Gestione degli Administration Server

Questa sezione fornisce informazioni sull'utilizzo e sulla configurazione degli Administration Server.

Creazione di una gerarchia di Administration Server: l'aggiunta un Administration Server secondario

È possibile aggiungere un Administration Server come Administration Server secondario, configurando una gerarchia "primario/secondario". L'aggiunta di un Administration Server secondario è possibile indipendentemente dal fatto che l'Administration Server che si prevede di utilizzare come secondario sia disponibile per la connessione tramite Administration Console.

Quando si combinano due Administration Server in una gerarchia, verificare che la porta 13291 sia accessibile in entrambi gli Administration Server. La porta 13291 è necessaria per ricevere le connessioni da Administration Console ad Administration Server.

Connessione di un Administration Server come secondario in riferimento all'Administration Server primario

È possibile aggiungere un Administration Server come secondario connettendolo all'Administration Server primario tramite la porta 13000. Sarà necessario un dispositivo in cui è installato Administration Console da cui è possibile accedere alle porte TCP 13291 in entrambi gli Administration Server: presunto Administration Server primario e presunto Administration Server secondario.

Per aggiungere come secondario un Administration Server disponibile per la connessione tramite Administration Console:

1. Verificare che la porta 13000 del presunto Administration Server primario sia disponibile per la ricezione delle connessioni dagli Administration Server secondari.
2. Utilizzare Administration Console per eseguire la connessione al presunto Administration Server primario.
3. Selezionare il gruppo di amministrazione a cui si desidera aggiungere l'Administration Server secondario.
4. Nell'area di lavoro del nodo Administration Server del gruppo selezionato fare clic sul collegamento Aggiungi Administration Server secondario.

   Verrà avviata l'Aggiunta guidata Administration Server secondari.

5. Nel primo passaggio della procedura guidata (immissione dell'indirizzo dell'Administration Server aggiunto al gruppo) immettere il nome di rete del presunto Administration Server secondario.
6. Seguire le istruzioni della procedura guidata.

Verrà creata la gerarchia "primario/secondario". L'Administration Server primario riceverà la connessione dall'Administration Server secondario.

Se non si dispone di un dispositivo in cui è installato Administration Console da cui è possibile accedere alle porte TCP 13291 in entrambi gli Administration Server (se ad esempio il presunto Administration Server secondario è situato in una sede remota e l'amministratore di sistema di tale sede non può aprire l'accesso a Internet alla porta 13291 per motivi di sicurezza), sarà comunque possibile aggiungere un Administration Server secondario.

Per aggiungere come secondario un Administration Server non disponibile per la connessione tramite Administration Console:

1. Verificare che la porta 13000 del presunto Administration Server primario sia disponibile per la connessione dagli Administration Server secondari.
2. Scrivere il file di certificato del presunto Administration Server primario in un dispositivo esterno, ad esempio un'unità flash, o inviarlo all'amministratore di sistema della sede remota in cui si trova Administration Server.

   Il file di certificato dell'Administration Server si trova nello stesso Administration Server, in%ALLUSERSPROFILE %\Application Data\KasperskyLab\adminkit\1093\cert\klserver.cer.

3. Scrivere il file di certificato del presunto Administration Server secondario in un dispositivo esterno, ad esempio un'unità flash. Se il presunto Administration Server secondario è situato in una sede remota, contattare l'amministratore di sistema di tale sede per richiedergli di inviare il certificato.

   Il file di certificato dell'Administration Server si trova nello stesso Administration Server, in%ALLUSERSPROFILE %\Application Data\KasperskyLab\adminkit\1093\cert\klserver.cer.

4. Utilizzare Administration Console per eseguire la connessione al presunto Administration Server primario.
5. Selezionare il gruppo di amministrazione a cui si desidera aggiungere l'Administration Server secondario.
6. Nell'area di lavoro del nodo Administration Server fare clic sul collegamento Aggiungi Administration Server secondario.

   Verrà avviata l'Aggiunta guidata Administration Server secondari.

7. Nel primo passaggio della procedura guidata (immissione dell'indirizzo) lasciare vuoto il campo Indirizzo dell'Administration Server secondario (facoltativo).
8. Nella finestra File di certificato dell'Administration Server secondario fare clic sul pulsante Sfoglia e selezionare il file di certificato dell'Administration Server secondario salvato.
9. Al termine della procedura guidata utilizzare un'istanza diversa di Administration Console per connettersi al presunto Administration Server secondario. Se tale Administration Server è situato in una sede remota, contattare l'amministratore di sistema di tale sede per richiedere la connessione al presunto Administration Server secondario ed eseguire i passaggi successivi previsti.
10. Dal menu di scelta rapida del nodo Administration Server selezionare Proprietà.
11. Nelle proprietà dell'Administration Server passare alla sezione Avanzate e quindi alla sottosezione Gerarchia di Administration Server.
12. Selezionare la casella di controllo Questo Administration Server è secondario nella gerarchia.

    I campi di immissione diventano disponibili per l'immissione e la modifica dei dati.

13. Nel campo Indirizzo Administration Server primario immettere il nome della rete del presunto Administration Server primario.
14. Selezionare il file precedentemente salvato con il certificato del presunto Administration Server primario facendo clic sul pulsante Sfoglia.
15. Fare clic su OK.

Verrà creata la gerarchia "primario/secondario". È possibile connettersi all'Administration Server secondario tramite Administration Console. L'Administration Server primario riceverà la connessione dall'Administration Server secondario.

Connessione dell'Administration Server primario a un Administration Server secondario

È possibile aggiungere un nuovo Administration Server come secondario in modo che l'Administration Server primario si connetta all'Administration Server secondario tramite la porta 13000. È consigliabile eseguire questa operazione se, ad esempio, si posiziona un Administration Server secondario nella rete perimetrale.

Sarà necessario un dispositivo in cui è installato Administration Console da cui è possibile accedere alle porte TCP 13291 in entrambi gli Administration Server: presunto Administration Server primario e presunto Administration Server secondario.

Per aggiungere un nuovo Administration Server come secondario e connetterlo all'Administration Server primario tramite la porta 13000:

1. Verificare che la porta 13000 del presunto Administration Server secondario sia disponibile per la ricezione delle connessioni dall'Administration Server primario.
2. Utilizzare Administration Console per eseguire la connessione al presunto Administration Server primario.
3. Selezionare il gruppo di amministrazione a cui si desidera aggiungere l'Administration Server secondario.
4. Nell'area di lavoro del nodo Administration Server del gruppo di amministrazione attinente fare clic sul collegamento Aggiungi Administration Server secondario.

   Verrà avviata l'Aggiunta guidata Administration Server secondari.

5. Nel primo passaggio della procedura guidata (immissione dell'indirizzo dell'Administration Server da aggiungere al gruppo) immettere il nome della rete del presunto Administration Server secondario e selezionare la casella di controllo Connetti Administration Server primario all'Administration Server secondario nella rete perimetrale.
6. Se si esegue la connessione al presunto Administration Server secondario utilizzando un server proxy, durante il primo passaggio della procedura guidata selezionare la casella di controllo Usa server proxy e specificare le impostazioni di connessione.
7. Seguire le istruzioni della procedura guidata.

Verrà creata la gerarchia di Administration Server. L'Administration Server secondario riceverà la connessione dall'Administration Server primario.

Connessione a un Administration Server e passaggio da un Administration Server all'altro

Dopo l'avvio, Kaspersky Security Center tenta di connettersi a un Administration Server. Se sono disponibili diversi Administration Server nella rete, l'applicazione richiede quello a cui è stata eseguita la connessione durante la sessione precedente di Kaspersky Security Center.

Se l'applicazione viene avviata per la prima volta dopo l'installazione, tenta di connettersi all'Administration Server specificato durante l'installazione di Kaspersky Security Center.

Una volta stabilita la connessione a un Administration Server, la struttura delle cartelle di tale server viene visualizzata nella struttura della console.

Se alla struttura della console sono stati aggiunti diversi Administration Server, è possibile passare da uno all'altro.

Administration Console è necessario per l'utilizzo di ogni Administration Server. Prima della prima connessione a un nuovo Administration Server, verificare che la porta 13291, utilizzata per ricevere le connessioni da Administration Console, sia aperta, così come tutte le porte rimanenti necessarie per la comunicazione tra Administration Server e gli altri componenti di Kaspersky Security Center.

Per passare a un Administration Server diverso:

1. Nella struttura della console selezionare il nodo con il nome dell'Administration Server desiderato.
2. Dal menu di scelta rapida del nodo selezionare Connetti ad Administration Server.
3. Nella finestra Impostazioni di connessione visualizzata specificare nel campo Indirizzo di Administration Server il nome dell'Administration Server a cui si desidera connettersi. È possibile specificare un indirizzo IP o il nome di un dispositivo in una rete Windows come nome dell'Administration Server. È possibile fare clic sul pulsante Avanzate per configurare la connessione all'Administration Server (vedere la figura seguente).

   Per connettersi all'Administration Server tramite una porta diversa da quella predefinita, immettere un valore nel campo Indirizzo di Administration Server nel formato <Nome Administration Server>:<Porta>.

   L'accesso ad Administration Server non è consentito agli utenti che non dispongono dei diritti di Lettura.

   

   Connessione ad Administration Server

4. Fare clic su OK per completare il passaggio tra i server.

Dopo la connessione ad Administration Server, viene aggiornata la struttura delle cartelle del nodo corrispondente nella struttura della console.

Diritti di accesso ad Administration Server e ai relativi oggetti

Durante l'installazione di Kaspersky Security Center vengono creati automaticamente i gruppi KLAdmins e KLOperators. A questi gruppi vengono concesse le autorizzazioni per la connessione ad Administration Server e per l'elaborazione dei relativi oggetti.

A seconda del tipo di account utilizzato per l'installazione di Kaspersky Security Center, i gruppi KLAdmins e KLOperators vengono creati come segue:

• Se l'applicazione è installata tramite un account utente incluso in un dominio, i gruppi vengono creati sia nel dominio che include l'Administration Server che nell'Administration Server stesso.
• Se l'applicazione è installata tramite un account di sistema, i gruppi vengono creati soltanto nell'Administration Server.

È possibile visualizzare i gruppi KLAdmins e KLOperators e modificare i privilegi di accesso degli utenti che appartengono ai gruppi KLAdmins e KLOperators utilizzando gli strumenti di amministrazione standard del sistema operativo.

Al gruppo KLAdmins sono concessi tutti i diritti di accesso, mentre al gruppo KLOperators vengono concessi soltanto i diritti di lettura ed esecuzione. I diritti concessi al gruppo KLAdmins sono bloccati.

Gli utenti appartenenti al gruppo KLAdmins sono denominati Amministratori di Kaspersky Security Center; gli utenti del gruppo KLOperators sono denominati Operatori di Kaspersky Security Center.

Oltre che agli utenti inclusi nel gruppo KLAdmins, i diritti di amministratore di Kaspersky Security Center vengono concessi agli amministratori locali dei dispositivi in cui è installato Administration Server.

Gli amministratori locali possono essere esclusi dall'elenco degli utenti che dispongono di diritti di amministratore di Kaspersky Security Center.

Tutte le operazioni avviate dagli amministratori di Kaspersky Security Center verranno eseguite utilizzando i diritti dell'account di Administration Server.

Per ciascun Administration Server della rete è possibile creare uno specifico gruppo KLAdmins, che disporrà dei diritti necessari solo per tale Administration Server.

Se si includono dispositivi appartenenti allo stesso dominio in gruppi di amministrazione di differenti Administration Server, l'amministratore del dominio sarà un amministratore di Kaspersky Security Center per tutti i gruppi. Il gruppo KLAdmins è lo stesso per questi gruppi di amministrazione e viene creato durante l'installazione del primo Administration Server. Tutte le operazioni avviate dall'amministratore di Kaspersky Security Center vengono eseguite utilizzando i diritti dell'account dell'Administration Server per cui sono state avviate tali operazioni.

In seguito all'installazione dell'applicazione, un amministratore di Kaspersky Security Center può eseguire le seguenti operazioni:

• Modificare i diritti concessi ai gruppi KLOperators.
• Concedere i diritti di accesso alle funzionalità di Kaspersky Security Center ad altri utenti e gruppi di utenti registrati sulla workstation di amministrazione.
• Assegnare diritti di accesso utente in ogni gruppo di amministrazione.

L'amministratore di Kaspersky Security Center può assegnare diritti di accesso a ogni gruppo di amministrazione o ad altri oggetti di Administration Server nella sezione Protezione della finestra delle proprietà dell'oggetto selezionato.

È possibile tracciare l'attività dell'utente utilizzando i record sugli eventi durante l'esecuzione di Administration Server. I record degli eventi sono visualizzati nel nodo Administration Server della scheda Eventi. Questi eventi hanno livello di importanza Eventi informativi e i tipi di eventi iniziano con "Controllo".

Condizioni per la connessione a un Administration Server tramite Internet

Se un Administration Server è remoto, ovvero all'esterno di una rete aziendale, i dispositivi client vi si connettono tramite Internet.

Per la connessione dei dispositivi client a un Administration Server via Internet, devono essere soddisfatte le seguenti condizioni:

• L'Administration Server remoto deve disporre di un indirizzo IP esterno e la porta in entrata 13000 deve rimanere aperta (per la connessione dei Network Agent). È consigliabile aprire anche la porta UDP 13000 (per la ricezione delle notifiche sullo spegnimento dei dispositivi).
• I Network Agent devono essere installati nei dispositivi.
• Quando si installa Network Agent nei dispositivi, è necessario specificare l'indirizzo IP esterno dell'Administration Server remoto. Se per l'installazione viene utilizzato un pacchetto di installazione, l'indirizzo IP esterno deve essere specificato manualmente nelle proprietà del pacchetto di installazione, nella sezione Impostazioni.
• Per utilizzare l'Administration Server remoto al fine di gestire le applicazioni e le attività di un dispositivo, nella sezione Generale della finestra delle proprietà di tale dispositivo selezionare la casella di controllo Non eseguire la disconnessione dall'Administration Server. Dopo avere selezionato la casella di controllo, attendere la sincronizzazione di Administration Server con il dispositivo remoto. Il numero di dispositivi client che mantengono una connessione permanente con un Administration Server non può essere superiore a 300.

Per aumentare le prestazioni delle attività generate da un Administration Server remoto, è possibile aprire la porta 15000 in un dispositivo. In questo caso, per eseguire un'attività, l'Administration Server invia uno speciale pacchetto a Network Agent tramite la porta 15000 senza attendere il completamento della sincronizzazione con il dispositivo.

Connessione criptata a un Administration Server

Sia lo scambio dei dati tra i dispositivi client e Administration Server che la connessione di Administration Console ad Administration Server possono essere eseguiti tramite il protocollo TLS (Transport Layer Security). Il protocollo TLS consente l'identificazione delle parti che interagiscono, il criptaggio dei dati trasferiti e la loro protezione dalle modifiche durante il trasferimento. Il protocollo TLS utilizza chiavi pubbliche per l'autenticazione delle parti che interagiscono e per il criptaggio dei dati.

Autenticazione dell'Administration Server quando un dispositivo è connesso

Quando un dispositivo client si connette ad Administration Server per la prima volta, Network Agent nel dispositivo scarica una copia del certificato di Administration Server e la salva in locale.

Se si installa Network Agent su un dispositivo in locale, è possibile selezionare manualmente il certificato di Administration Server.

La copia scaricata del certificato viene utilizzata per verificare i diritti e le autorizzazioni di Administration Server durante le connessioni successive.

Durante le sessioni successive, Network Agent richiede il certificato di Administration Server a ogni connessione del dispositivo al server e lo confronta con la copia locale. Se le copie non corrispondono, l'accesso del dispositivo ad Administration Server non è consentito.

Autenticazione di Administration Server durante la connessione di Administration Console

Durante la prima connessione ad Administration Server, Administration Console richiede il certificato di Administration Server e lo salva in locale nella workstation di amministrazione. In seguito, ogni volta che Administration Console tenta di connettersi ad Administration Server, quest'ultimo viene identificato in base alla copia del certificato.

Se il certificato di Administration Server non corrisponde alla copia memorizzata nella workstation di amministrazione, Administration Console richiede di confermare la connessione ad Administration Server con il nome specificato e di scaricare un nuovo certificato. Una volta stabilita la connessione, Administration Console salva una copia del nuovo certificato di Administration Server, che verrà utilizzata per identificare Administration Server in futuro.

Informazioni sul certificato di Administration Server

Vengono eseguite due operazioni in base al certificato di Administration Server: l'autenticazione di Administration Server durante la connessione di Administration Console e lo scambio dei dati con i dispositivi. Il certificato è inoltre utilizzato per l'autenticazione durante la connessione degli Administration Server primari agli Administration Server secondari.

Certificato rilasciato da Kaspersky

Il certificato di Administration Server viene creato automaticamente durante l'installazione del componente Administration Server e viene archiviato nella cartella %ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit\1093\cert.

Il certificato di Administration Server è valido per cinque anni se il certificato è stato emesso prima del 1 settembre 2020. In caso contrario il periodo di validità del certificato è limitato a 397 giorni. Un nuovo certificato viene generato da Administration Server come certificato di riserva 90 giorni prima della data di scadenza del certificato corrente. Successivamente, il nuovo certificato sostituisce automaticamente il certificato corrente un giorno prima della data di scadenza. Tutti i Network Agent nei dispositivi client vengono riconfigurati automaticamente per l'autenticazione di Administration Server con il nuovo certificato.

Certificati personalizzati

Se necessario, è possibile assegnare un certificato personalizzato per Administration Server. Questo può ad esempio essere necessario per una migliore integrazione con l'infrastruttura PKI esistente dell'azienda o per la configurazione personalizzata dei campi dei certificati.

Il periodo di validità massimo di qualsiasi certificato di Administration Server non deve superare i 397 giorni.

Quando si sostituisce il certificato, tutti i Network Agent che sono stati precedentemente connessi ad Administration Server tramite SSL perderanno la connessione e restituiranno un errore di autenticazione di Administration Server. Per eliminare l'errore, sarà necessario ripristinare la connessione dopo la sostituzione del certificato.

In caso di smarrimento del certificato di Administration Server, è necessario reinstallare il componente Administration Server e ripristinare i dati per recuperarlo.

Disconnessione da un Administration Server

Per disconnettersi da un Administration Server:

1. Nella struttura della console selezionare il nodo che corrisponde all'Administration Server da disconnettere.
2. Nel menu di scelta rapida del nodo selezionare Disconnetti da Administration Server.

Aggiunta di un Administration Server alla struttura della console

Per aggiungere un Administration Server alla struttura della console:

1. Nella finestra principale di Kaspersky Security Center selezionare nella struttura della console il nodo Kaspersky Security Center 13.1.
2. Nel menu di scelta rapida del nodo selezionare Nuovo → Administration Server.

Nella struttura della console viene creato un nodo denominato Administration Server - <nome dispositivo> (Non connesso), da cui sarà possibile connettersi a qualsiasi Administration Server nella rete.

Rimozione di un Administration Server dalla struttura della console

Per rimuovere un Administration Server dalla struttura della console:

1. Nella struttura della console selezionare il nodo che corrisponde all'Administration Server da rimuovere.
2. Nel menu di scelta rapida del nodo selezionare Rimuovi.

Aggiunta di un Administration Server virtuale alla struttura della console

Per aggiungere un Administration Server virtuale alla struttura della console:

1. Nella struttura della console selezionare il nodo con il nome dell'Administration Server per cui è necessario creare un Administration Server virtuale.
2. Nel nodo Administration Server selezionare la cartella Administration Server.

3. Nell'area di lavoro della cartella Administration Server fare clic sul collegamento Aggiungi Administration Server virtuale.

   Verrà avviata l'Aggiunta guidata nuovo Administration Server virtuale.

4. Nella finestra Nome Administration Server virtuale specificare il nome dell'Administration Server virtuale da creare.

   Il nome di un Administration Server virtuale non può superare i 255 caratteri e non può includere caratteri speciali (ad esempio "*<>?\:|).

5. Nella finestra Immettere l'indirizzo per la connessione del dispositivo all'Administration Server virtuale specificare l'indirizzo di connessione del dispositivo

   L'indirizzo di connessione di un Administration Server virtuale è l'indirizzo di rete attraverso il quale i dispositivi si connetteranno al Server. L'indirizzo di connessione comprende due parti: l'indirizzo di rete di un Administration Server fisico e il nome di un Administration Server virtuale, separati da una barra. Il nome dell'Administration Server virtuale verrà sostituito automaticamente. L'indirizzo specificato verrà utilizzato nell'Administration Server virtuale come indirizzo predefinito nei pacchetti di installazione di Network Agent.

6. Nella finestra Creare l'account amministratore dell'Administration Server virtuale assegnare a un utente dell'elenco il ruolo di amministratore del Server virtuale oppure aggiungere un nuovo account amministratore facendo clic sul pulsante Crea.

   È possibile specificare più account.

Nella struttura della console viene creato un nodo denominato Administration Server <nome dell'Administration Server virtuale>.

Modifica di un account del servizio di Administration Server. Utilità klsrvswch

Se è necessario modificare l'account del servizio di Administration Server impostato durante l'installazione di Kaspersky Security Center, è possibile utilizzare un'utilità denominata klsrvswch progettata per la modifica dell'account di Administration Server.

Durante l'installazione di Kaspersky Security Center, l'utilità viene copiata automaticamente nella cartella di installazione dell'applicazione.

È possibile avviare l'utilità un numero di volte illimitato.

L'utilità klsrvswch consente di modificare il tipo di account. Se ad esempio si utilizza un account locale, è possibile modificarlo in un account di dominio o in un account del servizio gestito (e viceversa). L'utilità klsrvswch non consente di modificare il tipo di account in account del servizio gestito di gruppo (gMSA).

In Windows Vista e nelle versioni successive di Windows non è possibile utilizzare un account LocalSystem per l'Administration Server. In queste versioni di Windows l'opzione di Account LocalSystem è inattiva.

Per modificare un account del servizio di Administration Server in un account di dominio:

1. Avviare l'utilità klsrvswch dalla cartella di installazione di Kaspersky Security Center.

   Questa azione avvia la procedura Guidata per la modifica dell'account del servizio di Administration Server. Seguire le istruzioni della procedura guidata.

2. Nella finestra Account del servizio di Administration Server selezionare Account LocalSystem.

Al termine della procedura Guidata, la modifica dell'account Administration Server viene completata. Il servizio Administration Server verrà avviato tramite l'account LocalSystem e utilizzando le relative credenziali.

Per il corretto funzionamento di Kaspersky Security Center, l'account utilizzato per avviare il servizio Administration Server deve disporre di diritti di amministratore per la risorsa in cui è contenuto il database di Administration Server.

Per modificare un account del servizio di Administration Server in un account utente o un account del servizio gestito:

1. Avviare l'utilità klsrvswch dalla cartella di installazione di Kaspersky Security Center.

   Questa azione avvia la procedura Guidata per la modifica dell'account del servizio di Administration Server. Seguire le istruzioni della procedura guidata.

2. Nella finestra Account del servizio di Administration Server selezionare Account personalizzato.
3. Fare clic sul pulsante Trova.

   Verrà visualizzata la finestra Seleziona utente.

4. Nella finestra Seleziona utente fare clic sul pulsante Tipi di oggetto.
5. Nell'elenco dei tipi di oggetto selezionare Utenti (per un account utente) o Account servizio (per un account del servizio gestito) e fare clic su OK.
6. Nel campo Nome oggetto immettere il nome (o una parte del nome) dell'account e fare clic su Controlla nomi.
7. Nell'elenco dei nomi corrispondenti selezionare il nome desiderato, quindi fare clic su OK.
8. Se è stato selezionato Account servizio, nella finestra Password account lasciare vuoti i campi Password e Conferma password. Se è stato selezionato Utenti, immettere una nuova password per l'utente e confermarla.

L'account del servizio di Administration Server verrà modificato nell'account selezionato.

Quando si utilizza Microsoft SQL Server in una modalità che presuppone l'autenticazione degli account utente con gli strumenti di Microsoft Windows, deve essere concesso l'accesso al database. L'account utente deve avere lo stato di proprietario del database Kaspersky Security Center. Per impostazione predefinita, viene utilizzato lo schema dbo.

Modifica delle credenziali del DBMS

Talvolta potrebbe essere necessario modificare le credenziali del DBMS, ad esempio per eseguire una rotazione delle credenziali per motivi di sicurezza.

Per modificare le credenziali del DBMS in un ambiente Windows tramite l'utilità klsrvswch.exe:

1. Avviare l'utilità klsrvswch disponibile nella cartella di installazione di Kaspersky Security Center.
2. Fare clic sul pulsante Avanti della procedura guidata fino al passaggio Modifica credenziali di accesso DBMS.
3. Al passaggio Modifica credenziali di accesso DBMS della procedura guidata, effettuare le seguenti operazioni:
   • Selezionare l'opzione Applica nuove credenziali.
   • Specificare un nuovo nome per l'account nel campo Account.
   • Specificare una nuova password per l'account nel campo Password.
   • Specificare la nuova password nel campo Conferma password.

   È necessario specificare le credenziali di un account esistente nel DBMS.

4. Fare clic sul pulsante Avanti.

Al termine della procedura guidata, le credenziali del DBMS vengono modificate.

Risoluzione dei problemi relativi ai nodi di Administration Server

La struttura della console nel riquadro sinistro di Administration Console contiene nodi di Administration Server. È possibile aggiungere tutti gli Administration Server necessari nella struttura della console.

L'elenco dei nodi di Administration Server nella struttura della console è memorizzato in una copia shadow di un file msc tramite Microsoft Management Console. La copia shadow del file è disponibile nella cartella %USERPROFILE%\AppData\Roaming\Microsoft\MMC\ nel dispositivo in cui è installato Administration Console. Per ogni nodo di Administration Server il file contiene le seguenti informazioni:

• Indirizzo di Administration Server
• Numero di porta
• Se TLS è in uso

  Questo parametro dipende dal numero della porta utilizzata per la connessione di Administration Console ad Administration Server.

• Nome utente
• Certificato di Administration Server

Risoluzione dei problemi

Quando Administration Console si connette ad Administration Server, il certificato archiviato in locale viene confrontato con il certificato di Administration Server. Se i certificati non corrispondono, Administration Console genera un errore. Ad esempio, una mancata corrispondenza dei certificati può verificarsi quando si sostituisce il certificato di Administration Server. In questo caso, creare nuovamente il nodo di Administration Server nella console.

Per ricreare un nodo di Administration Server:

1. Chiudere la finestra Kaspersky Security Center Administration Console.
2. Eliminare il file di Kaspersky Security Center 13.1 all'indirizzo %USERPROFILE%\AppData\Roaming\Microsoft\MMC\.
3. Eseguire Kaspersky Security Center Administration Console.

   Viene richiesto di connettersi ad Administration Server e accettare il certificato esistente.

4. Eseguire una delle seguenti operazioni:
   • Accettare il certificato esistente facendo clic sul pulsante Sì.
   • Per specificare il certificato, fare clic sul pulsante No, quindi passare al file di certificato da utilizzare per l'autenticazione di Administration Server.

Il problema relativo al certificato è stato risolto. È possibile utilizzare Administration Console per connettersi con l'Administration Server.

Visualizzazione e modifica delle impostazioni di un Administration Server

È possibile regolare le impostazioni di un Administration Server nella finestra delle proprietà di tale server.

Per aprire la finestra Proprietà: Administration Server,

Selezionare Proprietà nel menu di scelta rapida del nodo Administration Server nella struttura della console.

Regolazione delle impostazioni generali di un Administration Server

È possibile regolare le impostazioni generali di Administration Server nelle sezioni Generale, Impostazioni di connessione di Administration Server, Archivio eventi e Protezione della finestra Proprietà di Administration Server.

La sezione Protezione non è visualizzata nella finestra delle proprietà di Administration Server se la visualizzazione è stata disabilitata nell'interfaccia di Administration Console.

Per abilitare la visualizzazione della sezione Protezione in Administration Console:

1. Nella struttura della console selezionare l'Administration Server desiderato.
2. Nel menu Visualizza della finestra principale dell'applicazione selezionare Configura interfaccia.
3. Nella finestra Configura interfaccia visualizzata selezionare la casella di controllo Visualizza le sezioni delle impostazioni di protezione e fare clic su OK.
4. Nella finestra con il messaggio dell'applicazione fare clic su OK.

La sezione Protezione verrà visualizzata nella finestra della proprietà di Administration Server.

Impostazioni dell'interfaccia di Administration Console

È possibile regolare le impostazioni dell'interfaccia di Administration Console per visualizzare o nascondere i controlli dell'interfaccia utente relativi alle seguenti funzionalità:

• Vulnerability e Patch Management
• Criptaggio e protezione dei dati
• Impostazioni di controllo degli endpoint
• Mobile Device Management
• Administration Server secondari
• Sezioni delle impostazioni di protezione

Per configurare le impostazioni dell'interfaccia di Administration Console:

1. Nella struttura della console selezionare l'Administration Server desiderato.
2. Nel menu Visualizza della finestra principale dell'applicazione selezionare Configura interfaccia.
3. Nella finestra Configura interfaccia visualizzata selezionare le caselle di controllo accanto alle funzionalità che si desidera visualizzare e fare clic su OK.
4. Nella finestra con il messaggio dell'applicazione fare clic su OK.

Le funzionalità selezionate verranno visualizzate nell'interfaccia di Administration Console.

Elaborazione e archiviazione di eventi in Administration Server

Le informazioni sugli eventi che si verificano durante l'esecuzione dell'applicazione e dei dispositivi gestiti vengono salvate nel database di Administration Server. A ogni evento è attribuito un determinato tipo e un livello di criticità (Evento critico, Errore funzionale, Avviso o informazioni). A seconda delle condizioni in cui si è verificato un evento, l'applicazione può assegnare diversi livelli di criticità a eventi dello stesso tipo.

È possibile visualizzare i tipi e i livelli di criticità assegnati agli eventi nella sezione Configurazione eventi della finestra delle proprietà di Administration Server. Nella sezione Configurazione eventi è anche possibile configurare l'elaborazione di ogni evento da parte di Administration Server:

• Registrazione degli eventi in Administration Server e nei registri eventi del sistema operativo in un dispositivo e in Administration Server.
• Metodo utilizzato per notificare un evento all'amministratore (ad esempio, un SMS o un messaggio e-mail).

Nella sezione Archivio eventi della finestra delle proprietà di Administration Server è possibile modificare le impostazioni per l'archiviazione degli eventi nel database di Administration Server, limitando il numero di record degli eventi e il periodo di archiviazione dei record. Quando si specifica il numero massimo di eventi, l'applicazione calcola approssimativamente la quantità di spazio di archiviazione necessario per il numero specificato. È possibile utilizzare questo calcolo approssimativo per valutare se è necessario liberare spazio su disco per evitare l'overflow del database. La capacità predefinita del database di Administration Server è di 400.000 eventi. La capacità massima consigliata del database è di 45 milioni di eventi.

Se il numero di eventi nel database raggiunge il valore massimo specificato dall'amministratore, l'applicazione elimina gli eventi meno recenti e li sovrascrive con quelli nuovi. Quando l'Administration Server elimina gli eventi meno recenti, non può salvare i nuovi eventi nel database. Durante questo periodo di tempo, le informazioni sugli eventi rifiutati vengono scritte nel registro eventi Kaspersky. I nuovi eventi vengono accodati e quindi salvati nel database al termine dell'operazione di eliminazione.

È possibile modificare le impostazioni di qualsiasi attività per salvare gli eventi relativi all'avanzamento dell'attività oppure salvare solo i risultati dell'esecuzione dell'attività. In tal modo si riduce il numero di eventi nel database, si aumenta la velocità di esecuzione degli scenari associati all'analisi della tabella degli eventi nel database e si limita il rischio che gli eventi critici vengano sovrascritti da un ampio numero di eventi.

Visualizzazione del registro delle connessioni all'Administration Server

È possibile salvare in un file di registro la cronologia delle connessioni e dei tentativi di connessione all'Administration Server durante l'esecuzione. Le informazioni nel file consentono di tenere traccia non solo delle connessioni nell'infrastruttura di rete, ma anche dei tentativi non autorizzati di accesso ad Administration Server.

Per registrare gli eventi di connessione all'Administration Server:

1. Nella struttura della console selezionare l'Administration Server per cui si desidera abilitare la registrazione degli eventi di connessione.
2. Dal menu di scelta rapida di Administration Server selezionare Proprietà.
3. Nella finestra delle proprietà visualizzata, nella sezione Impostazioni di connessione di Administration Server, selezionare la sottosezione Porte di connessione.
4. Abilitare l'opzione Registra eventi di connessione ad Administration Server.
5. Fare clic sul pulsante OK per chiudere la finestra delle proprietà dell'Administration Server.

Tutti gli ulteriori eventi di connessione in entrata all'Administration Server, i risultati di autenticazione e gli errori SSL verranno salvati nel file %ProgramData%\KasperskyLab\adminkit\logs\sc.syslog.

Controllo delle epidemie di virus

Kaspersky Security Center consente di rispondere velocemente alle minacce di epidemie di virus. I rischi di epidemie di virus vengono valutati monitorando l'attività dei virus nei dispositivi.

È possibile configurare le regole di valutazione per le minacce di epidemie di virus e le azioni da eseguire qualora se ne verifichi una. A tale scopo, utilizzare la sezione Epidemia di virus della finestra delle proprietà di Administration Server.

È possibile specificare la procedura di notifica per l'evento Epidemia di virus nella sezione Configurazione eventi della finestra delle proprietà di Administration Server, nella finestra delle proprietà dell'evento Epidemia di virus.

L'evento Epidemia di virus viene generato in caso di rilevamento di eventi Rilevato un oggetto dannoso durante l'esecuzione delle applicazioni di protezione. È pertanto necessario salvare le informazioni su tutti gli eventi Rilevato un oggetto dannoso in Administration Server per essere in grado di riconoscere le epidemie di virus.

È possibile specificare le impostazioni per il salvataggio delle informazioni su qualsiasi evento Rilevato un oggetto dannoso nei criteri delle applicazioni di protezione.

Durante il conteggio degli eventi Rilevato un oggetto dannoso, vengono prese in considerazione solo le informazioni provenienti dai dispositivi client dell'Administration Server primario. Le informazioni provenienti dagli Administration Server secondari non vengono considerate. L'evento Epidemia di virus è configurato individualmente per ogni server secondario.

Limitazione del traffico

Espandi tutto | Comprimi tutto

Per ridurre il volume del traffico all'interno di una rete, l'applicazione offre la possibilità di limitare la velocità del trasferimento dati a un Administration Server da subnet IP e intervalli IP specificati.

È possibile creare e configurare regole di limitazione del traffico nella sezione Traffico della finestra delle proprietà dell'Administration Server.

Per creare una regola di limitazione del traffico:

1. Nella struttura della console selezionare il nodo con il nome dell'Administration Server per cui si desidera creare una regola di limitazione del traffico.
2. Dal menu di scelta rapida di Administration Server selezionare Proprietà.
3. Nella finestra delle proprietà di Administration Server selezionare la sezione Traffico.
4. Fare clic sul pulsante Aggiungi.
5. Nella finestra Nuova regola specificare le seguenti impostazioni:

   Nella sezione Intervallo IP per limitare il traffico selezionare il metodo che verrà utilizzato per definire la subnet o l'intervallo per cui la velocità di trasferimento dei dati sarà limitata, quindi immettere i valori delle impostazioni per il metodo selezionato. Selezionare uno dei seguenti metodi:

   • Specifica l'intervallo utilizzando l'indirizzo e la maschera di rete

     Il traffico viene limitato in base alle impostazioni delle subnet. Specificare l'indirizzo della subnet e la subnet mask per la determinazione dell'intervallo in cui limitare il traffico.

     È inoltre possibile fare clic su Sfoglia per aggiungere subnet dall'elenco globale delle subnet.

   • Specifica l'intervallo utilizzando gli indirizzi iniziale e finale

     Il traffico viene limitato in base a un intervallo di indirizzi IP. Specificare l'intervallo di indirizzi IP nei campi di immissione Inizio e Fine.

     Questa opzione è selezionata per impostazione predefinita.

   Nella sezione Limite traffico è possibile definire le seguenti impostazioni per la limitazione della velocità di trasferimento dei dati:

   • Intervallo

     Intervallo di tempo durante il quale le limitazioni del traffico saranno applicate. Nei campi di immissione è possibile specificare i limiti dell'intervallo di tempo.

   • Limite (KB/s)

     Velocità massima totale di trasferimento dei dati in entrata e in uscita dell'Administration Server. Le limitazioni del traffico saranno effettive solo nell'intervallo specificato nel campo Intervallo.

   • Limite traffico per il tempo rimanente (KB/s)

     Il traffico sarà limitato non solo durante l'intervallo specificato nel campo Intervallo, ma anche in altri orari.

     Per impostazione predefinita, questa casella di controllo è deselezionata. Il valore di questo campo potrebbe non corrispondere al valore del campo Limite (KB/s).

Le regole di limitazione del traffico influiscono principalmente sul trasferimento dei file. Queste regole non si applicano al traffico generato dalla sincronizzazione tra Administration Server e Network Agent o tra gli Administration Server primari e secondari.

Configurazione di Server Web

Il server Web è progettato per la pubblicazione di pacchetti di installazione indipendenti, profili MDM iOS e file in una cartella condivisa.

È possibile definire le impostazioni per la connessione del server Web ad Administration Server e impostare un certificato del server Web nella sezione Server Web della finestra delle proprietà di Administration Server.

Riemissione del certificato del server Web

Il certificato Server Web utilizzato in Kaspersky Security Center è necessario per pubblicare i pacchetti di installazione di Network Agent scaricati successivamente nei dispositivi gestiti, nonché per pubblicare profili MDM iOS, app iOS e pacchetti di installazione di Kaspersky Endpoint Security for Mobile. A seconda della configurazione dell'applicazione corrente, vari certificati possono funzionare come certificato del Server Web (per ulteriori dettagli, vedere Informazioni sui certificati di Kaspersky Security Center).

Potrebbe essere necessario riemettere il certificato del Server Web per soddisfare i requisiti di sicurezza specifici della propria organizzazione o per mantenere la connessione continua dei dispositivi gestiti prima di avviare l'upgrade dell'applicazione. Kaspersky Security Center offre due modi per riemettere il certificato del Server Web; la scelta tra i due metodi dipende dal fatto che si disponga di dispositivi mobili connessi e gestiti tramite protocollo mobile (ovvero utilizzando il certificato mobile).

Se non è stato mai specificato il certificato personalizzato come certificato del Server Web nella sezione Server Web della finestra delle proprietà di Administration Server, il certificato mobile funge da certificato del Server Web. In questo caso, la riemissione del certificato del Server Web viene eseguita attraverso la riemissione del protocollo mobile stesso.

Per riemettere il certificato del Server Web quando non si dispone di dispositivi mobili gestiti tramite il protocollo mobile:

1. Nella struttura della console fare clic con il pulsante destro del mouse sul nome dell'Administration Server pertinente e nel menu di scelta rapida selezionare Proprietà.
2. Nella finestra delle proprietà di Administration Server visualizzata, nel riquadro a sinistra selezionare la sezione Impostazioni di connessione di Administration Server.
3. Nell'elenco delle sottosezioni selezionare la sottosezione Certificati.
4. Se si prevede di continuare a utilizzare il certificato emesso da Kaspersky Security Center, procedere come segue:
   1. Nel riquadro di destra, nel gruppo di impostazioni Autenticazione Administration Server da parte dei dispositivi mobili, selezionare l'opzione Certificato emesso tramite Administration Server e fare clic sul pulsante Riemetti.
   2. Nella finestra Riemetti certificato visualizzata, nel gruppo di impostazioni Indirizzo di connessione e Termine di attivazione, selezionare le opzioni pertinenti e fare clic su OK.
   3. Nella finestra di conferma fare clic su Sì.

   In alternativa, se si prevede di utilizzare il proprio certificato personalizzato, procedere come segue:

   1. Verificare se il certificato personalizzato soddisfa i requisiti di Kaspersky Security Center e i requisiti per i certificati attendibili di Apple. Se necessario, modificare il certificato.
   2. Selezionare l'opzione Altro certificato e fare clic sul pulsante Sfoglia.
   3. Nella finestra Certificato visualizzata, nel campo Tipo di certificato, selezionare il tipo di certificato, quindi specificare le impostazioni e la posizione del certificato:
      • Se è stato selezionato Contenitore PKCS #12, fare clic sul pulsante Sfoglia accanto al campo File di certificato e specificare il file del certificato nel disco rigido. Se il file del certificato è protetto da password, immettere la password nel campo Password (se presente).
      • Se è stato selezionato Certificato X.509, fare clic sul pulsante Sfoglia accanto al campo Chiave privata (.prk, .pem) e specificare la chiave privata nel disco rigido. Se la chiave privata è protetta da password, immettere la password nel campo Password (se presente). Quindi fare clic sul pulsante Sfoglia accanto al campo Chiave pubblica (.cer) e specificare la chiave privata nel disco rigido.
   4. Nella finestra Certificato fare clic su OK.
   5. Nella finestra di conferma fare clic su Sì.

   Il certificato mobile viene riemesso per essere utilizzato come certificato del Server Web.

Per riemettere il certificato del Server Web quando si dispone di dispositivi mobili gestiti tramite il protocollo mobile:

1. Generare il certificato personalizzato e preparalo per l'utilizzo in Kaspersky Security Center. Verificare se il certificato personalizzato soddisfa i requisiti di Kaspersky Security Center e i requisiti per i certificati attendibili di Apple. Se necessario, modificare il certificato.

   È possibile utilizzare l'utilità kliossrvcertgen.exe per la generazione del certificato.

2. Nella struttura della console fare clic con il pulsante destro del mouse sul nome dell'Administration Server pertinente e nel menu di scelta rapida selezionare Proprietà.
3. Nella finestra delle proprietà di Administration Server visualizzata, nel riquadro a sinistra selezionare la sezione Server Web.
4. Nel menu Tramite HTTPS selezionare l'opzione Specifica un altro certificato.
5. Nel menu Tramite HTTPS fare clic sul pulsante Cambia.
6. Nella finestra Certificato visualizzata, nel campo Tipo di certificato selezionare il tipo di certificato:
   • Se è stato selezionato Contenitore PKCS #12, fare clic sul pulsante Sfoglia accanto al campo File di certificato e specificare il file del certificato nel disco rigido. Se il file del certificato è protetto da password, immettere la password nel campo Password (se presente).
   • Se è stato selezionato Certificato X.509, fare clic sul pulsante Sfoglia accanto al campo Chiave privata (.prk, .pem) e specificare la chiave privata nel disco rigido. Se la chiave privata è protetta da password, immettere la password nel campo Password (se presente). Quindi fare clic sul pulsante Sfoglia accanto al campo Chiave pubblica (.cer) e specificare la chiave privata nel disco rigido.
7. Nella finestra Certificato fare clic su OK.
8. Se necessario, nella finestra delle proprietà di Administration Server, nel campo Porta HTTPS Server Web modificare il numero della porta HTTPS per il Server Web. Fare clic su OK.

   Il certificato del Server Web viene riemesso.

Utilizzo di utenti interni

Gli account degli utenti interni vengono utilizzati per operare con gli Administration Server virtuali. Kaspersky Security Center concede agli utenti interni dell'applicazione diritti equivalenti a quelli degli utenti reali.

Gli account degli utenti interni vengono creati e utilizzati solo in Kaspersky Security Center. Nessun dato relativo agli utenti interni viene trasferito al sistema operativo. Kaspersky Security Center esegue l'autenticazione degli utenti interni.

È possibile configurare gli account degli utenti interni nella cartella Account utente della struttura della console.

Backup e ripristino delle impostazioni di Administration Server

Il backup delle impostazioni di Administration Server e del relativo database viene eseguito tramite l'attività di backup e l'utilità klbackup. Una copia di backup include tutte le impostazioni e gli oggetti principali relativi ad Administration Server, ad esempio certificati, chiavi primarie per il criptaggio delle unità nei dispositivi gestiti, chiavi per le varie licenze, struttura dei gruppi di amministrazione con tutti i relativi contenuti, attività, criteri e così via. Con una copia di backup è possibile ripristinare l'operatività di un Administration Server il prima possibile, in un tempo che può andare da una decina di minuti a un paio d'ore.

Se non è disponibile una copia di backup, un errore può comportare la perdita dei certificati e di tutte le impostazioni di Administration Server. In tal caso, sarà necessario riconfigurare completamente Kaspersky Security Center ed eseguire di nuovo la distribuzione iniziale di Network Agent nella rete dell'organizzazione. Andranno inoltre perse tutte le chiavi primarie per il criptaggio delle unità nei dispositivi gestiti, con il rischio di una perdita irrevocabile dei dati criptati nei dispositivi con Kaspersky Endpoint Security. Pertanto, non dimenticare di eseguire periodicamente backup di Administration Server utilizzando l'attività di backup standard.

Durante l'Avvio rapido guidato viene creata l'attività di backup per le impostazioni di Administration Server, impostata per essere eseguita quotidianamente alle 04:00. Per impostazione predefinita, le copie di backup sono salvate nella cartella %ALLUSERSPROFILE%\Application Data\KasperskySC.

Se si utilizza come DBMS un'istanza di Microsoft SQL Server installata in un altro dispositivo, è necessario modificare l'attività di backup specificando un percorso UNC, accessibile in scrittura sia dal servizio Administration Server che dal servizio SQL Server, come cartella per l'archiviazione delle copie di backup. Questo requisito, che non è banale, deriva da una speciale funzionalità di backup nel DBMS Microsoft SQL Server.

Se si utilizza come DBMS un'istanza locale di Microsoft SQL Server, è anche consigliabile salvare copie di backup su un supporto dedicato per proteggerle dal danneggiamento insieme con Administration Server.

Poiché una copia di backup contiene dati importanti, l'attività di backup e l'utilità klbackup forniscono funzionalità di protezione tramite password delle copie di backup. Per impostazione predefinita, l'attività di backup viene creata con una password vuota. È necessario impostare una password nelle proprietà dell'attività di backup. Il mancato rispetto di questo requisito causa una situazione in cui tutte le chiavi dei certificati di Administration Server, le chiavi per le licenze e le chiavi primarie per il criptaggio delle unità nei dispositivi gestiti restano non criptate.

In aggiunta al backup periodico, è anche necessario creare una copia di backup prima di ogni modifica significativa, inclusa l'installazione di upgrade e patch di Administration Server.

Se si utilizza Microsoft SQL Server come DBMS, è possibile ridurre al minimo le dimensioni delle copie di backup. A tale scopo, abilitare l'opzione Comprimi backup nelle impostazioni di SQL Server.

Il ripristino da una copia di backup viene eseguito con l'utilità klbackup in un'istanza funzionante di Administration Server che è stata appena installata e con la stessa versione (o una versione successiva) di quella per cui è stata creata la copia di backup.

L'istanza di Administration Server in cui deve essere eseguito il ripristino deve utilizzare un DBMS dello stesso tipo (ad esempio, SQL Server o MariaDB) e della stessa versione o successiva. La versione di Administration Server può essere la stessa (con una patch identica o successiva) o una versione successiva.

In questa sezione sono descritti gli scenari standard per il ripristino delle impostazioni e degli oggetti di Administration Server.

Utilizzo di uno snapshot del file system per ridurre la durata del backup

In Kaspersky Security Center 13.1, il tempo di inattività dell'Administration Server durante il backup è stato ridotto rispetto alle versioni precedenti. Inoltre, è stata aggiunta la funzionalità Usa snapshot del file system per il backup dei dati alle impostazioni delle attività. Questa funzionalità consente una riduzione aggiuntiva del tempo di inattività grazie all'utilità klbackup, che crea una copia shadow del disco durante il backup (in pochi secondi) e contemporaneamente esegue la copia del database (questa operazione richiede al massimo alcuni minuti). Quando klbackup crea una copia shadow del disco e una copia del database, l'utilità rende l'Administration Server nuovamente disponibile per la connessione.

È possibile utilizzare la funzionalità per la creazione di snapshot del file system solo se sono soddisfatte queste due condizioni:

• La cartella condivisa di Administration Server e la cartella %ALLUSERSPROFILE%\KasperskyLab si trovano nello stesso disco logico e sono cartelle locali in riferimento all'Administration Server.
• La cartella %ALLUSERSPROFILE%\KasperskyLab non contiene collegamenti simbolici che sono stati creati manualmente.

Se una di queste condizioni non può essere soddisfatta, non utilizzare la funzionalità. In questo caso, l'applicazione restituisce un messaggio di errore in risposta a qualsiasi tentativo di creare uno snapshot del file system.

Per utilizzare la funzionalità, è necessario disporre di un account a cui è stata concessa l'autorizzazione per la creazione di snapshot del disco logico che contiene la cartella %ALLUSERSPROFILE%. Tenere presente che l'account del servizio Administration Server non dispone di questo tipo di autorizzazione.

Per utilizzare la funzionalità per la creazione di snapshot del file system per ridurre la durata del backup:

1. Nella sezione Attività selezionare l'attività di backup.
2. Nel menu di scelta rapida selezionare Proprietà.
3. Nella finestra delle proprietà dell'attività visualizzata selezionare la sezione Impostazioni.
4. Selezionare la casella di controllo Usa snapshot del file system per il backup dei dati.
5. Nei campi Nome utente e Password immettere il nome e la password di un account che dispone dell'autorizzazione per la creazione di snapshot del disco logico che contiene la cartella %ALLUSERSPROFILE%.
6. Fare clic su Applica.

A ogni successivo avvio dell'attività di backup, l'utilità klbackup creerà snapshot del file system, riducendo il tempo di inattività dell'Administration Server durante l'esecuzione dell'attività.

Un dispositivo con Administration Server è inutilizzabile

Se un dispositivo con Administration Server risulta inutilizzabile a causa di un errore, è consigliabile eseguire le seguenti operazioni:

• Al nuovo Administration Server deve essere assegnato lo stesso indirizzo: nome NetBIOS, FQDN o IP statico (a seconda dell'elemento impostato al momento della distribuzione dei Network Agent).
• Installare Administration Server utilizzando un DBMS dello stesso tipo e della stessa versione (o di una versione successiva). È possibile installare la stessa versione del server (con una patch identica o successiva) o una versione successiva. Dopo installazione, non eseguire la configurazione iniziale tramite la procedura guidata.
• Nel menu Start, eseguire l'utilità klbackup e quindi eseguire il ripristino.

Le impostazioni di Administration Server o il database sono danneggiati

Se Administration Server risulta inutilizzabile perché le impostazioni o il database sono danneggiati (ad esempio, in seguito a una sovralimentazione), è consigliabile utilizzare il seguente scenario di ripristino:

1. Eseguire la scansione del file system nel dispositivo danneggiato.
2. Disinstallare la versione inutilizzabile di Administration Server.
3. Reinstallare Administration Server utilizzando un DBMS dello stesso tipo e della stessa versione (o di una versione successiva). È possibile installare la stessa versione del server (con una patch identica o successiva) o una versione successiva. Dopo installazione, non eseguire la configurazione iniziale tramite la procedura guidata.
4. Dal menu Start eseguire l'utilità klbackup e quindi eseguire il ripristino.

Non è consentito ripristinare Administration Server in un modo diverso dall'utilizzo dell'utilità klbackup.

Qualsiasi tentativo di ripristinare Administration Server tramite software di terze parti causerà inevitabilmente la mancata sincronizzazione dei dati nei nodi dell'applicazione Kaspersky Security Center distribuita e, di conseguenza, impedirà il corretto funzionamento dell'applicazione.

Backup e ripristino dei dati di Administration Server

Il backup dei dati consente di spostare un Administration Server da un dispositivo all'altro senza perdite di dati. Utilizzando i backup è possibile ripristinare i dati durante lo spostamento del database di un Administration Server in un altro dispositivo o nel corso dell'aggiornamento a una versione più recente di Kaspersky Security Center.

Non viene eseguito il backup dei plug-in di gestione installati. Dopo aver ripristinato i dati di Administration Server da una copia di backup, è necessario scaricare e reinstallare i plug-in per le applicazioni gestite.

È possibile creare una copia di backup dei dati di Administration Server in uno dei seguenti modi:

• Creando ed eseguendo un'attività di backup dei dati tramite Administration Console.
• Eseguendo l'utilità klbackup nel dispositivo in cui è installato Administration Server. Questa utilità è inclusa nel kit di distribuzione di Kaspersky Security Center. Dopo l'installazione di Administration Server, l'utilità è disponibile nella radice della cartella di destinazione specificata durante l'installazione dell'applicazione.

I seguenti dati vengono salvati nella copia di backup di Administration Server:

• Database di Administration Server (criteri, attività, impostazioni delle applicazioni, eventi salvati in Administration Server).
• Dettagli sulla configurazione della struttura dei gruppi di amministrazione e dei dispositivi client.
• Archivio dei pacchetti di distribuzione delle applicazioni per l'installazione remota.
• Certificato di Administration Server.

Il ripristino dei dati di Administration Server è possibile solo tramite l'utilità klbackup.

Creazione di un'attività di backup dei dati

Le attività di backup sono attività di Administration Server, create tramite l'Avvio rapido guidato. Se un'attività di backup creata dall'Avvio rapido guidato è stata eliminata, è possibile crearne una manualmente.

Per creare un'attività di backup dei dati di Administration Server:

1. Nella struttura della console selezionare la cartella Attività.
2. Avviare la creazione dell'attività in uno dei seguenti modi:
   • Selezionando Nuovo → Attività nel menu di scelta rapida della cartella Attività nella struttura della console.
   • Facendo clic sul pulsante Crea attività nell'area di lavoro.

Verrà avviata l'Aggiunta guidata attività. Seguire le istruzioni della procedura guidata. Nella finestra Selezionare il tipo di attività della procedura guidata selezionare il tipo di attività Backup dei dati di Administration Server.

L'attività Backup dei dati di Administration Server può essere creata solo in una singola copia. Se l'attività di backup dei dati di Administration Server è stata già creata per l'Administration Server, non viene visualizzata nella finestra di selezione del tipo di attività della Creazione guidata attività di backup.

Utilità per il backup e il ripristino dei dati (klbackup)

È possibile copiare i dati di Administration Server a scopo di backup e per il ripristino in un secondo momento tramite l'utilità klbackup, inclusa nel kit di distribuzione di Kaspersky Security Center.

L'utilità klbackup può essere eseguita in due modalità:

• Interattiva
• Non interattiva

Backup e ripristino dei dati in modalità interattiva

Espandi tutto | Comprimi tutto

Per creare una copia di backup dei dati di Administration Server in modalità interattiva:

1. Eseguire l'utilità klbackup disponibile nella cartella di installazione di Kaspersky Security Center.

   Verrà avviata la Procedura guidata di backup e ripristino.

2. Nella prima finestra della procedura guidata selezionare Esegui il backup dei dati di Administration Server.

   Se si seleziona l'opzione Esegui il ripristino o il backup solo del certificato di Administration Server, verrà salvata solo una copia di backup del certificato di Administration Server.

   Fare clic su Avanti.

3. Nella finestra successiva della procedura guidata specificare una password e una cartella di destinazione per il backup, quindi fare clic sul pulsante Avanti per avviare il backup.
4. Se si utilizza un database in un ambiente cloud come Amazon Web Services (AWS) o Microsoft Azure, nella finestra Accedere all'archivio online compilare i seguenti campi:
   • Per AWS:
     • Nome del bucket S3

       Nome del bucket S3 che è stato creato per il backup.

     • ID chiave di accesso

       L'ID chiave (sequenza di caratteri alfanumerici) è stato ricevuto al momento della creazione dell'account utente IAM per l'utilizzo dell'istanza di archiviazione del bucket S3.

       Il campo è disponibile se è stato selezionato il database RDS in un bucket S3.

     • Chiave segreta

       Chiave segreta ricevuta con l'ID chiave di accesso al momento della creazione dell'account utente IAM.

       I caratteri della chiave segreta sono visualizzati come asterischi. Quando si inizia a immettere la chiave segreta, viene visualizzato il pulsante Mostra. Tenere premuto questo pulsante per visualizzare i caratteri immessi.

       Il campo è disponibile se per l'autorizzazione è stata selezionata una chiave di accesso AWS IAM anziché un ruolo IAM.

   • Per Microsoft Azure:
     • Nome dell'account di archiviazione di Azure

       È stato creato il nome dell'account di archiviazione di Azure per l'utilizzo di Kaspersky Security Center.

     • ID sottoscrizione Azure

       La sottoscrizione è stata creata dall'utente nel portale di Azure.

     • Password Azure

       La password dell'ID applicazione è stata ricevuta al momento della creazione dell'ID applicazione.

       I caratteri della password sono visualizzati come asterischi. Quando si inizia a immettere la password, diventerà disponibile il pulsante Mostra. Tenere questo pulsante per visualizzare i caratteri immessi.

     • ID applicazione Azure

       L'ID applicazione è stato creato dall'utente nel portale di Azure.

       È possibile specificare un solo ID applicazione Azure per il polling e altri scopi. Se si desidera eseguire il polling di un altro segmento di Azure, è prima necessario eliminare la connessione Azure esistente.

     • Nome del server SQL Azure

       Il nome e il gruppo di risorse sono disponibili nelle proprietà del server SQL Azure.

     • Gruppo di risorse del server SQL Azure

       Il nome e il gruppo di risorse sono disponibili nelle proprietà del server SQL Azure.

     • Chiave di accesso all'archivio Azure

       Disponibile nelle proprietà dell'account di archiviazione, nella sezione Chiavi di accesso. È possibile utilizzare qualsiasi chiave (chiave1 o chiave2).

Per ripristinare i dati di Administration Server in modalità interattiva:

1. Eseguire l'utilità klbackup disponibile nella cartella di installazione di Kaspersky Security Center. Avviare klbackup con lo stesso account utilizzato per l'installazione di Administration Server.

   Verrà avviata la Procedura guidata di backup e ripristino.

2. Nella prima finestra della procedura guidata selezionare Ripristina dati di Administration Server.

   Se si seleziona l'opzione Esegui il ripristino o il backup solo del certificato di Administration Server, il certificato di Administration Server verrà solo ripristinato.

   Fare clic su Avanti.

3. Nella finestra Ripristinare le impostazioni della procedura guidata:
   • Specificare la cartella che contiene una copia di backup dei dati di Administration Server.

     Se si utilizza un ambiente cloud come AWS o Azure, specificare l'indirizzo dell'archiviazione. Assicurarsi inoltre che il file si chiami backup.zip.

   • Specificare la password che è stata immessa durante il backup dei dati.

     Al momento del ripristino dei dati, è necessario specificare la stessa password che è stata immessa durante il backup. Se il percorso di una cartella condivisa è stato modificato dopo il backup, controllare l'esecuzione delle attività che utilizzano i dati ripristinati (attività di ripristino e attività di installazione remota). Se necessario, modificare le impostazioni di queste attività. Durante il ripristino dei dati da un file di backup, nessun utente deve accedere alla cartella condivisa di Administration Server. L'account con cui viene avviata l'utilità klbackup deve avere accesso completo alla cartella condivisa.

4. Fare clic sul pulsante Avanti per ripristinare i dati.

Backup e ripristino dei dati in modalità non interattiva

Per creare una copia di backup o eseguire il ripristino dei dati di Administration Server in modalità non interattiva:

Eseguire klbackup con il set di chiavi desiderato dalla riga di comando del dispositivo in cui è installato Administration Server.

Sintassi della riga di comando per l'utilità:

klbackup -path BACKUP_PATH [-logfile LOGFILE] [-use_ts]|[-restore] [-password PASSWORD] [-online]

Se non viene specificata alcuna password nella riga di comando dell'utilità klbackup, verrà richiesto di immetterla nella modalità interattiva.

Descrizioni delle chiavi:

• -path BACKUP_PATH– Salvare le informazioni nella cartella BACKUP_PATH o utilizzare i dati nella cartella BACKUP_PATH per il ripristino (parametro obbligatorio).
• -logfile LOGFILE– Salvare un rapporto sul backup e il ripristino dei dati di Administration Server.

  È necessario concedere all'account del server database e all'utilità klbackup le autorizzazioni per la modifica dei dati nella cartella PERCORSO_BACKUP.

• -use_ts– Durante il salvataggio dei dati, copiare le informazioni nella cartella BACKUP_PATH in una sottocartella con un nome che contiene la data di sistema corrente e l'ora dell'operazione nel formato klbackup YYYY-MM-DD # HH-MM-SS. Se la chiave non è specificata, le informazioni vengono salvate nella radice della cartella BACKUP_PATH.

  Quando si tenta di salvare le informazioni in una cartella in cui è già presente una copia di backup, viene visualizzato un messaggio di errore. Le informazioni non vengono aggiornate.

  La disponibilità della chiave -use_ts consente la gestione di un archivio dei dati di Administration Server. Ad esempio, se la chiave -path indica la cartella C:\KLBackups, nella cartella klbackup 2022/6/19 # 11-30-18 vengono archiviate le informazioni sullo stato dell'Administration Server in data 19 giugno 2022 alle 11:30:18.

• -restore – Ripristinare i dati di Administration Server. Il ripristino dei dati viene eseguito in base alle informazioni contenute nella cartella BACKUP_PATH. Se non è disponibile nessuna chiave, viene eseguito il backup dei dati nella cartella BACKUP_PATH.
• -password PASSWORD – Salvare o recuperare il certificato dell'Administration Server; per criptare e decriptare il certificato, utilizzare la password specificata dal parametro PASSWORD.

  Non è possibile recuperare una password dimenticata. Non sono disponibili requisiti per la password. La lunghezza della password è illimitata ed è possibile anche la lunghezza zero (nessuna password).

  Al momento del ripristino dei dati, è necessario specificare la stessa password che è stata immessa durante il backup. Se il percorso di una cartella condivisa è stato modificato dopo il backup, controllare l'esecuzione delle attività che utilizzano i dati ripristinati (attività di ripristino e attività di installazione remota). Se necessario, modificare le impostazioni di queste attività. Durante il ripristino dei dati da un file di backup, nessun utente deve accedere alla cartella condivisa di Administration Server. L'account con cui viene avviata l'utilità klbackup deve avere accesso completo alla cartella condivisa. Si consiglia di eseguire l'utilità su un Administration Server appena installato.

• -online – Eseguire il backup dei dati dell'Administration Server creando uno snapshot del volume per ridurre al minimo il tempo offline dell'Administration Server. Quando si utilizza l'utilità per recuperare i dati, questa opzione viene ignorata.

Spostamento di Administration Server e di un server di database in un altro dispositivo

Espandi tutto | Comprimi tutto

Se è necessario utilizzare Administration Server in un nuovo dispositivo, è possibile spostarlo in uno dei seguenti modi:

• Spostare Administration Server e il server di database in un nuovo dispositivo
• Mantenere il server di database nel dispositivo precedente e spostare solo Administration Server in un nuovo dispositivo

Per spostare Administration Server e il server di database in un nuovo dispositivo:

1. Nel dispositivo precedente creare un backup dei dati di Administration Server.

   A tale scopo, è possibile eseguire l'attività di backup dei dati tramite Administration Console o eseguire l'utilità klbackup.

   Se si utilizza SQL Server come DBMS per Administration Server nel dispositivo precedente, Kaspersky Security Center crea un backup dei dati compatibile solo con SQL Server. Ciò significa che non è possibile ripristinare i dati dal backup in MySQL o MariaDB in un nuovo dispositivo.

2. Selezionare un nuovo dispositivo in cui installare Administration Server. Assicurarsi che l'hardware e il software nel dispositivo selezionato soddisfino i requisiti per Administration Server, Administration Console e Network Agent. Controllare inoltre che le porte utilizzate in Administration Server siano disponibili.
3. Nel nuovo dispositivo installare il sistema di gestione database (DBMS) che verrà utilizzato da Administration Server.

   Quando si seleziona un DBMS, tenere in considerazione il numero di dispositivi coperti da Administration Server.

4. Eseguire l'installazione personalizzata dell'Administration Server nel nuovo dispositivo.
5. Installare i componenti di Administration Server nella stessa cartella in cui è installato l'Administration Server nel dispositivo precedente. Fare clic sul pulsante Sfoglia per specificare il percorso del file.

   

   La finestra Installazione personalizzata

6. Configurare le impostazioni di connessione al server del database.

   

   Esempio della finestra Impostazioni di connessione per Microsoft SQL Server

   A seconda di dove è necessario individuare il server del database, eseguire una delle seguenti operazioni:

   • Spostare il server del database nel nuovo dispositivo
     1. Fare clic sul pulsante Sfoglia accanto al campo Nome istanza SQL Server, quindi selezionare il nuovo nome del dispositivo nell'elenco visualizzato.
     2. Immettere il nuovo nome del database nel campo Nome database.

        Si noti che il nuovo nome del database deve corrispondere al nome del database del dispositivo precedente. I nomi dei database devono essere identici, in modo da poter utilizzare il backup di Administration Server. Il nome predefinito del database è KAV.

   • Mantenimento del server del database nel dispositivo precedente
     1. Fare clic sul pulsante Sfoglia accanto al campo Nome istanza SQL Server, quindi selezionare il nome del dispositivo precedente nell'elenco visualizzato.

        Si noti che il dispositivo precedente deve essere disponibile per la connessione con il nuovo Administration Server.

     2. Immettere il nome del database precedente nel campo Nome database.
7. Al termine dell'installazione ripristinare i dati di Administration Server nel nuovo dispositivo utilizzando l'utilità klbackup.

   Se si utilizza SQL Server come DBMS nei dispositivi precedenti e nuovi, tenere presente che la versione di SQL Server installata nel nuovo dispositivo deve essere uguale o successiva alla versione di SQL Server installata nel dispositivo precedente. In caso contrario non è possibile recuperare i dati di Administration Server nel nuovo dispositivo.

8. Aprire Administration Console e connettersi all'Administration Server.
9. Verificare che tutti i dispositivi client siano collegati ad Administration Server.
10. Disinstallare Administration Server e il server del database dal dispositivo precedente.

È inoltre possibile utilizzare Kaspersky Security Center 13.1 Web Console per spostare Administration Server e il server di un database in un altro dispositivo.

Prevenzione dei conflitti tra più Administration Server

Se sono presenti più Administration Server nella rete, tali server possono visualizzare gli stessi dispositivi client. Questo può comportare, ad esempio, l'installazione remota della stessa applicazione in un dispositivo da parte di più server e altri conflitti. Per evitare situazioni di questo tipo, Kaspersky Security Center 13.1 consente di impedire l'installazione di un'applicazione in un dispositivo gestito da parte di un altro Administration Server.

È anche possibile utilizzare la proprietà Gestito da un altro Administration Server come criterio per i seguenti scopi:

• Ricerca di dispositivi
• Selezioni dispositivi
• Regole di spostamento dei dispositivi
• Regole di tagging automatico

Kaspersky Security Center 13.1 utilizza l'euristica per determinare se un dispositivo client è gestito dall'Administration Server con cui si sta lavorando o da un Administration Server diverso.

Verifica in due passaggi

Questa sezione descrive come utilizzare la verifica in due passaggi per ridurre il rischio di accesso non autorizzato ad Administration Console o Kaspersky Security Center 13.1 Web Console.

Scenario: configurazione della verifica in due passaggi per tutti gli utenti

Questo scenario descrive come abilitare la verifica in due passaggi per tutti gli utenti e come escludere gli account utente dalla verifica in due passaggi. Se non è stata abilitata la verifica in due passaggi per il proprio account prima di abilitarla per tutti gli altri utenti, l'applicazione apre innanzitutto la finestra per abilitare la verifica in due passaggi per il proprio account. Questo scenario descrive anche come abilitare la verifica in due passaggi per il proprio account.

Se è stata abilitata la verifica in due passaggi per il proprio account, è possibile procedere al passaggio di abilitazione della verifica in due passaggi per tutti gli utenti.

Prerequisiti

Prima di iniziare:

• Assicurarsi che il proprio account utente disponga del diritto Modifica elenchi di controllo degli accessi agli oggetti dell'area funzionale Caratteristiche generali: Autorizzazioni utente per la modifica delle impostazioni di protezione per gli account di altri utenti.
• Assicurarsi che gli altri utenti di Administration Server installino un'applicazione di autenticazione nei propri dispositivi.

Passaggi

L'abilitazione della verifica in due passaggi per tutti gli utenti procede per fasi:

1. Installazione di un'applicazione di autenticazione in un dispositivo

   È possibile installare Google Authenticator, Microsoft Authenticator o qualsiasi altra applicazione di autenticazione che supporti l'algoritmo Time-based One-time Password.

2. Sincronizzazione dell'ora dell'applicazione di autenticazione con l'ora del dispositivo in cui è installato Administration Server

   Assicurarsi che l'ora impostata nell'applicazione di autenticazione sia sincronizzata con l'ora di Administration Server.

3. Abilitazione della verifica in due passaggi per il proprio account e ricezione della chiave segreta per il proprio account

   Istruzioni dettagliate:

   • Per Administration Console basata su MMC: Abilitazione della verifica in due passaggi per il proprio account
   • Per Kaspersky Security Center 13.1 Web Console: Abilitazione della verifica in due passaggi per il proprio account

   Dopo aver abilitato la verifica in due passaggi per il proprio account, è possibile abilitare la verifica in due passaggi per tutti gli utenti.

4. Abilitazione della verifica in due passaggi per tutti gli utenti

   Gli utenti con la verifica in due passaggi abilitata devono utilizzarla per accedere ad Administration Server.

   Istruzioni dettagliate:

   • Per Administration Console basata su MMC: Abilitazione della verifica in due passaggi per tutti gli utenti
   • Per Kaspersky Security Center 13.1 Web Console: Abilitazione della verifica in due passaggi per tutti gli utenti
5. Modifica del nome dell'emittente del codice di sicurezza

   Se si dispone di più Administration Server con nomi simili, potrebbe essere necessario modificare i nomi dell'emittente del codice di sicurezza per un migliore riconoscimento dei diversi Administration Server.

   Istruzioni dettagliate:

   • Per Administration Console basata su MMC: Modifica del nome dell'emittente del codice di sicurezza
   • Per Kaspersky Security Center 13.1 Web Console: Modifica del nome dell'emittente del codice di sicurezza
6. Esclusione degli account utente per cui non è necessario abilitare la verifica in due passaggi

   Se necessario, è possibile escludere gli utenti dalla verifica in due passaggi. Gli utenti con account esclusi non devono utilizzare la verifica in due passaggi per accedere ad Administration Server.

   Istruzioni dettagliate:

   • Per Administration Console basata su MMC: Esclusione degli account dalla verifica in due passaggi
   • Per Kaspersky Security Center 13.1 Web Console: Esclusione degli account dalla verifica in due passaggi

Risultati

Al termine di questo scenario:

• La verifica in due passaggi è stata abilitata per l'account.
• La verifica in due passaggi è abilitata per tutti gli account utente di Administration Server, ad eccezione degli account utente che sono stati esclusi.

Informazioni sulla verifica in due passaggi

Kaspersky Security Center fornisce la verifica in due passaggi per gli utenti di Administration Console o Kaspersky Security Center 13.1 Web Console. Quando la verifica in due passaggi è abilitata per il proprio account, ogni volta che si accede ad Administration Console o Kaspersky Security Center 13.1 Web Console è necessario immettere il nome utente, la password e un codice di sicurezza monouso aggiuntivo. Se si utilizza l'autenticazione del dominio per il proprio account, è sufficiente immettere un codice di sicurezza monouso aggiuntivo. Per ricevere un codice di sicurezza monouso è necessario disporre di un'applicazione di autenticazione nel computer o nel dispositivo mobile.

Un codice di sicurezza ha un identificatore denominato nome dell'emittente. Il nome dell'emittente del codice di sicurezza viene utilizzato come identificatore di Administration Server nell'applicazione di autenticazione. È possibile modificare il nome dell'emittente del codice di sicurezza. Il nome dell'emittente del codice di sicurezza ha un valore predefinito uguale al nome di Administration Server. Il nome dell'emittente viene utilizzato come identificatore di Administration Server nell'applicazione di autenticazione. Se si modifica il nome dell'emittente del codice di sicurezza, è necessario emettere una nuova chiave segreta e passarla all'applicazione di autenticazione. Un codice di sicurezza è monouso ed è valido per un massimo di 90 secondi (il tempo esatto può variare).

Qualsiasi utente per cui è abilitata la verifica in due passaggi può riemettere la propria chiave segreta. Quando un utente esegue l'autenticazione con la chiave segreta riemessa e la utilizza per l'accesso, Administration Server salva la nuova chiave segreta per l'account utente. Se l'utente immette la nuova chiave segreta in modo errato, Administration Server non salva la nuova chiave segreta e mantiene la chiave segreta corrente valida per l'ulteriore autorizzazione.

Qualsiasi software di autenticazione che supporti l'algoritmo TOTP (Time-based One-time Password) può essere utilizzato come applicazione di autenticazione, ad esempio Google Authenticator. Per generare il codice di sicurezza, è necessario sincronizzare l'ora impostata nell'applicazione di autenticazione con l'ora impostata per Administration Server.

Un'applicazione di autenticazione genera il codice di sicurezza nel modo seguente:

1. Administration Server genera una chiave segreta speciale e un codice QR.
2. L'utente specifica la chiave segreta generata o il codice QR generato nell'applicazione di autenticazione.
3. L'applicazione di autenticazione genera un codice di sicurezza monouso che verrà specificato nella finestra di autenticazione di Administration Server.

È consigliabile installare un'applicazione di autenticazione in più di un dispositivo. Salvare la chiave segreta (o il codice QR) e conservarli in un luogo sicuro. Questo codice consentirà di ripristinare l'accesso ad Administration Console o Kaspersky Security Center 13.1 Web Console nel caso in cui si perda l'accesso al dispositivo mobile.

Per proteggere l'utilizzo di Kaspersky Security Center, è possibile abilitare la verifica in due passaggi per il proprio account e abilitare la verifica in due passaggi per tutti gli utenti.

È possibile escludere gli account dalla verifica in due passaggi. Questa operazione può essere necessaria per gli account di servizio che non possono ricevere un codice di sicurezza per l'autenticazione.

La verifica in due passaggi funziona in base alle seguenti regole:

• Solo un account utente che dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente può abilitare la verifica in due passaggi per tutti gli utenti.
• Solo un utente che ha abilitato la verifica in due passaggi per il proprio account può abilitare l'opzione di verifica in due passaggi per tutti gli utenti.
• Solo un utente che ha abilitato la verifica in due passaggi per il proprio account può escludere altri account utente dall'elenco della verifica in due passaggi abilitata per tutti gli utenti.
• Un utente può abilitare la verifica in due passaggi solo per il proprio account.
• Un account utente che dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente e che ha eseguito l'accesso ad Administration Console o Kaspersky Security Center 13.1 Web Console utilizzando la verifica in due passaggi può disabilitare la verifica in due passaggi: per qualsiasi altro utente solo se la verifica in due passaggi per tutti gli utenti è disabilitata, per un utente escluso dall'elenco della verifica in due passaggi abilitata per tutti gli utenti.
• Qualsiasi utente che ha eseguito l'accesso ad Administration Console o Kaspersky Security Center 13.1 Web Console utilizzando la verifica in due passaggi può riemettere la propria chiave segreta.
• È possibile abilitare l'opzione di verifica in due passaggi per tutti gli utenti per l'Administration Server attualmente in uso. Se si abilita questa opzione in Administration Server, l'opzione viene abilitata anche per gli account utente dei relativi Administration Server virtuali e non si abilita la verifica in due passaggi per gli account utente degli Administration Server secondari.

Se la verifica in due passaggi è abilitata per un account utente in Kaspersky Security Center Administration Server versione 13 o successive, l'utente non sarà in grado di accedere a Kaspersky Security Center 13.1 Web Console versione 12, 12.1 o 12.2.

Abilitazione della verifica in due passaggi per il proprio account

Prima di abilitare la verifica in due passaggi per il proprio account, assicurarsi che nel dispositivo mobile sia installata un'applicazione di autenticazione. Assicurarsi che l'ora impostata nell'applicazione di autenticazione sia sincronizzata con l'ora di Administration Server.

Per abilitare la verifica in due passaggi per il proprio account:

1. Nella struttura della console di Kaspersky Security Center aprire il menu di scelta rapida della cartella Administration Server, quindi selezionare Proprietà.
2. Nella finestra delle proprietà di Administration Server accedere al riquadro Sezioni e selezionare Avanzate, quindi Verifica in due passaggi.
3. Nella sezione Verifica in due passaggi fare clic sul pulsante Configura.

   Nella finestra delle proprietà della verifica in due passaggi visualizzata verrà mostrata la chiave segreta.

4. Immettere la chiave segreta nell'applicazione di autenticazione per ricevere il codice di sicurezza monouso. È possibile specificare manualmente la chiave segreta nell'applicazione di autenticazione o eseguire la scansione del codice QR tramite il dispositivo mobile.
5. Specificare il codice di sicurezza generato dall'applicazione di autenticazione, quindi fare clic sul pulsante OK per uscire dalla finestra delle proprietà della verifica in due passaggi.
6. Fare clic sul pulsante Applica.
7. Fare clic sul pulsante OK.

La verifica in due passaggi è stata abilitata per il proprio account.

Abilitazione della verifica in due passaggi per tutti gli utenti

È possibile abilitare la verifica in due passaggi per tutti gli utenti di Administration Server se il proprio account dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente e se è stata eseguita l'autenticazione utilizzando la verifica in due passaggi. Se non è stata abilitata la verifica in due passaggi per il proprio account prima di abilitarla per tutti gli utenti, l'applicazione apre la finestra per abilitare la verifica in due passaggi per il proprio account.

Per abilitare la verifica in due passaggi per tutti gli utenti:

1. Nella struttura della console di Kaspersky Security Center aprire il menu di scelta rapida della cartella Administration Server, quindi selezionare Proprietà.
2. Nella finestra delle proprietà di Administration Server, nel riquadro Sezioni selezionare Avanzate, quindi Verifica in due passaggi.
3. Fare clic sul pulsante Imposta come obbligatoria per abilitare la verifica in due passaggi per tutti gli utenti.
4. Nella sezione Verifica in due passaggi fare clic sul pulsante Applica, quindi fare clic sul pulsante OK.

La verifica in due passaggi è abilitata per tutti gli utenti. D'ora in poi tutti gli utenti di Administration Server, inclusi gli utenti aggiunti dopo aver abilitato questa opzione, dovranno configurare la verifica in due passaggi per i propri account, ad eccezione degli utenti i cui account sono esclusi dalla verifica in due passaggi.

Disabilitazione della verifica in due passaggi per un account utente

Per disabilitare la verifica in due passaggi per il proprio account:

1. Nella struttura della console di Kaspersky Security Center aprire il menu di scelta rapida della cartella Administration Server, quindi selezionare Proprietà.
2. Nella finestra delle proprietà di Administration Server, nel riquadro Sezioni selezionare Avanzate, quindi Verifica in due passaggi.
3. Nella sezione Verifica in due passaggi fare clic sul pulsante Disabilita.
4. Fare clic sul pulsante Applica.
5. Fare clic sul pulsante OK.

La verifica in due passaggi è stata disabilitata per il proprio account.

È possibile disabilitare la verifica in due passaggi degli account di altri utenti. In questo modo viene garantita la protezione ad esempio nel caso in cui un utente perda o rompa un dispositivo mobile.

È possibile disabilitare la verifica in due passaggi dell'account di un altro utente solo se si dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente. Seguendo la procedura di seguito è possibile disabilitare la verifica in due passaggi anche per il proprio account.

Per disabilitare la verifica in due passaggi per qualsiasi account utente:

1. Nella struttura della console aprire la cartella Account utente.

   La cartella Account utente è una sottocartella della cartella Avanzate per impostazione predefinita.

2. Nell'area di lavoro fare doppio clic sull'account utente per cui si desidera disabilitare la verifica in due passaggi.
3. Nella finestra Proprietà:<nome utente> visualizzata selezionare la sezione Verifica in due passaggi.
4. Nella sezione Verifica in due passaggi selezionare le seguenti opzioni:
   • Se si desidera disabilitare la verifica in due passaggi per un account utente, fare clic sul pulsante Disabilita.
   • Se si desidera escludere questo account utente dalla verifica in due passaggi, selezionare l'opzione L'utente può eseguire l'autenticazione utilizzando solo nome utente e password.
5. Fare clic sul pulsante Applica.
6. Fare clic sul pulsante OK.

La verifica in due passaggi per un account utente è stata disabilitata.

Disabilitazione della verifica in due passaggi per tutti gli utenti

È possibile disabilitare la verifica in due passaggi per tutti gli utenti di Administration Server se si dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente e se è stata eseguita l'autenticazione utilizzando la verifica in due passaggi.

Per disabilitare la verifica in due passaggi per tutti gli utenti:

1. Nella struttura della console di Kaspersky Security Center aprire il menu di scelta rapida della cartella Administration Server, quindi selezionare Proprietà.
2. Nella finestra delle proprietà di Administration Server, nel riquadro Sezioni selezionare Avanzate, quindi Verifica in due passaggi.
3. Fare clic sul pulsante Imposta come facoltativa per disabilitare la verifica in due passaggi per tutti gli utenti.
4. Fare clic sul pulsante Applica nella sezione Verifica in due passaggi.
5. Fare clic sul pulsante OK nella sezione Verifica in due passaggi.

La verifica in due passaggi è disabilitata per tutti gli utenti.

Esclusione di account dalla verifica in due passaggi

È possibile escludere un account dalla verifica in due passaggi se il proprio account dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente.

Se un account utente viene escluso dalla verifica in due passaggi, l'utente può accedere ad Administration Console o Kaspersky Security Center 13.1 Web Console senza utilizzare la verifica in due passaggi.

L'esclusione degli account dalla verifica in due passaggi può essere necessaria per gli account di servizio che non possono passare il codice di sicurezza durante l'autenticazione.

Per escludere un account utente dalla verifica in due passaggi:

1. Se si desidera escludere un account Active Directory, eseguire il polling di Active Directory per aggiornare l'elenco degli utenti di Administration Server.
2. Nella struttura della console aprire la cartella Account utente.

   La cartella Account utente è una sottocartella della cartella Avanzate per impostazione predefinita.

3. Nell'area di lavoro fare doppio clic sull'account utente che si desidera escludere dalla verifica in due passaggi
4. Nella finestra Proprietà:<nome utente> visualizzata selezionare la sezione Verifica in due passaggi.
5. Nella sezione visualizzata selezionare l'opzione L'utente può eseguire l'autenticazione utilizzando solo nome utente e password.
6. Nella sezione Verifica in due passaggi fare clic sul pulsante Applica, quindi fare clic sul pulsante OK.

Questo account utente è escluso dalla verifica in due passaggi. È possibile controllare gli account esclusi nell'elenco degli account utente.

Modifica del nome dell'emittente del codice di sicurezza

È possibile disporre di più identificatori (chiamati emittenti) per diversi Administration Server. È possibile modificare il nome dell'emittente di un codice di sicurezza ad esempio nel caso in cui Administration Server utilizzi già un nome simile dell'emittente del codice di sicurezza per un altro Administration Server. Per impostazione predefinita, il nome dell'emittente di un codice di sicurezza è uguale al nome di Administration Server.

Dopo aver modificato il nome dell'emittente del codice di sicurezza, è necessario riemettere una nuova chiave segreta e passarla all'applicazione di autenticazione.

Per specificare un nuovo nome dell'emittente del codice di sicurezza:

1. Nella struttura della console di Kaspersky Security Center aprire il menu di scelta rapida della cartella Administration Server, quindi selezionare Proprietà.
2. Nella finestra delle proprietà di Administration Server, nel riquadro Sezioni selezionare Avanzate, quindi Verifica in due passaggi.
3. Specificare un nuovo nome dell'emittente del codice di sicurezza nel campo Emittente codice di sicurezza.
4. Fare clic sul pulsante Applica nella sezione Verifica in due passaggi.
5. Fare clic sul pulsante OK nella sezione Verifica in due passaggi.

Viene specificato un nuovo nome dell'emittente del codice di sicurezza per Administration Server.