Kaspersky Security Center 13.1

Sommario

[Topic 171271][Topic 3177]

Informazioni sull'Avvio rapido guidato

Questa sezione fornisce informazioni su Avvio rapido guidato di Administration Server.

L'Avvio rapido guidato di Administration Server consente di creare un numero minimo di attività e criteri necessari, regolare un numero minimo di impostazioni, scaricare e installare plug-in per applicazioni Kaspersky gestite e creare pacchetti di installazione di applicazioni Kaspersky gestite. Quando la procedura guidata è in esecuzione, è possibile apportare le seguenti modifiche all'applicazione:

  • Scaricare e installare plug-in per applicazioni gestite. Al termine dell'Avvio rapido guidato, l'elenco dei plug-in di gestione installati viene visualizzato nella sezione AvanzateDettagli dei plug-in di gestione applicazioni installati della finestra delle proprietà di Administration Server.
  • Creare pacchetti di installazione di applicazioni Kaspersky gestite. Al termine dell'Avvio rapido guidato, i pacchetti di installazione di Network Agent per Windows e delle applicazioni Kaspersky gestite vengono visualizzati nell'elenco Administration ServerAvanzateInstallazione remotaPacchetti di installazione.
  • Aggiungere file chiave o immettere codici di attivazione che è possibile distribuire automaticamente ai dispositivi nei gruppi di amministrazione. Al termine dell'Avvio rapido guidato, le informazioni sulle chiavi di licenza vengono visualizzate nell'elenco Administration ServerLicenze di Kaspersky e nella sezione Chiavi di licenza della finestra delle proprietà di Administration Server.
  • Configurare l'interazione con Kaspersky Security Network .
  • Impostare l'invio di notifiche tramite e-mail per informare degli eventi che si verificano durante l'esecuzione di Administration Server e delle applicazioni gestite (per il corretto invio delle notifiche, il servizio Messenger deve essere in esecuzione in Administration Server e in tutti i dispositivi dei destinatari). Al termine dell'Avvio rapido guidato, le impostazioni delle notifiche e-mail vengono visualizzate nella sezione Notifica della finestra delle proprietà di Administration Server.
  • Configurare le impostazioni di aggiornamento e le impostazioni per la correzione delle vulnerabilità delle applicazioni installate nei dispositivi.
  • Creare un criterio di protezione per workstation e server, nonché attività di scansione virus, attività di download degli aggiornamenti e attività di backup dei dati, per il livello superiore della gerarchia dei dispositivi gestiti. Al termine dell'Avvio rapido guidato, le attività create vengono visualizzate nell'elenco Administration ServerAttività, i criteri corrispondenti ai plug-in per le applicazioni gestite vengono visualizzati nell'elenco Administration ServerCriteri.

L'Avvio rapido guidato crea criteri per le applicazioni gestite, come Kaspersky Endpoint Security for Windows, a meno che tali criteri non siano già stati creati per il gruppo Dispositivi gestiti. L'Avvio rapido guidato crea attività se non esistono attività con gli stessi nomi per il gruppo Dispositivi gestiti.

In Administration Console, Kaspersky Security Center richiede automaticamente di eseguire l'Avvio rapido guidato dopo il primo avvio. È anche possibile avviare manualmente l'Avvio rapido guidato in qualsiasi momento.

Inizio pagina
[Topic 191740]

Avvio dell'Avvio rapido guidato di Administration Server

L'applicazione richiede automaticamente di eseguire l'Avvio rapido guidato dopo l'installazione di Administration Server, al momento della prima connessione. È anche possibile avviare manualmente l'Avvio rapido guidato in qualsiasi momento.

Per avviare manualmente l'Avvio rapido guidato:

  1. Nella struttura della console selezionare il nodo Administration Server.
  2. Nel menu di scelta rapida del nodo selezionare Tutte le attivitàAvvio rapido guidato di Administration Server.

Verrà offerta la possibilità di eseguire la configurazione iniziale di Administration Server. Seguire le istruzioni della procedura guidata.

Se si avvia nuovamente l'Avvio rapido guidato, non è possibile creare nuovamente attività e criteri creati nell'esecuzione precedente della procedura guidata.

Inizio pagina
[Topic 179835]

Passaggio 1. Introduzione all'Avvio rapido guidato

Leggere le informazioni sulle azioni eseguite dall'Avvio rapido guidato.

Inizio pagina
[Topic 187134]

Passaggio 2. Configurazione di un server proxy

Espandi tutto | Comprimi tutto

Specificare le impostazioni di accesso a Internet per Administration Server. È necessario configurare l'accesso a Internet per utilizzare Kaspersky Security Network e per scaricare gli aggiornamenti dei database anti-virus per Kaspersky Security Center e le applicazioni Kaspersky gestite.

Se si desidera utilizzare un server proxy durante la connessione a Internet, selezionare l'opzione Usa server proxy. Se questa opzione è selezionata, i campi sono disponibili per l'immissione delle impostazioni. Specificare le seguenti impostazioni per la connessione al server proxy:

  • Indirizzo

    Indirizzo del server proxy utilizzato per la connessione di Kaspersky Security Center a Internet.

  • Numero di porta

    Numero della porta utilizzata per stabilire la connessione al proxy di Kaspersky Security Center.

  • Ignora il server proxy per gli indirizzi locali

    Non verrà utilizzato alcun server proxy per la connessione ai dispositivi dalla rete locale.

  • Autenticazione server proxy

    Se questa casella di controllo è selezionata, nei campi di immissione è possibile specificare le credenziali per l'autenticazione del server proxy.

    Questo campo di immissione è disponibile se la casella di controllo Usa server proxy è selezionata.

  • Nome utente

    Account utente con il quale è stata stabilita la connessione al server proxy (questo campo è disponibile se la casella di controllo Autenticazione server proxy è selezionata).

  • Password

    Password impostata dall'utente di cui è stato utilizzato l'account per stabilire la connessione al server proxy (questo campo è disponibile se la casella di controllo Autenticazione server proxy è selezionata).

    Per visualizzare la password immessa, tenere premuto il pulsante Mostra per il tempo necessario.

È possibile configurare l'accesso a Internet in un secondo momento, separatamente dall'Avvio rapido guidato.

Per specificare le impostazioni di accesso a Internet per Administration Server:

  1. Nella struttura della console, selezionare il nodo Administration Server.
  2. Nel menu di scelta rapida di Administration Server, selezionare Proprietà.
  3. Nella finestra delle proprietà di Administration Server, passare a AvanzateConfigurazione dell'accesso a Internet.
  4. Specificare le impostazioni per la connessione a un server proxy.
Inizio pagina
[Topic 148954]

Passaggio 3. Selezione del metodo di attivazione dell'applicazione

Espandi tutto | Comprimi tutto

Selezionare una delle seguenti opzioni di attivazione di Kaspersky Security Center:

  • Inserendo il codice di attivazione

    Codice di attivazione è una sequenza univoca di 20 caratteri alfanumerici. Il codice di attivazione viene inserito per aggiungere una chiave che consente di attivare Kaspersky Security Center. Si riceve il codice di attivazione tramite l'indirizzo e-mail specificato dopo l'acquisto di Kaspersky Security Center.

    Per attivare l'applicazione con un codice di attivazione, è necessario l'accesso a Internet per stabilire la connessione con i server di attivazione Kaspersky.

    Se è stata selezionata questa opzione di attivazione, è possibile abilitare l'opzione Distribuisci automaticamente la chiave di licenza nei dispositivi gestiti.

    Se questa opzione è abilitata, la chiave di licenza verrà distribuita automaticamente ai dispositivi gestiti.

    Se questa opzione è disabilitata, è possibile distribuire la chiave di licenza ai dispositivi gestiti in un secondo momento, nel nodo Licenze di Kaspersky della struttura di Administration Console.

  • Specificando un file chiave

    File chiave: si tratta di un file con estensione key fornito all'utente da Kaspersky. Un file chiave consente di aggiungere una chiave per l'attivazione dell'applicazione.

    Si riceve il file chiave tramite l'indirizzo e-mail specificato dopo l'acquisto di Kaspersky Security Center.

    Per attivare l'applicazione utilizzando il file chiave, non è necessario connettersi ai server di attivazione di Kaspersky.

    Se è stata selezionata questa opzione di attivazione, è possibile abilitare l'opzione Distribuisci automaticamente la chiave di licenza nei dispositivi gestiti.

    Se questa opzione è abilitata, la chiave di licenza verrà distribuita automaticamente ai dispositivi gestiti.

    Se questa opzione è disabilitata, è possibile distribuire la chiave di licenza ai dispositivi gestiti in un secondo momento, nel nodo Licenze di Kaspersky della struttura di Administration Console.

  • Rimandando l'attivazione dell'applicazione

    L'applicazione verrà eseguita con la funzionalità di base, senza Mobile Device Management e senza Vulnerability e Patch Management.

Se si sceglie di rimandare l'attivazione dell'applicazione, è possibile aggiungere successivamente una chiave di licenza in qualsiasi momento.

Vedere anche:

Scenario di installazione principale

Inizio pagina
[Topic 148947]

Passaggio 4. Selezione degli ambiti e delle piattaforme di protezione

Espandi tutto | Comprimi tutto

Selezionare gli ambiti e le piattaforme di protezione in uso nella rete. Quando si selezionano queste opzioni, si specificano i filtri per i plug-in di gestione delle applicazioni e i pacchetti di distribuzione nei server Kaspersky che è possibile scaricare per installarli nei dispositivi client nella rete. Selezionare le opzioni:

  • Aree

    È possibile selezionare le seguenti aree di protezione:

    • Workstation. Selezionare questa opzione se si desidera proteggere le workstation nella rete. Per impostazione predefinita, l'opzione Workstation è selezionata.
    • File server e archiviazione. Selezionare questa opzione se si desidera proteggere i file server nella rete.
    • Virtualizzazione. Selezionare questa opzione se si desidera proteggere le macchine virtuali nella rete.
    • Sistema incorporato. Selezionare questa opzione se si desidera proteggere i sistemi integrati basati su Windows, come gli sportelli automatici (ATM).

  • Sistemi operativi

    È possibile selezionare le seguenti piattaforme:

    • Microsoft Windows
    • macOS
    • Android
    • Linux
    • Altro

    Per ulteriori informazioni sui sistemi operativi supportati, vedere Requisiti hardware e software per Kaspersky Security Center 13.1 Web Console.

È possibile selezionare i pacchetti dell'applicazione Kaspersky nell'elenco dei pacchetti disponibili in un secondo momento, separatamente dall'Avvio rapido guidato. Per semplificare la ricerca dei pacchetti richiesti, è possibile filtrare l'elenco dei pacchetti disponibili in base ai seguenti criteri:

  • Zona di protezione
  • Tipo di software scaricato (pacchetto di distribuzione, utilità, plug-in o plug-in Web)
  • Versione dell'applicazione Kaspersky
  • Lingua di localizzazione dell'applicazione Kaspersky
Inizio pagina
[Topic 191748]

Passaggio 5. Selezione dei plug-in per le applicazioni gestite

Espandi tutto | Comprimi tutto

Selezionare i plug-in per le applicazioni gestite da installare. Viene visualizzato un elenco dei plug-in che si trovano nei server Kaspersky. L'elenco viene filtrato in base alle opzioni selezionate nel passaggio precedente della procedura guidata. Per impostazione predefinita, un elenco completo include i plug-in di tutte le lingue. Per visualizzare solo il plug-in di una lingua specifica, selezionare la lingua dall'elenco a discesa Mostra lingua di localizzazione di Administration Console oppure. L'elenco dei plug-in include le seguenti colonne:

  • Nome applicazione

    I plug-in sono selezionati in base alle aree di protezione e alle piattaforme, selezionati nel passaggio precedente.

  • Versione applicazione

    L'elenco include i plug-in di tutte le versioni che si trovano nei server Kaspersky. Per impostazione predefinita, sono selezionati i plug-in delle versioni più recenti.

  • Lingua localizzazione

    Per impostazione predefinita, la lingua di localizzazione di un plug-in è determinata dalla lingua di Kaspersky Security Center selezionata al momento dell'installazione. È possibile specificare altre lingue nell'elenco a discesa Mostra lingua di localizzazione di Administration Console oppure.

Dopo avere selezionato i plug-in, la relativa installazione viene avviata automaticamente in una finestra separata. Per installare alcuni plug-in è necessario accettare le condizioni del Contratto di licenza con l'utente finale. Leggere il testo del Contratto di licenza con l'utente finale, selezionare l'opzione Accetto i termini del Contratto di licenza e fare clic sul pulsante Installa. Se non si accettano le condizioni del Contratto di licenza con l'utente finale, il plug-in non viene installato.

Al termine dell'installazione, chiudere la finestra di installazione.

È inoltre possibile selezionare i plug-in di gestione in un secondo momento, separatamente dall'Avvio rapido guidato.

Inizio pagina
[Topic 191767]

Passaggio 6. Download dei pacchetti di distribuzione e creazione dei pacchetti di installazione

Kaspersky Endpoint Security for Windows include uno strumento di criptaggio per le informazioni archiviate nei dispositivi client. Per scaricare un pacchetto di distribuzione di Kaspersky Endpoint Security for Windows valido per le esigenze aziendali, consultare le normative del paese in cui si trovano i dispositivi client dell'organizzazione. Nella finestra Tipo di criptaggio selezionare uno dei seguenti tipi di criptaggio:

  • Crittografia avanzata (AES256). Questo tipo di criptaggio utilizza una lunghezza della chiave di 256 bit.
  • Crittografia Lite (AES56). Questo tipo di criptaggio utilizza una lunghezza della chiave di 56 bit.

La finestra Tipo di criptaggio viene visualizzata solo se è stato selezionato Workstation come area di protezione e Microsoft Windows come piattaforma.

Dopo aver selezionato un tipo di criptaggio, viene visualizzato un elenco dei pacchetti di distribuzione di entrambi i tipi di criptaggio. Nell'elenco viene selezionato un pacchetto di distribuzione con il tipo di criptaggio selezionato. La lingua del pacchetto di distribuzione corrisponde alla lingua di Kaspersky Security Center. Se non esiste un pacchetto di distribuzione di Kaspersky Endpoint Security for Windows per la lingua di Kaspersky Security Center, viene selezionato il pacchetto di distribuzione in inglese.

Nell'elenco è possibile selezionare le lingue del pacchetto di distribuzione tramite l'elenco a discesa Mostra lingua di localizzazione di Administration Console oppure.

Le distribuzioni delle applicazioni gestite potrebbero richiedere l'installazione di una versione minima specifica di Kaspersky Security Center.

Nell'elenco è possibile selezionare pacchetti di distribuzione di qualsiasi tipo di criptaggio, diversi da quelli selezionati nella finestra Tipo di criptaggio. Dopo aver selezionato un pacchetto di distribuzione per Kaspersky Endpoint Security for Windows, viene avviato il download dei pacchetti di distribuzione, corrispondenti ai componenti e alle piattaforme. È possibile monitorare l'avanzamento del download nella colonna Stato del download. Al termine dell'Avvio rapido guidato, i pacchetti di installazione di Network Agent per Windows e delle applicazioni Kaspersky gestite vengono visualizzati nell'elenco Administration ServerAvanzateInstallazione remotaPacchetti di installazione.

Per terminare il download di alcuni pacchetti di distribuzione è necessario accettare il Contratto di licenza con l'utente finale. Quando si fa clic sul pulsante Accetta, viene visualizzato il testo del Contratto di licenza con l'utente finale. Per procedere al passaggio successivo della procedura guidata, è necessario accettare i termini e le condizioni del Contratto di licenza con l'utente finale e i termini e le condizioni dell'Informativa sulla privacy di Kaspersky. Selezionare le opzioni relative al Contratto di licenza con l'utente finale e all'Informativa sulla privacy di Kaspersky, quindi fare clic sul pulsante Accetta tutto. Se non si accettano i termini e le condizioni, il download del pacchetto viene annullato.

Dopo aver accettato i termini e le condizioni del Contratto di licenza con l'utente finale e i termini e le condizioni dell'Informativa sulla privacy di Kaspersky, il download dei pacchetti di distribuzione prosegue. Al termine del download, viene visualizzato lo stato Pacchetto di installazione creato. Successivamente è possibile utilizzare i pacchetti di installazione per distribuire le applicazioni Kaspersky nei dispositivi client.

Se si preferisce non eseguire la procedura guidata, è possibile creare manualmente i pacchetti di installazione accedendo ad Administration ServerAvanzateInstallazione remotaPacchetti di installazione nella struttura di Administration Console.

Inizio pagina
[Topic 191791]

Passaggio 7. Configurazione dell'utilizzo di Kaspersky Security Network

Espandi tutto | Comprimi tutto

È possibile ottenere l'accesso ali database di reputazione di Kaspersky Security Network per garantire una risposta più rapida da parte delle applicazioni Kaspersky alle minacce, migliorare l'efficacia di alcuni componenti della protezione e ridurre il rischio di falsi positivi.

Leggere l'Informativa KSN, visualizzata nella finestra. Specificare le impostazioni per la trasmissione delle informazioni sulle operazioni di Kaspersky Security Center alla Knowledge Base di Kaspersky Security Network. Selezionare una delle seguenti opzioni:

  • Accetto di utilizzare Kaspersky Security Network

    Kaspersky Security Center e le applicazioni gestite installate nei dispositivi client trasferiranno automaticamente i dettagli sull'esecuzione a Kaspersky Security Network. La partecipazione a Kaspersky Security Network garantisce aggiornamenti più rapidi dei database contenenti le informazioni sui virus e sulle altre minacce, assicurando una risposta più rapida alle minacce per la sicurezza emergenti.

  • Non accetto di utilizzare Kaspersky Security Network

    Kaspersky Security Center e le applicazioni gestite non forniranno informazioni a Kaspersky Security Network.

    Se si seleziona questa opzione, l'utilizzo di Kaspersky Security Network sarà disabilitato.

Se è stato scaricato il plug-in di Kaspersky Endpoint Security for Windows, si visualizzeranno entrambe le informative KSN, sia l'Informativa KSN per Kaspersky Security Center sia l'informativa KSN per Kaspersky Endpoint Security for Windows. Le informative KSN per altre applicazioni Kaspersky gestite i cui plug-in sono stati scaricati verranno visualizzate in finestre separate e sarà necessario accettare (o non accettare) ciascuna informativa separatamente.

È inoltre possibile configurare l'accesso di Administration Server a Kaspersky Security Network (KSN) in un secondo momento nella finestra delle proprietà di Administration Server di Administration Console.

Inizio pagina
[Topic 148962]

Passaggio 8. Configurazione delle notifiche e-mail

Espandi tutto | Comprimi tutto

Configurare l'invio di notifiche relative agli eventi registrati durante l'esecuzione delle applicazioni Kaspersky nei dispositivi gestiti. Queste impostazioni vengono utilizzate come impostazioni predefinite per Administration Server.

Per configurare l'invio di notifiche relative agli eventi che si verificano nelle applicazioni Kaspersky, utilizzare le seguenti impostazioni:

  • Destinatari (indirizzi e-mail)

    Gli indirizzi e-mail degli utenti a cui l'applicazione invierà le notifiche. È possibile immettere uno o più indirizzi; se si immette più di un indirizzo, separarli con un punto e virgola.

  • Server SMTP

    L'indirizzo o gli indirizzi dei server di posta dell'organizzazione.

    Se si immette più di un indirizzo, separarli con un punto e virgola. È possibile utilizzare come indirizzo l'indirizzo IP o il nome di rete di Windows (nome NetBIOS) di un dispositivo.

  • Porta server SMTP

    Numero di porta di comunicazione del server SMTP. Se si utilizzano più server SMTP, la connessione a questi viene stabilita tramite la porta di comunicazione specificata. Il numero di porta predefinito è 25.

  • Usa autenticazione ESMTP

    Abilita il supporto dell'autenticazione ESMTP. Quando la casella di controllo è selezionata, nei campi Nome utente e Password è possibile specificare le impostazioni per l'autenticazione ESMTP. Per impostazione predefinita, questa casella di controllo è deselezionata.

  • Impostazioni

    Specificare le seguenti impostazioni:

    • Oggetto (oggetto di un messaggio e-mail)
    • Indirizzo e-mail del mittente
    • Impostazioni TLS per server SMTP

    È possibile specificare le impostazioni TLS per il server SMTP:

    È possibile disabilitare l'utilizzo di TLS, utilizzare TLS se il server SMTP supporta questo protocollo oppure forzare solo l'utilizzo di TLS. Se si sceglie di utilizzare solo TLS, specificare un certificato per l'autenticazione del server SMTP e scegliere se si desidera abilitare la comunicazione tramite qualsiasi versione di TLS o solo tramite TLS 1.2 o versioni successive. Inoltre, se si sceglie di utilizzare solo TLS, è possibile specificare un certificato per l'autenticazione client nel server SMTP.

    • Cercare un file di certificato del server SMTP:

    È possibile ricevere un file con l'elenco dei certificati da un'autorità di certificazione attendibile e caricare il file in Administration Server. Kaspersky Security Center verifica se anche il certificato di un server SMTP è firmato da un'autorità di certificazione attendibile. Kaspersky Security Center non può connettersi a un server SMTP se il certificato del server SMTP non viene ricevuto da un'autorità di certificazione attendibile.

    • Cercare un file di certificato del client:

    È possibile utilizzare un certificato ricevuto da qualsiasi origine, ad esempio da qualsiasi autorità di certificazione attendibile. È necessario specificare il certificato e la relativa chiave privata utilizzando uno dei seguenti tipi di certificato:

    • Certificato X-509:

    Specificare il file con il certificato e un file con la chiave privata. Questi file possono essere caricati in qualsiasi ordine. Una volta caricati entrambi i file, specificare la password per il decriptaggio della chiave privata. La password può avere un valore vuoto se la chiave privata non è criptata.

    • Contenitore pkcs12:

    È necessario caricare un singolo file che contenga il certificato e la relativa chiave privata. Quando il file viene caricato, è necessario specificare la password per la decodifica della chiave privata. La password può avere un valore vuoto se la chiave privata non è codificata.

È possibile verificare le nuove impostazioni di notifica e-mail facendo clic sul pulsante Invia messaggio di prova.

È possibile configurare le notifiche degli eventi anche in un secondo momento, separatamente rispetto all'Avvio rapido guidato.

Inizio pagina
[Topic 148965]

Passaggio 9. Configurazione della gestione degli aggiornamenti

Espandi tutto | Comprimi tutto

Configurare le impostazioni per la gestione degli aggiornamenti delle applicazioni installate nei dispositivi client.

È possibile configurare queste impostazioni solo se è stata fornita una chiave di licenza con l'opzione Vulnerability e Patch Management.

Nel gruppo di impostazioni Cerca e installa gli aggiornamenti è possibile selezionare una modalità di ricerca e installazione degli aggiornamenti di Kaspersky Security Center:

  • Cerca gli aggiornamenti richiesti

    Viene creata l'attività Trova vulnerabilità e aggiornamenti richiesti.

    Questa opzione è selezionata per impostazione predefinita.

  • Cerca e installa gli aggiornamenti richiesti

    Se non sono già esistenti, le attività Trova vulnerabilità e aggiornamenti richiesti e Installa aggiornamenti richiesti e correggi vulnerabilità vengono create automaticamente.

Nel gruppo di impostazioni Windows Server Update Services è possibile selezionare il metodo di sincronizzazione degli aggiornamenti:

Se si preferisce non eseguire l'Avvio rapido guidato, creare le attività Trova vulnerabilità e aggiornamenti richiesti e Installa aggiornamenti richiesti e correggi vulnerabilità in seguito. Per utilizzare Administration Server come server WSUS, creare l'attività Esegui sincronizzazione di Windows Update, quindi selezionare l'opzione Usa Administration Server come server WSUS nel criterio di Network Agent.

Inizio pagina
[Topic 148999]

Passaggio 10. Creazione di una configurazione della protezione iniziale

La finestra Configura protezione iniziale visualizza un elenco dei criteri e delle attività creati automaticamente. Vengono creati i seguenti criteri e attività:

  • Criterio per Kaspersky Security Center Network Agent
  • Criteri per le applicazioni Kaspersky gestite
  • Attività Manutenzione di Administration Server
  • Attività Backup dei dati di Administration Server
  • Attività Scarica aggiornamenti nell'archivio dell'Administration Server
  • Attività Trova vulnerabilità e aggiornamenti richiesti
  • Attività Installa aggiornamento

Attendere il completamento della creazione di criteri e attività prima di procedere al passaggio successivo della procedura guidata.

Se è stato scaricato e installato il plug-in per Kaspersky Endpoint Security for Windows 10 Service Pack 1 e versioni successive fino alla 11.0.1, durante la creazione di criteri e attività viene visualizzata una finestra per la configurazione iniziale dell'area attendibile di Kaspersky Endpoint Security for Windows. L'applicazione richiederà di aggiungere i vendor verificati da Kaspersky nell'area attendibile, in modo da escludere le relative applicazioni dalle scansioni per impedire che vengano bloccate accidentalmente. È possibile creare subito esclusioni consigliate o creare un elenco di esclusioni in un secondo momento selezionando i seguenti elementi nella struttura della console: Criteri → menu Proprietà di Kaspersky Endpoint Security → Protezione Minacce AvanzataArea attendibileImpostazioniAggiungi. L'elenco delle esclusioni dalla scansione è disponibile per la modifica in qualsiasi momento durante l'utilizzo dell'applicazione.

Le operazioni sull'area attendibile vengono eseguite tramite gli strumenti integrati in Kaspersky Endpoint Security for Windows. Per istruzioni dettagliate sull'esecuzione delle operazioni e una descrizione delle funzionalità di criptaggio, consultare la Guida in linea di Kaspersky Endpoint Security for Windows.

Per completare la configurazione iniziale dell'area attendibile e tornare alla procedura guidata, fare clic su OK.

Fare clic su Avanti. Questo pulsante diventa disponibile dopo che tutti i criteri e le attività necessari sono stati creati.

È inoltre possibile creare le attività e i criteri richiesti in un secondo momento, separatamente dall'Avvio rapido guidato.

Inizio pagina
[Topic 149000]

Passaggio 11. Connessione dei dispositivi mobili

Espandi tutto | Comprimi tutto

Se è stata abilitata l'area di protezione Dispositivi mobili nelle impostazioni della procedura guidata, specificare le impostazioni per la connessione dei dispositivi mobili aziendali dell'organizzazione gestita. Se non è stata abilitata l'area di protezione Dispositivi mobili, questo passaggio viene ignorato.

A questo punto della procedura guidata, effettuare le seguenti operazioni:

  • Configurare le porte per la connessione dei dispositivi mobili
  • Configurare l'autenticazione di Administration Server
  • Creare o gestire i certificati
  • Configurare l'emissione, l'aggiornamento automatico e il criptaggio dei certificati di tipo generico
  • Creare una regola di spostamento per i dispositivi mobili

Per configurare le porte per la connessione dei dispositivi mobili:

  1. Fare clic sul pulsante Configura a destra del campo Connessione dispositivo mobile.
  2. Nell'elenco a discesa selezionare Configura le porte.

    Verrà visualizzata la finestra delle proprietà di Administration Server, con la sezione Porte aggiuntive.

  3. Nella sezione Porte aggiuntive è possibile specificare le impostazioni di connessione dei dispositivi mobili:
  4. Fare clic su OK per salvare le modifiche e tornare all'Avvio rapido guidato.

È necessario configurare l'autenticazione di Administration Server per i dispositivi mobili e l'autenticazione dei dispositivi mobili per l'Administration Server. Se si desidera, è possibile configurare l'autenticazione in un secondo momento, separatamente rispetto all'Avvio rapido guidato.

Per configurare l'autenticazione di Administration Server per dispositivi mobili:

  1. Fare clic sul pulsante Configura a destra del campo Connessione dispositivo mobile.
  2. Nell'elenco a discesa selezionare Configura l'autenticazione.

    Verrà visualizzata la finestra delle proprietà di Administration Server, con la sezione Certificati.

  3. Selezionare l'opzione di autenticazione per i dispositivi mobili nel gruppo di impostazioni Autenticazione Administration Server da parte dei dispositivi mobili e selezionare l'opzione di autenticazione per i dispositivi di protezione UEFI nel gruppo di impostazioni Autenticazione Administration Server da parte dei dispositivi di protezione UEFI.

    Quando Administration Server esegue lo scambio dei dati con i dispositivi client, l'autenticazione avviene tramite l'utilizzo di un certificato.

    Per impostazione predefinita, viene utilizzato il certificato creato durante l'installazione di Administration Server. Se si desidera, è possibile aggiungere un nuovo certificato.

Per aggiungere un nuovo certificato (opzione facoltativa):

  1. Selezionare Altro certificato.

    Viene visualizzato il pulsante Sfoglia.

  2. Fare clic sul pulsante Sfoglia.
  3. Nella finestra visualizzata specificare le impostazioni del certificato:
    • Tipo di certificato

      Nell'elenco a discesa è possibile selezionare un tipo di certificato:

      • Certificato X.509. Se questa opzione è selezionata, è necessario specificare la chiave privata di un certificato e un certificato aperto:
        • Chiave privata (.prk, .pem). In questo campo fare clic sul pulsante Sfoglia per specificare la chiave privata di un certificato nel formato PKCS #8 (*.prk).
        • Chiave pubblica (.cer). In questo campo fare clic sul pulsante Sfoglia per specificare una chiave pubblica nel formato PEM (*.cer).
      • Contenitore PKCS #12. Se si seleziona questa opzione è possibile specificare un file di certificato nel formato P12 o PFX facendo clic sul pulsante Sfoglia e compilando il campo File di certificato.
    • Ora di attivazione:
      • Immediatamente

        Dopo aver fatto clic su OK il certificato corrente verrà sostituito immediatamente con il nuovo.

        I dispositivi mobili connessi in precedenza non saranno in grado di connettersi ad Administration Server.

      • Al termine di questo periodo (giorni)

        Se si seleziona questa opzione, verrà generato un certificato di riserva. Il certificato corrente verrà sostituito con il nuovo dopo il numero di giorni specificato. La data effettiva del certificato di riserva viene visualizzata nella sezione Certificati.

        È consigliabile pianificare preventivamente la riemissione. Il certificato di riserva deve essere scaricato nei dispositivi mobili prima della scadenza del periodo specificato. In seguito alla sostituzione del certificato corrente con il nuovo, i dispositivi mobili connessi in precedenza che non dispongono del certificato di riserva non saranno in grado di connettersi ad Administration Server.

  4. Fare clic sul pulsante Proprietà per visualizzare le impostazioni del certificato di Administration Server selezionato.

Per riemettere un certificato emesso tramite Administration Server:

  1. Selezionare Certificato emesso tramite Administration Server.
  2. Fare clic sul pulsante Riemetti.
  3. Nella finestra visualizzata specificare le seguenti impostazioni:
    • Indirizzo di connessione:
      • Usa l'indirizzo di connessione precedente

        L'indirizzo di Administration Server a cui si connettono i dispositivi mobili non viene modificato.

        Questa opzione è selezionata per impostazione predefinita.

      • Modifica l'indirizzo di connessione in

        Se si desidera che i dispositivi mobili si connettano a un indirizzo diverso, specificare l'indirizzo attinente in questo campo.

        Se l'indirizzo per la connessione del dispositivo mobile è stato modificato, è necessario rilasciare un nuovo certificato. Il certificato precedente diventa non valido in tutti i dispositivi mobili connessi. I dispositivi connessi in precedenza non saranno in grado di connettersi ad Administration Server e diventeranno quindi non gestiti.

    • Ora di attivazione:
      • Immediatamente

        Dopo aver fatto clic su OK il certificato corrente verrà sostituito immediatamente con il nuovo.

        I dispositivi mobili connessi in precedenza non saranno in grado di connettersi ad Administration Server.

      • Al termine di questo periodo (giorni)

        Se si seleziona questa opzione, verrà generato un certificato di riserva. Il certificato corrente verrà sostituito con il nuovo dopo il numero di giorni specificato. La data effettiva del certificato di riserva viene visualizzata nella sezione Certificati.

        È consigliabile pianificare preventivamente la riemissione. Il certificato di riserva deve essere scaricato nei dispositivi mobili prima della scadenza del periodo specificato. In seguito alla sostituzione del certificato corrente con il nuovo, i dispositivi mobili connessi in precedenza che non dispongono del certificato di riserva non saranno in grado di connettersi ad Administration Server.

  4. Fare clic su OK per salvare le modifiche e tornare alla finestra Certificati.
  5. Fare clic su OK per salvare le modifiche e tornare all'Avvio rapido guidato.

Per configurare l'emissione, l'aggiornamento automatico e il criptaggio dei certificati di tipo generico per l'identificazione dei dispositivi mobili da parte di Administration Server:

  1. Fare clic sul pulsante Configura a destra del campo Autenticazione dispositivo mobile.

    Viene visualizzata la finestra Regole di emissione certificati, che visualizza la sezione Emissione di certificati mobili.

  2. Se necessario, specificare le seguenti impostazioni nella sezione Impostazioni di emissione:
    • Durata del certificato, in giorni

      Durata del certificato in giorni. La durata predefinita di un certificato è di 365 giorni. Alla scadenza di questo periodo, il dispositivo mobile non sarà in grado di connettersi ad Administration Server.

    • Origine certificato

      Selezionare l'origine dei certificati di tipo generico per i dispositivi mobili: i certificati vengono emessi da Administration Server o specificati manualmente.

      Se è stata configurata l'integrazione con PKI (Public Key Infrastructure) nella sezione Integrazione con PKI è possibile modificare i modelli di certificato. In questo caso, sono disponibili i seguenti campi di selezione del modello:

    • Modello predefinito

      Utilizzare un certificato emesso da un'origine di certificati esterna (Centro di certificazione) in base al modello predefinito.

      Per impostazione predefinita, questa opzione è selezionata.

    • Altro modello

      Selezionare un modello utilizzato per emettere i certificati. È possibile selezionare i modelli di certificato nel dominio. Il pulsante Aggiorna elenco consente di aggiornare l'elenco dei modelli di certificato.

  3. Se necessario, specificare le seguenti impostazioni per l'emissione automatica dei certificati nella sezione Impostazioni degli aggiornamenti automatici:
    • Rinnova quando la scadenza del certificato è prevista tra (giorni)

      Il numero di giorni rimanenti prima della scadenza del certificato corrente durante i quali Administration Server deve emettere un nuovo certificato. Se ad esempio il valore del campo è 4, Administration Server emette un nuovo certificato quattro giorni prima della scadenza del certificato corrente. Il valore predefinito è 7.

    • Riemetti automaticamente il certificato se possibile

      Selezionare questa opzione per riemettere automaticamente un certificato per il numero di giorni specificato nel campo Rinnova quando la scadenza del certificato è prevista tra (giorni). Se un certificato è stato definito manualmente, non può essere rinnovato automaticamente e l'opzione abilitata non funzionerà.

      Per impostazione predefinita, questa opzione è disabilitata.

    I certificati vengono riemessi automaticamente da un'autorità di certificazione.

  4. Se necessario, nella sezione delle impostazioni Protezione tramite password specificare le impostazioni per il decriptaggio dei certificati durante l'installazione.

    Selezionare l'opzione Richiedi la password durante l'installazione del certificato per richiedere all'utente la password durante l'installazione del certificato in un dispositivo mobile. La password viene utilizzata solo una volta, durante l'installazione del certificato nel dispositivo mobile.

    La password verrà automaticamente generata e inviata da Administration Server all'indirizzo e-mail specificato. È possibile specificare l'indirizzo e-mail dell'utente o il proprio indirizzo e-mail, se si desidera utilizzare un altro metodo per inviare la password all'utente.

    È possibile utilizzare il dispositivo di scorrimento per specificare il numero di caratteri contenuti nella password per il decriptaggio del certificato.

    L'opzione per la richiesta della password è ad esempio necessaria per la protezione di un certificato condiviso in un pacchetto di installazione indipendente di Kaspersky Endpoint Security for Android. La protezione tramite password impedisce a un utente malintenzionato di ottenere l'accesso al certificato condiviso tramite il furto del pacchetto di installazione indipendente dal server Web di Kaspersky Security Center.

    Se questa opzione è deselezionata, il certificato viene decriptato automaticamente durante l'installazione e all'utente non viene richiesta alcuna password. Per impostazione predefinita, questa opzione è disabilitata.

  5. Fare clic su OK per salvare le modifiche e tornare alla finestra Avvio rapido guidato.

    Fare clic sul pulsante Annulla per tornare all'Avvio rapido guidato senza salvare le modifiche.

Per abilitare la funzione di spostamento dei dispositivi mobili in un gruppo di amministrazione selezionato,

Nel campo Spostamento automatico dei dispositivi mobili selezionare l'opzione Crea una regola di spostamento per i dispositivi mobili.

Se l'opzione Crea una regola di spostamento per i dispositivi mobili è selezionata, l'applicazione crea automaticamente una regola di spostamento che sposta i dispositivi iOS e Android nel gruppo Dispositivi gestiti:

  • Con sistemi operativi Android in cui sono installati Kaspersky Endpoint Security for Android e un certificato mobile
  • Con sistemi operativi iOS in cui è installato il profilo MDM iOS con un certificato condiviso

Se una regola esiste già, l'applicazione non la crea nuovamente.

Per impostazione predefinita, questa opzione è disabilitata.

Kaspersky non supporta più Kaspersky Safe Browser.

Inizio pagina
[Topic 149001]

Passaggio 12. Download degli aggiornamenti

Gli aggiornamenti per i database anti-virus per Kaspersky Security Center e le applicazioni Kaspersky gestite vengono scaricati automaticamente. Gli aggiornamenti vengono scaricati dai server Kaspersky.

Per scaricare gli aggiornamenti separatamente dall'Avvio rapido guidato, creare e configurare l'attività Scarica gli aggiornamenti nell'archivio dell'Administration Server.

Inizio pagina
[Topic 191851]

Passaggio 13. Individuazione dispositivi

La finestra Polling della rete visualizza le informazioni sullo stato del polling della rete eseguito dall'Administration Server.

È possibile visualizzare i dispositivi della rete rilevati da Administration Server e ottenere assistenza sull'utilizzo della finestra Device discovery facendo clic sui collegamenti nella parte inferiore della finestra.

È possibile eseguire il polling della rete in un secondo momento. Se si preferisce non eseguire l'Avvio rapido guidato, utilizzare Administration Console per configurare il polling dei domini Windows, di Active Directory e degli intervalli IP in base al punto di distribuzione.

Vedere anche:

Scenario: Individuazione dei dispositivi nella rete

Scenario di installazione principale

Inizio pagina
[Topic 149002]

Passaggio 14. Chiusura dell'Avvio rapido guidato

Nella finestra di completamento dell'Avvio rapido guidato selezionare l'opzione Esegui l'Installazione remota guidata se si desidera avviare l'installazione automatica delle applicazioni anti-virus e/o di Network Agent nei dispositivi della rete.

Per completare la procedura guidata, fare clic sul pulsante Fine.

Inizio pagina
[Topic 149003]

Configurazione della connessione di Administration Console ad Administration Server

Nelle versioni precedenti di Kaspersky Security Center, Administration Console veniva connesso ad Administration Server tramite porta la SSL TCP 13291, nonché tramite la porta SSL TCP 13000. A partire da Kaspersky Security Center 10 Service Pack 2, le porte SSL utilizzate dall'applicazione sono rigorosamente distinte e qualsiasi uso improprio delle porte è impossibile:

  • La porta SSL TCP 13291 può essere utilizzata solo da Administration Console e dagli oggetti di automazione klakaut.
  • La porta SSL TCP 13000 può essere utilizzata solo da Network Agent, un Administration Server secondario e dall'Administration Server primario nella rete perimetrale.

La porta TCP 14000 può essere utilizzata per connettere Administration Console, punti di distribuzione, Administration Server secondari e oggetti di automazione klakaut, nonché per ricevere i dati dai dispositivi client.

In alcuni casi può essere necessario connettere Administration Console tramite la porta SSL 13000:

  • Se è probabile che venga utilizzata una singola porta SSL sia per Administration Console che per altre attività (ricezione dei dati dai dispositivi client, connessione di punti di distribuzione, connessione di Administration Server secondari).
  • Se un oggetto di automazione klakaut non è connesso ad Administration Server direttamente, bensì tramite un punto di distribuzione nella rete perimetrale.

Per consentire la connessione di Administration Console tramite la porta 13000:

  1. Aprire il Registro di sistema del dispositivo in cui è installato Administration Server (ad esempio, in locale, utilizzando il comando regedit dal menu StartEsegui).
  2. Passare al seguente hive:
    • Per i sistemi a 32 bit:

      HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\.core\.independent\KLLIM

    • Per i sistemi a 64 bit:

      HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\.core\.independent\KLLIM

  3. Per la chiave LP_ConsoleMustUsePort13291 (DWORD) impostare il valore 00000000.

    Il valore predefinito specificato per questa chiave è 1.

  4. Riavviare il servizio Administration Server.

A questo punto, sarà possibile connettere Administration Console ad Administration Server tramite la porta 13000.

Inizio pagina
[Topic 123332]

Requisiti per i certificati personalizzati utilizzati in Kaspersky Security Center

La seguente tabella visualizza i requisiti per i certificati personalizzati specificati per i diversi componenti di Kaspersky Security Center.

Requisiti per i certificati di Kaspersky Security Center

Tipo di certificato

Requisiti

Commenti

Certificato comune, certificato di riserva comune ("C", "CR")

Lunghezza minima della chiave: 2048.

Vincoli di base:

  • CA: true
  • Vincolo lunghezza percorso: nessuno

Utilizzo chiave:

  • Firma digitale
  • Firma del certificato
  • Cifratura chiave
  • Firma CRL

Utilizzo chiavi esteso (opzionale): autenticazione del server, autenticazione del client.

Il parametro Utilizzo chiavi esteso è facoltativo.

Il valore Vincolo lunghezza percorso può essere un valore intero diverso da "Nessuno", ma non inferiore a 1.

Certificato mobile, certificato di riserva mobile ("M", "MR")

Lunghezza minima della chiave: 2048.

Vincoli di base:

  • CA: true
  • Vincolo lunghezza percorso: nessuno

Utilizzo chiave:

  • Firma digitale
  • Firma del certificato
  • Cifratura chiave
  • Firma CRL

Utilizzo chiavi esteso (opzionale): autenticazione del server.

Il parametro Utilizzo chiavi esteso è facoltativo.

Il valore Vincolo lunghezza percorso può essere un valore intero diverso da "Nessuno" se il certificato comune ha un valore Vincolo lunghezza percorso non inferiore a 1.

CA certificato per certificati utente generati automaticamente ("MCA")

Lunghezza minima della chiave: 2048.

Vincoli di base:

  • CA: true
  • Vincolo lunghezza percorso: nessuno

Utilizzo chiave:

  • Firma digitale
  • Firma del certificato
  • Cifratura chiave
  • Firma CRL

Utilizzo chiavi esteso (opzionale): autenticazione del server, autenticazione del client.

Il parametro Utilizzo chiavi esteso è facoltativo.

Il valore Vincolo lunghezza percorso può essere un valore intero diverso da "Nessuno" se il certificato comune ha un valore Vincolo lunghezza percorso non inferiore a 1.

Certificato Server Web

Utilizzo chiavi esteso: autenticazione del server.

Il contenitore PKCS #12 / PEM da cui viene specificato il certificato include l'intera catena di chiavi pubbliche.

È presente il Nome alternativo soggetto del certificato; quindi il valore del campo subjectAltName è valido.

Il certificato soddisfa i requisiti effettivi dei browser imposti ai certificati del server, nonché gli attuali requisiti di base del CA/Browser Forum.

Non applicabile.

Certificato di Kaspersky Security Center Web Console

Il contenitore PEM da cui viene specificato il certificato include l'intera catena di chiavi pubbliche.

È presente il Nome alternativo soggetto del certificato; quindi il valore del campo subjectAltName è valido.

Il certificato soddisfa i requisiti effettivi dei browser per i certificati del server, nonché gli attuali requisiti di base del CA/Browser Forum.

I certificati criptati non sono supportati da Kaspersky Security Center Web Console.

Vedere anche:

Informazioni sul certificato di Administration Server

Scenario di installazione principale

Inizio pagina
[Topic 191451][Topic 204432]

Scenario: Connessione dei dispositivi fuori sede tramite un gateway di connessione

Questo scenario descrive come connettere i dispositivi gestiti che si trovano all'esterno della rete principale ad Administration Server.

Prerequisiti

Lo scenario prevede i seguenti prerequisiti:

  • Una rete perimetrale deve essere organizzata nella rete dell'organizzazione.
  • Kaspersky Security Center Administration Server deve essere distribuito nella rete aziendale.

Passaggi

Questo scenario procede per fasi:

  1. Selezione di un dispositivo client nella rete perimetrale

    Questo dispositivo verrà utilizzato come gateway di connessione. Il dispositivo selezionato deve soddisfare i requisiti per i gateway di connessione.

  2. Installazione di Network Agent nel ruolo di gateway di connessione

    È consigliabile utilizzare un'installazione locale per installare Network Agent nel dispositivo selezionato.

    Per impostazione predefinita, il file di installazione si trova in: \\<nome server>\KLSHARE\PkgInst\NetAgent_<numero versione>

    Nella finestra Gateway di connessione dell'Installazione guidata di Network Agent selezionare Utilizzare Network Agent come gateway di connessione nella rete perimetrale. Questa modalità attiva contemporaneamente il ruolo del gateway di connessione e indica a Network Agent di attendere le connessioni da Administration Server anziché stabilire connessioni ad Administration Server.

    In alternativa, è possibile installare Network Agent in un dispositivo Linux e configurare Network Agent in modo che funga da gateway di connessione, ma è necessario prestare attenzione all'elenco delle limitazioni di Network Agent in esecuzione nei dispositivi Linux.

  3. Autorizzazione delle connessioni nei firewall sul gateway di connessione

    Per assicurarsi che Administration Server sia effettivamente in grado di connettersi al gateway di connessione nella rete perimetrale, consentire le connessioni alla porta TCP 13000 in tutti i firewall tra Administration Server e il gateway di connessione.

    Se il gateway di connessione non dispone di un indirizzo IP reale in Internet ma si trova invece dietro una configurazione NAT (Network Address Translation), configurare una regola per inoltrare le connessioni tramite NAT.

  4. Creazione di un gruppo di amministrazione per i dispositivi esterni

    Creare un nuovo gruppo nel gruppo Dispositivi gestiti. Questo nuovo gruppo conterrà dispositivi gestiti esterni.

  5. Connessione del gateway di connessione ad Administration Server

    Il gateway di connessione configurato è in attesa di una connessione da Administration Server. Tuttavia, Administration Server non elenca il dispositivo con il gateway di connessione tra i dispositivi gestiti. Questo è dovuto al fatto che il gateway di connessione non ha tentato di stabilire una connessione ad Administration Server. È pertanto necessaria una procedura speciale per garantire che Administration Server avvii una connessione al gateway di connessione.

    Procedere come segue:

    1. Aggiungere il gateway di connessione come punto di distribuzione.
    2. Spostare il gateway di connessione dal gruppo Dispositivi non assegnati al gruppo creato per i dispositivi esterni.

    Il gateway di connessione è stato connesso e configurato.

  6. Connessione dei computer desktop esterni ad Administration Server

    Solitamente i computer desktop esterni non vengono spostati all'interno del perimetro. Pertanto è necessario configurarli per eseguire la connessione ad Administration Server tramite il gateway durante l'installazione di Network Agent.

  7. Configurazione degli aggiornamenti per i computer desktop esterni

    Se gli aggiornamenti delle applicazioni di protezione sono configurati per il download da Administration Server, i computer esterni scaricano gli aggiornamenti tramite il gateway di connessione. Questo comporta due svantaggi:

    • Si tratta di traffico non necessario che occupa la larghezza di banda del canale di comunicazione Internet aziendale.
    • Questo non è necessariamente il modo più rapido per ottenere aggiornamenti. È molto probabile che per i computer esterni sarebbe più economico e veloce ricevere gli aggiornamenti dai server di aggiornamento Kaspersky.

    Procedere come segue:

    1. Spostare tutti i computer esterni nel gruppo di amministrazione separato creato in precedenza.
    2. Escludere il gruppo con i dispositivi esterni dall'attività di aggiornamento.
    3. Creare un'attività di aggiornamento separata per il gruppo con i dispositivi esterni.
  8. Connessione dei laptop mobili ad Administration Server

    I laptop mobili a volte sono all'interno della rete e altre volte all'esterno della rete. Per una gestione efficace, è necessario che questi si connettano ad Administration Server in modo diverso a seconda della posizione. Per un utilizzo efficiente del traffico, è inoltre necessario che ricevano gli aggiornamenti da origini diverse a seconda della posizione.

    È necessario configurare le regole per gli utenti fuori sede: profili di connessione e descrizioni dei percorsi di rete. Ciascuna regola definisce l'istanza di Administration Server a cui i laptop mobili devono connettersi a seconda della posizione e l'istanza di Administration Server da cui devono ricevere gli aggiornamenti.

Vedere anche:

Accesso a Internet: Network Agent come gateway di connessione nella rete perimetrale

Inizio pagina
[Topic 204219]

Informazioni sulla connessione dei dispositivi fuori sede

Alcuni dispositivi gestiti si trovano sempre all'esterno della rete principale (ad esempio computer nelle filiali dell'azienda; chioschi, bancomat e terminali installati in vari punti vendita; computer negli uffici domestici dei dipendenti). Alcuni dispositivi si spostano di tanto in tanto al di fuori del perimetro (ad esempio i laptop degli utenti che visitano le filiali regionali o l'ufficio di un cliente).

È comunque necessario monitorare e gestire la protezione dei dispositivi fuori sede: ricevere informazioni effettive sul relativo stato di protezione e mantenere aggiornate le applicazioni di protezione in essi installate. Questa prassi è necessaria perché se ad esempio uno di questi dispositivi viene compromesso mentre è all'esterno della rete principale, potrebbe diventare una piattaforma per la propagazione delle minacce non appena si connette alla rete principale. Per connettere i dispositivi fuori sede ad Administration Server è possibile utilizzare due metodi:

Un gateway di connessione nella rete perimetrale

Un metodo consigliato per connettere i dispositivi fuori sede ad Administration Server è quello di organizzare una rete perimetrale nella rete dell'organizzazione e di installare un gateway di connessione nella rete perimetrale. I dispositivi esterni si connetteranno al gateway di connessione e Administration Server all'interno della rete avvierà una connessione ai dispositivi tramite il gateway di connessione.

Rispetto all'altro metodo, questo è più sicuro:

  • Non è necessario aprire l'accesso ad Administration Server dall'esterno della rete.
  • Un gateway di connessione compromesso non rappresenta un rischio elevato per la sicurezza dei dispositivi di rete. Un gateway di connessione in realtà non gestisce nulla autonomamente e non stabilisce alcuna connessione.

Inoltre, un gateway di connessione non richiede molte risorse hardware.

Tuttavia, questo metodo ha un processo di configurazione più complicato:

  • Per fare in modo che un dispositivo funga da gateway di connessione nella rete perimetrale, è necessario installare Network Agent e connetterlo ad Administration Server in un modo specifico.
  • Non sarà possibile utilizzare lo stesso indirizzo per la connessione ad Administration Server per tutte le situazioni. Dall'esterno del perimetro sarà necessario utilizzare non solo un indirizzo diverso (indirizzo del gateway di connessione), ma anche una modalità di connessione diversa: tramite un gateway di connessione.
  • È inoltre necessario definire impostazioni di connessione diverse per i laptop in posizioni diverse.

Lo scenario in questa sezione descrive questo metodo.

Administration Server nella rete perimetrale

Un altro metodo consiste nell'installare un singolo Administration Server nella rete perimetrale.

Questa configurazione è meno sicura rispetto all'altro metodo. Per gestire laptop esterni in questo caso, Administration Server deve accettare connessioni da qualsiasi indirizzo in Internet. Gestirà comunque tutti i dispositivi nella rete interna, ma dalla rete perimetrale. Pertanto, un server compromesso potrebbe causare un'ingente quantità di danni, nonostante la bassa probabilità che tale evento si verifichi.

Il rischio si riduce notevolmente se Administration Server nella rete perimetrale non gestisce i dispositivi nella rete interna. Tale configurazione può essere utilizzata ad esempio da un fornitore di servizi per gestire i dispositivi dei clienti.

Potrebbe essere opportuno utilizzare questo metodo nei seguenti casi:

  • Se si ha familiarità con l'installazione e la configurazione di Administration Server e non si desidera eseguire un'altra procedura per installare e configurare un gateway di connessione.
  • Se è necessario gestire più dispositivi. La capacità massima di Administration Server è di 100.000 dispositivi, mentre un gateway di connessione può supportare fino a 10.000 dispositivi.

Questa soluzione presenta anche possibili difficoltà:

  • Administration Server richiede più risorse hardware e un altro database.
  • Le informazioni sui dispositivi verranno archiviate in due database non correlati (per Administration Server all'interno della rete e un altro nella rete perimetrale), il che complica il monitoraggio.
  • Per gestire tutti i dispositivi, Administration Server deve trovarsi in una gerarchia, il che complica non solo il monitoraggio ma anche la gestione. Un'istanza dell'Administration Server secondario impone limitazioni alle possibili strutture dei gruppi di amministrazione. È necessario decidere come e quali attività e criteri distribuire a un'istanza dell'Administration Server secondario.
  • La configurazione di dispositivi esterni per l'utilizzo di Administration Server nella rete perimetrale dall'esterno e per l'utilizzo dell'Administration Server primario dall'interno non è più semplice della configurazione per l'utilizzo di una connessione condizionale tramite un gateway.
  • Elevati rischi per la sicurezza. Un'istanza di Administration Server compromessa semplifica la compromissione dei laptop gestiti. In tal caso, gli hacker devono solo attendere che uno dei laptop torni nella rete aziendale in modo da poter proseguire l'attacco nella LAN.

Vedere anche:

Administration Server e due dispositivi nella rete perimetrale: un gateway di connessione e un dispositivo client

Accesso a Internet: Network Agent come gateway di connessione nella rete perimetrale

Administration Server all'interno della rete perimetrale, dispositivi gestiti in Internet

Accesso a Internet: Administration Server in una rete perimetrale

Gateway di connessione

Inizio pagina
[Topic 204435]

Connessione dei computer desktop esterni ad Administration Server

I computer desktop che si trovano sempre all'esterno della rete principale (ad esempio computer nelle filiali dell'azienda; chioschi, bancomat e terminali installati in vari punti vendita; computer negli uffici domestici dei dipendenti) non possono essere collegati direttamente ad Administration Server. Devono essere collegati ad Administration Server tramite un gateway di connessione installato nella rete perimetrale. Questa configurazione viene eseguita durante l'installazione di Network Agent in tali computer.

Per connettere computer desktop esterni ad Administration Server:

  1. Creare un nuovo pacchetto di installazione per Network Agent.
  2. Aprire le proprietà del pacchetto di installazione creato e accedere alla sezione Avanzate, quindi selezionare l'opzione Connetti ad Administration Server utilizzando il gateway di connessione.

    L'impostazione Connetti ad Administration Server utilizzando il gateway di connessione non è compatibile con l'impostazione Utilizzare Network Agent come gateway di connessione nella rete perimetrale. Non è possibile abilitare entrambe queste impostazioni contemporaneamente.

  3. In Indirizzo gateway connessione specificare l'indirizzo pubblico del gateway di connessione.

    Se il gateway di connessione si trova dietro una configurazione NAT (Network Address Translation) e non dispone di un proprio indirizzo pubblico, configurare una regola del gateway NAT per inoltrare le connessioni dall'indirizzo pubblico all'indirizzo interno del gateway di connessione.

  4. Creare un pacchetto di installazione indipendente basato sul pacchetto di installazione creato.
  5. Distribuire il pacchetto di installazione indipendente ai computer di destinazione in formato elettronico o tramite un'unità rimovibile.
  6. Installare Network Agent dal pacchetto indipendente.

I computer desktop esterni sono connessi ad Administration Server.

Inizio pagina
[Topic 204255]

Informazioni sui profili di connessione per gli utenti fuori sede

Gli utenti fuori sede con computer portatili (di seguito denominati anche "dispositivi") possono aver bisogno di modificare il metodo di connessione a un Administration Server o passare da un Administration Server all'altro a seconda della posizione corrente del dispositivo nella rete aziendale.

I profili di connessione sono supportati solo per i dispositivi che eseguono Windows.

Utilizzo di differenti indirizzi di un singolo Administration Server

La procedura seguente è valida solo per Kaspersky Security Center 10 Service Pack 1 e versioni successive.

I dispositivi con Network Agent installato possono connettersi all'Administration Server dalla rete Intranet dell'organizzazione o da Internet. Questa situazione può richiedere l'utilizzo da parte di Network Agent di differenti indirizzi per la connessione ad Administration Server: l'indirizzo esterno dell'Administration Server per la connessione Internet e l'indirizzo interno dell'Administration Server per la connessione dalla rete interna.

A tale scopo, è necessario aggiungere un profilo (per la connessione ad Administration Server da Internet) al criterio di Network Agent. Aggiungere il profilo nelle proprietà del criterio (sezione Connettività, sottosezione Profili connessione). Nella finestra di creazione del profilo è necessario disabilitare l'opzione Usa per ricevere solo aggiornamenti e selezionare l'opzione Sincronizza impostazioni di connessione con le impostazioni di Administration Server specificate nel profilo. Se si utilizza un gateway di connessione per accedere ad Administration Server (ad esempio, in una configurazione di Kaspersky Security Center come quella descritta in Accesso a Internet: Network Agent come gateway nella rete perimetrale), è necessario specificare l'indirizzo del gateway di connessione nel campo corrispondente del profilo di connessione.

Passaggio da un Administration Server all'altro a seconda della rete corrente

La procedura seguente è valida solo per Kaspersky Security Center 10 Service Pack 2 Maintenance Release 1 e versioni successive.

Se l'organizzazione ha più sedi con diversi Administration Server e alcuni dispositivi con Network Agent installato si spostano tra di esse, è necessario che Network Agent si connetta all'Administration Server della rete locale nella sede in cui si trova attualmente il dispositivo.

In questo caso, è necessario creare un profilo per la connessione ad Administration Server nelle proprietà del criterio di Network Agent per ciascuna delle sedi, tranne che per la sede principale in cui si trova l'Administration Server principale originale. È necessario specificare gli indirizzi di Administration Server nei profili di connessione e abilitare o disabilitare l'opzione Usa per ricevere solo aggiornamenti:

  • Selezionare l'opzione se è necessario sincronizzare Network Agent con l'Administration Server principale e utilizzare il server locale solo per scaricare gli aggiornamenti.
  • Disabilitare questa opzione se è necessario che Network Agent sia completamente gestito dall'Administration Server locale.

Sarà quindi necessario impostare le condizioni per il passaggio ai nuovi profili creati: almeno una condizione per ciascuna delle sedi, tranne che per la sede principale. Lo scopo di ogni condizione consiste nel rilevamento degli elementi che sono specifici per l'ambiente di rete di una sede. Se una condizione è vera, il profilo corrispondente viene attivato. Se nessuna delle condizioni è vera, Network Agent passa all'Administration Server principale.

Vedere anche:

Concessione dell'accesso via Internet all'Administration Server

Accesso a Internet: Network Agent come gateway di connessione nella rete perimetrale

Creazione di un profilo di connessione per gli utenti fuori sede

Inizio pagina
[Topic 92485]

Creazione di un profilo di connessione per gli utenti fuori sede

Espandi tutto | Comprimi tutto

Un profilo di connessione di Administration Server è disponibile solo nei dispositivi che eseguono Windows.

Per creare un profilo per la connessione di Network Agent ad Administration Server per gli utenti fuori sede:

  1. Nella struttura della console selezionare il gruppo di amministrazione che contiene i dispositivi client in cui è necessario creare un profilo per la connessione di Network Agent ad Administration Server.
  2. Eseguire una delle seguenti operazioni:
    • Se si desidera creare un profilo di connessione per tutti i dispositivi del gruppo, selezionare un criterio di Network Agent nell'area di lavoro del gruppo, nella scheda Criteri. Aprire la finestra delle proprietà del criterio selezionato.
    • Se si desidera creare un profilo di connessione per un dispositivo in un gruppo, selezionare il dispositivo nell'area di lavoro del gruppo, nella scheda Dispositivi, ed eseguire le seguenti azioni:
      1. Aprire la finestra delle proprietà del dispositivo selezionato.
      2. Nella sezione Applicazioni della finestra delle proprietà del dispositivo selezionare Network Agent.
      3. Aprire la finestra delle proprietà del Network Agent.
  3. Nella finestra delle proprietà, nella sezione Connettività selezionare la sottosezione Profili connessione.
  4. Nel gruppo di impostazioni Profili connessione di Administration Server fare clic sul pulsante Aggiungi.

    Per impostazione predefinita, l'elenco dei profili di connessione contiene i profili <Modalità offline> e <Administration Server principale>. I profili non possono essere modificati o rimossi.

    Il profilo <Modalità offline> non specifica alcun server per la connessione. Di conseguenza, quando viene eseguito il passaggio a questo profilo, Network Agent non tenta di connettersi ad alcun Administration Server, mentre le applicazioni installate nei dispositivi client sono eseguite con i criteri fuori sede. Il profilo <Modalità offline> può essere utilizzato se i dispositivi sono disconnessi dalla rete.

    Il profilo <Administration Server principale> specifica per la connessione l'Administration Server che è stato selezionato durante l'installazione di Network Agent. Il profilo <Administration Server principale> viene applicato quando un dispositivo si riconnette all'Administration Server principale dopo l'esecuzione in una rete esterna per un determinato periodo.

  5. Nella finestra Nuovo profilo visualizzata configurare il profilo di connessione:
    • Nome profilo

      Nel campo di immissione è possibile visualizzare o modificare il nome del profilo di connessione.

    • Administration Server

      Indirizzo di Administration Server a cui il dispositivo client deve connettersi durante l'attivazione del profilo.

    • Porta

      Il numero di porta utilizzato per la connessione.

    • Porta SSL

      Il numero della porta per la connessione tramite il protocollo SSL.

    • Usa SSL

      Se questa opzione è abilitata, la connessione viene stabilita tramite una porta sicura utilizzando il protocollo SSL.

      Per impostazione predefinita, questa opzione è abilitata. È consigliabile non disabilitare questa opzione in modo che la connessione rimanga protetta.

    • Fare clic sul collegamento Configura la connessione tramite server proxy per configurare la connessione tramite un server proxy. Se si desidera utilizzare un server proxy durante la connessione a Internet, selezionare l'opzione Usa server proxy. Se questa opzione è selezionata, i campi sono disponibili per l'immissione delle impostazioni. Specificare le seguenti impostazioni per la connessione al server proxy:
      • Indirizzo server proxy

        Indirizzo del server proxy utilizzato per la connessione di Kaspersky Security Center a Internet.

      • Numero di porta

        Numero della porta utilizzata per stabilire la connessione al proxy di Kaspersky Security Center.

      • Autenticazione server proxy

        Se questa casella di controllo è selezionata, nei campi di immissione è possibile specificare le credenziali per l'autenticazione del server proxy.

        Questo campo di immissione è disponibile se la casella di controllo Usa server proxy è selezionata.

      • Nome utente (questo campo è disponibile se l'opzione Autenticazione server proxy è selezionata)

        Account utente con il quale è stata stabilita la connessione al server proxy (questo campo è disponibile se la casella di controllo Autenticazione server proxy è selezionata).

      • Password (questo campo è disponibile se l'opzione Autenticazione server proxy è selezionata)

        Password impostata dall'utente di cui è stato utilizzato l'account per stabilire la connessione al server proxy (questo campo è disponibile se la casella di controllo Autenticazione server proxy è selezionata).

        Per visualizzare la password immessa, tenere premuto il pulsante Mostra per il tempo necessario.

    • Impostazioni gateway di connessione

      Indirizzo del gateway attraverso cui i dispositivi client si connettono ad Administration Server.

    • Abilita la modalità fuori sede

      Se questa opzione è abilitata, in caso di utilizzo di questo profilo per la connessione, le applicazioni installate nel dispositivo client utilizzeranno i profili criterio per i dispositivi in modalità fuori sede, nonché i criteri fuori sede. Se non è definito alcun criterio fuori sede per l'applicazione, verrà utilizzato il criterio attivo.

      Se questa opzione è disabilitata, le applicazioni utilizzeranno i criteri attivi.

      Per impostazione predefinita, questa opzione è disabilitata.

    • Usa per ricevere solo aggiornamenti

      Se questa opzione è abilitata, il profilo verrà utilizzato solo per il download degli aggiornamenti da parte delle applicazioni installate nel dispositivo client. Per le altre operazioni verrà stabilita la connessione ad Administration Server con le impostazioni di connessione iniziali definite durante l'installazione di Network Agent.

      Per impostazione predefinita, questa opzione è abilitata.

    • Sincronizza impostazioni di connessione con le impostazioni di Administration Server specificate nel profilo

      Se questa opzione è abilitata, Network Agent si connette ad Administration Server utilizzando le impostazioni specificate nelle proprietà del profilo.

      Se questa opzione è disabilitata, Network Agent si connette ad Administration Server utilizzando le impostazioni originali specificate durante l'installazione.

      Questa opzione è disponibile se l'opzione Usa per ricevere solo aggiornamenti è disabilitata.

      Per impostazione predefinita, questa opzione è disabilitata.

  6. Selezionare l'opzione Abilita la modalità fuori sede quando Administration Server non è disponibile per consentire alle applicazioni installate in un dispositivo client di utilizzare i profili criterio per i dispositivi in modalità fuori sede, nonché i criteri fuori sede, per qualsiasi tentativo di connessione se Administration Server non è disponibile. Se non è definito alcun criterio fuori sede per l'applicazione, verrà utilizzato il criterio attivo.

Verrà creato un profilo per la connessione di Network Agent ad Administration Server per gli utenti mobili. Quando Network Agent si connette ad Administration Server con questo profilo, le applicazioni installate in un dispositivo client utilizzeranno i criteri per i dispositivi in modalità fuori sede o i criteri fuori sede.

Vedere anche:

Informazioni sui profili di connessione per gli utenti fuori sede

Inizio pagina
[Topic 10806]

Informazioni sul passaggio di Network Agent ad altri Administration Server

Le impostazioni iniziali della connessione di Network Agent ad Administration Server vengono definite durante l'installazione di Network Agent. Per passare da Network Agent ad altri Administration Server, è possibile utilizzare le regole per il passaggio. Questa funzionalità è supportata solo per i Network Agent installati nei dispositivi che eseguono Windows.

Le regole per il passaggio possono essere attivate al momento della modifica dei seguenti parametri di rete:

  • Indirizzo gateway predefinito.
  • Indirizzo IP del server DHCP (Dynamic Host Configuration Protocol).
  • Suffisso DNS della subnet.
  • Indirizzo IP del server DNS di rete.
  • Accessibilità del dominio Windows.
  • Indirizzo e maschera della subnet.
  • Indirizzo IP del server WINS di rete.
  • Nome DNS o NetBIOS del dispositivo client.
  • Accessibilità indirizzo di connessione SSL.

Se sono state create regole per il passaggio del Network Agent ad altri Administration Server, Network Agent risponde alle modifiche dei parametri di rete nel modo seguente:

  • Se le impostazioni di rete sono conformi a una delle regole create, Network Agent si connette all'Administration Server specificato in questa regola. Le applicazioni installate nei dispositivi client passano ai criteri fuori sede, a condizione che tale comportamento sia abilitato da una regola.
  • Se non è applicabile alcuna regola, Network Agent ripristina le impostazioni predefinite della connessione all'Administration Server specificato durante l'installazione. Per le applicazioni installate nei dispositivi client vengono ripristinati i criteri attivi.
  • Se l'Administration Server non è accessibile, Network Agent utilizzerà i criteri fuori sede.

Network Agent passa al criterio fuori sede solo se l'opzione Abilita la modalità fuori sede quando Administration Server non è disponibile è abilitata nelle impostazioni del criterio di Network Agent.

Le impostazioni della connessione di Network Agent all'Administration Server vengono salvate in un profilo. Nel profilo di connessione è possibile creare regole per il passaggio dei dispositivi client ai criteri fuori sede, nonché configurare il profilo in modo da utilizzarlo solo per il download degli aggiornamenti.

Vedere anche

Creazione di una regola di attivazione del profilo criterio

Inizio pagina
[Topic 10419]

Creazione di una regola per il passaggio di Network Agent in base al percorso di rete

Espandi tutto | Comprimi tutto

Il passaggio di Network Agent in base al percorso di rete è disponibile solo nei dispositivi che eseguono Windows.

Per creare una regola per il passaggio di Network Agent da un Administration Server all'altro in caso di modifiche delle impostazioni di rete:

  1. Nella struttura della console selezionare il gruppo di amministrazione che contiene i dispositivi per cui è necessario creare una regola per il passaggio di Network Agent in base alla descrizione del percorso di rete.
  2. Eseguire una delle seguenti operazioni:
    • Se si desidera creare una regola per tutti i dispositivi del gruppo, passare all'area di lavoro del gruppo e selezionare un criterio di Network Agent nella scheda Criteri. Aprire la finestra delle proprietà del criterio selezionato.
    • Se si desidera creare una regola per un dispositivo selezionato da un gruppo, passare all'area di lavoro del gruppo, selezionare il dispositivo nella scheda Dispositivi ed eseguire le seguenti azioni:
      1. Aprire la finestra delle proprietà del dispositivo selezionato.
      2. Nella sezione Applicazioni della finestra delle proprietà del dispositivo selezionare Network Agent.
      3. Aprire la finestra delle proprietà del Network Agent.
  3. Nella finestra delle proprietà visualizzata, nella sezione Connettività, selezionare la sottosezione Profili connessione.
  4. Nella sezione Impostazioni percorso di rete fare clic sul pulsante Aggiungi.
  5. Nella finestra Nuova descrizione visualizzata configurare la descrizione del percorso di rete e la regola per il passaggio. Specificare le seguenti impostazioni della descrizione del percorso di rete:
    • Nome della descrizione del percorso di rete

      Il nome della descrizione del percorso di rete non può essere superiore a 255 caratteri, né contenere simboli speciali come ("*<>?\/:|).

    • Usa profilo connessione

      Nell'elenco a discesa è possibile specificare il profilo di connessione utilizzato da Network Agent per connettersi ad Administration Server. Questo profilo verrà utilizzato quando sono soddisfatte le condizioni della descrizione del percorso di rete. Il profilo di connessione contiene le impostazioni per la connessione di Network Agent all'Administration Server e definisce in quali casi i dispositivi client devono passare ai criteri fuori sede. Il profilo viene utilizzato solo per scaricare gli aggiornamenti.

  6. Nella sezione Cambia condizioni fare clic sul pulsante Aggiungi per creare un elenco di condizioni della descrizione del percorso di rete.

    Le condizioni in una regola vengono combinate utilizzando l'operatore logico AND. Per attivare una regola di passaggio in base alla descrizione del percorso di rete, devono essere soddisfatte tutte le condizioni della regola.

  7. Nell'elenco a discesa selezionare il valore corrispondente alla modifica delle caratteristiche della rete a cui il dispositivo client è connesso:
    • Indirizzo gateway di connessione predefinito – L'indirizzo del gateway principale della rete è stato modificato.
    • Indirizzo server DHCP – L'indirizzo IP del server DHCP della rete è stato modificato.
    • Dominio DNS – Il suffisso DNS della subnet è stato modificato.
    • Indirizzo server DNS – L'indirizzo IP del server DNS della rete è stato modificato.
    • Accessibilità dominio Windows – Modifica dello stato del dominio Windows a cui il dispositivo client è connesso.
    • Subnet – Modifica dell'indirizzo e della subnet mask.
    • Indirizzo server WINS – L'indirizzo IP del server WINS della rete è stato modificato.
    • Risolvibilità del nome—Il nome DNS o NetBIOS del dispositivo client è cambiato.
    • Accessibilità indirizzo di connessione SSL—Il dispositivo client può o non può (a seconda dell'opzione selezionata) stabilire una connessione SSL con un server specificato (nome: porta). Per ogni server è inoltre possibile specificare un certificato SSL. In questo caso, Network Agent verifica il certificato del server oltre a controllare la capacità di una connessione SSL. Se il certificato non corrisponde, la connessione non va a buon fine.
  8. Nella finestra visualizzata specificare la condizione per il passaggio di Network Agent a un altro Administration Server. Il nome della finestra dipende dal valore selezionato durante il passaggio precedente. Specificare le seguenti impostazioni della condizione di passaggio:
    • Valore

      In questo campo è possibile aggiungere uno o più valori per la condizione creata.

    • Corrisponde ad almeno un valore dell'elenco

      Se questa opzione è selezionata, la condizione sarà soddisfatta indipendentemente dal valore specificato nell'elenco Valore.

      Per impostazione predefinita, questa opzione è selezionata.

    • Non corrisponde ad alcun valore dell'elenco

      Se questa opzione è selezionata, la condizione viene soddisfatta se il relativo valore non è contenuto nell'elenco Valore.

  9. Nella finestra Nuova descrizione selezionare l'opzione Descrizione abilitata per abilitare l'utilizzo della nuova descrizione del percorso di rete.

Verrà creata una nuova regola di passaggio in base alla descrizione del percorso di rete. Quando le condizioni della regola sono soddisfatte, Network Agent utilizza il profilo di connessione specificato nella regola per connettersi ad Administration Server.

Viene cercata una corrispondenza del layout di rete nelle descrizioni del percorso di rete, in base all'ordine in cui le regole sono visualizzate nell'elenco. Se una rete corrisponde a più descrizioni, viene utilizzata la prima.

È possibile modificare l'ordine delle regole nell'elenco utilizzando i pulsanti Su () e Giù ().

Inizio pagina
[Topic 10807]

Criptaggio delle comunicazioni con SSL/TLS

Per correggere le vulnerabilità nella rete aziendale dell'organizzazione, è possibile abilitare il criptaggio del traffico tramite SSL/TLS. È possibile abilitare SSL/TLS in Administration Server e Server per dispositivi mobili MDM iOS. Kaspersky Security Center supporta SSL v3, nonché Transport Layer Security (TLS 1.0, 1.1 e 1.2). È possibile selezionare il protocollo e i pacchetti di criptaggio. Kaspersky Security Center utilizza certificati autofirmati. Non sono necessarie configurazioni aggiuntive dei dispositivi iOS. È inoltre possibile utilizzare i propri certificati. Gli specialisti di Kaspersky consigliano di utilizzare i certificati rilasciati da autorità di certificazione attendibili.

Administration Server

Per configurare i protocolli e i pacchetti di criptaggio consentiti nell'Administration Server:

  1. Utilizzare l'utilità klscflag per configurare i protocolli e i pacchetti di criptaggio consentiti in Administration Server: Immettere il seguente comando nel prompt dei comandi di Windows, utilizzando i diritti di amministratore:

    klscflag -fset -pv ".core/.independent" -s Transport -n SrvUseStrictSslSettings -v <valore> -t d

    Specificare il parametro <valore> del comando:

    • 0: Tutti i protocolli e le suite di criptaggio supportati sono abilitati
    • 1: SSL v2 è disabilitato

      Pacchetti di criptaggio:

      • AES256-GCM-SHA384
      • AES256-SHA256
      • AES256-SHA
      • CAMELLIA256-SHA
      • AES128-GCM-SHA256
      • AES128-SHA256
      • AES128-SHA
      • SEED-SHA
      • CAMELLIA128-SHA
      • IDEA-CBC-SHA
      • RC4-SHA
      • RC4-MD5
      • DES-CBC3-SHA
    • 2– SSL v2 e SSL v3 sono disabilitati (valore predefinito)

      Pacchetti di criptaggio:

      • AES256-GCM-SHA384
      • AES256-SHA256
      • AES256-SHA
      • CAMELLIA256-SHA
      • AES128-GCM-SHA256
      • AES128-SHA256
      • AES128-SHA
      • SEED-SHA
      • CAMELLIA128-SHA
      • IDEA-CBC-SHA
      • RC4-SHA
      • RC4-MD5
      • DES-CBC3-SHA
    • 3– solo TLS v1.2.

      Pacchetti di criptaggio:

      • AES256-GCM-SHA384
      • AES256-SHA256
      • AES256-SHA
      • CAMELLIA256-SHA
      • AES128-GCM-SHA256
      • AES128-SHA256
      • AES128-SHA
      • CAMELLIA128-SHA
  2. Riavviare i seguenti servizi Kaspersky Security Center 13.1:
    • Administration Server
    • Server Web
    • Proxy di attivazione

Server per dispositivi mobili MDM iOS

La connessione tra i dispositivi iOS e il Server per dispositivi mobili MDM iOS è criptata per impostazione predefinita.

Per configurare i protocolli e i pacchetti di criptaggio consentiti in Server per dispositivi mobili MDM iOS:

  1. Aprire il Registro di sistema del dispositivo client in cui è installato il server per dispositivi mobili MDM iOS (ad esempio in locale, utilizzando il comando regedit nel menu StartEsegui).
  2. Passare al seguente hive:
    • Per i sistemi a 32 bit:

      HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset

    • Per i sistemi a 64 bit:

      HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset

  3. Creare una chiave con il nome StrictSslSettings.
  4. Specificare DWORD come tipo di chiave.
  5. Impostare il valore della chiave:
    • 2– SSL v3 è disabilitato (TLS 1.0, TLS 1.1, TLS 1.2 sono consentiti)
    • 3– solo TLS 1.2 (valore predefinito)
  6. Riavviare il servizio Server per dispositivi mobili MDM iOS di Kaspersky Security Center 13.1.
Inizio pagina
[Topic 174316]

Notifiche degli eventi

In questa sezione viene descritto come selezionare un metodo per l'invio delle notifiche all'amministratore sugli eventi che si verificano nei dispositivi client e come configurare le impostazioni di notifica degli eventi.

Viene inoltre descritto come testare la distribuzione delle notifiche degli eventi tramite il virus di prova Eicar.

In questa sezione

Configurazione delle notifiche degli eventi

Testing delle notifiche

Notifiche degli eventi visualizzate dall'esecuzione di un file eseguibile

Inizio pagina
[Topic 153722]

Configurazione delle notifiche degli eventi

Espandi tutto | Comprimi tutto

Kaspersky Security Center consente di selezionare un metodo per la notifica all'amministratore degli eventi che si verificano nei dispositivi client e di configurare la notifica:

  • E-mail. Quando si verifica un evento, l'applicazione invia una notifica agli indirizzi e-mail specificati. È possibile modificare il testo della notifica.
  • SMS. Quando si verifica un evento, l'applicazione invia una notifica ai numeri di telefono specificati. È possibile configurare le notifiche SMS per l'invio tramite il gateway di posta.
  • File eseguibile. Quando si verifica un evento in un dispositivo, il file eseguibile viene avviato nella workstation di amministrazione. Utilizzando il file eseguibile, l'amministratore può ricevere i parametri di qualsiasi evento che si è verificato.

Per configurare le notifiche degli eventi che si verificano nei dispositivi client:

  1. Nella struttura della console selezionare il nodo con il nome dell'Administration Server desiderato.
  2. Nell'area di lavoro del nodo selezionare la scheda Eventi.
  3. Fare clic sul collegamento Configura notifiche ed esportazione eventi e selezionare il valore Configura notifiche nell'elenco a discesa.

    Verrà visualizzata la finestra Proprietà: Eventi.

  4. Nella sezione Notifica selezionare un metodo di notifica (via e-mail, SMS o attraverso un file eseguibile) e definire le impostazioni di notifica:
    • E-mail

      La scheda E-mail consente di configurare le notifiche degli eventi tramite e-mail.

      Nel campo Destinatari (indirizzi e-mail) specificare gli indirizzi e-mail a cui l'applicazione invierà le notifiche. È possibile specificare più indirizzi in questo campo, separandoli con punto e virgola.

      Nel campo Server SMTP specificare gli indirizzi dei server di posta, separandoli con punto e virgola. È possibile utilizzare l'indirizzo IP o il nome DNS del server SMTP come indirizzo.

      Nel campo Porta server SMTP specificare il numero di una porta di comunicazione del server SMTP. Il numero di porta predefinito è 25.

      Se si abilita l'opzione Usa ricerca DNS MX, è possibile utilizzare più record MX degli indirizzi IP per lo stesso nome DNS del server SMTP. Lo stesso nome DNS può avere diversi record MX con valori di priorità differenti di ricezione dei messaggi e-mail. Administration Server tenta di inviare notifiche e-mail al server SMTP in ordine crescente di priorità dei record MX. Per impostazione predefinita, questa opzione è disabilitata.

      Se si abilita l'opzione Usa ricerca DNS MX e non si abilita l'utilizzo delle impostazioni TLS, è consigliabile utilizzare le impostazioni DNSSEC nel dispositivo server come misura di protezione aggiuntiva per l'invio di notifiche e-mail.

      Fare clic sul collegamento Impostazioni per definire impostazioni di notifica aggiuntive:

      • Nome dell'oggetto (nome dell'oggetto di un messaggio e-mail)
      • Indirizzo e-mail del mittente
      • Impostazioni di autenticazione ESMTP

      È necessario specificare un account per l'autenticazione in un server SMTP se l'opzione di autenticazione ESMTP è abilitata per il server SMTP.

      • Impostazioni TLS per il server SMTP:
        • Non utilizzare TLS

        È possibile selezionare questa opzione se si desidera disabilitare il criptaggio dei messaggi e-mail.

        • Usa TLS se supportato dal server SMTP

        È possibile selezionare questa opzione se si desidera utilizzare una connessione TLS in un server SMTP. Se il server SMTP non supporta TLS, Administration Server si connette al server SMTP senza utilizzare TLS.

        • Usa sempre TLS, controlla la validità del certificato del server

        È possibile selezionare questa opzione se si desidera utilizzare le impostazioni di autenticazione TLS. Se il server SMTP non supporta TLS, Administration Server non può connettersi al server SMTP.

      È consigliabile utilizzare questa opzione per una protezione più efficace della connessione con un server SMTP. Se si seleziona questa opzione, è possibile configurare le impostazioni di autenticazione per una connessione TLS.

      Se si sceglie il valore Usa sempre TLS, controlla la validità del certificato del server, è possibile specificare un certificato per l'autenticazione del server SMTP e scegliere se si desidera abilitare la comunicazione tramite qualsiasi versione di TLS o solo tramite TLS 1.2 o versioni successive. È inoltre possibile specificare un certificato per l'autenticazione del client nel server SMTP.

      È possibile specificare le impostazioni TLS per un server SMTP:

      • Cercare un file di certificato del server SMTP:

      È possibile ricevere un file con l'elenco dei certificati da un'autorità di certificazione attendibile e caricare il file in Administration Server. Kaspersky Security Center verifica se anche il certificato di un server SMTP è firmato da un'autorità di certificazione attendibile. Kaspersky Security Center non può connettersi a un server SMTP se il certificato del server SMTP non viene ricevuto da un'autorità di certificazione attendibile.

      • Cercare un file di certificato del client:

      È possibile utilizzare un certificato ricevuto da qualsiasi origine, ad esempio da qualsiasi autorità di certificazione attendibile. È necessario specificare il certificato e la relativa chiave privata utilizzando uno dei seguenti tipi di certificato:

      • Certificato X-509:

      È necessario specificare un file con il certificato e un file con la chiave privata. Entrambi i file non dipendono l'uno dall'altro e l'ordine di caricamento dei file non è significativo. Quando entrambi i file vengono caricati, è necessario specificare la password per la decodifica della chiave privata. La password può avere un valore vuoto se la chiave privata non è codificata.

      • Contenitore pkcs12:

      È necessario caricare un singolo file che contenga il certificato e la relativa chiave privata. Quando il file viene caricato, è necessario specificare la password per la decodifica della chiave privata. La password può avere un valore vuoto se la chiave privata non è codificata.

      Il campo Messaggio di notifica contiene testo standard con informazioni sull'evento inviate dall'applicazione quando si verifica un evento. Il testo include parametri sostitutivi, ad esempio il nome dell'evento, il nome del dispositivo e il nome di dominio. È possibile modificare il testo del messaggio aggiungendo altri parametri sostitutivi con dettagli più pertinenti dell'evento. L'elenco dei parametri sostitutivi è disponibile facendo clic sul pulsante a destra del campo.

      Se il testo di notifica contiene un segno percentuale (%), è necessario digitarlo due volte di seguito per consentire l'invio del messaggio. Ad esempio, "Il carico della CPU è 100%%".

      Fare clic sul collegamento Configura un limite numerico per le notifiche per specificare il numero massimo di notifiche che l'applicazione può inviare nell'intervallo di tempo specificato.

      Fare clic sul pulsante Invia messaggio di prova per verificare se le notifiche sono state configurate correttamente. L'applicazione dovrebbe inviare una notifica di prova agli indirizzi e-mail specificati.

    • SMS

      La scheda SMS consente di configurare la trasmissione delle notifiche SMS di diversi eventi a un cellulare. I messaggi SMS vengono inviati tramite un gateway di posta.

      Nel campo Destinatari (indirizzi e-mail) specificare gli indirizzi e-mail a cui l'applicazione invierà le notifiche. È possibile specificare più indirizzi in questo campo, separandoli con punto e virgola. Le notifiche verranno inviate ai numeri di telefono associati agli indirizzi e-mail specificati.

      Nel campo Server SMTP specificare gli indirizzi dei server di posta, separandoli con punto e virgola. È possibile utilizzare come indirizzo l'indirizzo IP o il nome di rete di Windows (nome NetBIOS) del dispositivo.

      Nel campo Porta server SMTP specificare il numero di una porta di comunicazione del server SMTP. Il numero di porta predefinito è 25.

      Fare clic sul collegamento Impostazioni per definire impostazioni di notifica aggiuntive:

      • Nome dell'oggetto (nome dell'oggetto di un messaggio e-mail)
      • Indirizzo e-mail del mittente
      • Impostazioni di autenticazione ESMTP

      Se necessario, è possibile specificare un account per l'autenticazione in un server SMTP se l'opzione di autenticazione ESMTP è abilitata per il server SMTP.

      • Impostazioni TLS per un server SMTP

      È possibile disabilitare l'utilizzo di TLS, utilizzare TLS se il server SMTP supporta questo protocollo oppure forzare solo l'utilizzo di TLS. Se si sceglie di utilizzare solo TLS, è possibile specificare un certificato per l'autenticazione del server SMTP e scegliere se si desidera abilitare la comunicazione tramite qualsiasi versione di TLS o solo tramite TLS 1.2 o versioni successive. Inoltre, se si sceglie di utilizzare solo TLS, è possibile specificare un certificato per l'autenticazione client nel server SMTP.

      • Cercare un file di certificato del server SMTP

      È possibile ricevere un file con l'elenco dei certificati da un'autorità di certificazione attendibile e caricare il file in Kaspersky Security Center. Kaspersky Security Center verifica se anche il certificato del server SMTP è firmato da un'autorità di certificazione attendibile. Kaspersky Security Center non può connettersi al server SMTP se il certificato del server SMTP non viene ricevuto da un'autorità di certificazione attendibile.

      È necessario caricare un singolo file che contenga il certificato e la relativa chiave privata. Quando il file viene caricato, è necessario specificare la password per la decodifica della chiave privata. La password può avere un valore vuoto se la chiave privata non è codificata. Il campo Messaggio di notifica contiene testo standard con informazioni sull'evento che l'applicazione invia quando si verifica un evento. Il testo include parametri sostitutivi, ad esempio il nome dell'evento, il nome del dispositivo e il nome di dominio. È possibile modificare il testo del messaggio aggiungendo altri parametri sostitutivi con dettagli più pertinenti dell'evento. L'elenco dei parametri sostitutivi è disponibile facendo clic sul pulsante a destra del campo.

      Se il testo di notifica contiene un segno percentuale (%), è necessario digitarlo due volte di seguito per consentire l'invio del messaggio. Ad esempio, "Il carico della CPU è 100%%".

      Fare clic sul collegamento Configura un limite numerico per le notifiche per specificare il numero massimo di notifiche che l'applicazione può inviare nell'intervallo di tempo specificato.

      Fare clic sul pulsante Invia messaggio di prova per verificare se le notifiche sono state configurate correttamente. L'applicazione dovrebbe inviare una notifica di prova al destinatario specificato.

    • File eseguibile da avviare

      Se è selezionato questo metodo di notifica, nel campo di immissione è possibile specificare l'applicazione che verrà avviata quando si verifica un evento.

      Il collegamento Configurare un limite numerico per la notifica consente di specificare il numero massimo di notifiche che l'applicazione può inviare nell'intervallo di tempo specificato.

      Il pulsante Invia messaggio di prova consente di verificare se le notifiche sono state configurate correttamente: l'applicazione invia una notifica di prova all'indirizzo e-mail specificato.

  5. Nel campo Messaggio di notifica immettere il testo che l'applicazione invierà quando si verifica un evento.

    È possibile utilizzare l'elenco a discesa a destra del campo di testo per aggiungere impostazioni di sostituzione con dettagli sull'evento (ad esempio la descrizione dell'evento o l'ora in cui si è verificato).

    Se il testo di notifica contiene una percentuale (%), è necessario specificarlo due volte di seguito per consentire l'invio del messaggio. Ad esempio, "Il carico della CPU è 100%%".

  6. Fare clic sul pulsante Invia messaggio di prova per verificare se la notifica è stata configurata correttamente.

    L'applicazione invia una notifica test all'utente specificato.

  7. Fare clic su OK per salvare le modifiche.

Le impostazioni di notifica modificate verranno applicate a tutti gli eventi che si verificano nei dispositivi client.

È possibile sostituire le impostazioni di notifica per determinati eventi nella sezione Configurazione eventi delle impostazioni di Administration Server, delle impostazioni di un criterio o delle impostazioni di un'applicazione.

Vedere anche:

Elaborazione e archiviazione di eventi in Administration Server

Scenario: monitoraggio e generazione di rapporti

Inizio pagina
[Topic 4944]

Testing delle notifiche

Per verificare l'invio delle notifiche degli eventi, l'applicazione utilizza la notifica di rilevamento del "virus" di prova EICAR nei dispositivi client.

Per verificare l'invio delle notifiche degli eventi:

  1. Arrestare l'attività di protezione del file system in tempo reale in un dispositivo client e copiare il "virus" di prova EICAR nel dispositivo client. Abilitare nuovamente la protezione in tempo reale del file system.
  2. Eseguire un'attività di scansione per dispositivi client in un gruppo di amministrazione o per dispositivi specifici, compreso uno con il "virus" EICAR.

    Se l'attività di scansione è configurata correttamente, il virus di prova verrà rilevato. Se le notifiche sono configurate correttamente, si riceverà una notifica del rilevamento di un virus.

    Nell'area di lavoro del nodo Administration Server, nella scheda Eventi, la selezione Eventi recenti visualizza un record di rilevamento di un "virus".

Il "virus" di prova EICAR non contiene codice che può danneggiare il dispositivo. Tuttavia, la maggior parte delle applicazioni di protezione identifica il file come virus. È possibile scaricare il "virus" di prova dal sito Web ufficiale di EICAR.

Inizio pagina
[Topic 4834]

Notifiche degli eventi visualizzate dall'esecuzione di un file eseguibile

Kaspersky Security Center consente di inviare all'amministratore notifiche degli eventi nei dispositivi client visualizzate dall'esecuzione di un file eseguibile. Il file eseguibile deve contenere un altro file eseguibile con segnaposto dell'evento da inviare all'amministratore.

Segnaposto per la descrizione di un evento

Segnaposto

Descrizione del segnaposto

%SEVERITY%

Livello di importanza evento

%COMPUTER%

Nome del dispositivo in cui si è verificato l'evento

%DOMAIN%

Dominio

%EVENT%

Evento

%DESCR%

Descrizione evento

%RISE_TIME%

Ora creazione

%KLCSAK_EVENT_TASK_DISPLAY_NAME%

Nome attività

%KL_PRODUCT%

Kaspersky Security Center Network Agent

%KL_VERSION%

Numero di versione di Network Agent

%HOST_IP%

Indirizzo IP

%HOST_CONN_IP%

Indirizzo IP connessione

Esempio:

Le notifiche degli eventi sono inviate tramite un file eseguibile (come script1.bat) all'interno del quale viene avviato un altro file eseguibile (come script2.bat) con il segnaposto %COMPUTER%. Quando si verifica un evento, il file script1.bat viene eseguito nel dispositivo dell'amministratore, eseguendo a sua volta il file script2.bat con il segnaposto %COMPUTER%. L'amministratore riceverà il nome del dispositivo in cui si è verificato l'evento.

Inizio pagina
[Topic 84509]

Configurazione dell'interfaccia

Espandi tutto | Comprimi tutto

È possibile configurare l'interfaccia di Kaspersky Security Center:

  • Mostrare e nascondere oggetti nella struttura della console, nell'area di lavoro e nelle finestre delle proprietà degli oggetti (cartelle, sezioni) a seconda delle funzionalità utilizzate.
  • Mostrare e nascondere elementi della finestra principale (ad esempio la struttura della console o menu standard come Azioni e Visualizza).

Per configurare l'interfaccia di Kaspersky Security Center in base al set di funzionalità utilizzate al momento:

  1. Nella struttura della console selezionare il nodo Administration Server.
  2. Nella barra del menu della finestra principale dell'applicazione selezionare VisualizzaConfigura interfaccia.
  3. Nella finestra Configura interfaccia visualizzata configurare la visualizzazione degli elementi di interfaccia utilizzando le seguenti caselle di controllo:
    • Visualizza Vulnerability e Patch Management

      Se questa opzione è abilitata, nella cartella Installazione remota viene visualizzata la sottocartella Distribuisci immagini dei dispositivi, mentre nella cartella Archivi viene visualizzata la sottocartella Hardware.

      Questa opzione è disabilitata per impostazione predefinita se l'Avvio rapido guidato non è stato terminato. Questa opzione è abilitata per impostazione predefinita al termine dell'Avvio rapido guidato.

    • Visualizza Criptaggio e protezione dei dati

      Se questa opzione è abilitata, la struttura della console visualizza la cartella Criptaggio e protezione dei dati.

      Per impostazione predefinita, questa opzione è abilitata.

    • Visualizza impostazioni di controllo endpoint

      Se questa opzione è abilitata, vengono visualizzate le seguenti sottosezioni nella sezione Controlli di Sicurezza della finestra delle proprietà del criterio di Kaspersky Endpoint Security for Windows:

      • Controllo Applicazioni
      • Controllo Dispositivi
      • Controllo Web
      • Controllo adattivo delle anomalie

      Se questa opzione è disabilitata, queste sottosezioni non vengono visualizzate nella sezione Controlli di Sicurezza.

      Per impostazione predefinita, questa opzione è abilitata.

    • Visualizza Mobile Device Management

      Se questa opzione è abilitata, è disponibile la funzionalità Mobile Device Management. Dopo il riavvio dell'applicazione, nella struttura della console viene visualizzata la cartella Dispositivi mobili.

      Per impostazione predefinita, questa opzione è abilitata.

    • Visualizza Administration Server secondari

      Se la casella di controllo è selezionata, nella struttura della console vengono visualizzati i nodi degli Administration Server secondari e virtuali inclusi nei gruppi di amministrazione. Le funzionalità correlate agli Administration Server secondari e virtuali (ad esempio la creazione di attività di installazione remota delle applicazioni negli Administration Server secondari) sono disponibili.

      Per impostazione predefinita, questa casella di controllo è deselezionata.

    • Visualizza le sezioni delle impostazioni di protezione

      Se questa opzione è abilitata, viene visualizzata la sezione Protezione nella finestra delle proprietà di Administration Server, dei gruppi di amministrazione e di altri oggetti. Questa opzione consente di concedere a utenti e gruppi di utenti autorizzazioni personalizzate per l'utilizzo degli oggetti.

      Per impostazione predefinita, questa opzione è disabilitata.

  4. Fare clic su OK.

Per applicare alcune modifiche, è necessario chiudere la finestra principale dell'applicazione e quindi aprirla nuovamente.

Per configurare la visualizzazione di elementi nella finestra principale dell'applicazione:

  1. Nella barra dei menu della finestra principale dell'applicazione selezionare VisualizzaConfigura.
  2. Nella finestra Configura visualizzazione visualizzata configurare la visualizzazione degli elementi della finestra principale utilizzando le caselle di controllo.
  3. Fare clic su OK.
Inizio pagina
[Topic 94148]