Sommario
- Configurazione iniziale di Kaspersky Security Center
- Avvio rapido guidato di Administration Server
- Informazioni sull'Avvio rapido guidato
- Avvio dell'Avvio rapido guidato di Administration Server
- Passaggio 1. Introduzione all'Avvio rapido guidato
- Passaggio 2. Configurazione di un server proxy
- Passaggio 3. Selezione del metodo di attivazione dell'applicazione
- Passaggio 4. Selezione degli ambiti e delle piattaforme di protezione
- Passaggio 5. Selezione dei plug-in per le applicazioni gestite
- Passaggio 6. Download dei pacchetti di distribuzione e creazione dei pacchetti di installazione
- Passaggio 7. Configurazione dell'utilizzo di Kaspersky Security Network
- Passaggio 8. Configurazione delle notifiche e-mail
- Passaggio 9. Configurazione della gestione degli aggiornamenti
- Passaggio 10. Creazione di una configurazione della protezione iniziale
- Passaggio 11. Connessione dei dispositivi mobili
- Passaggio 12. Download degli aggiornamenti
- Passaggio 13. Individuazione dispositivi
- Passaggio 14. Chiusura dell'Avvio rapido guidato
- Configurazione della connessione di Administration Console ad Administration Server
- Requisiti per i certificati personalizzati utilizzati in Kaspersky Security Center
- Connessione dei dispositivi fuori sede
- Scenario: Connessione dei dispositivi fuori sede tramite un gateway di connessione
- Informazioni sulla connessione dei dispositivi fuori sede
- Connessione dei computer desktop esterni ad Administration Server
- Informazioni sui profili di connessione per gli utenti fuori sede
- Creazione di un profilo di connessione per gli utenti fuori sede
- Informazioni sul passaggio di Network Agent ad altri Administration Server
- Creazione di una regola per il passaggio di Network Agent in base al percorso di rete
- Criptaggio delle comunicazioni con SSL/TLS
- Notifiche degli eventi
- Configurazione dell'interfaccia
- Avvio rapido guidato di Administration Server
Configurazione iniziale di Kaspersky Security Center
Questa sezione descrive le operazioni che è necessario eseguire dopo l'installazione di Kaspersky Security Center per eseguire la configurazione iniziale.
Avvio rapido guidato di Administration Server
Questa sezione fornisce informazioni su Avvio rapido guidato di Administration Server.
Informazioni sull'Avvio rapido guidato
Questa sezione fornisce informazioni su Avvio rapido guidato di Administration Server.
L'Avvio rapido guidato di Administration Server consente di creare un numero minimo di attività e criteri necessari, regolare un numero minimo di impostazioni, scaricare e installare plug-in per applicazioni Kaspersky gestite e creare pacchetti di installazione di applicazioni Kaspersky gestite. Quando la procedura guidata è in esecuzione, è possibile apportare le seguenti modifiche all'applicazione:
- Scaricare e installare plug-in per applicazioni gestite. Al termine dell'Avvio rapido guidato, l'elenco dei plug-in di gestione installati viene visualizzato nella sezione Avanzate → Dettagli dei plug-in di gestione applicazioni installati della finestra delle proprietà di Administration Server.
- Creare pacchetti di installazione di applicazioni Kaspersky gestite. Al termine dell'Avvio rapido guidato, i pacchetti di installazione di Network Agent per Windows e delle applicazioni Kaspersky gestite vengono visualizzati nell'elenco Administration Server → Avanzate → Installazione remota → Pacchetti di installazione.
- Aggiungere file chiave o immettere codici di attivazione che è possibile distribuire automaticamente ai dispositivi nei gruppi di amministrazione. Al termine dell'Avvio rapido guidato, le informazioni sulle chiavi di licenza vengono visualizzate nell'elenco Administration Server → Licenze di Kaspersky e nella sezione Chiavi di licenza della finestra delle proprietà di Administration Server.
- Configurare l'interazione con Kaspersky Security Network .
- Impostare l'invio di notifiche tramite e-mail per informare degli eventi che si verificano durante l'esecuzione di Administration Server e delle applicazioni gestite (per il corretto invio delle notifiche, il servizio Messenger deve essere in esecuzione in Administration Server e in tutti i dispositivi dei destinatari). Al termine dell'Avvio rapido guidato, le impostazioni delle notifiche e-mail vengono visualizzate nella sezione Notifica della finestra delle proprietà di Administration Server.
- Configurare le impostazioni di aggiornamento e le impostazioni per la correzione delle vulnerabilità delle applicazioni installate nei dispositivi.
- Creare un criterio di protezione per workstation e server, nonché attività di scansione virus, attività di download degli aggiornamenti e attività di backup dei dati, per il livello superiore della gerarchia dei dispositivi gestiti. Al termine dell'Avvio rapido guidato, le attività create vengono visualizzate nell'elenco Administration Server → Attività, i criteri corrispondenti ai plug-in per le applicazioni gestite vengono visualizzati nell'elenco Administration Server → Criteri.
L'Avvio rapido guidato crea criteri per le applicazioni gestite, come Kaspersky Endpoint Security for Windows, a meno che tali criteri non siano già stati creati per il gruppo Dispositivi gestiti. L'Avvio rapido guidato crea attività se non esistono attività con gli stessi nomi per il gruppo Dispositivi gestiti.
In Administration Console, Kaspersky Security Center richiede automaticamente di eseguire l'Avvio rapido guidato dopo il primo avvio. È anche possibile avviare manualmente l'Avvio rapido guidato in qualsiasi momento.
Inizio paginaAvvio dell'Avvio rapido guidato di Administration Server
L'applicazione richiede automaticamente di eseguire l'Avvio rapido guidato dopo l'installazione di Administration Server, al momento della prima connessione. È anche possibile avviare manualmente l'Avvio rapido guidato in qualsiasi momento.
Per avviare manualmente l'Avvio rapido guidato:
- Nella struttura della console selezionare il nodo Administration Server.
- Nel menu di scelta rapida del nodo selezionare Tutte le attività → Avvio rapido guidato di Administration Server.
Verrà offerta la possibilità di eseguire la configurazione iniziale di Administration Server. Seguire le istruzioni della procedura guidata.
Se si avvia nuovamente l'Avvio rapido guidato, non è possibile creare nuovamente attività e criteri creati nell'esecuzione precedente della procedura guidata.
Inizio paginaPassaggio 1. Introduzione all'Avvio rapido guidato
Leggere le informazioni sulle azioni eseguite dall'Avvio rapido guidato.
Inizio paginaPassaggio 2. Configurazione di un server proxy
Espandi tutto | Comprimi tutto
Specificare le impostazioni di accesso a Internet per Administration Server. È necessario configurare l'accesso a Internet per utilizzare Kaspersky Security Network e per scaricare gli aggiornamenti dei database anti-virus per Kaspersky Security Center e le applicazioni Kaspersky gestite.
Se si desidera utilizzare un server proxy durante la connessione a Internet, selezionare l'opzione Usa server proxy. Se questa opzione è selezionata, i campi sono disponibili per l'immissione delle impostazioni. Specificare le seguenti impostazioni per la connessione al server proxy:
- Indirizzo
- Numero di porta
- Ignora il server proxy per gli indirizzi locali
- Autenticazione server proxy
- Nome utente
- Password
È possibile configurare l'accesso a Internet in un secondo momento, separatamente dall'Avvio rapido guidato.
Per specificare le impostazioni di accesso a Internet per Administration Server:
- Nella struttura della console, selezionare il nodo Administration Server.
- Nel menu di scelta rapida di Administration Server, selezionare Proprietà.
- Nella finestra delle proprietà di Administration Server, passare a Avanzate → Configurazione dell'accesso a Internet.
- Specificare le impostazioni per la connessione a un server proxy.
Passaggio 3. Selezione del metodo di attivazione dell'applicazione
Espandi tutto | Comprimi tutto
Selezionare una delle seguenti opzioni di attivazione di Kaspersky Security Center:
- Inserendo il codice di attivazione
- Specificando un file chiave
- Rimandando l'attivazione dell'applicazione
Se si sceglie di rimandare l'attivazione dell'applicazione, è possibile aggiungere successivamente una chiave di licenza in qualsiasi momento.
Passaggio 4. Selezione degli ambiti e delle piattaforme di protezione
Espandi tutto | Comprimi tutto
Selezionare gli ambiti e le piattaforme di protezione in uso nella rete. Quando si selezionano queste opzioni, si specificano i filtri per i plug-in di gestione delle applicazioni e i pacchetti di distribuzione nei server Kaspersky che è possibile scaricare per installarli nei dispositivi client nella rete. Selezionare le opzioni:
È possibile selezionare i pacchetti dell'applicazione Kaspersky nell'elenco dei pacchetti disponibili in un secondo momento, separatamente dall'Avvio rapido guidato. Per semplificare la ricerca dei pacchetti richiesti, è possibile filtrare l'elenco dei pacchetti disponibili in base ai seguenti criteri:
- Zona di protezione
- Tipo di software scaricato (pacchetto di distribuzione, utilità, plug-in o plug-in Web)
- Versione dell'applicazione Kaspersky
- Lingua di localizzazione dell'applicazione Kaspersky
Passaggio 5. Selezione dei plug-in per le applicazioni gestite
Espandi tutto | Comprimi tutto
Selezionare i plug-in per le applicazioni gestite da installare. Viene visualizzato un elenco dei plug-in che si trovano nei server Kaspersky. L'elenco viene filtrato in base alle opzioni selezionate nel passaggio precedente della procedura guidata. Per impostazione predefinita, un elenco completo include i plug-in di tutte le lingue. Per visualizzare solo il plug-in di una lingua specifica, selezionare la lingua dall'elenco a discesa Mostra lingua di localizzazione di Administration Console oppure. L'elenco dei plug-in include le seguenti colonne:
Dopo avere selezionato i plug-in, la relativa installazione viene avviata automaticamente in una finestra separata. Per installare alcuni plug-in è necessario accettare le condizioni del Contratto di licenza con l'utente finale. Leggere il testo del Contratto di licenza con l'utente finale, selezionare l'opzione Accetto i termini del Contratto di licenza e fare clic sul pulsante Installa. Se non si accettano le condizioni del Contratto di licenza con l'utente finale, il plug-in non viene installato.
Al termine dell'installazione, chiudere la finestra di installazione.
È inoltre possibile selezionare i plug-in di gestione in un secondo momento, separatamente dall'Avvio rapido guidato.
Inizio paginaPassaggio 6. Download dei pacchetti di distribuzione e creazione dei pacchetti di installazione
Kaspersky Endpoint Security for Windows include uno strumento di criptaggio per le informazioni archiviate nei dispositivi client. Per scaricare un pacchetto di distribuzione di Kaspersky Endpoint Security for Windows valido per le esigenze aziendali, consultare le normative del paese in cui si trovano i dispositivi client dell'organizzazione. Nella finestra Tipo di criptaggio selezionare uno dei seguenti tipi di criptaggio:
- Crittografia avanzata (AES256). Questo tipo di criptaggio utilizza una lunghezza della chiave di 256 bit.
- Crittografia Lite (AES56). Questo tipo di criptaggio utilizza una lunghezza della chiave di 56 bit.
La finestra Tipo di criptaggio viene visualizzata solo se è stato selezionato Workstation come area di protezione e Microsoft Windows come piattaforma.
Dopo aver selezionato un tipo di criptaggio, viene visualizzato un elenco dei pacchetti di distribuzione di entrambi i tipi di criptaggio. Nell'elenco viene selezionato un pacchetto di distribuzione con il tipo di criptaggio selezionato. La lingua del pacchetto di distribuzione corrisponde alla lingua di Kaspersky Security Center. Se non esiste un pacchetto di distribuzione di Kaspersky Endpoint Security for Windows per la lingua di Kaspersky Security Center, viene selezionato il pacchetto di distribuzione in inglese.
Nell'elenco è possibile selezionare le lingue del pacchetto di distribuzione tramite l'elenco a discesa Mostra lingua di localizzazione di Administration Console oppure.
Le distribuzioni delle applicazioni gestite potrebbero richiedere l'installazione di una versione minima specifica di Kaspersky Security Center.
Nell'elenco è possibile selezionare pacchetti di distribuzione di qualsiasi tipo di criptaggio, diversi da quelli selezionati nella finestra Tipo di criptaggio. Dopo aver selezionato un pacchetto di distribuzione per Kaspersky Endpoint Security for Windows, viene avviato il download dei pacchetti di distribuzione, corrispondenti ai componenti e alle piattaforme. È possibile monitorare l'avanzamento del download nella colonna Stato del download. Al termine dell'Avvio rapido guidato, i pacchetti di installazione di Network Agent per Windows e delle applicazioni Kaspersky gestite vengono visualizzati nell'elenco Administration Server → Avanzate → Installazione remota → Pacchetti di installazione.
Per terminare il download di alcuni pacchetti di distribuzione è necessario accettare il Contratto di licenza con l'utente finale. Quando si fa clic sul pulsante Accetta, viene visualizzato il testo del Contratto di licenza con l'utente finale. Per procedere al passaggio successivo della procedura guidata, è necessario accettare i termini e le condizioni del Contratto di licenza con l'utente finale e i termini e le condizioni dell'Informativa sulla privacy di Kaspersky. Selezionare le opzioni relative al Contratto di licenza con l'utente finale e all'Informativa sulla privacy di Kaspersky, quindi fare clic sul pulsante Accetta tutto. Se non si accettano i termini e le condizioni, il download del pacchetto viene annullato.
Dopo aver accettato i termini e le condizioni del Contratto di licenza con l'utente finale e i termini e le condizioni dell'Informativa sulla privacy di Kaspersky, il download dei pacchetti di distribuzione prosegue. Al termine del download, viene visualizzato lo stato Pacchetto di installazione creato. Successivamente è possibile utilizzare i pacchetti di installazione per distribuire le applicazioni Kaspersky nei dispositivi client.
Se si preferisce non eseguire la procedura guidata, è possibile creare manualmente i pacchetti di installazione accedendo ad Administration Server → Avanzate → Installazione remota → Pacchetti di installazione nella struttura di Administration Console.
Inizio paginaPassaggio 7. Configurazione dell'utilizzo di Kaspersky Security Network
Espandi tutto | Comprimi tutto
È possibile ottenere l'accesso ali database di reputazione di Kaspersky Security Network per garantire una risposta più rapida da parte delle applicazioni Kaspersky alle minacce, migliorare l'efficacia di alcuni componenti della protezione e ridurre il rischio di falsi positivi.
Leggere l'Informativa KSN, visualizzata nella finestra. Specificare le impostazioni per la trasmissione delle informazioni sulle operazioni di Kaspersky Security Center alla Knowledge Base di Kaspersky Security Network. Selezionare una delle seguenti opzioni:
- Accetto di utilizzare Kaspersky Security Network
- Non accetto di utilizzare Kaspersky Security Network
Se è stato scaricato il plug-in di Kaspersky Endpoint Security for Windows, si visualizzeranno entrambe le informative KSN, sia l'Informativa KSN per Kaspersky Security Center sia l'informativa KSN per Kaspersky Endpoint Security for Windows. Le informative KSN per altre applicazioni Kaspersky gestite i cui plug-in sono stati scaricati verranno visualizzate in finestre separate e sarà necessario accettare (o non accettare) ciascuna informativa separatamente.
È inoltre possibile configurare l'accesso di Administration Server a Kaspersky Security Network (KSN) in un secondo momento nella finestra delle proprietà di Administration Server di Administration Console.
Inizio paginaPassaggio 8. Configurazione delle notifiche e-mail
Espandi tutto | Comprimi tutto
Configurare l'invio di notifiche relative agli eventi registrati durante l'esecuzione delle applicazioni Kaspersky nei dispositivi gestiti. Queste impostazioni vengono utilizzate come impostazioni predefinite per Administration Server.
Per configurare l'invio di notifiche relative agli eventi che si verificano nelle applicazioni Kaspersky, utilizzare le seguenti impostazioni:
È possibile verificare le nuove impostazioni di notifica e-mail facendo clic sul pulsante Invia messaggio di prova.
È possibile configurare le notifiche degli eventi anche in un secondo momento, separatamente rispetto all'Avvio rapido guidato.
Inizio paginaPassaggio 9. Configurazione della gestione degli aggiornamenti
Espandi tutto | Comprimi tutto
Configurare le impostazioni per la gestione degli aggiornamenti delle applicazioni installate nei dispositivi client.
È possibile configurare queste impostazioni solo se è stata fornita una chiave di licenza con l'opzione Vulnerability e Patch Management.
Nel gruppo di impostazioni Cerca e installa gli aggiornamenti è possibile selezionare una modalità di ricerca e installazione degli aggiornamenti di Kaspersky Security Center:
Nel gruppo di impostazioni Windows Server Update Services è possibile selezionare il metodo di sincronizzazione degli aggiornamenti:
- Utilizzare le sorgenti aggiornamenti definite nel criterio di dominio
- Usa Administration Server come server WSUS
Se si preferisce non eseguire l'Avvio rapido guidato, creare le attività Trova vulnerabilità e aggiornamenti richiesti e Installa aggiornamenti richiesti e correggi vulnerabilità in seguito. Per utilizzare Administration Server come server WSUS, creare l'attività Esegui sincronizzazione di Windows Update, quindi selezionare l'opzione Usa Administration Server come server WSUS nel criterio di Network Agent.
Inizio paginaPassaggio 10. Creazione di una configurazione della protezione iniziale
La finestra Configura protezione iniziale visualizza un elenco dei criteri e delle attività creati automaticamente. Vengono creati i seguenti criteri e attività:
- Criterio per Kaspersky Security Center Network Agent
- Criteri per le applicazioni Kaspersky gestite
- Attività Manutenzione di Administration Server
- Attività Backup dei dati di Administration Server
- Attività Scarica aggiornamenti nell'archivio dell'Administration Server
- Attività Trova vulnerabilità e aggiornamenti richiesti
- Attività Installa aggiornamento
Attendere il completamento della creazione di criteri e attività prima di procedere al passaggio successivo della procedura guidata.
Se è stato scaricato e installato il plug-in per Kaspersky Endpoint Security for Windows 10 Service Pack 1 e versioni successive fino alla 11.0.1, durante la creazione di criteri e attività viene visualizzata una finestra per la configurazione iniziale dell'area attendibile di Kaspersky Endpoint Security for Windows. L'applicazione richiederà di aggiungere i vendor verificati da Kaspersky nell'area attendibile, in modo da escludere le relative applicazioni dalle scansioni per impedire che vengano bloccate accidentalmente. È possibile creare subito esclusioni consigliate o creare un elenco di esclusioni in un secondo momento selezionando i seguenti elementi nella struttura della console: Criteri → menu Proprietà di Kaspersky Endpoint Security → Protezione Minacce Avanzata → Area attendibile → Impostazioni → Aggiungi. L'elenco delle esclusioni dalla scansione è disponibile per la modifica in qualsiasi momento durante l'utilizzo dell'applicazione.
Le operazioni sull'area attendibile vengono eseguite tramite gli strumenti integrati in Kaspersky Endpoint Security for Windows. Per istruzioni dettagliate sull'esecuzione delle operazioni e una descrizione delle funzionalità di criptaggio, consultare la Guida in linea di Kaspersky Endpoint Security for Windows.
Per completare la configurazione iniziale dell'area attendibile e tornare alla procedura guidata, fare clic su OK.
Fare clic su Avanti. Questo pulsante diventa disponibile dopo che tutti i criteri e le attività necessari sono stati creati.
È inoltre possibile creare le attività e i criteri richiesti in un secondo momento, separatamente dall'Avvio rapido guidato.
Inizio paginaPassaggio 11. Connessione dei dispositivi mobili
Espandi tutto | Comprimi tutto
Se è stata abilitata l'area di protezione Dispositivi mobili nelle impostazioni della procedura guidata, specificare le impostazioni per la connessione dei dispositivi mobili aziendali dell'organizzazione gestita. Se non è stata abilitata l'area di protezione Dispositivi mobili, questo passaggio viene ignorato.
A questo punto della procedura guidata, effettuare le seguenti operazioni:
- Configurare le porte per la connessione dei dispositivi mobili
- Configurare l'autenticazione di Administration Server
- Creare o gestire i certificati
- Configurare l'emissione, l'aggiornamento automatico e il criptaggio dei certificati di tipo generico
- Creare una regola di spostamento per i dispositivi mobili
Per configurare le porte per la connessione dei dispositivi mobili:
- Fare clic sul pulsante Configura a destra del campo Connessione dispositivo mobile.
- Nell'elenco a discesa selezionare Configura le porte.
Verrà visualizzata la finestra delle proprietà di Administration Server, con la sezione Porte aggiuntive.
- Nella sezione Porte aggiuntive è possibile specificare le impostazioni di connessione dei dispositivi mobili:
- Porta SSL per il server proxy di attivazione
- Apri porta per i dispositivi mobili
- Porta per la sincronizzazione del dispositivo mobile
- Porta per l'attivazione del dispositivo mobile
- Porta aperta per i dispositivi di protezione UEFI e i dispositivi KasperskyOS
- Porta per i dispositivi di protezione UEFI e i dispositivi KasperskyOS
- Fare clic su OK per salvare le modifiche e tornare all'Avvio rapido guidato.
È necessario configurare l'autenticazione di Administration Server per i dispositivi mobili e l'autenticazione dei dispositivi mobili per l'Administration Server. Se si desidera, è possibile configurare l'autenticazione in un secondo momento, separatamente rispetto all'Avvio rapido guidato.
Per configurare l'autenticazione di Administration Server per dispositivi mobili:
- Fare clic sul pulsante Configura a destra del campo Connessione dispositivo mobile.
- Nell'elenco a discesa selezionare Configura l'autenticazione.
Verrà visualizzata la finestra delle proprietà di Administration Server, con la sezione Certificati.
- Selezionare l'opzione di autenticazione per i dispositivi mobili nel gruppo di impostazioni Autenticazione Administration Server da parte dei dispositivi mobili e selezionare l'opzione di autenticazione per i dispositivi di protezione UEFI nel gruppo di impostazioni Autenticazione Administration Server da parte dei dispositivi di protezione UEFI.
Quando Administration Server esegue lo scambio dei dati con i dispositivi client, l'autenticazione avviene tramite l'utilizzo di un certificato.
Per impostazione predefinita, viene utilizzato il certificato creato durante l'installazione di Administration Server. Se si desidera, è possibile aggiungere un nuovo certificato.
Per aggiungere un nuovo certificato (opzione facoltativa):
- Selezionare Altro certificato.
Viene visualizzato il pulsante Sfoglia.
- Fare clic sul pulsante Sfoglia.
- Nella finestra visualizzata specificare le impostazioni del certificato:
- Tipo di certificato
- Ora di attivazione:
- Fare clic sul pulsante Proprietà per visualizzare le impostazioni del certificato di Administration Server selezionato.
Per riemettere un certificato emesso tramite Administration Server:
- Selezionare Certificato emesso tramite Administration Server.
- Fare clic sul pulsante Riemetti.
- Nella finestra visualizzata specificare le seguenti impostazioni:
- Indirizzo di connessione:
- Ora di attivazione:
- Fare clic su OK per salvare le modifiche e tornare alla finestra Certificati.
- Fare clic su OK per salvare le modifiche e tornare all'Avvio rapido guidato.
Per configurare l'emissione, l'aggiornamento automatico e il criptaggio dei certificati di tipo generico per l'identificazione dei dispositivi mobili da parte di Administration Server:
- Fare clic sul pulsante Configura a destra del campo Autenticazione dispositivo mobile.
Viene visualizzata la finestra Regole di emissione certificati, che visualizza la sezione Emissione di certificati mobili.
- Se necessario, specificare le seguenti impostazioni nella sezione Impostazioni di emissione:
- Durata del certificato, in giorni
- Origine certificato
Se è stata configurata l'integrazione con PKI (Public Key Infrastructure) nella sezione Integrazione con PKI è possibile modificare i modelli di certificato. In questo caso, sono disponibili i seguenti campi di selezione del modello:
- Modello predefinito
- Altro modello
- Se necessario, specificare le seguenti impostazioni per l'emissione automatica dei certificati nella sezione Impostazioni degli aggiornamenti automatici:
- Rinnova quando la scadenza del certificato è prevista tra (giorni)
- Riemetti automaticamente il certificato se possibile
I certificati vengono riemessi automaticamente da un'autorità di certificazione.
- Se necessario, nella sezione delle impostazioni Protezione tramite password specificare le impostazioni per il decriptaggio dei certificati durante l'installazione.
Selezionare l'opzione Richiedi la password durante l'installazione del certificato per richiedere all'utente la password durante l'installazione del certificato in un dispositivo mobile. La password viene utilizzata solo una volta, durante l'installazione del certificato nel dispositivo mobile.
La password verrà automaticamente generata e inviata da Administration Server all'indirizzo e-mail specificato. È possibile specificare l'indirizzo e-mail dell'utente o il proprio indirizzo e-mail, se si desidera utilizzare un altro metodo per inviare la password all'utente.
È possibile utilizzare il dispositivo di scorrimento per specificare il numero di caratteri contenuti nella password per il decriptaggio del certificato.
L'opzione per la richiesta della password è ad esempio necessaria per la protezione di un certificato condiviso in un pacchetto di installazione indipendente di Kaspersky Endpoint Security for Android. La protezione tramite password impedisce a un utente malintenzionato di ottenere l'accesso al certificato condiviso tramite il furto del pacchetto di installazione indipendente dal server Web di Kaspersky Security Center.
Se questa opzione è deselezionata, il certificato viene decriptato automaticamente durante l'installazione e all'utente non viene richiesta alcuna password. Per impostazione predefinita, questa opzione è disabilitata.
- Fare clic su OK per salvare le modifiche e tornare alla finestra Avvio rapido guidato.
Fare clic sul pulsante Annulla per tornare all'Avvio rapido guidato senza salvare le modifiche.
Per abilitare la funzione di spostamento dei dispositivi mobili in un gruppo di amministrazione selezionato,
Nel campo Spostamento automatico dei dispositivi mobili selezionare l'opzione Crea una regola di spostamento per i dispositivi mobili.
Se l'opzione Crea una regola di spostamento per i dispositivi mobili è selezionata, l'applicazione crea automaticamente una regola di spostamento che sposta i dispositivi iOS e Android nel gruppo Dispositivi gestiti:
- Con sistemi operativi Android in cui sono installati Kaspersky Endpoint Security for Android e un certificato mobile
- Con sistemi operativi iOS in cui è installato il profilo MDM iOS con un certificato condiviso
Se una regola esiste già, l'applicazione non la crea nuovamente.
Per impostazione predefinita, questa opzione è disabilitata.
Kaspersky non supporta più Kaspersky Safe Browser.
Inizio paginaPassaggio 12. Download degli aggiornamenti
Gli aggiornamenti per i database anti-virus per Kaspersky Security Center e le applicazioni Kaspersky gestite vengono scaricati automaticamente. Gli aggiornamenti vengono scaricati dai server Kaspersky.
Per scaricare gli aggiornamenti separatamente dall'Avvio rapido guidato, creare e configurare l'attività Scarica gli aggiornamenti nell'archivio dell'Administration Server.
Inizio paginaPassaggio 13. Individuazione dispositivi
La finestra Polling della rete visualizza le informazioni sullo stato del polling della rete eseguito dall'Administration Server.
È possibile visualizzare i dispositivi della rete rilevati da Administration Server e ottenere assistenza sull'utilizzo della finestra Device discovery facendo clic sui collegamenti nella parte inferiore della finestra.
È possibile eseguire il polling della rete in un secondo momento. Se si preferisce non eseguire l'Avvio rapido guidato, utilizzare Administration Console per configurare il polling dei domini Windows, di Active Directory e degli intervalli IP in base al punto di distribuzione.
Passaggio 14. Chiusura dell'Avvio rapido guidato
Nella finestra di completamento dell'Avvio rapido guidato selezionare l'opzione Esegui l'Installazione remota guidata se si desidera avviare l'installazione automatica delle applicazioni anti-virus e/o di Network Agent nei dispositivi della rete.
Per completare la procedura guidata, fare clic sul pulsante Fine.
Inizio paginaConfigurazione della connessione di Administration Console ad Administration Server
Nelle versioni precedenti di Kaspersky Security Center, Administration Console veniva connesso ad Administration Server tramite porta la SSL TCP 13291, nonché tramite la porta SSL TCP 13000. A partire da Kaspersky Security Center 10 Service Pack 2, le porte SSL utilizzate dall'applicazione sono rigorosamente distinte e qualsiasi uso improprio delle porte è impossibile:
- La porta SSL TCP 13291 può essere utilizzata solo da Administration Console e dagli oggetti di automazione klakaut.
- La porta SSL TCP 13000 può essere utilizzata solo da Network Agent, un Administration Server secondario e dall'Administration Server primario nella rete perimetrale.
La porta TCP 14000 può essere utilizzata per connettere Administration Console, punti di distribuzione, Administration Server secondari e oggetti di automazione klakaut, nonché per ricevere i dati dai dispositivi client.
In alcuni casi può essere necessario connettere Administration Console tramite la porta SSL 13000:
- Se è probabile che venga utilizzata una singola porta SSL sia per Administration Console che per altre attività (ricezione dei dati dai dispositivi client, connessione di punti di distribuzione, connessione di Administration Server secondari).
- Se un oggetto di automazione klakaut non è connesso ad Administration Server direttamente, bensì tramite un punto di distribuzione nella rete perimetrale.
Per consentire la connessione di Administration Console tramite la porta 13000:
- Aprire il Registro di sistema del dispositivo in cui è installato Administration Server (ad esempio, in locale, utilizzando il comando regedit dal menu Start → Esegui).
- Passare al seguente hive:
- Per i sistemi a 32 bit:
HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\.core\.independent\KLLIM
- Per i sistemi a 64 bit:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\.core\.independent\KLLIM
- Per i sistemi a 32 bit:
- Per la chiave LP_ConsoleMustUsePort13291 (DWORD) impostare il valore 00000000.
Il valore predefinito specificato per questa chiave è 1.
- Riavviare il servizio Administration Server.
A questo punto, sarà possibile connettere Administration Console ad Administration Server tramite la porta 13000.
Inizio paginaRequisiti per i certificati personalizzati utilizzati in Kaspersky Security Center
La seguente tabella visualizza i requisiti per i certificati personalizzati specificati per i diversi componenti di Kaspersky Security Center.
Requisiti per i certificati di Kaspersky Security Center
Tipo di certificato |
Requisiti |
Commenti |
---|---|---|
Certificato comune, certificato di riserva comune ("C", "CR") |
Lunghezza minima della chiave: 2048. Vincoli di base:
Utilizzo chiave:
Utilizzo chiavi esteso (opzionale): autenticazione del server, autenticazione del client. |
Il parametro Utilizzo chiavi esteso è facoltativo. Il valore Vincolo lunghezza percorso può essere un valore intero diverso da "Nessuno", ma non inferiore a 1. |
Certificato mobile, certificato di riserva mobile ("M", "MR") |
Lunghezza minima della chiave: 2048. Vincoli di base:
Utilizzo chiave:
Utilizzo chiavi esteso (opzionale): autenticazione del server. |
Il parametro Utilizzo chiavi esteso è facoltativo. Il valore Vincolo lunghezza percorso può essere un valore intero diverso da "Nessuno" se il certificato comune ha un valore Vincolo lunghezza percorso non inferiore a 1. |
CA certificato per certificati utente generati automaticamente ("MCA") |
Lunghezza minima della chiave: 2048. Vincoli di base:
Utilizzo chiave:
Utilizzo chiavi esteso (opzionale): autenticazione del server, autenticazione del client. |
Il parametro Utilizzo chiavi esteso è facoltativo. Il valore Vincolo lunghezza percorso può essere un valore intero diverso da "Nessuno" se il certificato comune ha un valore Vincolo lunghezza percorso non inferiore a 1. |
Certificato Server Web |
Utilizzo chiavi esteso: autenticazione del server. Il contenitore PKCS #12 / PEM da cui viene specificato il certificato include l'intera catena di chiavi pubbliche. È presente il Nome alternativo soggetto del certificato; quindi il valore del campo Il certificato soddisfa i requisiti effettivi dei browser imposti ai certificati del server, nonché gli attuali requisiti di base del CA/Browser Forum. |
Non applicabile. |
Certificato di Kaspersky Security Center Web Console |
Il contenitore PEM da cui viene specificato il certificato include l'intera catena di chiavi pubbliche. È presente il Nome alternativo soggetto del certificato; quindi il valore del campo Il certificato soddisfa i requisiti effettivi dei browser per i certificati del server, nonché gli attuali requisiti di base del CA/Browser Forum. |
I certificati criptati non sono supportati da Kaspersky Security Center Web Console. |
Connessione dei dispositivi fuori sede
Questa sezione descrive come connettere i dispositivi fuori sede (cioè i dispositivi gestiti che si trovano all'esterno della rete principale) ad Administration Server.
Scenario: Connessione dei dispositivi fuori sede tramite un gateway di connessione
Questo scenario descrive come connettere i dispositivi gestiti che si trovano all'esterno della rete principale ad Administration Server.
Prerequisiti
Lo scenario prevede i seguenti prerequisiti:
- Una rete perimetrale deve essere organizzata nella rete dell'organizzazione.
- Kaspersky Security Center Administration Server deve essere distribuito nella rete aziendale.
Passaggi
Questo scenario procede per fasi:
- Selezione di un dispositivo client nella rete perimetrale
Questo dispositivo verrà utilizzato come gateway di connessione. Il dispositivo selezionato deve soddisfare i requisiti per i gateway di connessione.
- Installazione di Network Agent nel ruolo di gateway di connessione
È consigliabile utilizzare un'installazione locale per installare Network Agent nel dispositivo selezionato.
Per impostazione predefinita, il file di installazione si trova in: \\<nome server>\KLSHARE\PkgInst\NetAgent_<numero versione>
Nella finestra Gateway di connessione dell'Installazione guidata di Network Agent selezionare Utilizzare Network Agent come gateway di connessione nella rete perimetrale. Questa modalità attiva contemporaneamente il ruolo del gateway di connessione e indica a Network Agent di attendere le connessioni da Administration Server anziché stabilire connessioni ad Administration Server.
In alternativa, è possibile installare Network Agent in un dispositivo Linux e configurare Network Agent in modo che funga da gateway di connessione, ma è necessario prestare attenzione all'elenco delle limitazioni di Network Agent in esecuzione nei dispositivi Linux.
- Autorizzazione delle connessioni nei firewall sul gateway di connessione
Per assicurarsi che Administration Server sia effettivamente in grado di connettersi al gateway di connessione nella rete perimetrale, consentire le connessioni alla porta TCP 13000 in tutti i firewall tra Administration Server e il gateway di connessione.
Se il gateway di connessione non dispone di un indirizzo IP reale in Internet ma si trova invece dietro una configurazione NAT (Network Address Translation), configurare una regola per inoltrare le connessioni tramite NAT.
- Creazione di un gruppo di amministrazione per i dispositivi esterni
Creare un nuovo gruppo nel gruppo Dispositivi gestiti. Questo nuovo gruppo conterrà dispositivi gestiti esterni.
- Connessione del gateway di connessione ad Administration Server
Il gateway di connessione configurato è in attesa di una connessione da Administration Server. Tuttavia, Administration Server non elenca il dispositivo con il gateway di connessione tra i dispositivi gestiti. Questo è dovuto al fatto che il gateway di connessione non ha tentato di stabilire una connessione ad Administration Server. È pertanto necessaria una procedura speciale per garantire che Administration Server avvii una connessione al gateway di connessione.
Procedere come segue:
- Aggiungere il gateway di connessione come punto di distribuzione.
- Spostare il gateway di connessione dal gruppo Dispositivi non assegnati al gruppo creato per i dispositivi esterni.
Il gateway di connessione è stato connesso e configurato.
- Connessione dei computer desktop esterni ad Administration Server
Solitamente i computer desktop esterni non vengono spostati all'interno del perimetro. Pertanto è necessario configurarli per eseguire la connessione ad Administration Server tramite il gateway durante l'installazione di Network Agent.
- Configurazione degli aggiornamenti per i computer desktop esterni
Se gli aggiornamenti delle applicazioni di protezione sono configurati per il download da Administration Server, i computer esterni scaricano gli aggiornamenti tramite il gateway di connessione. Questo comporta due svantaggi:
- Si tratta di traffico non necessario che occupa la larghezza di banda del canale di comunicazione Internet aziendale.
- Questo non è necessariamente il modo più rapido per ottenere aggiornamenti. È molto probabile che per i computer esterni sarebbe più economico e veloce ricevere gli aggiornamenti dai server di aggiornamento Kaspersky.
Procedere come segue:
- Connessione dei laptop mobili ad Administration Server
I laptop mobili a volte sono all'interno della rete e altre volte all'esterno della rete. Per una gestione efficace, è necessario che questi si connettano ad Administration Server in modo diverso a seconda della posizione. Per un utilizzo efficiente del traffico, è inoltre necessario che ricevano gli aggiornamenti da origini diverse a seconda della posizione.
È necessario configurare le regole per gli utenti fuori sede: profili di connessione e descrizioni dei percorsi di rete. Ciascuna regola definisce l'istanza di Administration Server a cui i laptop mobili devono connettersi a seconda della posizione e l'istanza di Administration Server da cui devono ricevere gli aggiornamenti.
Informazioni sulla connessione dei dispositivi fuori sede
Alcuni dispositivi gestiti si trovano sempre all'esterno della rete principale (ad esempio computer nelle filiali dell'azienda; chioschi, bancomat e terminali installati in vari punti vendita; computer negli uffici domestici dei dipendenti). Alcuni dispositivi si spostano di tanto in tanto al di fuori del perimetro (ad esempio i laptop degli utenti che visitano le filiali regionali o l'ufficio di un cliente).
È comunque necessario monitorare e gestire la protezione dei dispositivi fuori sede: ricevere informazioni effettive sul relativo stato di protezione e mantenere aggiornate le applicazioni di protezione in essi installate. Questa prassi è necessaria perché se ad esempio uno di questi dispositivi viene compromesso mentre è all'esterno della rete principale, potrebbe diventare una piattaforma per la propagazione delle minacce non appena si connette alla rete principale. Per connettere i dispositivi fuori sede ad Administration Server è possibile utilizzare due metodi:
- Gateway di connessione nella rete perimetrale
Visualizzare lo schema del traffico dati: Administration Server nella LAN, dispositivi gestiti in Internet, gateway di connessione in uso
- Administration Server nella rete perimetrale
Visualizzare lo schema del traffico dati: Administration Server nella rete perimetrale, dispositivi gestiti in Internet
Un gateway di connessione nella rete perimetrale
Un metodo consigliato per connettere i dispositivi fuori sede ad Administration Server è quello di organizzare una rete perimetrale nella rete dell'organizzazione e di installare un gateway di connessione nella rete perimetrale. I dispositivi esterni si connetteranno al gateway di connessione e Administration Server all'interno della rete avvierà una connessione ai dispositivi tramite il gateway di connessione.
Rispetto all'altro metodo, questo è più sicuro:
- Non è necessario aprire l'accesso ad Administration Server dall'esterno della rete.
- Un gateway di connessione compromesso non rappresenta un rischio elevato per la sicurezza dei dispositivi di rete. Un gateway di connessione in realtà non gestisce nulla autonomamente e non stabilisce alcuna connessione.
Inoltre, un gateway di connessione non richiede molte risorse hardware.
Tuttavia, questo metodo ha un processo di configurazione più complicato:
- Per fare in modo che un dispositivo funga da gateway di connessione nella rete perimetrale, è necessario installare Network Agent e connetterlo ad Administration Server in un modo specifico.
- Non sarà possibile utilizzare lo stesso indirizzo per la connessione ad Administration Server per tutte le situazioni. Dall'esterno del perimetro sarà necessario utilizzare non solo un indirizzo diverso (indirizzo del gateway di connessione), ma anche una modalità di connessione diversa: tramite un gateway di connessione.
- È inoltre necessario definire impostazioni di connessione diverse per i laptop in posizioni diverse.
Lo scenario in questa sezione descrive questo metodo.
Administration Server nella rete perimetrale
Un altro metodo consiste nell'installare un singolo Administration Server nella rete perimetrale.
Questa configurazione è meno sicura rispetto all'altro metodo. Per gestire laptop esterni in questo caso, Administration Server deve accettare connessioni da qualsiasi indirizzo in Internet. Gestirà comunque tutti i dispositivi nella rete interna, ma dalla rete perimetrale. Pertanto, un server compromesso potrebbe causare un'ingente quantità di danni, nonostante la bassa probabilità che tale evento si verifichi.
Il rischio si riduce notevolmente se Administration Server nella rete perimetrale non gestisce i dispositivi nella rete interna. Tale configurazione può essere utilizzata ad esempio da un fornitore di servizi per gestire i dispositivi dei clienti.
Potrebbe essere opportuno utilizzare questo metodo nei seguenti casi:
- Se si ha familiarità con l'installazione e la configurazione di Administration Server e non si desidera eseguire un'altra procedura per installare e configurare un gateway di connessione.
- Se è necessario gestire più dispositivi. La capacità massima di Administration Server è di 100.000 dispositivi, mentre un gateway di connessione può supportare fino a 10.000 dispositivi.
Questa soluzione presenta anche possibili difficoltà:
- Administration Server richiede più risorse hardware e un altro database.
- Le informazioni sui dispositivi verranno archiviate in due database non correlati (per Administration Server all'interno della rete e un altro nella rete perimetrale), il che complica il monitoraggio.
- Per gestire tutti i dispositivi, Administration Server deve trovarsi in una gerarchia, il che complica non solo il monitoraggio ma anche la gestione. Un'istanza dell'Administration Server secondario impone limitazioni alle possibili strutture dei gruppi di amministrazione. È necessario decidere come e quali attività e criteri distribuire a un'istanza dell'Administration Server secondario.
- La configurazione di dispositivi esterni per l'utilizzo di Administration Server nella rete perimetrale dall'esterno e per l'utilizzo dell'Administration Server primario dall'interno non è più semplice della configurazione per l'utilizzo di una connessione condizionale tramite un gateway.
- Elevati rischi per la sicurezza. Un'istanza di Administration Server compromessa semplifica la compromissione dei laptop gestiti. In tal caso, gli hacker devono solo attendere che uno dei laptop torni nella rete aziendale in modo da poter proseguire l'attacco nella LAN.
Connessione dei computer desktop esterni ad Administration Server
I computer desktop che si trovano sempre all'esterno della rete principale (ad esempio computer nelle filiali dell'azienda; chioschi, bancomat e terminali installati in vari punti vendita; computer negli uffici domestici dei dipendenti) non possono essere collegati direttamente ad Administration Server. Devono essere collegati ad Administration Server tramite un gateway di connessione installato nella rete perimetrale. Questa configurazione viene eseguita durante l'installazione di Network Agent in tali computer.
Per connettere computer desktop esterni ad Administration Server:
- Creare un nuovo pacchetto di installazione per Network Agent.
- Aprire le proprietà del pacchetto di installazione creato e accedere alla sezione Avanzate, quindi selezionare l'opzione Connetti ad Administration Server utilizzando il gateway di connessione.
L'impostazione Connetti ad Administration Server utilizzando il gateway di connessione non è compatibile con l'impostazione Utilizzare Network Agent come gateway di connessione nella rete perimetrale. Non è possibile abilitare entrambe queste impostazioni contemporaneamente.
- In Indirizzo gateway connessione specificare l'indirizzo pubblico del gateway di connessione.
Se il gateway di connessione si trova dietro una configurazione NAT (Network Address Translation) e non dispone di un proprio indirizzo pubblico, configurare una regola del gateway NAT per inoltrare le connessioni dall'indirizzo pubblico all'indirizzo interno del gateway di connessione.
- Creare un pacchetto di installazione indipendente basato sul pacchetto di installazione creato.
- Distribuire il pacchetto di installazione indipendente ai computer di destinazione in formato elettronico o tramite un'unità rimovibile.
- Installare Network Agent dal pacchetto indipendente.
I computer desktop esterni sono connessi ad Administration Server.
Inizio paginaInformazioni sui profili di connessione per gli utenti fuori sede
Gli utenti fuori sede con computer portatili (di seguito denominati anche "dispositivi") possono aver bisogno di modificare il metodo di connessione a un Administration Server o passare da un Administration Server all'altro a seconda della posizione corrente del dispositivo nella rete aziendale.
I profili di connessione sono supportati solo per i dispositivi che eseguono Windows.
Utilizzo di differenti indirizzi di un singolo Administration Server
La procedura seguente è valida solo per Kaspersky Security Center 10 Service Pack 1 e versioni successive.
I dispositivi con Network Agent installato possono connettersi all'Administration Server dalla rete Intranet dell'organizzazione o da Internet. Questa situazione può richiedere l'utilizzo da parte di Network Agent di differenti indirizzi per la connessione ad Administration Server: l'indirizzo esterno dell'Administration Server per la connessione Internet e l'indirizzo interno dell'Administration Server per la connessione dalla rete interna.
A tale scopo, è necessario aggiungere un profilo (per la connessione ad Administration Server da Internet) al criterio di Network Agent. Aggiungere il profilo nelle proprietà del criterio (sezione Connettività, sottosezione Profili connessione). Nella finestra di creazione del profilo è necessario disabilitare l'opzione Usa per ricevere solo aggiornamenti e selezionare l'opzione Sincronizza impostazioni di connessione con le impostazioni di Administration Server specificate nel profilo. Se si utilizza un gateway di connessione per accedere ad Administration Server (ad esempio, in una configurazione di Kaspersky Security Center come quella descritta in Accesso a Internet: Network Agent come gateway nella rete perimetrale), è necessario specificare l'indirizzo del gateway di connessione nel campo corrispondente del profilo di connessione.
Passaggio da un Administration Server all'altro a seconda della rete corrente
La procedura seguente è valida solo per Kaspersky Security Center 10 Service Pack 2 Maintenance Release 1 e versioni successive.
Se l'organizzazione ha più sedi con diversi Administration Server e alcuni dispositivi con Network Agent installato si spostano tra di esse, è necessario che Network Agent si connetta all'Administration Server della rete locale nella sede in cui si trova attualmente il dispositivo.
In questo caso, è necessario creare un profilo per la connessione ad Administration Server nelle proprietà del criterio di Network Agent per ciascuna delle sedi, tranne che per la sede principale in cui si trova l'Administration Server principale originale. È necessario specificare gli indirizzi di Administration Server nei profili di connessione e abilitare o disabilitare l'opzione Usa per ricevere solo aggiornamenti:
- Selezionare l'opzione se è necessario sincronizzare Network Agent con l'Administration Server principale e utilizzare il server locale solo per scaricare gli aggiornamenti.
- Disabilitare questa opzione se è necessario che Network Agent sia completamente gestito dall'Administration Server locale.
Sarà quindi necessario impostare le condizioni per il passaggio ai nuovi profili creati: almeno una condizione per ciascuna delle sedi, tranne che per la sede principale. Lo scopo di ogni condizione consiste nel rilevamento degli elementi che sono specifici per l'ambiente di rete di una sede. Se una condizione è vera, il profilo corrispondente viene attivato. Se nessuna delle condizioni è vera, Network Agent passa all'Administration Server principale.
Creazione di un profilo di connessione per gli utenti fuori sede
Espandi tutto | Comprimi tutto
Un profilo di connessione di Administration Server è disponibile solo nei dispositivi che eseguono Windows.
Per creare un profilo per la connessione di Network Agent ad Administration Server per gli utenti fuori sede:
- Nella struttura della console selezionare il gruppo di amministrazione che contiene i dispositivi client in cui è necessario creare un profilo per la connessione di Network Agent ad Administration Server.
- Eseguire una delle seguenti operazioni:
- Se si desidera creare un profilo di connessione per tutti i dispositivi del gruppo, selezionare un criterio di Network Agent nell'area di lavoro del gruppo, nella scheda Criteri. Aprire la finestra delle proprietà del criterio selezionato.
- Se si desidera creare un profilo di connessione per un dispositivo in un gruppo, selezionare il dispositivo nell'area di lavoro del gruppo, nella scheda Dispositivi, ed eseguire le seguenti azioni:
- Aprire la finestra delle proprietà del dispositivo selezionato.
- Nella sezione Applicazioni della finestra delle proprietà del dispositivo selezionare Network Agent.
- Aprire la finestra delle proprietà del Network Agent.
- Nella finestra delle proprietà, nella sezione Connettività selezionare la sottosezione Profili connessione.
- Nel gruppo di impostazioni Profili connessione di Administration Server fare clic sul pulsante Aggiungi.
Per impostazione predefinita, l'elenco dei profili di connessione contiene i profili <Modalità offline> e <Administration Server principale>. I profili non possono essere modificati o rimossi.
Il profilo <Modalità offline> non specifica alcun server per la connessione. Di conseguenza, quando viene eseguito il passaggio a questo profilo, Network Agent non tenta di connettersi ad alcun Administration Server, mentre le applicazioni installate nei dispositivi client sono eseguite con i criteri fuori sede. Il profilo <Modalità offline> può essere utilizzato se i dispositivi sono disconnessi dalla rete.
Il profilo <Administration Server principale> specifica per la connessione l'Administration Server che è stato selezionato durante l'installazione di Network Agent. Il profilo <Administration Server principale> viene applicato quando un dispositivo si riconnette all'Administration Server principale dopo l'esecuzione in una rete esterna per un determinato periodo.
- Nella finestra Nuovo profilo visualizzata configurare il profilo di connessione:
- Nome profilo
- Administration Server
- Porta
- Porta SSL
- Usa SSL
- Fare clic sul collegamento Configura la connessione tramite server proxy per configurare la connessione tramite un server proxy. Se si desidera utilizzare un server proxy durante la connessione a Internet, selezionare l'opzione Usa server proxy. Se questa opzione è selezionata, i campi sono disponibili per l'immissione delle impostazioni. Specificare le seguenti impostazioni per la connessione al server proxy:
- Indirizzo server proxy
- Numero di porta
- Autenticazione server proxy
- Nome utente (questo campo è disponibile se l'opzione Autenticazione server proxy è selezionata)
- Password (questo campo è disponibile se l'opzione Autenticazione server proxy è selezionata)
- Impostazioni gateway di connessione
- Abilita la modalità fuori sede
- Usa per ricevere solo aggiornamenti
- Sincronizza impostazioni di connessione con le impostazioni di Administration Server specificate nel profilo
- Selezionare l'opzione Abilita la modalità fuori sede quando Administration Server non è disponibile per consentire alle applicazioni installate in un dispositivo client di utilizzare i profili criterio per i dispositivi in modalità fuori sede, nonché i criteri fuori sede, per qualsiasi tentativo di connessione se Administration Server non è disponibile. Se non è definito alcun criterio fuori sede per l'applicazione, verrà utilizzato il criterio attivo.
Verrà creato un profilo per la connessione di Network Agent ad Administration Server per gli utenti mobili. Quando Network Agent si connette ad Administration Server con questo profilo, le applicazioni installate in un dispositivo client utilizzeranno i criteri per i dispositivi in modalità fuori sede o i criteri fuori sede.
Informazioni sul passaggio di Network Agent ad altri Administration Server
Le impostazioni iniziali della connessione di Network Agent ad Administration Server vengono definite durante l'installazione di Network Agent. Per passare da Network Agent ad altri Administration Server, è possibile utilizzare le regole per il passaggio. Questa funzionalità è supportata solo per i Network Agent installati nei dispositivi che eseguono Windows.
Le regole per il passaggio possono essere attivate al momento della modifica dei seguenti parametri di rete:
- Indirizzo gateway predefinito.
- Indirizzo IP del server DHCP (Dynamic Host Configuration Protocol).
- Suffisso DNS della subnet.
- Indirizzo IP del server DNS di rete.
- Accessibilità del dominio Windows.
- Indirizzo e maschera della subnet.
- Indirizzo IP del server WINS di rete.
- Nome DNS o NetBIOS del dispositivo client.
- Accessibilità indirizzo di connessione SSL.
Se sono state create regole per il passaggio del Network Agent ad altri Administration Server, Network Agent risponde alle modifiche dei parametri di rete nel modo seguente:
- Se le impostazioni di rete sono conformi a una delle regole create, Network Agent si connette all'Administration Server specificato in questa regola. Le applicazioni installate nei dispositivi client passano ai criteri fuori sede, a condizione che tale comportamento sia abilitato da una regola.
- Se non è applicabile alcuna regola, Network Agent ripristina le impostazioni predefinite della connessione all'Administration Server specificato durante l'installazione. Per le applicazioni installate nei dispositivi client vengono ripristinati i criteri attivi.
- Se l'Administration Server non è accessibile, Network Agent utilizzerà i criteri fuori sede.
Network Agent passa al criterio fuori sede solo se l'opzione Abilita la modalità fuori sede quando Administration Server non è disponibile è abilitata nelle impostazioni del criterio di Network Agent.
Le impostazioni della connessione di Network Agent all'Administration Server vengono salvate in un profilo. Nel profilo di connessione è possibile creare regole per il passaggio dei dispositivi client ai criteri fuori sede, nonché configurare il profilo in modo da utilizzarlo solo per il download degli aggiornamenti.
Creazione di una regola per il passaggio di Network Agent in base al percorso di rete
Espandi tutto | Comprimi tutto
Il passaggio di Network Agent in base al percorso di rete è disponibile solo nei dispositivi che eseguono Windows.
Per creare una regola per il passaggio di Network Agent da un Administration Server all'altro in caso di modifiche delle impostazioni di rete:
- Nella struttura della console selezionare il gruppo di amministrazione che contiene i dispositivi per cui è necessario creare una regola per il passaggio di Network Agent in base alla descrizione del percorso di rete.
- Eseguire una delle seguenti operazioni:
- Se si desidera creare una regola per tutti i dispositivi del gruppo, passare all'area di lavoro del gruppo e selezionare un criterio di Network Agent nella scheda Criteri. Aprire la finestra delle proprietà del criterio selezionato.
- Se si desidera creare una regola per un dispositivo selezionato da un gruppo, passare all'area di lavoro del gruppo, selezionare il dispositivo nella scheda Dispositivi ed eseguire le seguenti azioni:
- Aprire la finestra delle proprietà del dispositivo selezionato.
- Nella sezione Applicazioni della finestra delle proprietà del dispositivo selezionare Network Agent.
- Aprire la finestra delle proprietà del Network Agent.
- Nella finestra delle proprietà visualizzata, nella sezione Connettività, selezionare la sottosezione Profili connessione.
- Nella sezione Impostazioni percorso di rete fare clic sul pulsante Aggiungi.
- Nella finestra Nuova descrizione visualizzata configurare la descrizione del percorso di rete e la regola per il passaggio. Specificare le seguenti impostazioni della descrizione del percorso di rete:
- Nella sezione Cambia condizioni fare clic sul pulsante Aggiungi per creare un elenco di condizioni della descrizione del percorso di rete.
Le condizioni in una regola vengono combinate utilizzando l'operatore logico AND. Per attivare una regola di passaggio in base alla descrizione del percorso di rete, devono essere soddisfatte tutte le condizioni della regola.
- Nell'elenco a discesa selezionare il valore corrispondente alla modifica delle caratteristiche della rete a cui il dispositivo client è connesso:
- Indirizzo gateway di connessione predefinito – L'indirizzo del gateway principale della rete è stato modificato.
- Indirizzo server DHCP – L'indirizzo IP del server DHCP della rete è stato modificato.
- Dominio DNS – Il suffisso DNS della subnet è stato modificato.
- Indirizzo server DNS – L'indirizzo IP del server DNS della rete è stato modificato.
- Accessibilità dominio Windows – Modifica dello stato del dominio Windows a cui il dispositivo client è connesso.
- Subnet – Modifica dell'indirizzo e della subnet mask.
- Indirizzo server WINS – L'indirizzo IP del server WINS della rete è stato modificato.
- Risolvibilità del nome—Il nome DNS o NetBIOS del dispositivo client è cambiato.
- Accessibilità indirizzo di connessione SSL—Il dispositivo client può o non può (a seconda dell'opzione selezionata) stabilire una connessione SSL con un server specificato (nome: porta). Per ogni server è inoltre possibile specificare un certificato SSL. In questo caso, Network Agent verifica il certificato del server oltre a controllare la capacità di una connessione SSL. Se il certificato non corrisponde, la connessione non va a buon fine.
- Nella finestra visualizzata specificare la condizione per il passaggio di Network Agent a un altro Administration Server. Il nome della finestra dipende dal valore selezionato durante il passaggio precedente. Specificare le seguenti impostazioni della condizione di passaggio:
- Nella finestra Nuova descrizione selezionare l'opzione Descrizione abilitata per abilitare l'utilizzo della nuova descrizione del percorso di rete.
Verrà creata una nuova regola di passaggio in base alla descrizione del percorso di rete. Quando le condizioni della regola sono soddisfatte, Network Agent utilizza il profilo di connessione specificato nella regola per connettersi ad Administration Server.
Viene cercata una corrispondenza del layout di rete nelle descrizioni del percorso di rete, in base all'ordine in cui le regole sono visualizzate nell'elenco. Se una rete corrisponde a più descrizioni, viene utilizzata la prima.
È possibile modificare l'ordine delle regole nell'elenco utilizzando i pulsanti Su () e Giù (
).
Criptaggio delle comunicazioni con SSL/TLS
Per correggere le vulnerabilità nella rete aziendale dell'organizzazione, è possibile abilitare il criptaggio del traffico tramite SSL/TLS. È possibile abilitare SSL/TLS in Administration Server e Server per dispositivi mobili MDM iOS. Kaspersky Security Center supporta SSL v3, nonché Transport Layer Security (TLS 1.0, 1.1 e 1.2). È possibile selezionare il protocollo e i pacchetti di criptaggio. Kaspersky Security Center utilizza certificati autofirmati. Non sono necessarie configurazioni aggiuntive dei dispositivi iOS. È inoltre possibile utilizzare i propri certificati. Gli specialisti di Kaspersky consigliano di utilizzare i certificati rilasciati da autorità di certificazione attendibili.
Administration Server
Per configurare i protocolli e i pacchetti di criptaggio consentiti nell'Administration Server:
- Utilizzare l'utilità klscflag per configurare i protocolli e i pacchetti di criptaggio consentiti in Administration Server: Immettere il seguente comando nel prompt dei comandi di Windows, utilizzando i diritti di amministratore:
klscflag -fset -pv ".core/.independent" -s Transport -n SrvUseStrictSslSettings -v <valore> -t d
Specificare il parametro <valore> del comando:
0
: Tutti i protocolli e le suite di criptaggio supportati sono abilitati1
: SSL v2 è disabilitatoPacchetti di criptaggio:
- AES256-GCM-SHA384
- AES256-SHA256
- AES256-SHA
- CAMELLIA256-SHA
- AES128-GCM-SHA256
- AES128-SHA256
- AES128-SHA
- SEED-SHA
- CAMELLIA128-SHA
- IDEA-CBC-SHA
- RC4-SHA
- RC4-MD5
- DES-CBC3-SHA
2
– SSL v2 e SSL v3 sono disabilitati (valore predefinito)Pacchetti di criptaggio:
- AES256-GCM-SHA384
- AES256-SHA256
- AES256-SHA
- CAMELLIA256-SHA
- AES128-GCM-SHA256
- AES128-SHA256
- AES128-SHA
- SEED-SHA
- CAMELLIA128-SHA
- IDEA-CBC-SHA
- RC4-SHA
- RC4-MD5
- DES-CBC3-SHA
3
– solo TLS v1.2.Pacchetti di criptaggio:
- AES256-GCM-SHA384
- AES256-SHA256
- AES256-SHA
- CAMELLIA256-SHA
- AES128-GCM-SHA256
- AES128-SHA256
- AES128-SHA
- CAMELLIA128-SHA
- Riavviare i seguenti servizi Kaspersky Security Center 13.1:
- Administration Server
- Server Web
- Proxy di attivazione
Server per dispositivi mobili MDM iOS
La connessione tra i dispositivi iOS e il Server per dispositivi mobili MDM iOS è criptata per impostazione predefinita.
Per configurare i protocolli e i pacchetti di criptaggio consentiti in Server per dispositivi mobili MDM iOS:
- Aprire il Registro di sistema del dispositivo client in cui è installato il server per dispositivi mobili MDM iOS (ad esempio in locale, utilizzando il comando regedit nel menu Start → Esegui).
- Passare al seguente hive:
- Per i sistemi a 32 bit:
HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset
- Per i sistemi a 64 bit:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset
- Per i sistemi a 32 bit:
- Creare una chiave con il nome
StrictSslSettings
. - Specificare
DWORD
come tipo di chiave. - Impostare il valore della chiave:
2
– SSL v3 è disabilitato (TLS 1.0, TLS 1.1, TLS 1.2 sono consentiti)3
– solo TLS 1.2 (valore predefinito)
- Riavviare il servizio Server per dispositivi mobili MDM iOS di Kaspersky Security Center 13.1.
Notifiche degli eventi
In questa sezione viene descritto come selezionare un metodo per l'invio delle notifiche all'amministratore sugli eventi che si verificano nei dispositivi client e come configurare le impostazioni di notifica degli eventi.
Viene inoltre descritto come testare la distribuzione delle notifiche degli eventi tramite il virus di prova Eicar.
Configurazione delle notifiche degli eventi
Espandi tutto | Comprimi tutto
Kaspersky Security Center consente di selezionare un metodo per la notifica all'amministratore degli eventi che si verificano nei dispositivi client e di configurare la notifica:
- E-mail. Quando si verifica un evento, l'applicazione invia una notifica agli indirizzi e-mail specificati. È possibile modificare il testo della notifica.
- SMS. Quando si verifica un evento, l'applicazione invia una notifica ai numeri di telefono specificati. È possibile configurare le notifiche SMS per l'invio tramite il gateway di posta.
- File eseguibile. Quando si verifica un evento in un dispositivo, il file eseguibile viene avviato nella workstation di amministrazione. Utilizzando il file eseguibile, l'amministratore può ricevere i parametri di qualsiasi evento che si è verificato.
Per configurare le notifiche degli eventi che si verificano nei dispositivi client:
- Nella struttura della console selezionare il nodo con il nome dell'Administration Server desiderato.
- Nell'area di lavoro del nodo selezionare la scheda Eventi.
- Fare clic sul collegamento Configura notifiche ed esportazione eventi e selezionare il valore Configura notifiche nell'elenco a discesa.
Verrà visualizzata la finestra Proprietà: Eventi.
- Nella sezione Notifica selezionare un metodo di notifica (via e-mail, SMS o attraverso un file eseguibile) e definire le impostazioni di notifica:
- Nel campo Messaggio di notifica immettere il testo che l'applicazione invierà quando si verifica un evento.
È possibile utilizzare l'elenco a discesa a destra del campo di testo per aggiungere impostazioni di sostituzione con dettagli sull'evento (ad esempio la descrizione dell'evento o l'ora in cui si è verificato).
Se il testo di notifica contiene una percentuale (%), è necessario specificarlo due volte di seguito per consentire l'invio del messaggio. Ad esempio, "Il carico della CPU è 100%%".
- Fare clic sul pulsante Invia messaggio di prova per verificare se la notifica è stata configurata correttamente.
L'applicazione invia una notifica test all'utente specificato.
- Fare clic su OK per salvare le modifiche.
Le impostazioni di notifica modificate verranno applicate a tutti gli eventi che si verificano nei dispositivi client.
È possibile sostituire le impostazioni di notifica per determinati eventi nella sezione Configurazione eventi delle impostazioni di Administration Server, delle impostazioni di un criterio o delle impostazioni di un'applicazione.
Testing delle notifiche
Per verificare l'invio delle notifiche degli eventi, l'applicazione utilizza la notifica di rilevamento del "virus" di prova EICAR nei dispositivi client.
Per verificare l'invio delle notifiche degli eventi:
- Arrestare l'attività di protezione del file system in tempo reale in un dispositivo client e copiare il "virus" di prova EICAR nel dispositivo client. Abilitare nuovamente la protezione in tempo reale del file system.
- Eseguire un'attività di scansione per dispositivi client in un gruppo di amministrazione o per dispositivi specifici, compreso uno con il "virus" EICAR.
Se l'attività di scansione è configurata correttamente, il virus di prova verrà rilevato. Se le notifiche sono configurate correttamente, si riceverà una notifica del rilevamento di un virus.
Nell'area di lavoro del nodo Administration Server, nella scheda Eventi, la selezione Eventi recenti visualizza un record di rilevamento di un "virus".
Il "virus" di prova EICAR non contiene codice che può danneggiare il dispositivo. Tuttavia, la maggior parte delle applicazioni di protezione identifica il file come virus. È possibile scaricare il "virus" di prova dal sito Web ufficiale di EICAR.
Inizio paginaNotifiche degli eventi visualizzate dall'esecuzione di un file eseguibile
Kaspersky Security Center consente di inviare all'amministratore notifiche degli eventi nei dispositivi client visualizzate dall'esecuzione di un file eseguibile. Il file eseguibile deve contenere un altro file eseguibile con segnaposto dell'evento da inviare all'amministratore.
Segnaposto per la descrizione di un evento
Segnaposto |
Descrizione del segnaposto |
---|---|
%SEVERITY% |
Livello di importanza evento |
%COMPUTER% |
Nome del dispositivo in cui si è verificato l'evento |
%DOMAIN% |
Dominio |
%EVENT% |
Evento |
%DESCR% |
Descrizione evento |
%RISE_TIME% |
Ora creazione |
%KLCSAK_EVENT_TASK_DISPLAY_NAME% |
Nome attività |
%KL_PRODUCT% |
Kaspersky Security Center Network Agent |
%KL_VERSION% |
Numero di versione di Network Agent |
%HOST_IP% |
Indirizzo IP |
%HOST_CONN_IP% |
Indirizzo IP connessione |
Esempio: Le notifiche degli eventi sono inviate tramite un file eseguibile (come script1.bat) all'interno del quale viene avviato un altro file eseguibile (come script2.bat) con il segnaposto %COMPUTER%. Quando si verifica un evento, il file script1.bat viene eseguito nel dispositivo dell'amministratore, eseguendo a sua volta il file script2.bat con il segnaposto %COMPUTER%. L'amministratore riceverà il nome del dispositivo in cui si è verificato l'evento. |
Configurazione dell'interfaccia
Espandi tutto | Comprimi tutto
È possibile configurare l'interfaccia di Kaspersky Security Center:
- Mostrare e nascondere oggetti nella struttura della console, nell'area di lavoro e nelle finestre delle proprietà degli oggetti (cartelle, sezioni) a seconda delle funzionalità utilizzate.
- Mostrare e nascondere elementi della finestra principale (ad esempio la struttura della console o menu standard come Azioni e Visualizza).
Per configurare l'interfaccia di Kaspersky Security Center in base al set di funzionalità utilizzate al momento:
- Nella struttura della console selezionare il nodo Administration Server.
- Nella barra del menu della finestra principale dell'applicazione selezionare Visualizza → Configura interfaccia.
- Nella finestra Configura interfaccia visualizzata configurare la visualizzazione degli elementi di interfaccia utilizzando le seguenti caselle di controllo:
- Fare clic su OK.
Per applicare alcune modifiche, è necessario chiudere la finestra principale dell'applicazione e quindi aprirla nuovamente.
Per configurare la visualizzazione di elementi nella finestra principale dell'applicazione:
- Nella barra dei menu della finestra principale dell'applicazione selezionare Visualizza → Configura.
- Nella finestra Configura visualizzazione visualizzata configurare la visualizzazione degli elementi della finestra principale utilizzando le caselle di controllo.
- Fare clic su OK.