Preparazione per la distribuzione

Questa sezione descrive le operazioni che è necessario eseguire prima della distribuzione di Kaspersky Security Center.

Pianificazione della distribuzione di Kaspersky Security Center

Questa sezione contiene informazioni sulle opzioni più convenienti per la distribuzione dei componenti di Kaspersky Security Center nella rete di un'organizzazione a seconda dei seguenti criteri:

• Numero totale di dispositivi
• Unità (sedi locali, filiali) separate a livello organizzativo o geografico
• Reti distinte connesse tramite canali con larghezza di banda ridotta
• Necessità dell'accesso via Internet all'Administration Server

Schemi tipici di distribuzione di un sistema di protezione

In questa sezione vengono descritti gli schemi standard per la distribuzione di un sistema di protezione anti-virus in una rete aziendale tramite Kaspersky Security Center.

Il sistema deve essere protetto contro qualsiasi tipo di accesso non autorizzato. È consigliabile installare tutti gli aggiornamenti della protezione disponibili per il sistema operativo prima di installare l'applicazione nel dispositivo e proteggere fisicamente Administration Server e punti di distribuzione.

È possibile utilizzare Kaspersky Security Center per distribuire un sistema di protezione in una rete aziendale tramite i seguenti schemi di distribuzione:

• Distribuzione di un sistema di protezione tramite Kaspersky Security Center, mediante uno dei seguenti modi:
  • Tramite Administration Console
  • Tramite Kaspersky Security Center 13.1 Web Console

  Le applicazioni Kaspersky vengono installate automaticamente nei dispositivi client che, a loro volta, vengono connessi automaticamente ad Administration Server utilizzando Kaspersky Security Center.

  Lo schema di distribuzione di base prevede la distribuzione di un sistema di protezione tramite Administration Console. L'utilizzo di Kaspersky Security Center 13.1 Web Console consente di avviare l'installazione delle applicazioni Kaspersky da un browser.

• Distribuzione manuale di un sistema di protezione utilizzando pacchetti di installazione indipendenti generati da Kaspersky Security Center.

  L'installazione delle applicazioni Kaspersky nei dispositivi client e nella workstation di amministrazione viene eseguita manualmente; le impostazioni per la connessione dei dispositivi client ad Administration Server vengono specificate durante l'installazione di Network Agent.

  Questo metodo di distribuzione è consigliato nei casi in cui l'installazione remota non è possibile.

Kaspersky Security Center consente inoltre di distribuire il sistema di protezione utilizzando i criteri di gruppo di Microsoft Active Directory.

Informazioni sulla pianificazione della distribuzione di Kaspersky Security Center nella rete di un'organizzazione

Un solo Administration Server può supportare un massimo di 100.000 dispositivi. Se il numero totale di dispositivi nella rete di un'organizzazione è superiore a 100.000, è necessario distribuire più Administration Server nella rete e combinarli in una gerarchia per gestirli comodamente in modo centralizzato.

Se un'organizzazione include sedi locali remote su larga scala (filiali) con amministratori distinti, è consigliabile distribuire gli Administration Server in tali sedi. In caso contrario, tali filiali devono essere considerate reti distinte connesse tramite canali a basso throughput; vedere la sezione "Configurazione standard: poche sedi su larga scala gestite da amministratori distinti".

Quando si utilizzano reti distinte connesse tramite canali con larghezza di banda ridotta, è possibile ridurre il traffico assegnando a uno o più Network Agent il ruolo di punto di distribuzione (vedere la tabella per il calcolo del numero di punti di distribuzione). In questo caso, tutti i dispositivi in una rete distinta recupereranno gli aggiornamenti da tali centri di aggiornamento locali. I punti di distribuzione effettivi possono scaricare gli aggiornamenti sia da Administration Server (scenario predefinito) sia dai server Kaspersky in Internet (vedere la sezione "Configurazione standard: più sedi remote di piccole dimensioni").

La sezione "Configurazioni standard di Kaspersky Security Center" fornisce descrizioni dettagliate delle configurazioni standard di Kaspersky Security Center. Durante la pianificazione della distribuzione, scegliere la configurazione standard più adatta, in base alla struttura dell'organizzazione.

In fase di pianificazione della distribuzione, deve essere valutata l'assegnazione di uno speciale certificato X.509 all'Administration Server. L'assegnazione del certificato X.509 all'Administration Server può essere utile nei seguenti casi (elenco parziale):

• Ispezione del traffico SSL (Secure Sockets Layer) per mezzo di un proxy con terminazione SSL o per l'utilizzo di un proxy inverso
• Integrazione con l'infrastruttura PKI (Public Key Infrastructure) di un'organizzazione
• Specificazione dei valori richiesti nei campi del certificato
• Specificazione del livello di criptaggio richiesto di un certificato

Selezione di una struttura per la protezione di un'azienda

La selezione di una struttura per la protezione di un'organizzazione viene definita dai seguenti fattori:

• Topologia della rete dell'organizzazione.
• Struttura dell'organizzazione.
• Numero di dipendenti responsabili della protezione della rete e allocazione delle relative responsabilità.
• Risorse hardware che possono essere allocate nei componenti di gestione della protezione.
• Throughput dei canali di comunicazione che è possibile allocare per la manutenzione dei componenti della protezione nella rete dell'organizzazione.
• Limiti di tempo per l'esecuzione di operazioni amministrative critiche nella rete dell'organizzazione. Le operazioni amministrative critiche includono, ad esempio, la distribuzione dei database anti-virus e la modifica dei criteri per i dispositivi client.

Quando si seleziona una struttura di protezione, è innanzitutto consigliabile effettuare una stima delle risorse hardware e di rete disponibili che è possibile utilizzare per l'esecuzione di un sistema di protezione centralizzato.

Per analizzare l'infrastruttura di rete e hardware, è consigliabile attenersi alla seguente procedura:

1. Definire le seguenti impostazioni della rete per cui verrà distribuita la protezione:
   • Numero di segmenti di rete.
   • Velocità dei canali di comunicazione tra i singoli segmenti di rete.
   • Numero di dispositivi gestiti in ciascun segmento di rete.
   • Throughput di ciascun canale di comunicazione che è possibile allocare per garantire il funzionamento della protezione.
2. Determinare il tempo massimo consentito per l'esecuzione delle operazioni di amministrazione chiave per tutti i dispositivi gestiti.
3. Analizzare le informazioni dei passaggi 1 e 2, oltre ai dati dai test di carico del sistema di amministrazione. In base all'analisi, rispondere alle seguenti domande:
   • È possibile servire tutti i client con un solo Administration Server o è necessaria una gerarchia di Administration Server?
   • Quale configurazione hardware di Administration Server è necessaria per gestire tutti i client nel rispetto dei limiti di tempo specificati al passaggio 2?
   • È necessario utilizzare i punti di distribuzione per ridurre il carico sui canali di comunicazione?

Dopo aver ottenuto le risposte alle domande indicate nel passaggio 3, è possibile compilare un set di strutture consentite per la protezione dell'organizzazione.

Nella rete dell'organizzazione è possibile utilizzare una delle seguenti strutture di protezione standard:

• Un solo Administration Server. Tutti i dispositivi client sono connessi a un solo Administration Server. Administration Server opera come punto di distribuzione.
• Un solo Administration Server con punti di distribuzione. Tutti i dispositivi client sono connessi a un solo Administration Server. Alcuni dispositivi client della rete operano come punti di distribuzione.
• Gerarchia di Administration server. Per ciascun segmento di rete viene allocato un singolo Administration Server, che entra a far parte di una gerarchia generale di Administration Server. L'Administration Server primario opera come punto di distribuzione.
• Gerarchia di Administration Server con punti di distribuzione. Per ciascun segmento di rete viene allocato un singolo Administration Server, che entra a far parte di una gerarchia generale di Administration Server. Alcuni dispositivi client della rete operano come punti di distribuzione.

Configurazioni standard di Kaspersky Security Center

Questa sezione descrive le seguenti configurazioni standard utilizzate per la distribuzione dei componenti di Kaspersky Security Center nella rete di un'organizzazione:

• Singola sede
• Poche sedi su larga scala, separate a livello geografico e gestite da amministratori distinti
• Più sedi di piccole dimensioni, separate a livello geografico

Configurazione standard: singola sede

È possibile distribuire uno o più Administration Server nella rete dell'organizzazione. Il numero di Administration Server che è possibile selezionare può essere basato sull'hardware disponibile o sul numero totale di dispositivi gestiti.

Un solo Administration Server può supportare fino a 100.000 dispositivi. È necessario tenere conto della possibilità di aumentare il numero di dispositivi gestiti in futuro: può essere utile connettere un numero più limitato di dispositivi a un singolo Administration Server.

Gli Administration Server possono essere distribuiti nella rete interna o nella rete perimetrale, a seconda del fatto che sia necessario o meno l'accesso via Internet agli Administration Server.

Se vengono utilizzati più server, è consigliabile combinarli in una gerarchia. L'utilizzo di una gerarchia di Administration Server consente di evitare la duplicazione di criteri e attività e di amministrare l'intero set di dispositivi gestiti come se fossero gestiti da un singolo Administration Server (ricerca di dispositivi, creazione di selezioni di dispositivi e generazione di rapporti).

Configurazione standard: poche sedi su larga scala gestite da amministratori distinti

Se un'organizzazione ha diverse sedi su larga scala e geograficamente distanti, è necessario prendere in considerazione l'opzione di distribuire Administration Server in ciascuna sede. Per ogni sede possono essere distribuiti uno o più server di amministrazione, a seconda del numero di dispositivi client e dell'hardware disponibile. In questo caso, ciascuna sede avrà le caratteristiche descritte nello scenario "Configurazione standard: singola sede". Per semplificare l'amministrazione è consigliabile combinare tutti gli Administration Server in una gerarchia (possibilmente multi-livello).

Se alcuni dipendenti si spostano da un ufficio all'altro con i propri dispositivi (laptop), creare profili di connessione di Network Agent nel criterio di Network Agent. I profili di connessione di Network Agent sono supportati solo per gli host Windows e MacOS.

Configurazione standard: più sedi remote di piccole dimensioni

Questa configurazione standard prevede una sede centrale e diverse sedi remote di piccole dimensioni che possono comunicare con la sede centrale tramite Internet. Ogni sede remota può essere posizionata dietro un NAT (Network Address Translation), quindi non è possibile stabilire alcuna connessione tra due sedi remote poiché sono isolate.

È necessario distribuire un Administration Server nella sede centrale e assegnare uno o più punti di distribuzione a tutte le altre sedi. Se le sedi sono collegate via Internet, può essere utile creare un'attività Scarica aggiornamenti negli archivi dei punti di distribuzione per i punti di distribuzione, in modo gli aggiornamenti vengano scaricati direttamente dai server di Kaspersky, dalla cartella locale o di rete, invece che da Administration Server.

Se alcuni dispositivi in una sede remota non hanno accesso diretto all'Administration Server (ad esempio, l'accesso all'Administration Server viene fornito via Internet ma alcuni dispositivi non hanno accesso a Internet), i punti di distribuzione devono essere impostati in modalità gateway di connessione. In questo caso, i Network Agent nei dispositivi della sede remota saranno connessi per l'ulteriore sincronizzazione all'Administration Server, ma attraverso il gateway, non direttamente.

Poiché in genere l'Administration Server non è in grado di eseguire il polling della rete della sede remota, può essere utile assegnare questa funzione a un punto di distribuzione.

L'Administration Server non potrà inviare notifiche tramite la porta UDP 15000 ai dispositivi gestiti posizionati dietro il NAT nella sede remota. Per risolvere questo problema, è possibile abilitare la modalità di connessione continua ad Administration Server nelle proprietà dei dispositivi che operano come punti di distribuzione (casella di controllo Non eseguire la disconnessione dall'Administration Server). Questa modalità è disponibile se il numero totale di punti di distribuzione non è superiore a 300. Utilizzare i server push per assicurarsi che vi sia una connettività costante tra un dispositivo gestito e l'Administration Server. Per ulteriori dettagli, fare riferimento al seguente argomento: Utilizzo di un punto di distribuzione come server push.

Come selezionare un DBMS per Administration Server

Durante la selezione del sistema di gestione database (DBMS) che deve essere utilizzato da un Administration Server, è necessario tenere conto del numero di dispositivi coperti dall'Administration Server.

SQL Server Express Edition prevede limitazioni sul volume di memoria utilizzato, sul numero di core CPU utilizzati e sulle dimensioni massime del database. Di conseguenza, non è possibile utilizzare SQL Server Express Edition se Administration Server include più di 10.000 dispositivi o se Controllo Applicazioni è utilizzato nei dispositivi gestiti. Se Administration Server viene utilizzato come server Windows Server Update Services (WSUS), non è possibile utilizzare nemmeno SQL Server Express Edition.

Se Administration Server copre più di 10.000 dispositivi, è consigliabile utilizzare versioni di SQL Server con meno limitazioni, ad esempio: SQL Server Workgroup Edition, SQL Server Web Edition, SQL Server Standard Edition o SQL Server Enterprise Edition.

Se Administration Server copre al massimo 50.000 dispositivi e se la funzionalità Controllo Applicazioni non viene utilizzata nei dispositivi gestiti, è possibile utilizzare anche MySQL 8.0.20 e versioni successive.

Se Administration Server copre al massimo 20.000 dispositivi e se la funzionalità Controllo Applicazioni non viene utilizzata nei dispositivi gestiti, è possibile utilizzare il server MariaDB 10.3 come DBMS.

Se Administration Server copre al massimo 10.000 dispositivi e se la funzionalità Controllo Applicazioni non viene utilizzata nei dispositivi gestiti, è possibile utilizzare anche MySQL 5.5, 5.6 o 5.7 come DBMS.

Le versioni 5.5.1, 5.5.2, 5.5.3, 5.5.4 e 5.5.5 di MySQL non sono più supportate.

Se si utilizza SQL Server 2019 come DBMS e non si dispone della patch cumulativa CU12 o versione successiva, è necessario eseguire le seguenti operazioni dopo l'installazione di Kaspersky Security Center:

1. Stabilire la connessione a SQL Server utilizzando SQL Management Studio.
2. Eseguire il seguente comando (se è stato selezionato un nome diverso per il database, utilizza quel nome invece di KAV):

   USE KAV

   GO

   ALTER DATABASE SCOPED CONFIGURATION SET TSQL_SCALAR_UDF_INLINING = OFF

   GO

3. Riavviare il servizio SQL Server 2019.

In alternativa, l'utilizzo di SQL Server 2019 può generare errori, ad esempio "Memoria di sistema insufficiente nel pool di risorse 'interno' per l'esecuzione di questa query".

Selezione di un DBMS

Durante l'installazione di Administration Server, è possibile selezionare il sistema DBMS che verrà utilizzato da Administration Server. Durante la selezione del sistema di gestione database (DBMS) che deve essere utilizzato da un Administration Server, è necessario tenere conto del numero di dispositivi coperti dall'Administration Server.

Nella seguente tabella sono elencate le opzioni DBMS valide e le limitazioni per il relativo utilizzo.

Limitazioni per DBMS

Se si utilizza SQL Server 2019 come DBMS e non si dispone della patch cumulativa CU12 o versione successiva, è necessario eseguire le seguenti operazioni dopo l'installazione di Kaspersky Security Center:

1. Stabilire la connessione a SQL Server utilizzando SQL Management Studio.
2. Eseguire il seguente comando (se è stato selezionato un nome diverso per il database, utilizza quel nome invece di KAV):

   USE KAV

   GO

   ALTER DATABASE SCOPED CONFIGURATION SET TSQL_SCALAR_UDF_INLINING = OFF

   GO

3. Riavviare il servizio SQL Server 2019.

In alternativa, l'utilizzo di SQL Server 2019 può generare errori, ad esempio "Memoria di sistema insufficiente nel pool di risorse 'interno' per l'esecuzione di questa query".

L'utilizzo simultaneo del DBMS SQL Server Express Edition da parte di Administration Server e di un'altra applicazione non è consentito.

Gestione dei dispositivi mobili con Kaspersky Endpoint Security for Android

I dispositivi mobili in cui è installato Kaspersky Endpoint Security for Android (di seguito denominati dispositivi KES) sono gestiti tramite l'Administration Server. Kaspersky Security Center 10 Service Pack 1 e le versioni successive supportano le seguenti funzionalità per la gestione dei dispositivi KES:

• Gestione dei dispositivi mobili come dispositivi client:
  • Appartenenza ai gruppi di amministrazione
  • Monitoraggio, ad esempio la visualizzazione di stati, eventi e rapporti
  • Modifica delle impostazioni locali e assegnazione di criteri per Kaspersky Endpoint Security for Android
• Invio di comandi in modalità centralizzata
• Installazione remota di pacchetti app mobili

Administration Server gestisce i dispositivi KES tramite TLS, porta TCP 13292.

Concessione dell'accesso via Internet all'Administration Server

L'accesso via Internet all'Administration Server è necessario nei seguenti casi:

• Aggiornamento periodico dei database, dei moduli software e delle applicazioni Kaspersky
• Aggiornamento di software di terze parti

  Per impostazione predefinita, non è richiesta la connessione Internet per l'installazione degli aggiornamenti software Microsoft nei dispositivi gestiti da parte di Administration Server. I dispositivi gestiti possono ad esempio scaricare gli aggiornamenti software Microsoft direttamente dai server Microsoft Update o da Windows Server con Microsoft Windows Server Update Services (WSUS) distribuito nella rete dell'organizzazione. Administration Server deve essere connesso a Internet nei seguenti casi:

  • Quando si usa Administration Server come server WSUS
  • Per installare gli aggiornamenti di software di terze parti diverso dal software Microsoft
• Correzione delle vulnerabilità del software di terze parti

  È necessaria una connessione Internet affinché Administration Server esegua le seguenti attività:

  • Per creare un elenco di correzioni consigliate per le vulnerabilità nel software Microsoft. L'elenco viene creato e aggiornato regolarmente dagli specialisti Kaspersky.
  • Per correggere le vulnerabilità in software di terze parti diverso dal software Microsoft.
• Gestione dei dispositivi (portatili) degli utenti fuori sede
• Gestione dei dispositivi nelle sedi remote
• Interazione con gli Administration Server primari o secondari situati nelle sedi remote
• Gestione dei dispositivi mobili

Questa sezione descrive i modi tipici per fornire l'accesso via Internet all'Administration Server. Ciascuno dei casi che prevedono l'accesso via Internet ad Administration Server può richiedere un certificato dedicato per Administration Server.

Accesso a Internet: Administration Server in una rete locale

Se l'Administration Server è posizionato nella rete interna di un'organizzazione, è consigliabile rendere la porta TCP 13000 dell'Administration Server accessibile dall'esterno per mezzo del port forwarding. Se è necessaria la gestione dei dispositivi mobili, è consigliabile rendere accessibile la porta TCP 13292.

Accesso a Internet: Administration Server in una rete perimetrale

Se l'Administration Server è posizionato nella rete perimetrale dell'organizzazione, non ha accesso alla rete interna dell'organizzazione. Si applicano pertanto le seguenti limitazioni:

• L'Administration Server non può rilevare nuovi dispositivi.
• Administration Server non può eseguire la distribuzione iniziale di Network Agent tramite l'installazione forzata sui dispositivi nella rete interna dell'organizzazione.

Questo vale solo per l'installazione iniziale di Network Agent. Qualsiasi ulteriore upgrade di Network Agent o l'installazione dell'applicazione di protezione potranno comunque essere eseguiti dall'Administration Server. Allo stesso tempo, la distribuzione iniziale di Network Agent può essere eseguita con altri sistemi, ad esempio tramite i criteri di gruppo di Microsoft Active Directory.

• L'Administration Server non può inviare notifiche ai dispositivi gestiti tramite la porta UDP 15000, che non è critica per il funzionamento di Kaspersky Security Center.
• L'Administration Server non può eseguire il polling di Active Directory. Tuttavia, i risultati del polling di Active Directory non sono richiesti nella maggior parte degli scenari.

Se le limitazioni precedenti sono considerate di importanza critica, possono essere rimosse utilizzando punti di distribuzione posizionati nella rete dell'organizzazione:

• Per eseguire la distribuzione iniziale nei dispositivi senza Network Agent, installare Network Agent in uno dei dispositivi e quindi assegnargli lo stato di punto di distribuzione. L'installazione iniziale di Network Agent negli altri dispositivi sarà eseguita da Administration Server tramite questo punto di distribuzione.
• Per rilevare i nuovi dispositivi nella rete interna dell'organizzazione ed eseguire il polling di Active Directory, è necessario abilitare i metodi di device discovery appropriati in uno dei punti di distribuzione.
• Per assicurare il corretto invio delle notifiche alla porta UDP 15000 sui dispositivi gestiti nella rete interna dell'organizzazione, è necessario coprire l'intera rete con punti di distribuzione. Nelle proprietà dei punti di distribuzione assegnati selezionare la casella di controllo Non eseguire la disconnessione dall'Administration Server. Administration Server stabilirà una connessione continua ai punti di distribuzione e questi potranno inviare notifiche alla porta UDP 15000 nei dispositivi che si trovano nella rete interna dell'organizzazione.

Accesso a Internet: Network Agent come gateway di connessione nella rete perimetrale

Administration Server può essere posizionato nella rete interna dell'organizzazione: in una rete perimetrale (DMZ) di tale rete può essere presente un dispositivo con Network Agent eseguito come gateway di connessione con connettività inversa (Administration Server stabilisce una connessione a Network Agent). In questo caso, devono essere soddisfatte le seguenti condizioni per garantire l'accesso a Internet:

• Nel dispositivo posizionato nella rete perimetrale deve essere installato Network Agent. Quando si installa Network Agent, nella finestra Gateway di connessione dell'Installazione guidata selezionare Utilizzare Network Agent come gateway di connessione nella rete perimetrale.
• Il dispositivo con il gateway di connessione installato deve essere aggiunto come punto di distribuzione. Quando si aggiunge il gateway di connessione, nella finestra Aggiungi punto di distribuzione selezionare l'opzione Seleziona → Aggiungi gateway di connessione nella rete perimetrale in base all'indirizzo.
• Per utilizzare una connessione Internet per connettere computer desktop esterni ad Administration Server, è necessario correggere il pacchetto di installazione per Network Agent. Nelle proprietà del pacchetto di installazione creato selezionare l'opzione Avanzate →Connetti ad Administration Server utilizzando il gateway di connessione, quindi specificare il nuovo gateway di connessione creato.

Per il gateway di connessione nella rete perimetrale, Administration Server crea un certificato firmato con il certificato di Administration Server. Se l'amministratore decide di assegnare un certificato personalizzato ad Administration Server, questa operazione deve essere eseguita prima di creare un gateway di connessione nella rete perimetrale.

Se alcuni dipendenti utilizzano computer portatili che possono connettersi ad Administration Server sia dalla rete locale che via Internet, può essere utile creare una regola per il passaggio di Network Agent nel criterio di Network Agent.

Informazioni sui punti di distribuzione

Un dispositivo in cui è installato Network Agent può essere utilizzato come punto di distribuzione. In questa modalità, Network Agent può eseguire le seguenti funzioni:

• Distribuire gli aggiornamenti (recuperati dall'Administration Server o dai server di Kaspersky). Nel secondo caso, è necessario creare l'attività Scarica aggiornamenti negli archivi dei punti di distribuzione per il dispositivo che opera come punto di distribuzione:
  • Installare il software (inclusa la distribuzione iniziale dei Network Agent) in altri dispositivi.
  • Eseguire il polling della rete per rilevare nuovi dispositivi e aggiornare le informazioni sui dispositivi esistenti. Un punto di distribuzione può applicare gli stessi metodi di individuazione dispositivi di Administration Server.

La distribuzione dei punti di distribuzione nella rete di un'organizzazione ha i seguenti obiettivi:

• Riduzione del carico sull'Administration Server.
• Ottimizzazione del traffico.
• Concessione all'Administration Server dell'accesso ai dispositivi in posizioni difficili da raggiungere della rete dell'organizzazione. La disponibilità di un punto di distribuzione nella rete dietro un NAT (in relazione all'Administration Server) consente all'Administration Server di eseguire le seguenti azioni:
  • Inviare notifiche ai dispositivi tramite UDP.
  • Polling della rete.
  • Eseguire la distribuzione iniziale.

Un punto di distribuzione viene assegnato a un gruppo di amministrazione. In questo caso, l'ambito del punto di distribuzione include tutti i dispositivi all'interno del gruppo di amministrazione e di tutti i relativi sottogruppi. Tuttavia, il dispositivo che opera come punto di distribuzione può non essere incluso nel gruppo di amministrazione a cui è stato assegnato.

È possibile far funzionare un punto di distribuzione come gateway di connessione. In questo caso, i dispositivi nell'ambito del punto di distribuzione saranno connessi all'Administration Server tramite il gateway, non direttamente. Questa modalità può essere utile negli scenari che non consentono di stabilire una connessione diretta tra Administration Server e dispositivi gestiti.

Calcolo del numero e configurazione dei punti di distribuzione

Più dispositivi client contiene una rete, maggiore è il numero dei punti di distribuzione richiesti. È consigliabile non disabilitare l'assegnazione automatica dei punti di distribuzione. Quando è abilitata l'assegnazione automatica dei punti di distribuzione, Administration Server assegna i punti di distribuzione se il numero dei dispositivi client è ampio e definisce la configurazione.

Utilizzo di punti di distribuzione assegnati in modo esclusivo

Se si prevede di utilizzare alcuni dispositivi specifici come punti di distribuzione (ovvero, server assegnati in modo esclusivo), è possibile scegliere di non utilizzare l'assegnazione automatica dei punti di distribuzione. In questo caso, verificare che i dispositivi a cui assegnare il ruolo di punti di distribuzione dispongano di un volume sufficiente di spazio libero su disco, che non vengano arrestati regolarmente e che la modalità di sospensione sia disabilitata.

Numero di punti di distribuzione assegnati in modo esclusivo in una rete che contiene un solo segmento di rete, in base al numero di dispositivi di rete

Numero di punti di distribuzione assegnati in modo esclusivo in una rete che contiene più segmenti di rete, in base al numero di dispositivi di rete

Utilizzo di dispositivi client standard (workstation) come punti di distribuzione

Se si prevede di utilizzare dispositivi client standard (ovvero, workstation) come punti di distribuzione, è consigliabile assegnare i punti di distribuzione come indicato nelle tabelle seguenti per evitare un carico eccessivo sui canali di comunicazione e su Administration Server:

Numero di workstation che operano come punti di distribuzione in una rete che contiene un solo segmento di rete, in base al numero di dispositivi di rete

Numero di workstation che operano come punti di distribuzione in una rete che contiene più segmenti di rete, in base al numero di dispositivi di rete

Se un punto di distribuzione viene arrestato (o non è disponibile per altri motivi), i dispositivi gestiti nel relativo ambito possono accedere ad Administration Server per gli aggiornamenti.

Gerarchia di Administration server

Un MSP può eseguire diversi Administration Server. Poiché può essere scomodo amministrare più Administration Server distinti, è possibile applicare una gerarchia. Una configurazione "primario/secondario" per due Administration Server fornisce le seguenti opzioni:

• Un Administration Server secondario eredita i criteri e le attività dall'Administration Server primario, evitando così la duplicazione delle impostazioni.
• Le selezioni di dispositivi nell'Administration Server primario possono includere i dispositivi degli Administration Server secondari.
• I rapporti nell'Administration Server primario possono contenere dati (incluse informazioni dettagliate) ottenuti dagli Administration Server secondari.

Administration Server virtuali

Sulla base di un Administration Server fisico, è possibile creare più Administration Server virtuali, simili agli Administration Server secondari. Rispetto al modello di accesso discrezionale, che è basato su elenchi di controllo di accesso (ACL), il modello degli Administration Server virtuali è più funzionale e fornisce un maggior livello di isolamento. Oltre a una struttura dedicata di gruppi di amministrazione per i dispositivi assegnati con criteri e attività, ogni Administration Server virtuale ha uno specifico gruppo di dispositivi non assegnati, set di rapporti, selezioni di dispositivi ed eventi, pacchetti di installazione, regole di spostamento e così via. L'ambito funzionale degli Administration Server virtuali può essere utilizzato sia dai provider di servizi (xSP), per aumentare al massimo l'isolamento dei clienti, che dalle organizzazioni di grandi dimensioni con flussi di lavoro sofisticati e numerosi amministratori.

Gli Administration Server virtuali sono molto simili agli Administration Server secondari, ma con le seguenti distinzioni:

• Un Administration Server virtuale non dispone della maggior parte delle impostazioni globali e di specifiche porte TCP.
• Un Administration Server virtuale non dispone di Administration Server secondari.
• Un Administration Server virtuale non include altri Administration Server virtuali.
• Un Administration Server fisico visualizza i dispositivi, i gruppi, gli eventi e gli oggetti nei dispositivi gestiti (elementi in Quarantena, registro delle applicazioni e così via) di tutti i relativi Administration Server virtuali.
• Un Administration Server virtuale può eseguire solo la scansione della rete a cui sono connessi punti di distribuzione.

Informazioni sulle limitazioni di Kaspersky Security Center

Nella seguente tabella sono riportate le limitazioni della versione corrente di Kaspersky Security Center.

Limitazioni di Kaspersky Security Center

Carico di rete

Questa sezione contiene informazioni sul volume del traffico di rete scambiato tra i dispositivi client e Administration Server durante gli scenari di amministrazione chiave.

Il carico principale sulla rete è causato dai seguenti scenari di amministrazione:

• Distribuzione iniziale della protezione anti-virus
• Aggiornamento iniziale dei database anti-virus
• Sincronizzazione di un dispositivo client con Administration Server
• Aggiornamenti periodici dei database anti-virus
• Elaborazione di eventi nei dispositivi client da parte di Administration Server

Distribuzione iniziale della protezione anti-virus

In questa sezione vengono fornite informazioni sui valori del volume del traffico registrati dopo l'installazione di Network Agent 13.1 e Kaspersky Endpoint Security for Windows nel dispositivo client (vedere la tabella seguente).

Network Agent viene installato utilizzando l'installazione forzata, in cui i file necessari per l'installazione vengono copiati da Administration Server in una cartella condivisa nel dispositivo client. Al termine dell'installazione, Network Agent recupera il pacchetto di distribuzione di Kaspersky Endpoint Security for Windows utilizzando la connessione ad Administration Server.

Traffico

Dopo l'installazione di Network Agent nei dispositivi client, a uno dei dispositivi nel gruppo di amministrazione può essere assegnato il ruolo di punto di distribuzione. Questo viene utilizzato per la distribuzione dei pacchetti di installazione. In questo caso, il volume di traffico trasferito durante la distribuzione iniziale della protezione anti-virus varia in modo significativo a seconda del fatto che si utilizzi o meno la modalità IP multicast.

Se viene utilizzata la modalità IP multicast, i pacchetti di installazione vengono inviati una sola volta a tutti i dispositivi in esecuzione nel gruppo di amministrazione. Il traffico totale si riduce quindi di N volte, dove N è il numero totale di dispositivi in esecuzione nel gruppo di amministrazione. Se non si utilizza la modalità IP multicast, il traffico totale è identico al traffico calcolato quando i pacchetti di distribuzione vengono scaricati da Administration Server. Tuttavia, l'origine dei pacchetti è il punto di distribuzione anziché Administration Server.

Aggiornamento iniziale dei database anti-virus

I valori del traffico durante l'aggiornamento iniziale dei database anti-virus (al primo avvio dell'attività di aggiornamento del database in un dispositivo client) sono i seguenti:

• Traffico da un dispositivo client ad Administration Server: 1,8 MB.
• Traffico da Administration Server a un dispositivo client: 113 MB.
• Traffico totale (per un singolo dispositivo client): 114 MB.

I dati possono variare leggermente a seconda della versione corrente del database anti-virus.

Sincronizzazione di un client con Administration Server

Questo scenario descrive lo stato del sistema di amministrazione nei casi in cui si verifica una sincronizzazione intensiva dei dati tra un dispositivo client e Administration Server. I dispositivi client si connettono ad Administration Server in base all'intervallo definito dall'amministratore. Administration Server confronta lo stato dei dati in un dispositivo client con quello sul server, registra le informazioni nel database sull'ultima connessione del dispositivo client e sincronizza i dati.

Questa sezione contiene informazioni sui valori del traffico per scenari di amministrazione di base durante la connessione di un client ad Administration Server (vedere la tabella seguente). I dati nella tabella possono variare leggermente a seconda della versione corrente del database anti-virus.

Traffico

Il volume del traffico complessivo varia considerevolmente a seconda dell'utilizzo della modalità IP multicast nei gruppi di amministrazione. Se si utilizza la modalità IP multicast, il volume di traffico totale diminuisce approssimativamente di N volte per il gruppo, dove N sta per il numero totale di dispositivi inclusi nel gruppo di amministrazione.

Il volume di traffico al momento della sincronizzazione iniziale prima e dopo un aggiornamento dei database è specificato per i seguenti casi:

• Installazione di Network Agent e di un'applicazione di protezione in un dispositivo client
• Trasferimento di un dispositivo client in un gruppo di amministrazione
• Applicazione in un dispositivo client di un criterio e delle attività che sono state create per il gruppo per impostazione predefinita

Questa tabella specifica i valori del traffico in caso di modifiche di una delle impostazioni di protezione incluse nelle impostazioni del criterio di Kaspersky Endpoint Security. I dati per le altre impostazioni dei criteri possono risultare diversi da quelli riportati nella tabella.

Aggiornamento aggiuntivo dei database anti-virus

I valori del traffico in caso di aggiornamento incrementale dei database anti-virus 20 ore dopo l'aggiornamento precedente sono i seguenti:

• Traffico da un dispositivo client ad Administration Server: 169 KB.
• Traffico da Administration Server a un dispositivo client: 16 MB.
• Traffico totale (per un singolo dispositivo client): 16,3 MB.

I dati nella tabella possono variare leggermente a seconda della versione corrente del database anti-virus.

Il volume del traffico varia considerevolmente a seconda dell'utilizzo della modalità IP multicast nei gruppi di amministrazione. Se si utilizza la modalità IP multicast, il volume di traffico totale diminuisce approssimativamente di N volte per il gruppo, dove N sta per il numero totale di dispositivi inclusi nel gruppo di amministrazione. 

Elaborazione di eventi nei client da parte di Administration Server

In questa sezione vengono fornite informazioni sui valori del traffico quando in un dispositivo client si verifica un evento di rilevamento di virus, che viene quindi inviato ad Administration Server e registrato nel database (vedere la tabella seguente). 

Traffico

I dati nella tabella possono variare leggermente a seconda della versione corrente dell'applicazione anti-virus e degli eventi definiti nel relativo criterio per la registrazione nel database di Administration Server. 

Traffico nell'arco di 24 ore

Questa sezione contiene informazioni sui valori del traffico per 24 ore di attività del sistema di amministrazione in condizione di "inattività", quando non vengono apportate modifiche ai dati né dai dispositivi client né da Administration Server (vedere la tabella seguente).

I dati presentati nella tabella descrivono la condizione della rete dopo l'installazione standard di Kaspersky Security Center e il completamento dell'Avvio rapido guidato. La frequenza di sincronizzazione del dispositivo client con Administration Server era di 20 minuti; gli aggiornamenti venivano scaricati nell'archivio di Administration Server ogni ora.

Valori del traffico per 24 ore nello stato inattivo

Preparazione per Mobile Device Management

Questa scheda fornisce le seguenti informazioni:

• Informazioni sul server per dispositivi mobili Exchange utilizzato per la gestione dei dispositivi mobili tramite il protocollo Exchange ActiveSync
• Informazioni sul server MDM iOS utilizzato per la gestione dei dispositivi iOS installando profili MDM iOS dedicati in tali dispositivi
• Informazioni sulla gestione dei dispositivi mobili in cui è installato Kaspersky Endpoint Security for Android

Server per dispositivi mobili Exchange

Un server per dispositivi mobili Exchange consente di gestire i dispositivi mobili connessi a un Administration Server utilizzando il protocollo Exchange ActiveSync (dispositivi EAS).

Come distribuire un server per dispositivi mobili Exchange

Se nell'organizzazione sono stati distribuiti più server Microsoft Exchange in un array del server Accesso client, è necessario installare un server per dispositivi mobili Exchange in ognuno dei server nell'array. L'opzione Modalità cluster deve essere abilitata nell'Installazione guidata del server per dispositivi mobili Exchange. In questo caso, il set di istanze del server per dispositivi mobili Exchange installato nei server dell'array è denominato cluster di server per dispositivi mobili Exchange.

Se nell'organizzazione non è stato distribuito alcun array del server Accesso client di server Microsoft Exchange, è necessario installare un server per dispositivi mobili Exchange in un server Microsoft Exchange che disponga di Accesso client. In questo caso, è necessario abilitare l'opzione Modalità standard nell'Installazione guidata del server per dispositivi mobili Exchange.

Insieme con il server per dispositivi mobili Exchange, è necessario installare nel dispositivo Network Agent, che consente di integrare il server per dispositivi mobili Exchange con Kaspersky Security Center.

L'ambito della scansione predefinito del server per dispositivi mobili Exchange è il dominio Active Directory corrente in cui è stato installato. La distribuzione di un server per dispositivi mobili Exchange in un server in cui è installato Microsoft Exchange Server (versioni 2010 e 2013) consente di espandere l'ambito della scansione, in modo da includere l'intera foresta di dominio nel server per dispositivi mobili Exchange (vedere la sezione "Configurazione dell'ambito della scansione"). Le informazioni richieste durante una scansione includono gli account degli utenti del server Microsoft Exchange, i criteri Exchange ActiveSync e i dispositivi mobili degli utenti connessi al server Microsoft Exchange tramite il protocollo Exchange ActiveSync.

Non è possibile installare più istanze del server per dispositivi mobili Exchange in un singolo dominio se sono in esecuzione in Modalità standard e sono gestite da un unico Administration Server. Anche all'interno di una singola foresta di dominio Active Directory non è possibile installare più istanze del server per dispositivi mobili Exchange (o più cluster di server per dispositivi mobili Exchange), se sono in esecuzione in Modalità standard con un ambito della scansione espanso che include l'intera foresta di dominio e sono connesse a un singolo Administration Server.

Diritti richiesti per la distribuzione di un server per dispositivi mobili Exchange

La distribuzione di un server per dispositivi mobili Exchange in Microsoft Exchange Server 2010 o 2013 richiede diritti di amministratore di dominio e il ruolo Gestione organizzazione. La distribuzione di un server per dispositivi mobili Exchange in Microsoft Exchange Server 2007 richiede diritti di amministratore di dominio e l'appartenenza al gruppo di sicurezza Exchange Organization Administrators.

Account per il servizio Exchange ActiveSync

Durante l'installazione di un server per dispositivi mobili Exchange, viene automaticamente creato un account in Active Directory:

• In Microsoft Exchange Server 2010 o 2013: l'account KLMDM4ExchAdmin***** con il ruolo KLMDM Role Group.
• In Microsoft Exchange Server 2007: l'account KLMDM4ExchAdmin*****, un membro del gruppo di sicurezza KLMDM Secure Group.

Il servizio Server per dispositivi mobili Exchange viene eseguito con questo account.

Se si desidera annullare la generazione automatica di un account, è necessario crearne uno personalizzato con i seguenti diritti:

• Se si utilizza Microsoft Exchange Server (2010 o 2013), all'account deve essere assegnato un ruolo che consenta di eseguire i seguenti cmdlet:
  • Get-CASMailbox
  • Set-CASMailbox
  • Remove-ActiveSyncDevice
  • Clear-ActiveSyncDevice
  • Get-ActiveSyncDeviceStatistics
  • Get-AcceptedDomain
  • Set-AdServerSettings
  • Get-ActiveSyncMailboxPolicy
  • New-ActiveSyncMailboxPolicy
  • Set-ActiveSyncMailboxPolicy
  • Remove-ActiveSyncMailboxPolicy
• Se si utilizza Microsoft Exchange Server 2007, all'account devono essere concessi i diritti di accesso per gli oggetti di Active Directory (vedere la seguente tabella).

  Diritti di accesso per gli oggetti di Active Directory

  Accesso	Oggetto	Cmdlet
  Completo	Thread "CN=Mobile Mailbox Policies,CN=<Nome organizzazione>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Nome dominio>"	Add-ADPermission -User <Nome utente o gruppo> -Identity "CN=Mobile Mailbox Policies,CN=<Nome organizzazione>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Nome dominio>" -InheritanceType All -AccessRight GenericAll
  Lettura	Thread "CN=<Nome organizzazione>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Nome dominio>"	Add-ADPermission -User <Nome utente o gruppo> -Identity "CN=<Nome organizzazione>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Nome dominio>" -InheritanceType All -AccessRight GenericRead
  Lettura/scrittura	Proprietà msExchMobileMailboxPolicyLink e msExchOmaAdminWirelessEnable per gli oggetti in Active Directory	Add-ADPermission -User <Nome utente o gruppo> -Identity "DC=<Nome dominio>" -InheritanceType All -AccessRight ReadProperty,WriteProperty -Properties msExchMobileMailboxPolicyLink, msExchOmaAdminWirelessEnable
  Diritto esteso ms-Exch-Store-Active	Archivi di cassette postali del server Exchange, thread "CN=Databases,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=<Nome organizzazione>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Nome dominio>"	Get-MailboxDatabase | Add-ADPermission -User <Nome utente o gruppo> -ExtendedRights ms-Exch-Store-Admin

Server per dispositivi mobili MDM iOS

Il server MDM iOS consente di gestire i dispositivi iOS installando profili MDM iOS dedicati in tali dispositivi. Sono supportate le seguenti funzionalità:

• Blocco del dispositivo
• Reimpostazione della password
• Cancellazione dei dati
• Installazione o rimozione di app
• Utilizzo di un profilo MDM iOS con impostazioni avanzate (ad esempio per VPN, e-mail, Wi-Fi, fotocamera, certificati e così via)

Il server MDM iOS è un servizio Web che riceve le connessioni in entrata dai dispositivi mobili tramite la porta TLS (per impostazione predefinita, la porta 443), che è gestita da Kaspersky Security Center mediante Network Agent. Network Agent è installato in locale in un dispositivo in cui è distribuito un server MDM iOS.

Durante la distribuzione di un server MDM iOS, l'amministratore deve eseguire le seguenti operazioni:

• Fornire a Network Agent l'accesso all'Administration Server
• Fornire ai dispositivi mobili l'accesso alla porta TCP del server MDM iOS

In questa sezione sono descritte due configurazioni standard di un server MDM iOS.

Configurazione standard: gestione di Kaspersky Device Management for iOS nella rete perimetrale

Un server MDM iOS è posizionato nella rete perimetrale della rete locale di un'organizzazione con accesso a Internet. Una caratteristica speciale di questo approccio è l'assenza di qualsiasi problema quando i dispositivi accedono al servizio Web MDM iOS via Internet.

Poiché la gestione di un server MDM iOS richiede l'installazione di Network Agent in locale, è necessario garantire l'interazione di Network Agent con l'Administration Server. A tale scopo, è possibile utilizzare uno dei seguenti metodi:

• Spostamento di Administration Server nella rete perimetrale.
• Utilizzo di un gateway di connessione:
  1. Nel dispositivo in cui è distribuito il server MDM iOS connettere Network Agent all'Administration Server tramite un gateway di connessione.
  2. Nel dispositivo in cui è distribuito il server MDM iOS assegnare a Network Agent il ruolo di gateway di connessione.

Configurazione standard: server per dispositivi mobili MDM iOS nella rete locale di un'organizzazione

Un server per dispositivi mobili MDM iOS è posizionato nella rete interna di un'organizzazione. La porta 443 (porta predefinita) deve essere abilitata per l'accesso esterno, ad esempio attraverso la pubblicazione del servizio Web MDM iOS in Microsoft Forefront Threat Management Gateway (di seguito denominato TMG).

Qualsiasi configurazione standard richiede l'accesso ai servizi Web di Apple per il server MDM iOS (intervallo 17.0.0.0/8) tramite la porta TCP 2197. La porta viene utilizzata per informare i dispositivi dei nuovi comandi tramite un servizio dedicato denominato APNs.

Gestione dei dispositivi mobili con Kaspersky Endpoint Security for Android

I dispositivi mobili in cui è installato Kaspersky Endpoint Security for Android (di seguito denominati dispositivi KES) sono gestiti tramite l'Administration Server. Kaspersky Security Center 10 Service Pack 1 e le versioni successive supportano le seguenti funzionalità per la gestione dei dispositivi KES:

• Gestione dei dispositivi mobili come dispositivi client:
  • Appartenenza ai gruppi di amministrazione
  • Monitoraggio, ad esempio la visualizzazione di stati, eventi e rapporti
  • Modifica delle impostazioni locali e assegnazione di criteri per Kaspersky Endpoint Security for Android
• Invio di comandi in modalità centralizzata
• Installazione remota di pacchetti app mobili

Administration Server gestisce i dispositivi KES tramite TLS, porta TCP 13292.

Informazioni sulle prestazioni di Administration Server

Questa sezione presenta i risultati dei test sulle prestazioni di Administration Server per differenti configurazioni hardware e le limitazioni per la connessione dei dispositivi gestiti all'Administration Server.

Limitazioni relative alla connessione a un Administration Server

Un Administration Server supporta la gestione di un massimo di 100000 dispositivi senza compromettere le prestazioni.

Limitazioni per le connessioni a un Administration Server senza compromettere le prestazioni:

• Un solo Administration Server può supportare fino a 500 Administration Server virtuali.
• L'Administration Server primario supporta non più di 1000 sessioni contemporaneamente.
• Gli Administration Server virtuali supportano non più di 1000 sessioni contemporaneamente.

Risultati dei test sulle prestazioni di Administration Server

I risultati dei test sulle prestazioni di Administration Server hanno consentito di determinare il numero massimo di dispositivi client con cui Administration Server può essere sincronizzato per gli intervalli di tempo specificati. È possibile utilizzare queste informazioni per selezionare lo schema ottimale per la distribuzione della protezione anti-virus nelle reti di computer.

I dispositivi con le seguenti configurazioni hardware (vedere le seguenti tabelle) sono stati utilizzati per i test:

Configurazione hardware di Administration Server

Configurazione hardware del dispositivo SQL Server

Administration Server supportava la creazione di 500 Administration Server virtuali.

L'intervallo di sincronizzazione era di 15 minuti per ogni 10.000 dispositivi gestiti (vedere la tabella di seguito).

Riepilogo dei risultati dei test di carico di Administration Server

Se si connette Administration Server a un server database MySQL o SQL Express, è consigliabile evitare di utilizzare l'applicazione per gestire più di 10000 dispositivi. Per il sistema di gestione database MariaDB, il numero massimo di dispositivi gestiti consigliato è 20.000.

Risultati dei test sulle prestazioni del server proxy KSN

Se la rete aziendale include una grande quantità di dispositivi client che utilizzano Administration Server come server proxy KSN, l'hardware di Administration Server deve soddisfare requisiti specifici per essere in grado di elaborare le richieste provenienti dai dispositivi client. È possibile utilizzare i risultati dei test di seguito per valutare il carico di Administration Server nella rete e pianificare le risorse hardware per garantire il corretto funzionamento del servizio proxy KSN.

La tabella seguente consente di visualizzare la configurazione hardware di Administration Server utilizzata per il testing.

Configurazione hardware di Administration Server

La tabella seguente consente di visualizzare i risultati del test.

Riepilogo dei risultati dei test sulle prestazioni del server proxy KSN