
Обновление KES не является обязательным. «Лаборатории Касперского» обеспечивает надежность и безопасность при использовании ПО на протяжении всего жизненного цикла версии, если в процессе эксплуатации не откроются какие-то критические уязвимости.
Если в обслуживании 100-200 ПК то переход на новую версию не вызовет проблем. А если компьютеров больше тысячи, то в этой ситуации лучше минимизировать количество обновлений и пропустить несколько версий, чтоб не создать себе дополнительных приключений.
При каких-то масштабных переменах, например, версия 11 поменялась на версию 12, нужно обновляться осторожно. Можно обновить пару компьютеров и посмотреть, как это происходит. Протестировать работу пару дней. Если все прошло удачно, то перейти на эту версию, чтоб потом дальше обновляться без проблем в рамках ее последующих обновлений.
В листке релиза разработчик указывает с какой версии на какую гарантируется беспроблемное обновление. Но в реальности не всегда так получается. Иногда приходится вручную на локальном клиенте удалять KES полностью и затем устанавливать заново. При обращении в тех. поддержку там часто просят перейти на последнюю версию.
Обновиться можно сразу если в новой версии появился какой-то функционал, которого вы очень ждали.
Есть ситуации, когда определенные версии для использования в гос. организациях с критической инфраструктурой или гос. секретами получают сертификат безопасности. Переходить с одной версии на другую в этом случае запрещено до продления или получения нового сертификата. Эти сертификаты можно посмотреть тут.
Если жизненный цикл ПО подходит к завершению, то логично будет перейти на новую версию.
Желательно поддерживать систему в таком состоянии, чтоб версии KES на разных ПК в сети были одинаковые. Для оценки обстановки можно вывести отчет о версиях программ «Лаборатории Касперского» на компьютерах в сети.
Обновление KES.
Перед выполнением действий необходимо создать резервную копию сервера KSC или его базы данных.
Обновление можно выполнять дистанционно, подключившись к серверу через MMC или web-консоль, или непосредственно на самом сервере.
Если требуется обновить агентов администрирования, то лучше это сделать до обновления KES.
Создание инсталляционного пакета.
При выходе новых версий ПО, сообщение о доступных обновлениях появляется в панели мониторинга.
Нажимаем на одну из ссылок.
Если информационная ссылка пропала, то ниже есть постоянная ссылка.
Или переходим через боковое меню в инсталляционные пакеты (в дополнительные действия).
Все то же самое доступно и через WEB-консоль, кому как удобно.
Обновление через web-консоль представлено ниже под спойлером.
Чтоб долго не копаться в большом списке ПО выбираем через фильтр: компоненты, тип ПО и язык. Упорядочиваем по ОС.
Выбираем нужную версию и шифрование.
Нажав на ссылку «Информация о версии программы» можно подробно ознакомиться с содержанием обновления.
Какое шифрование выбрать?
Lite Encryption – длинна ключа шифрования 56 бит
Strong Encryption – длина ключа шифрования 256 бит.
Если как в нашем случае шифрование дисков средствами KES не используется, то не имеет значения какое шифрование в версии.
Если шифрование используется, то релизный листок сообщает:
«Если на компьютере установлены компоненты полнодискового шифрования (FDE) или шифрования файлов (FLE), для обновления приложения до версии 12.6 используйте дистрибутив с той же длиной ключа.
Если на компьютере отсутствуют компоненты шифрования данных (FDE и FLE), для обновления приложения до версии 12.6 вы можете использовать дистрибутив с любой длиной ключа.»
А вообще, какое шифрование разрешено в вашем регионе определяет соответствующий орган власти по ИБ. Чаще это aes56.
Загрузка может начаться с задержкой. Нужно подождать.
Принимаем лицензионное соглашение.
После этого появляется сообщение о том, что у нас установлен устаревший плагин управления.
Скачиваем и обновляем плагин, нажав на предлагаемую ссылка.
Или то же самое в окне списка актуальных версий. Выбираем «KES для Windows (12.6.0) плагин (обновление установленного плагина)» и нажимаем кнопку «Загрузить».
Запускаем установку скаченного файла.
Плагин потребуется установить на любом рабочем месте администраторов с которого планируется подключение к KSC.
После этого переходим в инсталляционные пакеты, находим KES12.6. Убеждаемся что он там.
Создание задачи.
Переходим в задачи. Создаем новую задачу по удаленной установке программы.
Проходим по мастеру создания задачи.
Выбираем скаченный инсталляционный пакет.
На этом шаге можно зайти в свойства и что-то в них поменять.
На вкладке «Общие» можно поменять название, посмотреть подробности пакета.
На вкладке «Настройки» можно изменять компоненты защиты и добавить к пакету файл конфигурации.
Если установочный пакет будет разворачиваться на компьютерах, в которых KES еще не было, можно добавить в него лицензионный ключ на соответствующей вкладке. Приложение будет активировано автоматически после установки.
Ключ активации с расширением .key генерируется из кода активации вашего KES на этой странице.
Вводим свой лицензионный код и электронную почту. Нажимаем кнопку «ПОЛУЧИТЬ ПО E-MAIL». Через пару минут на почту придет «ключ.key».
На вкладке «Несовместимые программы» можно убрать галку, чтоб при установке эти программы не удалялись. Это нужно для каких-то уникальных своеобразных задач. Обычно два антивируса на одном компьютере дружно жить не могут. И вобщем-то есть большая вероятность что KES не установится.
На последней вкладке история изменений свойств этого пакета.
На следующем шаге решаем нужно ли нам устанавливать агент администрирования вместе с KES.
Для обновления KES это не требуется. Для новой установки можно установить совместно. Если вышло обновление для агента (в данном случае нет), то его можно тоже поставить.
Далее выбираем установку с помощью агентов. Настройки как на картинке ниже.
Можно предложить пользователю закрыть приложение, если возможна потеря несохраненных данных. После успешной установки программа выведет сообщение о необходимости перезагрузки. Если пользователь не перезагрузит компьютер, то через 30мин перезагрузка произойдет автоматически.
Выбираем устройства, на которых будет установлен создаваемый пакет. Лучше конечно не все сразу устройства, а по частям, по группам, по отделам, по этажам. У кого как поделено.
Например, выберем 4 этаж.
Впоследствии, можно изменить эту настройку и добавить другие разделы. Нажимаем «Далее».
Агент администрирования уже установлен на всех клиентских компьютерах и учетная запись не требуется.
Запускать обновление можно в зависимости от ситуации. Можно настроить запуск, например, с 13 до 14, когда сотрудники уходят на обед.
Кроме расписания по дате и времени можно указать какое-нибудь событие.
Галку «Запускать пропущенные задачи» можно поставить. В случае если какой-то компьютер был выключен, задача выполнится на нем при его появлении в сети.
Использование случайных интервалов необходимо чтоб снизить нагрузку на сервер в случае одновременной установки у большого количества клиентов.
На следующем шаге пишем удобное название задачи.
В созданную задачу можно зайти и отредактировать большинство настроек, которые проходили в мастере создания.
Лучшей практикой будет пробная установка новой версии в каком-нибудь небольшом подопытном отделе, чтоб выявить возможные проблемы в ограниченных количествах. У тестовых компьютеров должны быть пользовательские учетные записи (без прав админа на локальном ПК).
Выбираем тестовые компы. Запускаем задачу.
Наблюдаем за процессом, нажав на ссылку «Просмотреть результат»
Для пользователя вся установка происходит в скрытом режиме и только в диспетчере устройств можно увидеть, что что-то происходит.
При обновлении с 12.5 на 12.6 перезагрузка ПК не потребовалась.
В трее или на панели задач у клиента можно найти KES и убедится в актуальности его версии.
Все прошло успешно. Редактируем задачу, добавив в нее большое количество клиентских ПК и запускаем.
При установке в разных местах, перезагрузка все же понадобилась кое-где.
По отчету видно, что на одном устройстве статус «не удалось выполнить». Необходимо посмотреть причину (в данном случае потребовалась перезагрузка ПК) и повторно запустить задачу.
Нажимаем кнопку «Остановить» ждем пару минут и нажимаем «Запустить». Так как у нас была отмечена галочка «Не устанавливать программу, если она уже установлена», задача выполнится только на тех ПК, на которых установка не произошла.
В процессе установки на некоторых компьютерах возникли ошибки. Как их устранить написано тут.
Если компьютеров много, то можно оставить задачу на пару дней. В течение этого времени компьютеры будут появляться в сети и обновляться.
После установки нужно принять лицензионное соглашение KSN. Иначе будет висеть критический статус устройств с новой версией.
Переходим в политики, выбираем нужную, открываем. Появится сообщение о лицензионном положении. Принимаем его.
После этого нужно подождать минут 5-10 и потом проверить статусы ПК.
Если ошибка не пропала, можно еще раз зайти в политику и выключить, а потом включить KSN.
После установки выводим отчет об версиях. Смотрим, на каких устройствах осталась старая версия, добавляем только эти устройства в задачу и запускаем ее по расписанию. Через пару дней на всех ПК будет новая версия.
Инсталляционный пакет.
Создаем инсталляционный пакет.
Проходим мастер создания.
Чтоб быстро найти то, что нам нужно, используем фильтр. Например так.
Создадим пакет с легким шифрованием Lite encryption, потому что Strong encryption уже создали ранее и программа не разрешит создать его еще раз.
Выбираем нужный дистрибутив и нажимаем кнопку «Загрузить и создать инсталляционный пакет».
Ожидаем загрузку.
В процессе появится сообщение о том, что нужно принять лицензионное соглашение. Иногда нужно совершить какие-то действия чтоб оно появилось.
Принимаем.
После завершения загрузки нажимаем кнопку «Закрыть».
Переходим в меню инсталляционных пакетов и видим, что там появился новый.
Отредактируем его свойства в учебных целях. Или сразу можно создавать задачу для его установки.
Чтоб изменять свойства пакета новой версии, нужно обновить плагин управления web-консолью. Как это сделать представлено ниже.
В свойствах можем, например, переименовать этот пакет.
Можно настроить параметры. Несовместимые программы.
Можно добавить лицензионный ключ, чтоб программа автоматически активировалась.
В общем, тут есть все то, же что и в панели MMC.
Обновление.
Выполним обновление KES у клиента. Создаем новую задачу. Добавляем в нее инсталляционный пакет, который только что создали.
Проходим по мастеру создания задачи.
Выполним обновления на конкретном устройстве из списка управляемых.
Добавляем устройство для обновления.
Выбираем созданный ранее инсталляционный пакет. Изменяем настройки его установки если нужно. 
Выбираем время до перезагрузки после установки.
Учетная запись не требуется так как установлен агент администрирования.
После создания отредактируем свойства у этого задания. 
Для примера изменим название. Можно изменять другие настройки по необходимости, например, выбирать другие компьютеры для обновления.
Чтоб выполнить задачу нужно выбрать ее из списка и запустить.
Статус выполнения отображается в задаче на вкладке «Результаты».
Переходим в инсталляционные пакеты. Создаем новый.
Находим через фильтр нужный плагин.
Нажимаем кнопку «Установить плагин».
Если плагин уже установлен, то его нужно обновить.
Параметры консоли >> веб-плагины.
Смотрим, какая версия установлена и до какой можно обновится.
Нажимаем кнопку «Обновить плагин». Ждем.
Если обновление плагине не происходит после нажатия кнопки «Обновить плагин», обновляем плагин из файла.
Скачать плагины можно тут.
Распаковываем скаченный архив, загружаем плагин и подпись. Нажимаем «Обновление». Ждем.
В процессе установки может пропасть связь с сервером. Затем появится сообщение.
Если обновление пройдет с ошибками, то плагин нужно удалить полностью и заново установить.
Удаляем, отметив нужный плагин галочкой.
Параметры консоли >> веб-плагины >> Добавить.Находим плагин, выполняем обновление из файла или онлайн. Ждем.
Успешная установка подтверждается сообщением.
Проверяем версию — все соответствует.
По итогу обновления наших компьютеров приключений получилось не много, но достаточно, чтоб еще раз подумать о необходимости обновления сразу при выходе новой версии. Будьте внимательны, особенно при обновлении KES на серверах, чтоб не остановить рабочий процесс в случае неудачной установки обновления.
Подробности обновления с официального сайта «Лаборатории Касперского» можно посмотреть тут.