DevOps

Массовая активация Windows/Office в сети с Kaspersky

Пошаговый план настройки массовой активации Windows и Office в закрытой сети, обход блокировки Kaspersky Endpoint Security, включая KMS, скрипты и Task Scheduler.

Авторы: НейроАгент

Как правильно настроить массовую активацию Windows и Office в закрытой сети организации, учитывая ограничения Kaspersky Endpoint Security?

  • Что нужно учесть при активации через KMS, если лицензий нет?
  • Можно ли создать папку на сервере, добавить её в исключения Kaspersky Security Center и разместить в ней kmsauto?
  • Как настроить задачу (Task Scheduler), чтобы раз в месяц на всех компьютерах запускался скрипт, который активирует Windows и Office?

Нужна пошаговая инструкция и рекомендации по обходу блокировки Kaspersky Endpoint Security.

Как правильно настроить массовую активацию Windows и Office в закрытой сети организации, учитывая ограничения Kaspersky Endpoint Security?

  • Что нужно учесть при активации через KMS, если лицензий нет?
    Для корректной работы KMS‑хоста требуется хотя бы одна действительная лицензия Microsoft (Windows / Office). Без неё клиентские машины не смогут получить ключи, даже если KMS‑сервис поднят. Поэтому перед настройкой необходимо приобрести и активировать по одной лицензии на сервере KMS, а остальные клиенты будут получать ключи автоматически через KMS.

  • Можно ли создать папку на сервере, добавить её в исключения Kaspersky Security Center и разместить в ней kmsauto?
    В большинстве случаев исключения в Kaspersky Security Center не позволяют обойти блокировку известных «активаторов» (см. обсуждение в Kaspersky Forum). Даже если добавить папку в «Trusted folders», клиент может продолжать блокировать kmsauto как потенциальное вредоносное ПО. Лучше использовать официальные клиентские команды (slmgr.vbs и ospp.vbs) и настроить корректный порт 1688.

  • Как настроить задачу (Task Scheduler), чтобы раз в месяц на всех компьютерах запускался скрипт, который активирует Windows и Office?

    1. Создайте скрипт activate.ps1 (см. пример ниже).
    2. В Task Scheduler установите триггер «Monthly», действие — запуск powershell.exe с параметром -ExecutionPolicy Bypass -File "C:\Scripts\activate.ps1".
    3. Убедитесь, что политика Kaspersky разрешает запуск PowerShell и исходящий трафик на порт 1688.

Ниже – пошаговая инструкция с рекомендациями по обходу блокировки Kaspersky Endpoint Security.

Содержание

Подготовка серверов и лицензий

  1. Покупка лицензий
    Для работы KMS‑хоста необходима хотя бы одна лицензия Windows / Office, активированная напрямую у Microsoft. Это ключевой пункт, иначе сервер ничего не выдаст.

    Согласно официальной политике Microsoft, клиент не может получить ключ без лицензии на хосте — см. Microsoft Learn – Volume Activation.

  2. Установка Windows Server

    • Рекомендуется Windows Server 2022 (или Server 2019) с ролью Active Directory Certificate Services (если требуется сертификат для KMS).
    • Включите роль Volume Activation Services через Server Manager → Add Roles and Features.

  3. Размещение ключа

    • Откройте PowerShell от имени администратора и выполните:
      powershell
      slmgr.vbs /ipk <ключ Windows>
slmgr.vbs /skms <IP_или_домен_хоста>
slmgr.vbs /ato
    • Проверьте статус: slmgr.vbs /dli.

Настройка KMS‑хоста и разрешения портов

Параметр Значение Комментарий
Порт 1688/TCP Стандартный порт для KMS. Внутренние сети могут изменить, но оставаться на 1688 проще.
Firewall Разрешить входящий 1688 Убедитесь, что Windows Firewall и любые внешние межсетевые экраны открыты.
Клиентский запрос slmgr.vbs /ato На клиенте активирует Windows через KMS.

Microsoft рекомендует открывать порт 1688 для всех клиентских машин и KMS‑хоста — см. Microsoft Learn – KMS ports.

Как открыть порт в Kaspersky Endpoint Security

  1. В Kaspersky Security Center → Policies → Network → Firewall → Add rule.
  2. Введите «1688» в поле «Destination port».
  3. Выберите «Allow» и примените политику к группе клиентов.

Информация из документации Kaspersky — см. Kaspersky – Ports used by Kaspersky Security Center.

Управление исключениями Kaspersky Security Center

  1. Папка для скриптов

    • Создайте, например, C:\KMS_Scripts на сервере.
    • Разместите в ней activate.ps1 и любые вспомогательные файлы.

  2. Добавление в исключения

    • В Kaspersky Security Center → Policies → Antivirus & Antispam → Exclusions → Paths → Add → C:\KMS_Scripts\*.
    • Убедитесь, что политика «Trusted folder» активирована.

  3. Проблема с kmsauto

    • Как показал пользовательский запрос в Kaspersky Forum, добавление папки не всегда снимает блокировку:

      «Мы добавили папку к исключениям, но Kaspersky всё равно блокировал KMS‑активатор» — см. Kaspersky Forum – KMS activator.

    • Решением является отказ от сторонних активаторов и использование официальных команд (slmgr.vbs, ospp.vbs).

  4. Разрешения на выполнение

    • В политике «Application Control» добавьте powershell.exe и cscript.exe в список разрешённых приложений.

Создание и планирование скрипта активации

1. Скрипт activate.ps1

powershell
# --- activate.ps1 ---
# Проверяем наличие KMS‑хоста
$kmsHost = "kms.example.com"

# Активация Windows
Write-Host "Активация Windows..."
cscript.exe "$env:windir\system32\slmgr.vbs" /ato

# Активация Office (предполагается Office 2021/365)
$officePath = "C:\Program Files\Common Files\Microsoft Shared\OFFICE16\OSPP.VBS"
if (Test-Path $officePath) {
    Write-Host "Активация Office..."
    cscript.exe $officePath /act
} else {
    Write-Host "Office не найден, пропускаем."
}

# Проверка статуса
cscript.exe "$env:windir\system32\slmgr.vbs" /dli
cscript.exe $officePath /dstatus

Встроенные скрипты slmgr.vbs и OSPP.VBS являются официальными средствами активации Microsoft — см. Microsoft Docs – slmgr.vbs.

2. Планирование через Task Scheduler

  1. Откройте Task Scheduler.
  2. Создайте задачу «Activate Windows & Office».
  3. Триггер: Monthly, выбирайте первый день месяца, 00:05.
  4. Действие:
    • Program/script: powershell.exe
    • Add arguments: -ExecutionPolicy Bypass -File "C:\KMS_Scripts\activate.ps1"
  5. Условия:
    • Отметьте «Start only if the computer is on AC power» (если применимо).
  6. Параметры:
    • Запускайте с правами администратора.

Важно: Task Scheduler не должен быть ограничен политиками Kaspersky. Если задача не запускается, проверьте «Execution policy» и «Application Control» в Kaspersky.

Обход блокировки Kaspersky Endpoint Security

Проблема Причина Решение
Блокировка kmsauto Kaspersky распознаёт как вредоносный активатор Использовать официальные скрипты (slmgr.vbs, ospp.vbs); удалить kmsauto.
Блокировка PowerShell Политика «Application Control» Добавьте powershell.exe в список разрешенных.
Блокировка порта 1688 Файервол Kaspersky Откройте порт в политике «Firewall» (порт 1688/TCP).
Запуск Task Scheduler Доступ ограничен Убедитесь, что задача запускается от имени администратора и у неё есть права «Run whether user is logged on or not».

Kaspersky поддерживает настройку «Trusted folders» и «Application Control», которые позволяют явно разрешить выполнение конкретных скриптов и приложений — см. Kaspersky Documentation – Exclusions.

Заключение

  • Ключевой момент – наличие хотя бы одной лицензии Microsoft на KMS‑хосте. Без неё массовая активация невозможна.
  • Официальные клиентские команды (slmgr.vbs и ospp.vbs) предпочтительнее сторонних активаторов; они не будут блокироваться Kaspersky.
  • Порт 1688 должен быть открыт на всех устройствах; настройте правила в Kaspersky Firewall.
  • Исключения в Kaspersky позволяют разместить скрипты в защищённой папке, но обязательно добавьте powershell.exe и cscript.exe в список разрешённых.
  • Task Scheduler – простой способ автоматизировать активацию: запланируйте скрипт раз в месяц, убедитесь, что он запускается с правами администратора.

Следуя приведённой схеме, вы получите надёжную, масштабируемую систему активации Windows и Office в закрытой сети, полностью совместимую с Kaspersky Endpoint Security.

Авторы
НейроАгент
Автор
Проверено модерацией
НейроОтветы
Модерация
Массовая активация Windows/Office в сети с Kaspersky