Configurazione di Administration Server

Questa sezione descrive il processo di configurazione e le proprietà di Kaspersky Security Center Administration Server.

Configurazione della connessione di Kaspersky Security Center 13.1 Web Console ad Administration Server

Per impostare le porte di connessione di Administration Server:

1. Nella parte superiore dello schermo, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server desiderato.

   Verrà visualizzata la finestra delle proprietà di Administration Server.

2. Nella scheda Generale selezionare la sezione Porte di connessione.

L'applicazione visualizzerà le impostazioni di connessione principali del server selezionato.

Nelle versioni precedenti di Kaspersky Security Center, Administration Console veniva connesso ad Administration Server tramite porta la SSL TCP 13291, nonché tramite la porta SSL TCP 13000. A partire da Kaspersky Security Center 10 Service Pack 2, le porte SSL utilizzate dall'applicazione sono rigorosamente distinte e qualsiasi uso improprio delle porte è impossibile:

• La porta SSL TCP 13291 può essere utilizzata solo da Administration Console.
• La porta SSL TCP 13000 può essere utilizzata solo da Network Agent, un Administration Server secondario e dall'Administration Server primario nella rete perimetrale.
• La porta TCP 14000 può essere utilizzata per connettere Administration Console, punti di distribuzione e Administration Server secondari, nonché per ricevere i dati dai dispositivi client.

Visualizzazione del registro delle connessioni all'Administration Server

È possibile salvare in un file di registro la cronologia delle connessioni e dei tentativi di connessione all'Administration Server durante l'esecuzione. Le informazioni nel file consentono di tenere traccia non solo delle connessioni all'interno dell'infrastruttura di rete, ma anche dei tentativi non autorizzati di accesso al server.

Per registrare gli eventi di connessione all'Administration Server:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.

   Verrà visualizzata la finestra delle proprietà di Administration Server.

2. Nella scheda Generale selezionare la sezione Porte di connessione.
3. Abilitare l'opzione Registra eventi di connessione ad Administration Server.

Tutti gli ulteriori eventi di connessione in entrata all'Administration Server, i risultati di autenticazione e gli errori SSL verranno salvati nel file %ProgramData%\KasperskyLab\adminkit\logs\sc.syslog.

Impostazione del numero massimo di eventi nell'archivio eventi

Nella sezione Archivio eventi della finestra delle proprietà dell'Administration Server è possibile modificare le impostazioni per l'archiviazione degli eventi nel database di Administration Server, limitando il numero di record degli eventi e il periodo di archiviazione dei record. Quando si specifica il numero massimo di eventi, l'applicazione calcola approssimativamente la quantità di spazio di archiviazione necessario per il numero specificato. È possibile utilizzare questo calcolo approssimativo per valutare se è necessario liberare spazio su disco per evitare l'overflow del database. La capacità predefinita del database di Administration Server è di 400.000 eventi. La capacità massima consigliata del database è di 45 milioni di eventi.

Se il numero di eventi nel database raggiunge il valore massimo specificato dall'amministratore, l'applicazione elimina gli eventi meno recenti e li sovrascrive con quelli nuovi. Quando l'Administration Server elimina gli eventi meno recenti, non può salvare i nuovi eventi nel database. Durante questo periodo di tempo, le informazioni sugli eventi rifiutati vengono scritte nel registro eventi Kaspersky. I nuovi eventi vengono accodati e quindi salvati nel database al termine dell'operazione di eliminazione.

Per limitare il numero di eventi che è possibile archiviare nell'archivio eventi di Administration Server:

1. Nella parte superiore dello schermo, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server desiderato.

   Verrà visualizzata la finestra delle proprietà di Administration Server.

2. Nella scheda Generale selezionare la sezione Archivio eventi. Specificare il numero massimo di eventi archiviati nel database.
3. Fare clic sul pulsante Salva.

È inoltre possibile modificare le impostazioni di qualsiasi attività per salvare gli eventi relativi all'avanzamento dell'attività oppure salvare solo i risultati dell'esecuzione dell'attività. In tal modo si riduce il numero di eventi nel database, si aumenta la velocità di esecuzione degli scenari associati all'analisi della tabella degli eventi nel database e si limita il rischio che gli eventi critici vengano sovrascritti da un ampio numero di eventi.

Impostazioni di connessione dei dispositivi di protezione UEFI

Espandi tutto | Comprimi tutto

Un dispositivo di protezione UEFI è un dispositivo in cui Kaspersky Anti-Virus for UEFI è integrato al livello del BIOS. La protezione integrata garantisce la sicurezza del dispositivo fin dall'avvio del sistema, mentre la protezione nei dispositivi senza software integrato inizia solo dopo l'avvio dell'applicazione di protezione. Kaspersky Security Center supporta la gestione di tali dispositivi.

Per modificare le impostazioni di connessione dei dispositivi di protezione UEFI:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.

   Verrà visualizzata la finestra delle proprietà di Administration Server.

2. Nella scheda Generale selezionare la sezione Porte aggiuntive.
3. Modificare le impostazioni appropriate:
   • Porta aperta per i dispositivi di protezione UEFI e i dispositivi KasperskyOS

     I dispositivi di protezione UEFI possono connettersi all'Administration Server.

   • Porta per i dispositivi di protezione UEFI e i dispositivi KasperskyOS

     È possibile modificare il numero di porta se l'opzione Porta aperta per i dispositivi di protezione UEFI e i dispositivi KasperskyOS è abilitata. Il numero di porta predefinito è 13294.

4. Fare clic sul pulsante Salva.

I dispositivi di protezione UEFI ora possono connettersi all'Administration Server.

Creazione di un Administration Server virtuale

È possibile creare Administration Server virtuali e aggiungerli ai gruppi di amministrazione.

Per creare e aggiungere un Administration Server virtuale:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.
2. Nella pagina visualizzata passare alla scheda Administration Server.
3. Selezionare il gruppo di amministrazione a cui si desidera aggiungere un Administration Server virtuale.
   L'Administration Server virtuale gestirà i dispositivi del gruppo selezionato (compresi i sottogruppi).
4. Nella riga del menu fare clic su Nuovo Administration Server virtuale.
5. Nella pagina visualizzata definire le proprietà del nuovo Administration Server virtuale:
   • Nome Administration Server virtuale.
   • Indirizzo connessione Administration Server

     È possibile specificare il nome o l'indirizzo IP di Administration Server.

6. Nell'elenco degli utenti selezionare l'amministratore dell'Administration Server virtuale. Se si desidera, è possibile modificare uno degli account esistenti prima di assegnargli il ruolo di amministratore o creare un nuovo account utente.
7. Fare clic su Salva.

Il nuovo Administration Server virtuale verrà creato, aggiunto al gruppo di amministrazione e visualizzato nella scheda Administration Server.

Se si è connessi all'Administration Server primario in Kaspersky Security Center 13.1 Web Console e non è possibile connettersi a un Administration Server virtuale gestito da un Administration Server secondario, è possibile utilizzare uno dei seguenti modi:

• Modificare l'installazione esistente di Kaspersky Security Center 13.1 Web Console per aggiungere il server secondario all'elenco degli Administration Server attendibili. Sarà quindi possibile connettersi all'Administration Server virtuale in Kaspersky Security Center 13.1 Web Console.
  1. Nel dispositivo in cui è installato Kaspersky Security Center 13.1 Web Console, avviare il file di installazione ksc-web-console-<numero versione><numero build>.exe con un account con privilegi di amministratore.
  2. Verrà avviata l'Installazione guidata.
  3. Nella prima pagina dell'Installazione guidata selezionare l'opzione Upgrade.
  4. Nella pagina Tipo di modifica selezionare l'opzione Modifica impostazioni di connessione.
  5. Nella pagina Administration Server attendibili aggiungere l'Administration Server secondario desiderato.
  6. Nell'ultima pagina della procedura guidata fare clic su Modifica per applicare le nuove impostazioni.
  7. Al termine della riconfigurazione dell'applicazione, fare clic sul pulsante Fine.
• Utilizzare Kaspersky Security Center 13.1 Web Console per connettersi direttamente all'Administration Server secondario in cui è stato creato il server virtuale. Sarà quindi possibile passare all'Administration Server virtuale in Kaspersky Security Center 13.1 Web Console.
• Utilizzare Administration Console basata su MMC per connettersi direttamente al server virtuale.

Creazione di una gerarchia di Administration Server: l'aggiunta un Administration Server secondario

Espandi tutto | Comprimi tutto

Aggiunta di un Administration Server secondario (eseguita sul futuro Administration Server primario)

È possibile aggiungere un Administration Server come Administration Server secondario, configurando una gerarchia "primario/secondario".

Per aggiungere un Administration Server secondario disponibile per la connessione tramite Kaspersky Security Center 13.1 Web Console:

1. Verificare che la porta 13000 del futuro Administration Server primario sia disponibile per la ricezione delle connessioni dagli Administration Server secondari.
2. Nel futuro Administration Server primario, fare clic sull'icona delle impostazioni ().
3. Nella pagina delle proprietà visualizzata selezionare la scheda Administration Server.
4. Selezionare la casella di controllo accanto al nome del gruppo di amministrazione a cui si desidera aggiungere l'Administration Server.
5. Nella riga del menu fare clic su Connetti Administration Server secondario.

   Verrà avviata la Connessione guidata all'Administration Server secondario.

6. Nella prima pagina della procedura guidata compilare i seguenti campi:
   • Nome visualizzato dell'Administration Server secondario

     Nome con cui l'Administration Server secondario verrà visualizzato nella gerarchia. Facoltativamente è possibile immettere l'indirizzo IP come nome oppure utilizzare un nome come "Server secondario per il gruppo 1".

   • Indirizzo dell'Administration Server secondario (facoltativo)

     Specificare l'indirizzo IP o il nome di dominio dell'Administration Server secondario.

   • Porta SSL Administration Server

     Specificare il numero della porta SSL nell'Administration Server primario. Il numero di porta predefinito è 13000.

   • Porta API Administration Server

     Specificare il numero della porta nell'Administration Server primario per la ricezione delle connessioni tramite OpenAPI. Il numero di porta predefinito è 13299.

   • Connetti l'Administration Server primario all'Administration Server secondario nella rete perimetrale

     Selezionare questa opzione se l'Administration Server secondario si trova in una rete perimetrale (DMZ).

     Se questa opzione è selezionata, l'Administration Server primario avvia la connessione all'Administration Server secondario. In caso contrario, l'Administration Server secondario avvia una connessione con l'Administration Server primario.

7. Specificare le impostazioni di connessione:
   • Immettere l'indirizzo del futuro Administration Server primario.
   • Se il futuro Administration Server secondario utilizza un server proxy, immettere l'indirizzo del server proxy e le credenziali dell'utente per connettersi al server proxy.
8. Immettere le credenziali dell'utente che dispone dei diritti di accesso sul futuro Administration Server secondario.

   Assicurarsi che la verifica in due passaggi sia disabilitata per l'account specificato. Se la verifica in due passaggi è abilitata per questo account, è possibile creare la gerarchia solo dal futuro Administration Server secondario (consultare le istruzioni di seguito). Questo è un problema noto.

Se le impostazioni di connessione sono corrette, viene stabilita la connessione con il futuro Administration Server secondario e viene costruita la gerarchia "primario/secondario". Se la connessione non è riuscita, verificare le impostazioni di connessione o specificare il certificato del futuro Administration Server secondario manualmente.

La connessione potrebbe anche non riuscire perché il futuro Administration Server secondario è autenticato con un certificato autofirmato generato automaticamente da Kaspersky Security Center. Di conseguenza, il browser potrebbe bloccare il download del certificato autofirmato. Se è questo il caso, è possibile eseguire una delle seguenti operazioni:

• Per il futuro Administration Server secondario, creare un certificato attendibile nella propria infrastruttura e che soddisfi i requisiti dei certificati personalizzati.
• Aggiungere il certificato autofirmato del futuro Administration Server secondario all'elenco dei certificati attendibili del browser. È consigliabile utilizzare questa opzione solo se non è possibile creare un certificato personalizzato. Per informazioni sull'aggiunta di un certificato all'elenco dei certificati attendibili, fare riferimento alla documentazione del browser in uso.

Al termine della procedura guidata, verrà creata la gerarchia "primario/secondario". La connessione tra l'Administration Server primario e quello secondario viene stabilita tramite la porta 13000. Le attività e i criteri dall'Administration Server primario vengono ricevuti e applicati. L'Administration Server secondario viene visualizzato nell'Administration Server primario, nel gruppo di amministrazione a cui è stato aggiunto.

Aggiunta di un Administration Server secondario (eseguita sul futuro Administration Server secondario)

Se non è possibile connettersi al futuro Administration Server secondario (ad esempio, perché temporaneamente disconnesso o non disponibile), è comunque possibile aggiungere un Administration Server secondario.

Per aggiungere come secondario un Administration Server non disponibile per la connessione tramite Kaspersky Security Center 13.1 Web Console:

1. Inviare il file del certificato del futuro Administration Server primario all'amministratore di sistema della sede in cui si trova il futuro Administration Server secondario. È ad esempio possibile scrivere il file su un dispositivo esterno, come un'unità flash, o inviarlo tramite e-mail.

   Il file di certificato è disponibile nel futuro Administration Server primario, in %ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit\1093\cert\klserver.cer.

2. Richiedere all'amministratore di sistema responsabile del futuro Administration Server secondario di eseguire le seguenti operazioni:
   1. Fare clic sull'icona delle impostazioni ().
   2. Nella pagina delle proprietà visualizzata passare alla sezione Gerarchia di Administration Server della scheda Generale.
   3. Selezionare l'opzione Questo Administration Server è secondario nella gerarchia.
   4. Nel campo Indirizzo Administration Server primario immettere il nome della rete del futuro Administration Server primario.
   5. Selezionare il file precedentemente salvato con il certificato del futuro Administration Server primario facendo clic su Sfoglia.
   6. Se necessario, selezionare la casella di controllo Connetti l'Administration Server primario all'Administration Server secondario nella rete perimetrale.
   7. Se la connessione al futuro Administration Server secondario viene eseguita tramite un server proxy, selezionare l'opzione Usa server proxy e specificare le impostazioni di connessione.
   8. Fare clic su Salva.

Verrà creata la gerarchia "primario/secondario". L'Administration Server primario inizia a ricevere la connessione dall'Administration Server secondario tramite la porta 13000. Le attività e i criteri dall'Administration Server primario vengono ricevuti e applicati. L'Administration Server secondario viene visualizzato nell'Administration Server primario, nel gruppo di amministrazione a cui è stato aggiunto.

Visualizzazione dell'elenco degli Administration Server secondari

Per visualizzare l'elenco degli Administration Server secondari (inclusi quelli virtuali):

Nel menu principale, fare clic sul nome di Administration Server, accanto all'icona delle impostazioni ().

Viene visualizzato l'elenco a discesa degli Administration Server secondari (inclusi quelli virtuali).

È possibile passare a uno di questi Administration Server facendo clic sul relativo nome.

Vengono visualizzati anche i gruppi di amministrazione, che sono però disattivati e non disponibili per la gestione in questo menu.

Se si è connessi all'Administration Server primario in Kaspersky Security Center 13.1 Web Console e non è possibile connettersi a un Administration Server virtuale gestito da un Administration Server secondario, è possibile utilizzare uno dei seguenti modi:

• Modificare l'installazione esistente di Kaspersky Security Center 13.1 Web Console per aggiungere il server secondario all'elenco degli Administration Server attendibili. Sarà quindi possibile connettersi all'Administration Server virtuale in Kaspersky Security Center 13.1 Web Console.
  1. Nel dispositivo in cui è installato Kaspersky Security Center 13.1 Web Console, avviare il file di installazione ksc-web-console-<numero versione><numero build>.exe con un account con privilegi di amministratore.
  2. Verrà avviata l'Installazione guidata.
  3. Nella prima pagina dell'Installazione guidata selezionare l'opzione Upgrade.
  4. Nella pagina Tipo di modifica selezionare l'opzione Modifica impostazioni di connessione.
  5. Nella pagina Administration Server attendibili aggiungere l'Administration Server secondario desiderato.
  6. Nell'ultima pagina della procedura guidata fare clic su Modifica per applicare le nuove impostazioni.
  7. Al termine della riconfigurazione dell'applicazione, fare clic sul pulsante Fine.
• Utilizzare Kaspersky Security Center 13.1 Web Console per connettersi direttamente all'Administration Server secondario in cui è stato creato il server virtuale. Sarà quindi possibile passare all'Administration Server virtuale in Kaspersky Security Center 13.1 Web Console.
• Utilizzare Administration Console basata su MMC per connettersi direttamente al server virtuale.

Eliminazione di una gerarchia di Administration Server

Se non si desidera più avere una gerarchia di Administration Server, è possibile disconnetterli da tale gerarchia.

Per eliminare una gerarchia di Administration Server:

1. Nella parte superiore dello schermo fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server primario.
2. Nella pagina visualizzata passare alla scheda Administration Server.
3. Nel gruppo di amministrazione da cui si desidera eliminare l'Administration Server secondario selezionare l'Administration Server secondario.
4. Nella riga del menu fare clic su Elimina.
5. Nella finestra di dialogo visualizzata fare clic su OK per confermare che si desidera eliminare l'Administration Server secondario.

I precedenti Administration Server primario e secondario sono ora indipendenti l'uno dall'altro. La gerarchia non è più presente.

Configurazione dell'interfaccia

È possibile configurare l'interfaccia di Kaspersky Security Center 13.1 Web Console in modo da visualizzare e nascondere sezioni ed elementi di interfaccia, a seconda delle funzionalità utilizzate.

Per configurare l'interfaccia di Kaspersky Security Center 13.1 Web Console in base al set di funzionalità utilizzate al momento:

1. Nel menu principale, fare clic sul menu dell'account.
2. Nel menu a discesa selezionare Opzioni di interfaccia.
3. Nella finestra Opzioni di interfaccia visualizzata abilitare o disabilitare le opzioni desiderate.
4. Fare clic su Salva.

Successivamente, la console visualizza le sezioni nel menu principale in base alle opzioni abilitate. Se ad esempio si abilita Mostra avvisi EDR, nel menu principale viene visualizzata la sezione Monitoraggio e generazione dei rapporti → ALERTS.

Abilitazione della protezione dell'account dalle modifiche non autorizzate

È possibile abilitare un'opzione aggiuntiva per proteggere un account utente dalle modifiche non autorizzate. Se questa opzione è abilitata, la modifica delle impostazioni dell'account utente richiede l'autorizzazione dell'utente con i diritti di modifica.

Per abilitare o disabilitare la protezione dell'account dalle modifiche non autorizzate:

1. Nel menu principale accedere a Utenti e ruoli → Utenti.
2. Fare clic sul nome dell'account utente interno per cui specificare la protezione dell'account dalle modifiche non autorizzate.
3. Nella finestra delle impostazioni utente visualizzata selezionare la scheda Protezione account.
4. Nella scheda Protezione account selezionare l'opzione Richiedi l'autenticazione per verificare l'autorizzazione di modifica degli account utente se si desidera richiedere le credenziali ogni volta che le impostazioni dell'account vengono modificate. In caso contrario, selezionare l'opzione Consentire agli utenti di modificare questo account senza autenticazione aggiuntiva.
5. Fare clic sul pulsante Salva.

La protezione dell'account da modifiche non autorizzate è abilitata per un account utente.

Verifica in due passaggi

Questa sezione descrive come utilizzare la verifica in due passaggi per ridurre il rischio di accesso non autorizzato a Kaspersky Security Center 13.1 Web Console.

Scenario: Configurazione della verifica in due passaggi per tutti gli utenti

Questo scenario descrive come abilitare la verifica in due passaggi per tutti gli utenti e come escludere gli account utente dalla verifica in due passaggi. Se non è stata abilitata la verifica in due passaggi per il proprio account prima di abilitarla per tutti gli altri utenti, l'applicazione apre innanzitutto la finestra per abilitare la verifica in due passaggi per il proprio account. Questo scenario descrive anche come abilitare la verifica in due passaggi per il proprio account.

Se è stata abilitata la verifica in due passaggi per il proprio account, è possibile procedere al passaggio di abilitazione della verifica in due passaggi per tutti gli utenti.

Prerequisiti

Prima di iniziare:

• Assicurarsi che il proprio account utente disponga del diritto Modifica elenchi di controllo degli accessi agli oggetti dell'area funzionale Caratteristiche generali: Autorizzazioni utente per la modifica delle impostazioni di protezione per gli account di altri utenti.
• Assicurarsi che gli altri utenti di Administration Server installino un'applicazione di autenticazione nei propri dispositivi.

Passaggi

L'abilitazione della verifica in due passaggi per tutti gli utenti procede per fasi:

1. Installazione di un'applicazione di autenticazione in un dispositivo

   È possibile installare Google Authenticator, Microsoft Authenticator o qualsiasi altra applicazione di autenticazione che supporti l'algoritmo Time-based One-time Password.

2. Sincronizzazione dell'ora dell'applicazione di autenticazione con l'ora del dispositivo in cui è installato Administration Server

   Assicurarsi che l'ora impostata nell'applicazione di autenticazione sia sincronizzata con l'ora di Administration Server.

3. Abilitazione della verifica in due passaggi per il proprio account e ricezione della chiave segreta per il proprio account

   Istruzioni dettagliate:

   • Per Administration Console basata su MMC: Abilitazione della verifica in due passaggi per il proprio account
   • Per Kaspersky Security Center 13.1 Web Console: Abilitazione della verifica in due passaggi per il proprio account

   Dopo aver abilitato la verifica in due passaggi per il proprio account, è possibile abilitare la verifica in due passaggi per tutti gli utenti.

4. Abilitazione della verifica in due passaggi per tutti gli utenti

   Gli utenti con la verifica in due passaggi abilitata devono utilizzarla per accedere ad Administration Server.

   Istruzioni dettagliate:

   • Per Administration Console basata su MMC: Abilitazione della verifica in due passaggi per tutti gli utenti
   • Per Kaspersky Security Center 13.1 Web Console: Abilitazione della verifica in due passaggi per tutti gli utenti
5. Modifica del nome dell'emittente del codice di sicurezza

   Se si dispone di più Administration Server con nomi simili, potrebbe essere necessario modificare i nomi dell'emittente del codice di sicurezza per un migliore riconoscimento dei diversi Administration Server.

   Istruzioni dettagliate:

   • Per Administration Console basata su MMC: Modifica del nome dell'emittente del codice di sicurezza
   • Per Kaspersky Security Center 13.1 Web Console: Modifica del nome dell'emittente del codice di sicurezza
6. Esclusione degli account utente per cui non è necessario abilitare la verifica in due passaggi

   Se necessario, è possibile escludere gli utenti dalla verifica in due passaggi. Gli utenti con account esclusi non devono utilizzare la verifica in due passaggi per accedere ad Administration Server.

   Istruzioni dettagliate:

   • Per Administration Console basata su MMC: Esclusione degli account dalla verifica in due passaggi
   • Per Kaspersky Security Center 13.1 Web Console: Esclusione degli account dalla verifica in due passaggi

Risultati

Al termine di questo scenario:

• La verifica in due passaggi è stata abilitata per l'account.
• La verifica in due passaggi è abilitata per tutti gli account utente di Administration Server, ad eccezione degli account utente che sono stati esclusi.

Informazioni sulla verifica in due passaggi

Kaspersky Security Center fornisce la verifica in due passaggi per gli utenti di Kaspersky Security Center 13.1 Web Console. Quando la verifica in due passaggi è abilitata per il proprio account, ogni volta che si accede a Kaspersky Security Center 13.1 Web Console è necessario immettere il nome utente, la password e un codice di sicurezza monouso aggiuntivo. Se si utilizza l'autenticazione del dominio per il proprio account, è sufficiente immettere un codice di sicurezza monouso aggiuntivo. Per ricevere un codice di sicurezza monouso è necessario disporre di un'applicazione di autenticazione nel computer o nel dispositivo mobile.

Un codice di sicurezza ha un identificatore denominato nome dell'emittente. Il nome dell'emittente del codice di sicurezza viene utilizzato come identificatore di Administration Server nell'applicazione di autenticazione. È possibile modificare il nome dell'emittente del codice di sicurezza. Il nome dell'emittente del codice di sicurezza ha un valore predefinito uguale al nome di Administration Server. Il nome dell'emittente viene utilizzato come identificatore di Administration Server nell'applicazione di autenticazione. Se si modifica il nome dell'emittente del codice di sicurezza, è necessario emettere una nuova chiave segreta e passarla all'applicazione di autenticazione. Un codice di sicurezza è monouso ed è valido per un massimo di 90 secondi (il tempo esatto può variare).

Qualsiasi utente per cui è abilitata la verifica in due passaggi può riemettere la propria chiave segreta. Quando un utente esegue l'autenticazione con la chiave segreta riemessa e la utilizza per l'accesso, Administration Server salva la nuova chiave segreta per l'account utente. Se l'utente immette la nuova chiave segreta in modo errato, Administration Server non salva la nuova chiave segreta e mantiene la chiave segreta corrente valida per l'ulteriore autorizzazione.

Qualsiasi software di autenticazione che supporti l'algoritmo TOTP (Time-based One-time Password) può essere utilizzato come applicazione di autenticazione, ad esempio Google Authenticator. Per generare il codice di sicurezza, è necessario sincronizzare l'ora impostata nell'applicazione di autenticazione con l'ora impostata per Administration Server.

Un'applicazione di autenticazione genera il codice di sicurezza nel modo seguente:

1. Administration Server genera una chiave segreta speciale e un codice QR.
2. L'utente specifica la chiave segreta generata o il codice QR generato nell'applicazione di autenticazione.
3. L'applicazione di autenticazione genera un codice di sicurezza monouso che verrà specificato nella finestra di autenticazione di Administration Server.

È consigliabile installare un'applicazione di autenticazione in più di un dispositivo. Salvare la chiave segreta (o il codice QR) e conservarli in un luogo sicuro. Questo codice consentirà di ripristinare l'accesso a Kaspersky Security Center 13.1 Web Console nel caso in cui si perda l'accesso al dispositivo mobile.

Per proteggere l'utilizzo di Kaspersky Security Center, è possibile abilitare la verifica in due passaggi per il proprio account e abilitare la verifica in due passaggi per tutti gli utenti.

È possibile escludere gli account dalla verifica in due passaggi. Questa operazione può essere necessaria per gli account di servizio che non possono ricevere un codice di sicurezza per l'autenticazione.

La verifica in due passaggi funziona in base alle seguenti regole:

• Solo un account utente che dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente può abilitare la verifica in due passaggi per tutti gli utenti.
• Solo un utente che ha abilitato la verifica in due passaggi per il proprio account può abilitare l'opzione di verifica in due passaggi per tutti gli utenti.
• Solo un utente che ha abilitato la verifica in due passaggi per il proprio account può escludere altri account utente dall'elenco della verifica in due passaggi abilitata per tutti gli utenti.
• Un utente può abilitare la verifica in due passaggi solo per il proprio account.
• Un account utente che dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente e che ha eseguito l'accesso a Kaspersky Security Center 13.1 Web Console utilizzando la verifica in due passaggi può disabilitare la verifica in due passaggi: per qualsiasi altro utente solo se la verifica in due passaggi per tutti gli utenti è disabilitata, per un utente escluso dall'elenco della verifica in due passaggi abilitata per tutti gli utenti.
• Qualsiasi utente che ha eseguito l'accesso a Kaspersky Security Center 13.1 Web Console utilizzando la verifica in due passaggi può riemettere la propria chiave segreta.
• È possibile abilitare l'opzione di verifica in due passaggi per tutti gli utenti per l'Administration Server attualmente in uso. Se si abilita questa opzione in Administration Server, l'opzione viene abilitata anche per gli account utente dei relativi Administration Server virtuali e non si abilita la verifica in due passaggi per gli account utente degli Administration Server secondari.

Se la verifica in due passaggi è abilitata per un account utente in Kaspersky Security Center Administration Server versione 13 o successive, l'utente non sarà in grado di accedere a Kaspersky Security Center 13.1 Web Console versione 12, 12.1 o 12.2.

Abilitazione della verifica in due passaggi per il proprio account

È possibile abilitare la verifica in due passaggi solo per il proprio account.

Prima di abilitare la verifica in due passaggi per il proprio account, assicurarsi che nel dispositivo mobile sia installata un'applicazione di autenticazione. Assicurarsi che l'ora impostata nell'applicazione di autenticazione sia sincronizzata con l'ora impostata nel dispositivo in cui è installato Administration Server.

Per abilitare la verifica in due passaggi per un account utente:

1. Nel menu principale accedere a Utenti e ruoli → Utenti.
2. Fare clic sul nome dell'account.
3. Nella finestra delle impostazioni utente visualizzata selezionare la scheda Protezione account.
4. Nella scheda Protezione account:
   1. Selezionare l'opzione Richiedi nome utente, password e codice di sicurezza (verifica in due passaggi).
   2. Nella finestra della verifica in due passaggi visualizzata immettere la chiave segreta nell'applicazione di autenticazione o eseguire la scansione del codice QR per ricevere il codice di sicurezza monouso.

      È possibile specificare manualmente la chiave segreta nell'applicazione di autenticazione o eseguire la scansione del codice QR tramite il dispositivo mobile.

   3. Nella finestra della verifica in due passaggi specificare il codice di sicurezza generato dall'applicazione di autenticazione, quindi fare clic sul pulsante Controlla e applica.
5. Fare clic sul pulsante Salva.

La verifica in due passaggi è stata abilitata per l'account.

Abilitazione della verifica in due passaggi per tutti gli utenti

È possibile abilitare la verifica in due passaggi per tutti gli utenti di Administration Server se il proprio account dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente e se è stata eseguita l'autenticazione utilizzando la verifica in due passaggi. Se non è stata abilitata la verifica in due passaggi per il proprio account prima di abilitarla per tutti gli utenti, l'applicazione apre la finestra per abilitare la verifica in due passaggi per il proprio account.

Per abilitare la verifica in due passaggi per tutti gli utenti:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.

   Verrà visualizzata la finestra delle proprietà di Administration Server.

2. Nella scheda Sicurezza in fase di autenticazione della finestra delle proprietà spostare l'interruttore dell'opzione di verifica in due passaggi per tutti gli utenti sulla posizione "abilitato".

La verifica in due passaggi è abilitata per tutti gli utenti. D'ora in poi gli utenti di Administration Server, inclusi gli utenti aggiunti dopo aver abilitato la verifica in due passaggi per tutti gli utenti, dovranno configurare la verifica in due passaggi per i propri account, ad eccezione degli utenti esclusi dalla verifica in due passaggi.

Disabilitazione della verifica in due passaggi per un account utente

È possibile disabilitare la verifica in due passaggi per il proprio account, nonché per l'account di un altro utente.

È possibile disabilitare la verifica in due passaggi dell'account di un altro utente se l'account dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente.

Per disabilitare la verifica in due passaggi per un account utente:

1. Nel menu principale accedere a Utenti e ruoli → Utenti.
2. Fare clic sul nome dell'account utente interno per cui si desidera disabilitare la verifica in due passaggi. Può trattarsi del proprio account o dell'account di un altro utente.
3. Nella finestra delle impostazioni utente visualizzata selezionare la scheda Protezione account.
4. Nella scheda Protezione account selezionare l'opzione Richiedi solo nome utente e password se si desidera disabilitare la verifica in due passaggi per un account utente.
5. Fare clic sul pulsante Salva.

La verifica in due passaggi è disabilitata per l'account utente.

Disabilitazione della verifica in due passaggi per tutti gli utenti

È possibile disabilitare la verifica in due passaggi per tutti gli utenti se la verifica in due passaggi è abilitata per il proprio account e se quest'ultimo dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente. Se la verifica in due passaggi non è abilitata per il proprio account, è necessario abilitare la verifica in due passaggi per il proprio account prima di disabilitarla per tutti gli utenti.

Per disabilitare la verifica in due passaggi per tutti gli utenti:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.

   Verrà visualizzata la finestra delle proprietà di Administration Server.

2. Nella scheda Sicurezza in fase di autenticazione della finestra delle proprietà spostare l'interruttore dell'opzione di verifica in due passaggi per tutti gli utenti sulla posizione "disabilitato".
3. Inserire le credenziali del proprio account nella finestra di autenticazione.

La verifica in due passaggi è disabilitata per tutti gli utenti.

Esclusione di account dalla verifica in due passaggi

È possibile escludere gli account utente dalla verifica in due passaggi se si dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente.

Se un account utente viene escluso dall'elenco della verifica in due passaggi per tutti gli utenti, tale utente non deve utilizzare la verifica in due passaggi.

L'esclusione degli account dalla verifica in due passaggi può essere necessaria per gli account di servizio che non possono passare il codice di sicurezza durante l'autenticazione.

Se si desidera escludere alcuni account utente dalla verifica in due passaggi:

1. Se si desidera escludere account Active Directory, è necessario eseguire il polling di Active Directory per aggiornare l'elenco degli utenti di Administration Server.
2. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.

   Verrà visualizzata la finestra delle proprietà di Administration Server.

3. Nella scheda Sicurezza in fase di autenticazione della finestra delle proprietà, nella tabella delle esclusioni dalla verifica in due passaggi fare clic sul pulsante Aggiungi.
4. Nella finestra visualizzata:
   1. Selezionare gli account utente che si desidera escludere.
   2. Fare clic sul pulsante OK.

Gli account utente selezionati vengono esclusi dalla verifica in due passaggi.

Generazione di una nuova chiave segreta

È possibile generare una nuova chiave segreta per la verifica in due passaggi per il proprio account solo se è stata eseguita l'autorizzazione utilizzando la verifica in due passaggi.

Per generare una nuova chiave segreta per un account utente:

1. Nel menu principale accedere a Utenti e ruoli → Utenti.
2. Fare clic sul nome dell'account utente per cui si desidera generare una nuova chiave segreta per la verifica in due passaggi.
3. Nella finestra delle impostazioni utente visualizzata selezionare la scheda Protezione account.
4. Nella scheda Protezione account fare clic sul collegamento Genera una nuova chiave segreta.
5. Nella finestra della verifica in due passaggi visualizzata specificare una nuova chiave di sicurezza generata dall'applicazione di autenticazione.
6. Fare clic sul pulsante Controlla e applica.

Viene generata una nuova chiave segreta per l'utente.

Se il dispositivo mobile viene smarrito, è possibile installare un'applicazione di autenticazione in un altro dispositivo mobile e generare una nuova chiave segreta per ripristinare l'accesso a Kaspersky Security Center 13.1 Web Console.

Modifica del nome dell'emittente del codice di sicurezza

È possibile disporre di più identificatori (chiamati emittenti) per diversi Administration Server. È possibile modificare il nome dell'emittente di un codice di sicurezza ad esempio nel caso in cui Administration Server utilizzi già un nome simile dell'emittente del codice di sicurezza per un altro Administration Server. Per impostazione predefinita, il nome dell'emittente di un codice di sicurezza è uguale al nome di Administration Server.

Dopo aver modificato il nome dell'emittente del codice di sicurezza, è necessario riemettere una nuova chiave segreta e passarla all'applicazione di autenticazione.

Per specificare un nuovo nome dell'emittente del codice di sicurezza:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.

   Verrà visualizzata la finestra delle proprietà di Administration Server.

2. Nella finestra delle impostazioni utente visualizzata selezionare la scheda Protezione account.
3. Nella scheda Protezione account fare clic sul collegamento Modifica.

   Verrà visualizzata la sezione Modifica emittente codice di sicurezza.

4. Specificare un nuovo nome dell'emittente del codice di sicurezza.
5. Fare clic sul pulsante OK.

Viene specificato un nuovo nome dell'emittente del codice di sicurezza per Administration Server.