Altre operazioni di routine

Questa sezione fornisce raccomandazioni sul funzionamento di routine di Kaspersky Security Center.

Gestione degli Administration Server

Questa sezione fornisce informazioni sull'utilizzo e sulla configurazione degli Administration Server.

Creazione di una gerarchia di Administration Server: l'aggiunta un Administration Server secondario

È possibile aggiungere un Administration Server come Administration Server secondario, configurando una gerarchia "primario/secondario". L'aggiunta di un Administration Server secondario è possibile indipendentemente dal fatto che l'Administration Server che si prevede di utilizzare come secondario sia disponibile per la connessione tramite Administration Console.

Quando si combinano due Administration Server in una gerarchia, verificare che la porta 13291 sia accessibile in entrambi gli Administration Server. La porta 13291 è necessaria per ricevere le connessioni da Administration Console ad Administration Server.

Connessione di un Administration Server come secondario in riferimento all'Administration Server primario

È possibile aggiungere un Administration Server come secondario connettendolo all'Administration Server primario tramite la porta 13000. Sarà necessario un dispositivo in cui è installato Administration Console da cui è possibile accedere alle porte TCP 13291 in entrambi gli Administration Server: presunto Administration Server primario e presunto Administration Server secondario.

Per aggiungere come secondario un Administration Server disponibile per la connessione tramite Administration Console:

1. Verificare che la porta 13000 del presunto Administration Server primario sia disponibile per la ricezione delle connessioni dagli Administration Server secondari.
2. Utilizzare Administration Console per eseguire la connessione al presunto Administration Server primario.
3. Selezionare il gruppo di amministrazione a cui si desidera aggiungere l'Administration Server secondario.
4. Nell'area di lavoro del nodo Administration Server del gruppo selezionato fare clic sul collegamento Aggiungi Administration Server secondario.

   Verrà avviata l'Aggiunta guidata Administration Server secondari.

5. Nel primo passaggio della procedura guidata (immissione dell'indirizzo dell'Administration Server aggiunto al gruppo) immettere il nome di rete del presunto Administration Server secondario.
6. Seguire le istruzioni della procedura guidata.

Verrà creata la gerarchia "primario/secondario". L'Administration Server primario riceverà la connessione dall'Administration Server secondario.

Se non si dispone di un dispositivo in cui è installato Administration Console da cui è possibile accedere alle porte TCP 13291 in entrambi gli Administration Server (se ad esempio il presunto Administration Server secondario è situato in una sede remota e l'amministratore di sistema di tale sede non può aprire l'accesso a Internet alla porta 13291 per motivi di sicurezza), sarà comunque possibile aggiungere un Administration Server secondario.

Per aggiungere come secondario un Administration Server non disponibile per la connessione tramite Administration Console:

1. Verificare che la porta 13000 del presunto Administration Server primario sia disponibile per la connessione dagli Administration Server secondari.
2. Scrivere il file di certificato del presunto Administration Server primario in un dispositivo esterno, ad esempio un'unità flash, o inviarlo all'amministratore di sistema della sede remota in cui si trova Administration Server.

   Il file di certificato dell'Administration Server si trova nello stesso Administration Server, in%ALLUSERSPROFILE %\Application Data\KasperskyLab\adminkit\1093\cert\klserver.cer.

3. Scrivere il file di certificato del presunto Administration Server secondario in un dispositivo esterno, ad esempio un'unità flash. Se il presunto Administration Server secondario è situato in una sede remota, contattare l'amministratore di sistema di tale sede per richiedergli di inviare il certificato.

   Il file di certificato dell'Administration Server si trova nello stesso Administration Server, in%ALLUSERSPROFILE %\Application Data\KasperskyLab\adminkit\1093\cert\klserver.cer.

4. Utilizzare Administration Console per eseguire la connessione al presunto Administration Server primario.
5. Selezionare il gruppo di amministrazione a cui si desidera aggiungere l'Administration Server secondario.
6. Nell'area di lavoro del nodo Administration Server fare clic sul collegamento Aggiungi Administration Server secondario.

   Verrà avviata l'Aggiunta guidata Administration Server secondari.

7. Nel primo passaggio della procedura guidata (immissione dell'indirizzo) lasciare vuoto il campo Indirizzo dell'Administration Server secondario (facoltativo).
8. Nella finestra File di certificato dell'Administration Server secondario fare clic sul pulsante Sfoglia e selezionare il file di certificato dell'Administration Server secondario salvato.
9. Al termine della procedura guidata utilizzare un'istanza diversa di Administration Console per connettersi al presunto Administration Server secondario. Se tale Administration Server è situato in una sede remota, contattare l'amministratore di sistema di tale sede per richiedere la connessione al presunto Administration Server secondario ed eseguire i passaggi successivi previsti.
10. Dal menu di scelta rapida del nodo Administration Server selezionare Proprietà.
11. Nelle proprietà dell'Administration Server passare alla sezione Avanzate e quindi alla sottosezione Gerarchia di Administration Server.
12. Selezionare la casella di controllo Questo Administration Server è secondario nella gerarchia.

    I campi di immissione diventano disponibili per l'immissione e la modifica dei dati.

13. Nel campo Indirizzo Administration Server primario immettere il nome della rete del presunto Administration Server primario.
14. Selezionare il file precedentemente salvato con il certificato del presunto Administration Server primario facendo clic sul pulsante Sfoglia.
15. Fare clic su OK.

Verrà creata la gerarchia "primario/secondario". È possibile connettersi all'Administration Server secondario tramite Administration Console. L'Administration Server primario riceverà la connessione dall'Administration Server secondario.

Connessione dell'Administration Server primario a un Administration Server secondario

È possibile aggiungere un nuovo Administration Server come secondario in modo che l'Administration Server primario si connetta all'Administration Server secondario tramite la porta 13000. È consigliabile eseguire questa operazione se, ad esempio, si posiziona un Administration Server secondario nella rete perimetrale.

Sarà necessario un dispositivo in cui è installato Administration Console da cui è possibile accedere alle porte TCP 13291 in entrambi gli Administration Server: presunto Administration Server primario e presunto Administration Server secondario.

Per aggiungere un nuovo Administration Server come secondario e connetterlo all'Administration Server primario tramite la porta 13000:

1. Verificare che la porta 13000 del presunto Administration Server secondario sia disponibile per la ricezione delle connessioni dall'Administration Server primario.
2. Utilizzare Administration Console per eseguire la connessione al presunto Administration Server primario.
3. Selezionare il gruppo di amministrazione a cui si desidera aggiungere l'Administration Server secondario.
4. Nell'area di lavoro del nodo Administration Server del gruppo di amministrazione attinente fare clic sul collegamento Aggiungi Administration Server secondario.

   Verrà avviata l'Aggiunta guidata Administration Server secondari.

5. Nel primo passaggio della procedura guidata (immissione dell'indirizzo dell'Administration Server da aggiungere al gruppo) immettere il nome della rete del presunto Administration Server secondario e selezionare la casella di controllo Connetti Administration Server primario all'Administration Server secondario nella rete perimetrale.
6. Se si esegue la connessione al presunto Administration Server secondario utilizzando un server proxy, durante il primo passaggio della procedura guidata selezionare la casella di controllo Usa server proxy e specificare le impostazioni di connessione.
7. Seguire le istruzioni della procedura guidata.

Verrà creata la gerarchia di Administration Server. L'Administration Server secondario riceverà la connessione dall'Administration Server primario.

Connessione a un Administration Server e passaggio da un Administration Server all'altro

Dopo l'avvio, Kaspersky Security Center tenta di connettersi a un Administration Server. Se sono disponibili diversi Administration Server nella rete, l'applicazione richiede quello a cui è stata eseguita la connessione durante la sessione precedente di Kaspersky Security Center.

Se l'applicazione viene avviata per la prima volta dopo l'installazione, tenta di connettersi all'Administration Server specificato durante l'installazione di Kaspersky Security Center.

Una volta stabilita la connessione a un Administration Server, la struttura delle cartelle di tale server viene visualizzata nella struttura della console.

Se alla struttura della console sono stati aggiunti diversi Administration Server, è possibile passare da uno all'altro.

Administration Console è necessario per l'utilizzo di ogni Administration Server. Prima della prima connessione a un nuovo Administration Server, verificare che la porta 13291, utilizzata per ricevere le connessioni da Administration Console, sia aperta, così come tutte le porte rimanenti necessarie per la comunicazione tra Administration Server e gli altri componenti di Kaspersky Security Center.

Per passare a un Administration Server diverso:

1. Nella struttura della console selezionare il nodo con il nome dell'Administration Server desiderato.
2. Dal menu di scelta rapida del nodo selezionare Connetti ad Administration Server.
3. Nella finestra Impostazioni di connessione visualizzata specificare nel campo Indirizzo di Administration Server il nome dell'Administration Server a cui si desidera connettersi. È possibile specificare un indirizzo IP o il nome di un dispositivo in una rete Windows come nome dell'Administration Server. È possibile fare clic sul pulsante Avanzate per configurare la connessione all'Administration Server (vedere la figura seguente).

   Per connettersi all'Administration Server tramite una porta diversa da quella predefinita, immettere un valore nel campo Indirizzo di Administration Server nel formato <Nome Administration Server>:<Porta>.

   L'accesso ad Administration Server non è consentito agli utenti che non dispongono dei diritti di Lettura.

   

   Connessione ad Administration Server

4. Fare clic su OK per completare il passaggio tra i server.

Dopo la connessione ad Administration Server, viene aggiornata la struttura delle cartelle del nodo corrispondente nella struttura della console.

Diritti di accesso ad Administration Server e ai relativi oggetti

Durante l'installazione di Kaspersky Security Center vengono creati automaticamente i gruppi KLAdmins e KLOperators. A questi gruppi vengono concesse le autorizzazioni per la connessione ad Administration Server e per l'elaborazione dei relativi oggetti.

A seconda del tipo di account utilizzato per l'installazione di Kaspersky Security Center, i gruppi KLAdmins e KLOperators vengono creati come segue:

• Se l'applicazione è installata tramite un account utente incluso in un dominio, i gruppi vengono creati sia nel dominio che include l'Administration Server che nell'Administration Server stesso.
• Se l'applicazione è installata tramite un account di sistema, i gruppi vengono creati soltanto nell'Administration Server.

È possibile visualizzare i gruppi KLAdmins e KLOperators e modificare i privilegi di accesso degli utenti che appartengono ai gruppi KLAdmins e KLOperators utilizzando gli strumenti di amministrazione standard del sistema operativo.

Al gruppo KLAdmins sono concessi tutti i diritti di accesso, mentre al gruppo KLOperators vengono concessi soltanto i diritti di lettura ed esecuzione. I diritti concessi al gruppo KLAdmins sono bloccati.

Gli utenti appartenenti al gruppo KLAdmins sono denominati Amministratori di Kaspersky Security Center; gli utenti del gruppo KLOperators sono denominati Operatori di Kaspersky Security Center.

Oltre che agli utenti inclusi nel gruppo KLAdmins, i diritti di amministratore di Kaspersky Security Center vengono concessi agli amministratori locali dei dispositivi in cui è installato Administration Server.

Gli amministratori locali possono essere esclusi dall'elenco degli utenti che dispongono di diritti di amministratore di Kaspersky Security Center.

Tutte le operazioni avviate dagli amministratori di Kaspersky Security Center verranno eseguite utilizzando i diritti dell'account di Administration Server.

Per ciascun Administration Server della rete è possibile creare uno specifico gruppo KLAdmins, che disporrà dei diritti necessari solo per tale Administration Server.

Se si includono dispositivi appartenenti allo stesso dominio in gruppi di amministrazione di differenti Administration Server, l'amministratore del dominio sarà un amministratore di Kaspersky Security Center per tutti i gruppi. Il gruppo KLAdmins è lo stesso per questi gruppi di amministrazione e viene creato durante l'installazione del primo Administration Server. Tutte le operazioni avviate dall'amministratore di Kaspersky Security Center vengono eseguite utilizzando i diritti dell'account dell'Administration Server per cui sono state avviate tali operazioni.

In seguito all'installazione dell'applicazione, un amministratore di Kaspersky Security Center può eseguire le seguenti operazioni:

• Modificare i diritti concessi ai gruppi KLOperators.
• Concedere i diritti di accesso alle funzionalità di Kaspersky Security Center ad altri utenti e gruppi di utenti registrati sulla workstation di amministrazione.
• Assegnare diritti di accesso utente in ogni gruppo di amministrazione.

L'amministratore di Kaspersky Security Center può assegnare diritti di accesso a ogni gruppo di amministrazione o ad altri oggetti di Administration Server nella sezione Protezione della finestra delle proprietà dell'oggetto selezionato.

È possibile tracciare l'attività dell'utente utilizzando i record sugli eventi durante l'esecuzione di Administration Server. I record degli eventi sono visualizzati nel nodo Administration Server della scheda Eventi. Questi eventi hanno livello di importanza Eventi informativi e i tipi di eventi iniziano con "Controllo".

Condizioni per la connessione a un Administration Server tramite Internet

Se un Administration Server è remoto, ovvero all'esterno di una rete aziendale, i dispositivi client vi si connettono tramite Internet.

Per la connessione dei dispositivi client a un Administration Server via Internet, devono essere soddisfatte le seguenti condizioni:

• L'Administration Server remoto deve disporre di un indirizzo IP esterno e la porta in entrata 13000 deve rimanere aperta (per la connessione dei Network Agent). È consigliabile aprire anche la porta UDP 13000 (per la ricezione delle notifiche sullo spegnimento dei dispositivi).
• I Network Agent devono essere installati nei dispositivi.
• Quando si installa Network Agent nei dispositivi, è necessario specificare l'indirizzo IP esterno dell'Administration Server remoto. Se per l'installazione viene utilizzato un pacchetto di installazione, l'indirizzo IP esterno deve essere specificato manualmente nelle proprietà del pacchetto di installazione, nella sezione Impostazioni.
• Per utilizzare l'Administration Server remoto al fine di gestire le applicazioni e le attività di un dispositivo, nella sezione Generale della finestra delle proprietà di tale dispositivo selezionare la casella di controllo Non eseguire la disconnessione dall'Administration Server. Dopo avere selezionato la casella di controllo, attendere la sincronizzazione di Administration Server con il dispositivo remoto. Il numero di dispositivi client che mantengono una connessione permanente con un Administration Server non può essere superiore a 300.

Per aumentare le prestazioni delle attività generate da un Administration Server remoto, è possibile aprire la porta 15000 in un dispositivo. In questo caso, per eseguire un'attività, l'Administration Server invia uno speciale pacchetto a Network Agent tramite la porta 15000 senza attendere il completamento della sincronizzazione con il dispositivo.

Connessione criptata a un Administration Server

Sia lo scambio dei dati tra i dispositivi client e Administration Server che la connessione di Administration Console ad Administration Server possono essere eseguiti tramite il protocollo TLS (Transport Layer Security). Il protocollo TLS consente l'identificazione delle parti che interagiscono, il criptaggio dei dati trasferiti e la loro protezione dalle modifiche durante il trasferimento. Il protocollo TLS utilizza chiavi pubbliche per l'autenticazione delle parti che interagiscono e per il criptaggio dei dati.

Autenticazione dell'Administration Server quando un dispositivo è connesso

Quando un dispositivo client si connette ad Administration Server per la prima volta, Network Agent nel dispositivo scarica una copia del certificato di Administration Server e la salva in locale.

Se si installa Network Agent su un dispositivo in locale, è possibile selezionare manualmente il certificato di Administration Server.

La copia scaricata del certificato viene utilizzata per verificare i diritti e le autorizzazioni di Administration Server durante le connessioni successive.

Durante le sessioni successive, Network Agent richiede il certificato di Administration Server a ogni connessione del dispositivo al server e lo confronta con la copia locale. Se le copie non corrispondono, l'accesso del dispositivo ad Administration Server non è consentito.

Autenticazione di Administration Server durante la connessione di Administration Console

Durante la prima connessione ad Administration Server, Administration Console richiede il certificato di Administration Server e lo salva in locale nella workstation di amministrazione. In seguito, ogni volta che Administration Console tenta di connettersi ad Administration Server, quest'ultimo viene identificato in base alla copia del certificato.

Se il certificato di Administration Server non corrisponde alla copia memorizzata nella workstation di amministrazione, Administration Console richiede di confermare la connessione ad Administration Server con il nome specificato e di scaricare un nuovo certificato. Una volta stabilita la connessione, Administration Console salva una copia del nuovo certificato di Administration Server, che verrà utilizzata per identificare Administration Server in futuro.

Informazioni sul certificato di Administration Server

Vengono eseguite due operazioni in base al certificato di Administration Server: l'autenticazione di Administration Server durante la connessione di Administration Console e lo scambio dei dati con i dispositivi. Il certificato è inoltre utilizzato per l'autenticazione durante la connessione degli Administration Server primari agli Administration Server secondari.

Certificato rilasciato da Kaspersky

Il certificato di Administration Server viene creato automaticamente durante l'installazione del componente Administration Server e viene archiviato nella cartella %ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit\1093\cert.

Il certificato di Administration Server è valido per cinque anni se il certificato è stato emesso prima del 1 settembre 2020. In caso contrario il periodo di validità del certificato è limitato a 397 giorni. Un nuovo certificato viene generato da Administration Server come certificato di riserva 90 giorni prima della data di scadenza del certificato corrente. Successivamente, il nuovo certificato sostituisce automaticamente il certificato corrente un giorno prima della data di scadenza. Tutti i Network Agent nei dispositivi client vengono riconfigurati automaticamente per l'autenticazione di Administration Server con il nuovo certificato.

Certificati personalizzati

Se necessario, è possibile assegnare un certificato personalizzato per Administration Server. Questo può ad esempio essere necessario per una migliore integrazione con l'infrastruttura PKI esistente dell'azienda o per la configurazione personalizzata dei campi dei certificati.

Il periodo di validità massimo di qualsiasi certificato di Administration Server non deve superare i 397 giorni.

Quando si sostituisce il certificato, tutti i Network Agent che sono stati precedentemente connessi ad Administration Server tramite SSL perderanno la connessione e restituiranno un errore di autenticazione di Administration Server. Per eliminare l'errore, sarà necessario ripristinare la connessione dopo la sostituzione del certificato.

In caso di smarrimento del certificato di Administration Server, è necessario reinstallare il componente Administration Server e ripristinare i dati per recuperarlo.

Disconnessione da un Administration Server

Per disconnettersi da un Administration Server:

1. Nella struttura della console selezionare il nodo che corrisponde all'Administration Server da disconnettere.
2. Nel menu di scelta rapida del nodo selezionare Disconnetti da Administration Server.

Aggiunta di un Administration Server alla struttura della console

Per aggiungere un Administration Server alla struttura della console:

1. Nella finestra principale di Kaspersky Security Center selezionare nella struttura della console il nodo Kaspersky Security Center 13.1.
2. Nel menu di scelta rapida del nodo selezionare Nuovo → Administration Server.

Nella struttura della console viene creato un nodo denominato Administration Server - <nome dispositivo> (Non connesso), da cui sarà possibile connettersi a qualsiasi Administration Server nella rete.

Rimozione di un Administration Server dalla struttura della console

Per rimuovere un Administration Server dalla struttura della console:

1. Nella struttura della console selezionare il nodo che corrisponde all'Administration Server da rimuovere.
2. Nel menu di scelta rapida del nodo selezionare Rimuovi.

Aggiunta di un Administration Server virtuale alla struttura della console

Per aggiungere un Administration Server virtuale alla struttura della console:

1. Nella struttura della console selezionare il nodo con il nome dell'Administration Server per cui è necessario creare un Administration Server virtuale.
2. Nel nodo Administration Server selezionare la cartella Administration Server.

3. Nell'area di lavoro della cartella Administration Server fare clic sul collegamento Aggiungi Administration Server virtuale.

   Verrà avviata l'Aggiunta guidata nuovo Administration Server virtuale.

4. Nella finestra Nome Administration Server virtuale specificare il nome dell'Administration Server virtuale da creare.

   Il nome di un Administration Server virtuale non può superare i 255 caratteri e non può includere caratteri speciali (ad esempio "*<>?\:|).

5. Nella finestra Immettere l'indirizzo per la connessione del dispositivo all'Administration Server virtuale specificare l'indirizzo di connessione del dispositivo

   L'indirizzo di connessione di un Administration Server virtuale è l'indirizzo di rete attraverso il quale i dispositivi si connetteranno al Server. L'indirizzo di connessione comprende due parti: l'indirizzo di rete di un Administration Server fisico e il nome di un Administration Server virtuale, separati da una barra. Il nome dell'Administration Server virtuale verrà sostituito automaticamente. L'indirizzo specificato verrà utilizzato nell'Administration Server virtuale come indirizzo predefinito nei pacchetti di installazione di Network Agent.

6. Nella finestra Creare l'account amministratore dell'Administration Server virtuale assegnare a un utente dell'elenco il ruolo di amministratore del Server virtuale oppure aggiungere un nuovo account amministratore facendo clic sul pulsante Crea.

   È possibile specificare più account.

Nella struttura della console viene creato un nodo denominato Administration Server <nome dell'Administration Server virtuale>.

Modifica di un account del servizio di Administration Server. Utilità klsrvswch

Se è necessario modificare l'account del servizio di Administration Server impostato durante l'installazione di Kaspersky Security Center, è possibile utilizzare un'utilità denominata klsrvswch progettata per la modifica dell'account di Administration Server.

Durante l'installazione di Kaspersky Security Center, l'utilità viene copiata automaticamente nella cartella di installazione dell'applicazione.

È possibile avviare l'utilità un numero di volte illimitato.

L'utilità klsrvswch consente di modificare il tipo di account. Se ad esempio si utilizza un account locale, è possibile modificarlo in un account di dominio o in un account del servizio gestito (e viceversa). L'utilità klsrvswch non consente di modificare il tipo di account in account del servizio gestito di gruppo (gMSA).

In Windows Vista e nelle versioni successive di Windows non è possibile utilizzare un account LocalSystem per l'Administration Server. In queste versioni di Windows l'opzione di Account LocalSystem è inattiva.

Per modificare un account del servizio di Administration Server in un account di dominio:

1. Avviare l'utilità klsrvswch dalla cartella di installazione di Kaspersky Security Center.

   Questa azione avvia la procedura Guidata per la modifica dell'account del servizio di Administration Server. Seguire le istruzioni della procedura guidata.

2. Nella finestra Account del servizio di Administration Server selezionare Account LocalSystem.

Al termine della procedura Guidata, la modifica dell'account Administration Server viene completata. Il servizio Administration Server verrà avviato tramite l'account LocalSystem e utilizzando le relative credenziali.

Per il corretto funzionamento di Kaspersky Security Center, l'account utilizzato per avviare il servizio Administration Server deve disporre di diritti di amministratore per la risorsa in cui è contenuto il database di Administration Server.

Per modificare un account del servizio di Administration Server in un account utente o un account del servizio gestito:

1. Avviare l'utilità klsrvswch dalla cartella di installazione di Kaspersky Security Center.

   Questa azione avvia la procedura Guidata per la modifica dell'account del servizio di Administration Server. Seguire le istruzioni della procedura guidata.

2. Nella finestra Account del servizio di Administration Server selezionare Account personalizzato.
3. Fare clic sul pulsante Trova.

   Verrà visualizzata la finestra Seleziona utente.

4. Nella finestra Seleziona utente fare clic sul pulsante Tipi di oggetto.
5. Nell'elenco dei tipi di oggetto selezionare Utenti (per un account utente) o Account servizio (per un account del servizio gestito) e fare clic su OK.
6. Nel campo Nome oggetto immettere il nome (o una parte del nome) dell'account e fare clic su Controlla nomi.
7. Nell'elenco dei nomi corrispondenti selezionare il nome desiderato, quindi fare clic su OK.
8. Se è stato selezionato Account servizio, nella finestra Password account lasciare vuoti i campi Password e Conferma password. Se è stato selezionato Utenti, immettere una nuova password per l'utente e confermarla.

L'account del servizio di Administration Server verrà modificato nell'account selezionato.

Quando si utilizza Microsoft SQL Server in una modalità che presuppone l'autenticazione degli account utente con gli strumenti di Microsoft Windows, deve essere concesso l'accesso al database. L'account utente deve avere lo stato di proprietario del database Kaspersky Security Center. Per impostazione predefinita, viene utilizzato lo schema dbo.

Modifica delle credenziali del DBMS

Talvolta potrebbe essere necessario modificare le credenziali del DBMS, ad esempio per eseguire una rotazione delle credenziali per motivi di sicurezza.

Per modificare le credenziali del DBMS in un ambiente Windows tramite l'utilità klsrvswch.exe:

1. Avviare l'utilità klsrvswch disponibile nella cartella di installazione di Kaspersky Security Center.
2. Fare clic sul pulsante Avanti della procedura guidata fino al passaggio Modifica credenziali di accesso DBMS.
3. Al passaggio Modifica credenziali di accesso DBMS della procedura guidata, effettuare le seguenti operazioni:
   • Selezionare l'opzione Applica nuove credenziali.
   • Specificare un nuovo nome per l'account nel campo Account.
   • Specificare una nuova password per l'account nel campo Password.
   • Specificare la nuova password nel campo Conferma password.

   È necessario specificare le credenziali di un account esistente nel DBMS.

4. Fare clic sul pulsante Avanti.

Al termine della procedura guidata, le credenziali del DBMS vengono modificate.

Risoluzione dei problemi relativi ai nodi di Administration Server

La struttura della console nel riquadro sinistro di Administration Console contiene nodi di Administration Server. È possibile aggiungere tutti gli Administration Server necessari nella struttura della console.

L'elenco dei nodi di Administration Server nella struttura della console è memorizzato in una copia shadow di un file msc tramite Microsoft Management Console. La copia shadow del file è disponibile nella cartella %USERPROFILE%\AppData\Roaming\Microsoft\MMC\ nel dispositivo in cui è installato Administration Console. Per ogni nodo di Administration Server il file contiene le seguenti informazioni:

• Indirizzo di Administration Server
• Numero di porta
• Se TLS è in uso

  Questo parametro dipende dal numero della porta utilizzata per la connessione di Administration Console ad Administration Server.

• Nome utente
• Certificato di Administration Server

Risoluzione dei problemi

Quando Administration Console si connette ad Administration Server, il certificato archiviato in locale viene confrontato con il certificato di Administration Server. Se i certificati non corrispondono, Administration Console genera un errore. Ad esempio, una mancata corrispondenza dei certificati può verificarsi quando si sostituisce il certificato di Administration Server. In questo caso, creare nuovamente il nodo di Administration Server nella console.

Per ricreare un nodo di Administration Server:

1. Chiudere la finestra Kaspersky Security Center Administration Console.
2. Eliminare il file di Kaspersky Security Center 13.1 all'indirizzo %USERPROFILE%\AppData\Roaming\Microsoft\MMC\.
3. Eseguire Kaspersky Security Center Administration Console.

   Viene richiesto di connettersi ad Administration Server e accettare il certificato esistente.

4. Eseguire una delle seguenti operazioni:
   • Accettare il certificato esistente facendo clic sul pulsante Sì.
   • Per specificare il certificato, fare clic sul pulsante No, quindi passare al file di certificato da utilizzare per l'autenticazione di Administration Server.

Il problema relativo al certificato è stato risolto. È possibile utilizzare Administration Console per connettersi con l'Administration Server.

Visualizzazione e modifica delle impostazioni di un Administration Server

È possibile regolare le impostazioni di un Administration Server nella finestra delle proprietà di tale server.

Per aprire la finestra Proprietà: Administration Server,

Selezionare Proprietà nel menu di scelta rapida del nodo Administration Server nella struttura della console.

Regolazione delle impostazioni generali di un Administration Server

È possibile regolare le impostazioni generali di Administration Server nelle sezioni Generale, Impostazioni di connessione di Administration Server, Archivio eventi e Protezione della finestra Proprietà di Administration Server.

La sezione Protezione non è visualizzata nella finestra delle proprietà di Administration Server se la visualizzazione è stata disabilitata nell'interfaccia di Administration Console.

Per abilitare la visualizzazione della sezione Protezione in Administration Console:

1. Nella struttura della console selezionare l'Administration Server desiderato.
2. Nel menu Visualizza della finestra principale dell'applicazione selezionare Configura interfaccia.
3. Nella finestra Configura interfaccia visualizzata selezionare la casella di controllo Visualizza le sezioni delle impostazioni di protezione e fare clic su OK.
4. Nella finestra con il messaggio dell'applicazione fare clic su OK.

La sezione Protezione verrà visualizzata nella finestra della proprietà di Administration Server.

Impostazioni dell'interfaccia di Administration Console

È possibile regolare le impostazioni dell'interfaccia di Administration Console per visualizzare o nascondere i controlli dell'interfaccia utente relativi alle seguenti funzionalità:

• Vulnerability e Patch Management
• Criptaggio e protezione dei dati
• Impostazioni di controllo degli endpoint
• Mobile Device Management
• Administration Server secondari
• Sezioni delle impostazioni di protezione

Per configurare le impostazioni dell'interfaccia di Administration Console:

1. Nella struttura della console selezionare l'Administration Server desiderato.
2. Nel menu Visualizza della finestra principale dell'applicazione selezionare Configura interfaccia.
3. Nella finestra Configura interfaccia visualizzata selezionare le caselle di controllo accanto alle funzionalità che si desidera visualizzare e fare clic su OK.
4. Nella finestra con il messaggio dell'applicazione fare clic su OK.

Le funzionalità selezionate verranno visualizzate nell'interfaccia di Administration Console.

Elaborazione e archiviazione di eventi in Administration Server

Le informazioni sugli eventi che si verificano durante l'esecuzione dell'applicazione e dei dispositivi gestiti vengono salvate nel database di Administration Server. A ogni evento è attribuito un determinato tipo e un livello di criticità (Evento critico, Errore funzionale, Avviso o informazioni). A seconda delle condizioni in cui si è verificato un evento, l'applicazione può assegnare diversi livelli di criticità a eventi dello stesso tipo.

È possibile visualizzare i tipi e i livelli di criticità assegnati agli eventi nella sezione Configurazione eventi della finestra delle proprietà di Administration Server. Nella sezione Configurazione eventi è anche possibile configurare l'elaborazione di ogni evento da parte di Administration Server:

• Registrazione degli eventi in Administration Server e nei registri eventi del sistema operativo in un dispositivo e in Administration Server.
• Metodo utilizzato per notificare un evento all'amministratore (ad esempio, un SMS o un messaggio e-mail).

Nella sezione Archivio eventi della finestra delle proprietà di Administration Server è possibile modificare le impostazioni per l'archiviazione degli eventi nel database di Administration Server, limitando il numero di record degli eventi e il periodo di archiviazione dei record. Quando si specifica il numero massimo di eventi, l'applicazione calcola approssimativamente la quantità di spazio di archiviazione necessario per il numero specificato. È possibile utilizzare questo calcolo approssimativo per valutare se è necessario liberare spazio su disco per evitare l'overflow del database. La capacità predefinita del database di Administration Server è di 400.000 eventi. La capacità massima consigliata del database è di 45 milioni di eventi.

Se il numero di eventi nel database raggiunge il valore massimo specificato dall'amministratore, l'applicazione elimina gli eventi meno recenti e li sovrascrive con quelli nuovi. Quando l'Administration Server elimina gli eventi meno recenti, non può salvare i nuovi eventi nel database. Durante questo periodo di tempo, le informazioni sugli eventi rifiutati vengono scritte nel registro eventi Kaspersky. I nuovi eventi vengono accodati e quindi salvati nel database al termine dell'operazione di eliminazione.

È possibile modificare le impostazioni di qualsiasi attività per salvare gli eventi relativi all'avanzamento dell'attività oppure salvare solo i risultati dell'esecuzione dell'attività. In tal modo si riduce il numero di eventi nel database, si aumenta la velocità di esecuzione degli scenari associati all'analisi della tabella degli eventi nel database e si limita il rischio che gli eventi critici vengano sovrascritti da un ampio numero di eventi.

Visualizzazione del registro delle connessioni all'Administration Server

È possibile salvare in un file di registro la cronologia delle connessioni e dei tentativi di connessione all'Administration Server durante l'esecuzione. Le informazioni nel file consentono di tenere traccia non solo delle connessioni nell'infrastruttura di rete, ma anche dei tentativi non autorizzati di accesso ad Administration Server.

Per registrare gli eventi di connessione all'Administration Server:

1. Nella struttura della console selezionare l'Administration Server per cui si desidera abilitare la registrazione degli eventi di connessione.
2. Dal menu di scelta rapida di Administration Server selezionare Proprietà.
3. Nella finestra delle proprietà visualizzata, nella sezione Impostazioni di connessione di Administration Server, selezionare la sottosezione Porte di connessione.
4. Abilitare l'opzione Registra eventi di connessione ad Administration Server.
5. Fare clic sul pulsante OK per chiudere la finestra delle proprietà dell'Administration Server.

Tutti gli ulteriori eventi di connessione in entrata all'Administration Server, i risultati di autenticazione e gli errori SSL verranno salvati nel file %ProgramData%\KasperskyLab\adminkit\logs\sc.syslog.

Controllo delle epidemie di virus

Kaspersky Security Center consente di rispondere velocemente alle minacce di epidemie di virus. I rischi di epidemie di virus vengono valutati monitorando l'attività dei virus nei dispositivi.

È possibile configurare le regole di valutazione per le minacce di epidemie di virus e le azioni da eseguire qualora se ne verifichi una. A tale scopo, utilizzare la sezione Epidemia di virus della finestra delle proprietà di Administration Server.

È possibile specificare la procedura di notifica per l'evento Epidemia di virus nella sezione Configurazione eventi della finestra delle proprietà di Administration Server, nella finestra delle proprietà dell'evento Epidemia di virus.

L'evento Epidemia di virus viene generato in caso di rilevamento di eventi Rilevato un oggetto dannoso durante l'esecuzione delle applicazioni di protezione. È pertanto necessario salvare le informazioni su tutti gli eventi Rilevato un oggetto dannoso in Administration Server per essere in grado di riconoscere le epidemie di virus.

È possibile specificare le impostazioni per il salvataggio delle informazioni su qualsiasi evento Rilevato un oggetto dannoso nei criteri delle applicazioni di protezione.

Durante il conteggio degli eventi Rilevato un oggetto dannoso, vengono prese in considerazione solo le informazioni provenienti dai dispositivi client dell'Administration Server primario. Le informazioni provenienti dagli Administration Server secondari non vengono considerate. L'evento Epidemia di virus è configurato individualmente per ogni server secondario.

Limitazione del traffico

Espandi tutto | Comprimi tutto

Per ridurre il volume del traffico all'interno di una rete, l'applicazione offre la possibilità di limitare la velocità del trasferimento dati a un Administration Server da subnet IP e intervalli IP specificati.

È possibile creare e configurare regole di limitazione del traffico nella sezione Traffico della finestra delle proprietà dell'Administration Server.

Per creare una regola di limitazione del traffico:

1. Nella struttura della console selezionare il nodo con il nome dell'Administration Server per cui si desidera creare una regola di limitazione del traffico.
2. Dal menu di scelta rapida di Administration Server selezionare Proprietà.
3. Nella finestra delle proprietà di Administration Server selezionare la sezione Traffico.
4. Fare clic sul pulsante Aggiungi.
5. Nella finestra Nuova regola specificare le seguenti impostazioni:

   Nella sezione Intervallo IP per limitare il traffico selezionare il metodo che verrà utilizzato per definire la subnet o l'intervallo per cui la velocità di trasferimento dei dati sarà limitata, quindi immettere i valori delle impostazioni per il metodo selezionato. Selezionare uno dei seguenti metodi:

   • Specifica l'intervallo utilizzando l'indirizzo e la maschera di rete

     Il traffico viene limitato in base alle impostazioni delle subnet. Specificare l'indirizzo della subnet e la subnet mask per la determinazione dell'intervallo in cui limitare il traffico.

     È inoltre possibile fare clic su Sfoglia per aggiungere subnet dall'elenco globale delle subnet.

   • Specifica l'intervallo utilizzando gli indirizzi iniziale e finale

     Il traffico viene limitato in base a un intervallo di indirizzi IP. Specificare l'intervallo di indirizzi IP nei campi di immissione Inizio e Fine.

     Questa opzione è selezionata per impostazione predefinita.

   Nella sezione Limite traffico è possibile definire le seguenti impostazioni per la limitazione della velocità di trasferimento dei dati:

   • Intervallo

     Intervallo di tempo durante il quale le limitazioni del traffico saranno applicate. Nei campi di immissione è possibile specificare i limiti dell'intervallo di tempo.

   • Limite (KB/s)

     Velocità massima totale di trasferimento dei dati in entrata e in uscita dell'Administration Server. Le limitazioni del traffico saranno effettive solo nell'intervallo specificato nel campo Intervallo.

   • Limite traffico per il tempo rimanente (KB/s)

     Il traffico sarà limitato non solo durante l'intervallo specificato nel campo Intervallo, ma anche in altri orari.

     Per impostazione predefinita, questa casella di controllo è deselezionata. Il valore di questo campo potrebbe non corrispondere al valore del campo Limite (KB/s).

Le regole di limitazione del traffico influiscono principalmente sul trasferimento dei file. Queste regole non si applicano al traffico generato dalla sincronizzazione tra Administration Server e Network Agent o tra gli Administration Server primari e secondari.

Configurazione di Server Web

Il server Web è progettato per la pubblicazione di pacchetti di installazione indipendenti, profili MDM iOS e file in una cartella condivisa.

È possibile definire le impostazioni per la connessione del server Web ad Administration Server e impostare un certificato del server Web nella sezione Server Web della finestra delle proprietà di Administration Server.

Riemissione del certificato del server Web

Il certificato Server Web utilizzato in Kaspersky Security Center è necessario per pubblicare i pacchetti di installazione di Network Agent scaricati successivamente nei dispositivi gestiti, nonché per pubblicare profili MDM iOS, app iOS e pacchetti di installazione di Kaspersky Endpoint Security for Mobile. A seconda della configurazione dell'applicazione corrente, vari certificati possono funzionare come certificato del Server Web (per ulteriori dettagli, vedere Informazioni sui certificati di Kaspersky Security Center).

Potrebbe essere necessario riemettere il certificato del Server Web per soddisfare i requisiti di sicurezza specifici della propria organizzazione o per mantenere la connessione continua dei dispositivi gestiti prima di avviare l'upgrade dell'applicazione. Kaspersky Security Center offre due modi per riemettere il certificato del Server Web; la scelta tra i due metodi dipende dal fatto che si disponga di dispositivi mobili connessi e gestiti tramite protocollo mobile (ovvero utilizzando il certificato mobile).

Se non è stato mai specificato il certificato personalizzato come certificato del Server Web nella sezione Server Web della finestra delle proprietà di Administration Server, il certificato mobile funge da certificato del Server Web. In questo caso, la riemissione del certificato del Server Web viene eseguita attraverso la riemissione del protocollo mobile stesso.

Per riemettere il certificato del Server Web quando non si dispone di dispositivi mobili gestiti tramite il protocollo mobile:

1. Nella struttura della console fare clic con il pulsante destro del mouse sul nome dell'Administration Server pertinente e nel menu di scelta rapida selezionare Proprietà.
2. Nella finestra delle proprietà di Administration Server visualizzata, nel riquadro a sinistra selezionare la sezione Impostazioni di connessione di Administration Server.
3. Nell'elenco delle sottosezioni selezionare la sottosezione Certificati.
4. Se si prevede di continuare a utilizzare il certificato emesso da Kaspersky Security Center, procedere come segue:
   1. Nel riquadro di destra, nel gruppo di impostazioni Autenticazione Administration Server da parte dei dispositivi mobili, selezionare l'opzione Certificato emesso tramite Administration Server e fare clic sul pulsante Riemetti.
   2. Nella finestra Riemetti certificato visualizzata, nel gruppo di impostazioni Indirizzo di connessione e Termine di attivazione, selezionare le opzioni pertinenti e fare clic su OK.
   3. Nella finestra di conferma fare clic su Sì.

   In alternativa, se si prevede di utilizzare il proprio certificato personalizzato, procedere come segue:

   1. Verificare se il certificato personalizzato soddisfa i requisiti di Kaspersky Security Center e i requisiti per i certificati attendibili di Apple. Se necessario, modificare il certificato.
   2. Selezionare l'opzione Altro certificato e fare clic sul pulsante Sfoglia.
   3. Nella finestra Certificato visualizzata, nel campo Tipo di certificato, selezionare il tipo di certificato, quindi specificare le impostazioni e la posizione del certificato:
      • Se è stato selezionato Contenitore PKCS #12, fare clic sul pulsante Sfoglia accanto al campo File di certificato e specificare il file del certificato nel disco rigido. Se il file del certificato è protetto da password, immettere la password nel campo Password (se presente).
      • Se è stato selezionato Certificato X.509, fare clic sul pulsante Sfoglia accanto al campo Chiave privata (.prk, .pem) e specificare la chiave privata nel disco rigido. Se la chiave privata è protetta da password, immettere la password nel campo Password (se presente). Quindi fare clic sul pulsante Sfoglia accanto al campo Chiave pubblica (.cer) e specificare la chiave privata nel disco rigido.
   4. Nella finestra Certificato fare clic su OK.
   5. Nella finestra di conferma fare clic su Sì.

   Il certificato mobile viene riemesso per essere utilizzato come certificato del Server Web.

Per riemettere il certificato del Server Web quando si dispone di dispositivi mobili gestiti tramite il protocollo mobile:

1. Generare il certificato personalizzato e preparalo per l'utilizzo in Kaspersky Security Center. Verificare se il certificato personalizzato soddisfa i requisiti di Kaspersky Security Center e i requisiti per i certificati attendibili di Apple. Se necessario, modificare il certificato.

   È possibile utilizzare l'utilità kliossrvcertgen.exe per la generazione del certificato.

2. Nella struttura della console fare clic con il pulsante destro del mouse sul nome dell'Administration Server pertinente e nel menu di scelta rapida selezionare Proprietà.
3. Nella finestra delle proprietà di Administration Server visualizzata, nel riquadro a sinistra selezionare la sezione Server Web.
4. Nel menu Tramite HTTPS selezionare l'opzione Specifica un altro certificato.
5. Nel menu Tramite HTTPS fare clic sul pulsante Cambia.
6. Nella finestra Certificato visualizzata, nel campo Tipo di certificato selezionare il tipo di certificato:
   • Se è stato selezionato Contenitore PKCS #12, fare clic sul pulsante Sfoglia accanto al campo File di certificato e specificare il file del certificato nel disco rigido. Se il file del certificato è protetto da password, immettere la password nel campo Password (se presente).
   • Se è stato selezionato Certificato X.509, fare clic sul pulsante Sfoglia accanto al campo Chiave privata (.prk, .pem) e specificare la chiave privata nel disco rigido. Se la chiave privata è protetta da password, immettere la password nel campo Password (se presente). Quindi fare clic sul pulsante Sfoglia accanto al campo Chiave pubblica (.cer) e specificare la chiave privata nel disco rigido.
7. Nella finestra Certificato fare clic su OK.
8. Se necessario, nella finestra delle proprietà di Administration Server, nel campo Porta HTTPS Server Web modificare il numero della porta HTTPS per il Server Web. Fare clic su OK.

   Il certificato del Server Web viene riemesso.

Utilizzo di utenti interni

Gli account degli utenti interni vengono utilizzati per operare con gli Administration Server virtuali. Kaspersky Security Center concede agli utenti interni dell'applicazione diritti equivalenti a quelli degli utenti reali.

Gli account degli utenti interni vengono creati e utilizzati solo in Kaspersky Security Center. Nessun dato relativo agli utenti interni viene trasferito al sistema operativo. Kaspersky Security Center esegue l'autenticazione degli utenti interni.

È possibile configurare gli account degli utenti interni nella cartella Account utente della struttura della console.

Backup e ripristino delle impostazioni di Administration Server

Il backup delle impostazioni di Administration Server e del relativo database viene eseguito tramite l'attività di backup e l'utilità klbackup. Una copia di backup include tutte le impostazioni e gli oggetti principali relativi ad Administration Server, ad esempio certificati, chiavi primarie per il criptaggio delle unità nei dispositivi gestiti, chiavi per le varie licenze, struttura dei gruppi di amministrazione con tutti i relativi contenuti, attività, criteri e così via. Con una copia di backup è possibile ripristinare l'operatività di un Administration Server il prima possibile, in un tempo che può andare da una decina di minuti a un paio d'ore.

Se non è disponibile una copia di backup, un errore può comportare la perdita dei certificati e di tutte le impostazioni di Administration Server. In tal caso, sarà necessario riconfigurare completamente Kaspersky Security Center ed eseguire di nuovo la distribuzione iniziale di Network Agent nella rete dell'organizzazione. Andranno inoltre perse tutte le chiavi primarie per il criptaggio delle unità nei dispositivi gestiti, con il rischio di una perdita irrevocabile dei dati criptati nei dispositivi con Kaspersky Endpoint Security. Pertanto, non dimenticare di eseguire periodicamente backup di Administration Server utilizzando l'attività di backup standard.

Durante l'Avvio rapido guidato viene creata l'attività di backup per le impostazioni di Administration Server, impostata per essere eseguita quotidianamente alle 04:00. Per impostazione predefinita, le copie di backup sono salvate nella cartella %ALLUSERSPROFILE%\Application Data\KasperskySC.

Se si utilizza come DBMS un'istanza di Microsoft SQL Server installata in un altro dispositivo, è necessario modificare l'attività di backup specificando un percorso UNC, accessibile in scrittura sia dal servizio Administration Server che dal servizio SQL Server, come cartella per l'archiviazione delle copie di backup. Questo requisito, che non è banale, deriva da una speciale funzionalità di backup nel DBMS Microsoft SQL Server.

Se si utilizza come DBMS un'istanza locale di Microsoft SQL Server, è anche consigliabile salvare copie di backup su un supporto dedicato per proteggerle dal danneggiamento insieme con Administration Server.

Poiché una copia di backup contiene dati importanti, l'attività di backup e l'utilità klbackup forniscono funzionalità di protezione tramite password delle copie di backup. Per impostazione predefinita, l'attività di backup viene creata con una password vuota. È necessario impostare una password nelle proprietà dell'attività di backup. Il mancato rispetto di questo requisito causa una situazione in cui tutte le chiavi dei certificati di Administration Server, le chiavi per le licenze e le chiavi primarie per il criptaggio delle unità nei dispositivi gestiti restano non criptate.

In aggiunta al backup periodico, è anche necessario creare una copia di backup prima di ogni modifica significativa, inclusa l'installazione di upgrade e patch di Administration Server.

Se si utilizza Microsoft SQL Server come DBMS, è possibile ridurre al minimo le dimensioni delle copie di backup. A tale scopo, abilitare l'opzione Comprimi backup nelle impostazioni di SQL Server.

Il ripristino da una copia di backup viene eseguito con l'utilità klbackup in un'istanza funzionante di Administration Server che è stata appena installata e con la stessa versione (o una versione successiva) di quella per cui è stata creata la copia di backup.

L'istanza di Administration Server in cui deve essere eseguito il ripristino deve utilizzare un DBMS dello stesso tipo (ad esempio, SQL Server o MariaDB) e della stessa versione o successiva. La versione di Administration Server può essere la stessa (con una patch identica o successiva) o una versione successiva.

In questa sezione sono descritti gli scenari standard per il ripristino delle impostazioni e degli oggetti di Administration Server.

Utilizzo di uno snapshot del file system per ridurre la durata del backup

In Kaspersky Security Center 13.1, il tempo di inattività dell'Administration Server durante il backup è stato ridotto rispetto alle versioni precedenti. Inoltre, è stata aggiunta la funzionalità Usa snapshot del file system per il backup dei dati alle impostazioni delle attività. Questa funzionalità consente una riduzione aggiuntiva del tempo di inattività grazie all'utilità klbackup, che crea una copia shadow del disco durante il backup (in pochi secondi) e contemporaneamente esegue la copia del database (questa operazione richiede al massimo alcuni minuti). Quando klbackup crea una copia shadow del disco e una copia del database, l'utilità rende l'Administration Server nuovamente disponibile per la connessione.

È possibile utilizzare la funzionalità per la creazione di snapshot del file system solo se sono soddisfatte queste due condizioni:

• La cartella condivisa di Administration Server e la cartella %ALLUSERSPROFILE%\KasperskyLab si trovano nello stesso disco logico e sono cartelle locali in riferimento all'Administration Server.
• La cartella %ALLUSERSPROFILE%\KasperskyLab non contiene collegamenti simbolici che sono stati creati manualmente.

Se una di queste condizioni non può essere soddisfatta, non utilizzare la funzionalità. In questo caso, l'applicazione restituisce un messaggio di errore in risposta a qualsiasi tentativo di creare uno snapshot del file system.

Per utilizzare la funzionalità, è necessario disporre di un account a cui è stata concessa l'autorizzazione per la creazione di snapshot del disco logico che contiene la cartella %ALLUSERSPROFILE%. Tenere presente che l'account del servizio Administration Server non dispone di questo tipo di autorizzazione.

Per utilizzare la funzionalità per la creazione di snapshot del file system per ridurre la durata del backup:

1. Nella sezione Attività selezionare l'attività di backup.
2. Nel menu di scelta rapida selezionare Proprietà.
3. Nella finestra delle proprietà dell'attività visualizzata selezionare la sezione Impostazioni.
4. Selezionare la casella di controllo Usa snapshot del file system per il backup dei dati.
5. Nei campi Nome utente e Password immettere il nome e la password di un account che dispone dell'autorizzazione per la creazione di snapshot del disco logico che contiene la cartella %ALLUSERSPROFILE%.
6. Fare clic su Applica.

A ogni successivo avvio dell'attività di backup, l'utilità klbackup creerà snapshot del file system, riducendo il tempo di inattività dell'Administration Server durante l'esecuzione dell'attività.

Un dispositivo con Administration Server è inutilizzabile

Se un dispositivo con Administration Server risulta inutilizzabile a causa di un errore, è consigliabile eseguire le seguenti operazioni:

• Al nuovo Administration Server deve essere assegnato lo stesso indirizzo: nome NetBIOS, FQDN o IP statico (a seconda dell'elemento impostato al momento della distribuzione dei Network Agent).
• Installare Administration Server utilizzando un DBMS dello stesso tipo e della stessa versione (o di una versione successiva). È possibile installare la stessa versione del server (con una patch identica o successiva) o una versione successiva. Dopo installazione, non eseguire la configurazione iniziale tramite la procedura guidata.
• Nel menu Start, eseguire l'utilità klbackup e quindi eseguire il ripristino.

Le impostazioni di Administration Server o il database sono danneggiati

Se Administration Server risulta inutilizzabile perché le impostazioni o il database sono danneggiati (ad esempio, in seguito a una sovralimentazione), è consigliabile utilizzare il seguente scenario di ripristino:

1. Eseguire la scansione del file system nel dispositivo danneggiato.
2. Disinstallare la versione inutilizzabile di Administration Server.
3. Reinstallare Administration Server utilizzando un DBMS dello stesso tipo e della stessa versione (o di una versione successiva). È possibile installare la stessa versione del server (con una patch identica o successiva) o una versione successiva. Dopo installazione, non eseguire la configurazione iniziale tramite la procedura guidata.
4. Dal menu Start eseguire l'utilità klbackup e quindi eseguire il ripristino.

Non è consentito ripristinare Administration Server in un modo diverso dall'utilizzo dell'utilità klbackup.

Qualsiasi tentativo di ripristinare Administration Server tramite software di terze parti causerà inevitabilmente la mancata sincronizzazione dei dati nei nodi dell'applicazione Kaspersky Security Center distribuita e, di conseguenza, impedirà il corretto funzionamento dell'applicazione.

Backup e ripristino dei dati di Administration Server

Il backup dei dati consente di spostare un Administration Server da un dispositivo all'altro senza perdite di dati. Utilizzando i backup è possibile ripristinare i dati durante lo spostamento del database di un Administration Server in un altro dispositivo o nel corso dell'aggiornamento a una versione più recente di Kaspersky Security Center.

Non viene eseguito il backup dei plug-in di gestione installati. Dopo aver ripristinato i dati di Administration Server da una copia di backup, è necessario scaricare e reinstallare i plug-in per le applicazioni gestite.

È possibile creare una copia di backup dei dati di Administration Server in uno dei seguenti modi:

• Creando ed eseguendo un'attività di backup dei dati tramite Administration Console.
• Eseguendo l'utilità klbackup nel dispositivo in cui è installato Administration Server. Questa utilità è inclusa nel kit di distribuzione di Kaspersky Security Center. Dopo l'installazione di Administration Server, l'utilità è disponibile nella radice della cartella di destinazione specificata durante l'installazione dell'applicazione.

I seguenti dati vengono salvati nella copia di backup di Administration Server:

• Database di Administration Server (criteri, attività, impostazioni delle applicazioni, eventi salvati in Administration Server).
• Dettagli sulla configurazione della struttura dei gruppi di amministrazione e dei dispositivi client.
• Archivio dei pacchetti di distribuzione delle applicazioni per l'installazione remota.
• Certificato di Administration Server.

Il ripristino dei dati di Administration Server è possibile solo tramite l'utilità klbackup.

Creazione di un'attività di backup dei dati

Le attività di backup sono attività di Administration Server, create tramite l'Avvio rapido guidato. Se un'attività di backup creata dall'Avvio rapido guidato è stata eliminata, è possibile crearne una manualmente.

Per creare un'attività di backup dei dati di Administration Server:

1. Nella struttura della console selezionare la cartella Attività.
2. Avviare la creazione dell'attività in uno dei seguenti modi:
   • Selezionando Nuovo → Attività nel menu di scelta rapida della cartella Attività nella struttura della console.
   • Facendo clic sul pulsante Crea attività nell'area di lavoro.

Verrà avviata l'Aggiunta guidata attività. Seguire le istruzioni della procedura guidata. Nella finestra Selezionare il tipo di attività della procedura guidata selezionare il tipo di attività Backup dei dati di Administration Server.

L'attività Backup dei dati di Administration Server può essere creata solo in una singola copia. Se l'attività di backup dei dati di Administration Server è stata già creata per l'Administration Server, non viene visualizzata nella finestra di selezione del tipo di attività della Creazione guidata attività di backup.

Utilità per il backup e il ripristino dei dati (klbackup)

È possibile copiare i dati di Administration Server a scopo di backup e per il ripristino in un secondo momento tramite l'utilità klbackup, inclusa nel kit di distribuzione di Kaspersky Security Center.

L'utilità klbackup può essere eseguita in due modalità:

• Interattiva
• Non interattiva

Backup e ripristino dei dati in modalità interattiva

Espandi tutto | Comprimi tutto

Per creare una copia di backup dei dati di Administration Server in modalità interattiva:

1. Eseguire l'utilità klbackup disponibile nella cartella di installazione di Kaspersky Security Center.

   Verrà avviata la Procedura guidata di backup e ripristino.

2. Nella prima finestra della procedura guidata selezionare Esegui il backup dei dati di Administration Server.

   Se si seleziona l'opzione Esegui il ripristino o il backup solo del certificato di Administration Server, verrà salvata solo una copia di backup del certificato di Administration Server.

   Fare clic su Avanti.

3. Nella finestra successiva della procedura guidata specificare una password e una cartella di destinazione per il backup, quindi fare clic sul pulsante Avanti per avviare il backup.
4. Se si utilizza un database in un ambiente cloud come Amazon Web Services (AWS) o Microsoft Azure, nella finestra Accedere all'archivio online compilare i seguenti campi:
   • Per AWS:
     • Nome del bucket S3

       Nome del bucket S3 che è stato creato per il backup.

     • ID chiave di accesso

       L'ID chiave (sequenza di caratteri alfanumerici) è stato ricevuto al momento della creazione dell'account utente IAM per l'utilizzo dell'istanza di archiviazione del bucket S3.

       Il campo è disponibile se è stato selezionato il database RDS in un bucket S3.

     • Chiave segreta

       Chiave segreta ricevuta con l'ID chiave di accesso al momento della creazione dell'account utente IAM.

       I caratteri della chiave segreta sono visualizzati come asterischi. Quando si inizia a immettere la chiave segreta, viene visualizzato il pulsante Mostra. Tenere premuto questo pulsante per visualizzare i caratteri immessi.

       Il campo è disponibile se per l'autorizzazione è stata selezionata una chiave di accesso AWS IAM anziché un ruolo IAM.

   • Per Microsoft Azure:
     • Nome dell'account di archiviazione di Azure

       È stato creato il nome dell'account di archiviazione di Azure per l'utilizzo di Kaspersky Security Center.

     • ID sottoscrizione Azure

       La sottoscrizione è stata creata dall'utente nel portale di Azure.

     • Password Azure

       La password dell'ID applicazione è stata ricevuta al momento della creazione dell'ID applicazione.

       I caratteri della password sono visualizzati come asterischi. Quando si inizia a immettere la password, diventerà disponibile il pulsante Mostra. Tenere questo pulsante per visualizzare i caratteri immessi.

     • ID applicazione Azure

       L'ID applicazione è stato creato dall'utente nel portale di Azure.

       È possibile specificare un solo ID applicazione Azure per il polling e altri scopi. Se si desidera eseguire il polling di un altro segmento di Azure, è prima necessario eliminare la connessione Azure esistente.

     • Nome del server SQL Azure

       Il nome e il gruppo di risorse sono disponibili nelle proprietà del server SQL Azure.

     • Gruppo di risorse del server SQL Azure

       Il nome e il gruppo di risorse sono disponibili nelle proprietà del server SQL Azure.

     • Chiave di accesso all'archivio Azure

       Disponibile nelle proprietà dell'account di archiviazione, nella sezione Chiavi di accesso. È possibile utilizzare qualsiasi chiave (chiave1 o chiave2).

Per ripristinare i dati di Administration Server in modalità interattiva:

1. Eseguire l'utilità klbackup disponibile nella cartella di installazione di Kaspersky Security Center. Avviare klbackup con lo stesso account utilizzato per l'installazione di Administration Server.

   Verrà avviata la Procedura guidata di backup e ripristino.

2. Nella prima finestra della procedura guidata selezionare Ripristina dati di Administration Server.

   Se si seleziona l'opzione Esegui il ripristino o il backup solo del certificato di Administration Server, il certificato di Administration Server verrà solo ripristinato.

   Fare clic su Avanti.

3. Nella finestra Ripristinare le impostazioni della procedura guidata:
   • Specificare la cartella che contiene una copia di backup dei dati di Administration Server.

     Se si utilizza un ambiente cloud come AWS o Azure, specificare l'indirizzo dell'archiviazione. Assicurarsi inoltre che il file si chiami backup.zip.

   • Specificare la password che è stata immessa durante il backup dei dati.

     Al momento del ripristino dei dati, è necessario specificare la stessa password che è stata immessa durante il backup. Se il percorso di una cartella condivisa è stato modificato dopo il backup, controllare l'esecuzione delle attività che utilizzano i dati ripristinati (attività di ripristino e attività di installazione remota). Se necessario, modificare le impostazioni di queste attività. Durante il ripristino dei dati da un file di backup, nessun utente deve accedere alla cartella condivisa di Administration Server. L'account con cui viene avviata l'utilità klbackup deve avere accesso completo alla cartella condivisa.

4. Fare clic sul pulsante Avanti per ripristinare i dati.

Backup e ripristino dei dati in modalità non interattiva

Per creare una copia di backup o eseguire il ripristino dei dati di Administration Server in modalità non interattiva:

Eseguire klbackup con il set di chiavi desiderato dalla riga di comando del dispositivo in cui è installato Administration Server.

Sintassi della riga di comando per l'utilità:

klbackup -path BACKUP_PATH [-logfile LOGFILE] [-use_ts]|[-restore] [-password PASSWORD] [-online]

Se non viene specificata alcuna password nella riga di comando dell'utilità klbackup, verrà richiesto di immetterla nella modalità interattiva.

Descrizioni delle chiavi:

• -path BACKUP_PATH– Salvare le informazioni nella cartella BACKUP_PATH o utilizzare i dati nella cartella BACKUP_PATH per il ripristino (parametro obbligatorio).
• -logfile LOGFILE– Salvare un rapporto sul backup e il ripristino dei dati di Administration Server.

  È necessario concedere all'account del server database e all'utilità klbackup le autorizzazioni per la modifica dei dati nella cartella PERCORSO_BACKUP.

• -use_ts– Durante il salvataggio dei dati, copiare le informazioni nella cartella BACKUP_PATH in una sottocartella con un nome che contiene la data di sistema corrente e l'ora dell'operazione nel formato klbackup YYYY-MM-DD # HH-MM-SS. Se la chiave non è specificata, le informazioni vengono salvate nella radice della cartella BACKUP_PATH.

  Quando si tenta di salvare le informazioni in una cartella in cui è già presente una copia di backup, viene visualizzato un messaggio di errore. Le informazioni non vengono aggiornate.

  La disponibilità della chiave -use_ts consente la gestione di un archivio dei dati di Administration Server. Ad esempio, se la chiave -path indica la cartella C:\KLBackups, nella cartella klbackup 2022/6/19 # 11-30-18 vengono archiviate le informazioni sullo stato dell'Administration Server in data 19 giugno 2022 alle 11:30:18.

• -restore – Ripristinare i dati di Administration Server. Il ripristino dei dati viene eseguito in base alle informazioni contenute nella cartella BACKUP_PATH. Se non è disponibile nessuna chiave, viene eseguito il backup dei dati nella cartella BACKUP_PATH.
• -password PASSWORD – Salvare o recuperare il certificato dell'Administration Server; per criptare e decriptare il certificato, utilizzare la password specificata dal parametro PASSWORD.

  Non è possibile recuperare una password dimenticata. Non sono disponibili requisiti per la password. La lunghezza della password è illimitata ed è possibile anche la lunghezza zero (nessuna password).

  Al momento del ripristino dei dati, è necessario specificare la stessa password che è stata immessa durante il backup. Se il percorso di una cartella condivisa è stato modificato dopo il backup, controllare l'esecuzione delle attività che utilizzano i dati ripristinati (attività di ripristino e attività di installazione remota). Se necessario, modificare le impostazioni di queste attività. Durante il ripristino dei dati da un file di backup, nessun utente deve accedere alla cartella condivisa di Administration Server. L'account con cui viene avviata l'utilità klbackup deve avere accesso completo alla cartella condivisa. Si consiglia di eseguire l'utilità su un Administration Server appena installato.

• -online – Eseguire il backup dei dati dell'Administration Server creando uno snapshot del volume per ridurre al minimo il tempo offline dell'Administration Server. Quando si utilizza l'utilità per recuperare i dati, questa opzione viene ignorata.

Spostamento di Administration Server e di un server di database in un altro dispositivo

Espandi tutto | Comprimi tutto

Se è necessario utilizzare Administration Server in un nuovo dispositivo, è possibile spostarlo in uno dei seguenti modi:

• Spostare Administration Server e il server di database in un nuovo dispositivo
• Mantenere il server di database nel dispositivo precedente e spostare solo Administration Server in un nuovo dispositivo

Per spostare Administration Server e il server di database in un nuovo dispositivo:

1. Nel dispositivo precedente creare un backup dei dati di Administration Server.

   A tale scopo, è possibile eseguire l'attività di backup dei dati tramite Administration Console o eseguire l'utilità klbackup.

   Se si utilizza SQL Server come DBMS per Administration Server nel dispositivo precedente, Kaspersky Security Center crea un backup dei dati compatibile solo con SQL Server. Ciò significa che non è possibile ripristinare i dati dal backup in MySQL o MariaDB in un nuovo dispositivo.

2. Selezionare un nuovo dispositivo in cui installare Administration Server. Assicurarsi che l'hardware e il software nel dispositivo selezionato soddisfino i requisiti per Administration Server, Administration Console e Network Agent. Controllare inoltre che le porte utilizzate in Administration Server siano disponibili.
3. Nel nuovo dispositivo installare il sistema di gestione database (DBMS) che verrà utilizzato da Administration Server.

   Quando si seleziona un DBMS, tenere in considerazione il numero di dispositivi coperti da Administration Server.

4. Eseguire l'installazione personalizzata dell'Administration Server nel nuovo dispositivo.
5. Installare i componenti di Administration Server nella stessa cartella in cui è installato l'Administration Server nel dispositivo precedente. Fare clic sul pulsante Sfoglia per specificare il percorso del file.

   

   La finestra Installazione personalizzata

6. Configurare le impostazioni di connessione al server del database.

   

   Esempio della finestra Impostazioni di connessione per Microsoft SQL Server

   A seconda di dove è necessario individuare il server del database, eseguire una delle seguenti operazioni:

   • Spostare il server del database nel nuovo dispositivo
     1. Fare clic sul pulsante Sfoglia accanto al campo Nome istanza SQL Server, quindi selezionare il nuovo nome del dispositivo nell'elenco visualizzato.
     2. Immettere il nuovo nome del database nel campo Nome database.

        Si noti che il nuovo nome del database deve corrispondere al nome del database del dispositivo precedente. I nomi dei database devono essere identici, in modo da poter utilizzare il backup di Administration Server. Il nome predefinito del database è KAV.

   • Mantenimento del server del database nel dispositivo precedente
     1. Fare clic sul pulsante Sfoglia accanto al campo Nome istanza SQL Server, quindi selezionare il nome del dispositivo precedente nell'elenco visualizzato.

        Si noti che il dispositivo precedente deve essere disponibile per la connessione con il nuovo Administration Server.

     2. Immettere il nome del database precedente nel campo Nome database.
7. Al termine dell'installazione ripristinare i dati di Administration Server nel nuovo dispositivo utilizzando l'utilità klbackup.

   Se si utilizza SQL Server come DBMS nei dispositivi precedenti e nuovi, tenere presente che la versione di SQL Server installata nel nuovo dispositivo deve essere uguale o successiva alla versione di SQL Server installata nel dispositivo precedente. In caso contrario non è possibile recuperare i dati di Administration Server nel nuovo dispositivo.

8. Aprire Administration Console e connettersi all'Administration Server.
9. Verificare che tutti i dispositivi client siano collegati ad Administration Server.
10. Disinstallare Administration Server e il server del database dal dispositivo precedente.

È inoltre possibile utilizzare Kaspersky Security Center 13.1 Web Console per spostare Administration Server e il server di un database in un altro dispositivo.

Prevenzione dei conflitti tra più Administration Server

Se sono presenti più Administration Server nella rete, tali server possono visualizzare gli stessi dispositivi client. Questo può comportare, ad esempio, l'installazione remota della stessa applicazione in un dispositivo da parte di più server e altri conflitti. Per evitare situazioni di questo tipo, Kaspersky Security Center 13.1 consente di impedire l'installazione di un'applicazione in un dispositivo gestito da parte di un altro Administration Server.

È anche possibile utilizzare la proprietà Gestito da un altro Administration Server come criterio per i seguenti scopi:

• Ricerca di dispositivi
• Selezioni dispositivi
• Regole di spostamento dei dispositivi
• Regole di tagging automatico

Kaspersky Security Center 13.1 utilizza l'euristica per determinare se un dispositivo client è gestito dall'Administration Server con cui si sta lavorando o da un Administration Server diverso.

Verifica in due passaggi

Questa sezione descrive come utilizzare la verifica in due passaggi per ridurre il rischio di accesso non autorizzato ad Administration Console o Kaspersky Security Center 13.1 Web Console.

Scenario: configurazione della verifica in due passaggi per tutti gli utenti

Questo scenario descrive come abilitare la verifica in due passaggi per tutti gli utenti e come escludere gli account utente dalla verifica in due passaggi. Se non è stata abilitata la verifica in due passaggi per il proprio account prima di abilitarla per tutti gli altri utenti, l'applicazione apre innanzitutto la finestra per abilitare la verifica in due passaggi per il proprio account. Questo scenario descrive anche come abilitare la verifica in due passaggi per il proprio account.

Se è stata abilitata la verifica in due passaggi per il proprio account, è possibile procedere al passaggio di abilitazione della verifica in due passaggi per tutti gli utenti.

Prerequisiti

Prima di iniziare:

• Assicurarsi che il proprio account utente disponga del diritto Modifica elenchi di controllo degli accessi agli oggetti dell'area funzionale Caratteristiche generali: Autorizzazioni utente per la modifica delle impostazioni di protezione per gli account di altri utenti.
• Assicurarsi che gli altri utenti di Administration Server installino un'applicazione di autenticazione nei propri dispositivi.

Passaggi

L'abilitazione della verifica in due passaggi per tutti gli utenti procede per fasi:

1. Installazione di un'applicazione di autenticazione in un dispositivo

   È possibile installare Google Authenticator, Microsoft Authenticator o qualsiasi altra applicazione di autenticazione che supporti l'algoritmo Time-based One-time Password.

2. Sincronizzazione dell'ora dell'applicazione di autenticazione con l'ora del dispositivo in cui è installato Administration Server

   Assicurarsi che l'ora impostata nell'applicazione di autenticazione sia sincronizzata con l'ora di Administration Server.

3. Abilitazione della verifica in due passaggi per il proprio account e ricezione della chiave segreta per il proprio account

   Istruzioni dettagliate:

   • Per Administration Console basata su MMC: Abilitazione della verifica in due passaggi per il proprio account
   • Per Kaspersky Security Center 13.1 Web Console: Abilitazione della verifica in due passaggi per il proprio account

   Dopo aver abilitato la verifica in due passaggi per il proprio account, è possibile abilitare la verifica in due passaggi per tutti gli utenti.

4. Abilitazione della verifica in due passaggi per tutti gli utenti

   Gli utenti con la verifica in due passaggi abilitata devono utilizzarla per accedere ad Administration Server.

   Istruzioni dettagliate:

   • Per Administration Console basata su MMC: Abilitazione della verifica in due passaggi per tutti gli utenti
   • Per Kaspersky Security Center 13.1 Web Console: Abilitazione della verifica in due passaggi per tutti gli utenti
5. Modifica del nome dell'emittente del codice di sicurezza

   Se si dispone di più Administration Server con nomi simili, potrebbe essere necessario modificare i nomi dell'emittente del codice di sicurezza per un migliore riconoscimento dei diversi Administration Server.

   Istruzioni dettagliate:

   • Per Administration Console basata su MMC: Modifica del nome dell'emittente del codice di sicurezza
   • Per Kaspersky Security Center 13.1 Web Console: Modifica del nome dell'emittente del codice di sicurezza
6. Esclusione degli account utente per cui non è necessario abilitare la verifica in due passaggi

   Se necessario, è possibile escludere gli utenti dalla verifica in due passaggi. Gli utenti con account esclusi non devono utilizzare la verifica in due passaggi per accedere ad Administration Server.

   Istruzioni dettagliate:

   • Per Administration Console basata su MMC: Esclusione degli account dalla verifica in due passaggi
   • Per Kaspersky Security Center 13.1 Web Console: Esclusione degli account dalla verifica in due passaggi

Risultati

Al termine di questo scenario:

• La verifica in due passaggi è stata abilitata per l'account.
• La verifica in due passaggi è abilitata per tutti gli account utente di Administration Server, ad eccezione degli account utente che sono stati esclusi.

Informazioni sulla verifica in due passaggi

Kaspersky Security Center fornisce la verifica in due passaggi per gli utenti di Administration Console o Kaspersky Security Center 13.1 Web Console. Quando la verifica in due passaggi è abilitata per il proprio account, ogni volta che si accede ad Administration Console o Kaspersky Security Center 13.1 Web Console è necessario immettere il nome utente, la password e un codice di sicurezza monouso aggiuntivo. Se si utilizza l'autenticazione del dominio per il proprio account, è sufficiente immettere un codice di sicurezza monouso aggiuntivo. Per ricevere un codice di sicurezza monouso è necessario disporre di un'applicazione di autenticazione nel computer o nel dispositivo mobile.

Un codice di sicurezza ha un identificatore denominato nome dell'emittente. Il nome dell'emittente del codice di sicurezza viene utilizzato come identificatore di Administration Server nell'applicazione di autenticazione. È possibile modificare il nome dell'emittente del codice di sicurezza. Il nome dell'emittente del codice di sicurezza ha un valore predefinito uguale al nome di Administration Server. Il nome dell'emittente viene utilizzato come identificatore di Administration Server nell'applicazione di autenticazione. Se si modifica il nome dell'emittente del codice di sicurezza, è necessario emettere una nuova chiave segreta e passarla all'applicazione di autenticazione. Un codice di sicurezza è monouso ed è valido per un massimo di 90 secondi (il tempo esatto può variare).

Qualsiasi utente per cui è abilitata la verifica in due passaggi può riemettere la propria chiave segreta. Quando un utente esegue l'autenticazione con la chiave segreta riemessa e la utilizza per l'accesso, Administration Server salva la nuova chiave segreta per l'account utente. Se l'utente immette la nuova chiave segreta in modo errato, Administration Server non salva la nuova chiave segreta e mantiene la chiave segreta corrente valida per l'ulteriore autorizzazione.

Qualsiasi software di autenticazione che supporti l'algoritmo TOTP (Time-based One-time Password) può essere utilizzato come applicazione di autenticazione, ad esempio Google Authenticator. Per generare il codice di sicurezza, è necessario sincronizzare l'ora impostata nell'applicazione di autenticazione con l'ora impostata per Administration Server.

Un'applicazione di autenticazione genera il codice di sicurezza nel modo seguente:

1. Administration Server genera una chiave segreta speciale e un codice QR.
2. L'utente specifica la chiave segreta generata o il codice QR generato nell'applicazione di autenticazione.
3. L'applicazione di autenticazione genera un codice di sicurezza monouso che verrà specificato nella finestra di autenticazione di Administration Server.

È consigliabile installare un'applicazione di autenticazione in più di un dispositivo. Salvare la chiave segreta (o il codice QR) e conservarli in un luogo sicuro. Questo codice consentirà di ripristinare l'accesso ad Administration Console o Kaspersky Security Center 13.1 Web Console nel caso in cui si perda l'accesso al dispositivo mobile.

Per proteggere l'utilizzo di Kaspersky Security Center, è possibile abilitare la verifica in due passaggi per il proprio account e abilitare la verifica in due passaggi per tutti gli utenti.

È possibile escludere gli account dalla verifica in due passaggi. Questa operazione può essere necessaria per gli account di servizio che non possono ricevere un codice di sicurezza per l'autenticazione.

La verifica in due passaggi funziona in base alle seguenti regole:

• Solo un account utente che dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente può abilitare la verifica in due passaggi per tutti gli utenti.
• Solo un utente che ha abilitato la verifica in due passaggi per il proprio account può abilitare l'opzione di verifica in due passaggi per tutti gli utenti.
• Solo un utente che ha abilitato la verifica in due passaggi per il proprio account può escludere altri account utente dall'elenco della verifica in due passaggi abilitata per tutti gli utenti.
• Un utente può abilitare la verifica in due passaggi solo per il proprio account.
• Un account utente che dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente e che ha eseguito l'accesso ad Administration Console o Kaspersky Security Center 13.1 Web Console utilizzando la verifica in due passaggi può disabilitare la verifica in due passaggi: per qualsiasi altro utente solo se la verifica in due passaggi per tutti gli utenti è disabilitata, per un utente escluso dall'elenco della verifica in due passaggi abilitata per tutti gli utenti.
• Qualsiasi utente che ha eseguito l'accesso ad Administration Console o Kaspersky Security Center 13.1 Web Console utilizzando la verifica in due passaggi può riemettere la propria chiave segreta.
• È possibile abilitare l'opzione di verifica in due passaggi per tutti gli utenti per l'Administration Server attualmente in uso. Se si abilita questa opzione in Administration Server, l'opzione viene abilitata anche per gli account utente dei relativi Administration Server virtuali e non si abilita la verifica in due passaggi per gli account utente degli Administration Server secondari.

Se la verifica in due passaggi è abilitata per un account utente in Kaspersky Security Center Administration Server versione 13 o successive, l'utente non sarà in grado di accedere a Kaspersky Security Center 13.1 Web Console versione 12, 12.1 o 12.2.

Abilitazione della verifica in due passaggi per il proprio account

Prima di abilitare la verifica in due passaggi per il proprio account, assicurarsi che nel dispositivo mobile sia installata un'applicazione di autenticazione. Assicurarsi che l'ora impostata nell'applicazione di autenticazione sia sincronizzata con l'ora di Administration Server.

Per abilitare la verifica in due passaggi per il proprio account:

1. Nella struttura della console di Kaspersky Security Center aprire il menu di scelta rapida della cartella Administration Server, quindi selezionare Proprietà.
2. Nella finestra delle proprietà di Administration Server accedere al riquadro Sezioni e selezionare Avanzate, quindi Verifica in due passaggi.
3. Nella sezione Verifica in due passaggi fare clic sul pulsante Configura.

   Nella finestra delle proprietà della verifica in due passaggi visualizzata verrà mostrata la chiave segreta.

4. Immettere la chiave segreta nell'applicazione di autenticazione per ricevere il codice di sicurezza monouso. È possibile specificare manualmente la chiave segreta nell'applicazione di autenticazione o eseguire la scansione del codice QR tramite il dispositivo mobile.
5. Specificare il codice di sicurezza generato dall'applicazione di autenticazione, quindi fare clic sul pulsante OK per uscire dalla finestra delle proprietà della verifica in due passaggi.
6. Fare clic sul pulsante Applica.
7. Fare clic sul pulsante OK.

La verifica in due passaggi è stata abilitata per il proprio account.

Abilitazione della verifica in due passaggi per tutti gli utenti

È possibile abilitare la verifica in due passaggi per tutti gli utenti di Administration Server se il proprio account dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente e se è stata eseguita l'autenticazione utilizzando la verifica in due passaggi. Se non è stata abilitata la verifica in due passaggi per il proprio account prima di abilitarla per tutti gli utenti, l'applicazione apre la finestra per abilitare la verifica in due passaggi per il proprio account.

Per abilitare la verifica in due passaggi per tutti gli utenti:

1. Nella struttura della console di Kaspersky Security Center aprire il menu di scelta rapida della cartella Administration Server, quindi selezionare Proprietà.
2. Nella finestra delle proprietà di Administration Server, nel riquadro Sezioni selezionare Avanzate, quindi Verifica in due passaggi.
3. Fare clic sul pulsante Imposta come obbligatoria per abilitare la verifica in due passaggi per tutti gli utenti.
4. Nella sezione Verifica in due passaggi fare clic sul pulsante Applica, quindi fare clic sul pulsante OK.

La verifica in due passaggi è abilitata per tutti gli utenti. D'ora in poi tutti gli utenti di Administration Server, inclusi gli utenti aggiunti dopo aver abilitato questa opzione, dovranno configurare la verifica in due passaggi per i propri account, ad eccezione degli utenti i cui account sono esclusi dalla verifica in due passaggi.

Disabilitazione della verifica in due passaggi per un account utente

Per disabilitare la verifica in due passaggi per il proprio account:

1. Nella struttura della console di Kaspersky Security Center aprire il menu di scelta rapida della cartella Administration Server, quindi selezionare Proprietà.
2. Nella finestra delle proprietà di Administration Server, nel riquadro Sezioni selezionare Avanzate, quindi Verifica in due passaggi.
3. Nella sezione Verifica in due passaggi fare clic sul pulsante Disabilita.
4. Fare clic sul pulsante Applica.
5. Fare clic sul pulsante OK.

La verifica in due passaggi è stata disabilitata per il proprio account.

È possibile disabilitare la verifica in due passaggi degli account di altri utenti. In questo modo viene garantita la protezione ad esempio nel caso in cui un utente perda o rompa un dispositivo mobile.

È possibile disabilitare la verifica in due passaggi dell'account di un altro utente solo se si dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente. Seguendo la procedura di seguito è possibile disabilitare la verifica in due passaggi anche per il proprio account.

Per disabilitare la verifica in due passaggi per qualsiasi account utente:

1. Nella struttura della console aprire la cartella Account utente.

   La cartella Account utente è una sottocartella della cartella Avanzate per impostazione predefinita.

2. Nell'area di lavoro fare doppio clic sull'account utente per cui si desidera disabilitare la verifica in due passaggi.
3. Nella finestra Proprietà:<nome utente> visualizzata selezionare la sezione Verifica in due passaggi.
4. Nella sezione Verifica in due passaggi selezionare le seguenti opzioni:
   • Se si desidera disabilitare la verifica in due passaggi per un account utente, fare clic sul pulsante Disabilita.
   • Se si desidera escludere questo account utente dalla verifica in due passaggi, selezionare l'opzione L'utente può eseguire l'autenticazione utilizzando solo nome utente e password.
5. Fare clic sul pulsante Applica.
6. Fare clic sul pulsante OK.

La verifica in due passaggi per un account utente è stata disabilitata.

Disabilitazione della verifica in due passaggi per tutti gli utenti

È possibile disabilitare la verifica in due passaggi per tutti gli utenti di Administration Server se si dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente e se è stata eseguita l'autenticazione utilizzando la verifica in due passaggi.

Per disabilitare la verifica in due passaggi per tutti gli utenti:

1. Nella struttura della console di Kaspersky Security Center aprire il menu di scelta rapida della cartella Administration Server, quindi selezionare Proprietà.
2. Nella finestra delle proprietà di Administration Server, nel riquadro Sezioni selezionare Avanzate, quindi Verifica in due passaggi.
3. Fare clic sul pulsante Imposta come facoltativa per disabilitare la verifica in due passaggi per tutti gli utenti.
4. Fare clic sul pulsante Applica nella sezione Verifica in due passaggi.
5. Fare clic sul pulsante OK nella sezione Verifica in due passaggi.

La verifica in due passaggi è disabilitata per tutti gli utenti.

Esclusione di account dalla verifica in due passaggi

È possibile escludere un account dalla verifica in due passaggi se il proprio account dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente.

Se un account utente viene escluso dalla verifica in due passaggi, l'utente può accedere ad Administration Console o Kaspersky Security Center 13.1 Web Console senza utilizzare la verifica in due passaggi.

L'esclusione degli account dalla verifica in due passaggi può essere necessaria per gli account di servizio che non possono passare il codice di sicurezza durante l'autenticazione.

Per escludere un account utente dalla verifica in due passaggi:

1. Se si desidera escludere un account Active Directory, eseguire il polling di Active Directory per aggiornare l'elenco degli utenti di Administration Server.
2. Nella struttura della console aprire la cartella Account utente.

   La cartella Account utente è una sottocartella della cartella Avanzate per impostazione predefinita.

3. Nell'area di lavoro fare doppio clic sull'account utente che si desidera escludere dalla verifica in due passaggi
4. Nella finestra Proprietà:<nome utente> visualizzata selezionare la sezione Verifica in due passaggi.
5. Nella sezione visualizzata selezionare l'opzione L'utente può eseguire l'autenticazione utilizzando solo nome utente e password.
6. Nella sezione Verifica in due passaggi fare clic sul pulsante Applica, quindi fare clic sul pulsante OK.

Questo account utente è escluso dalla verifica in due passaggi. È possibile controllare gli account esclusi nell'elenco degli account utente.

Modifica del nome dell'emittente del codice di sicurezza

È possibile disporre di più identificatori (chiamati emittenti) per diversi Administration Server. È possibile modificare il nome dell'emittente di un codice di sicurezza ad esempio nel caso in cui Administration Server utilizzi già un nome simile dell'emittente del codice di sicurezza per un altro Administration Server. Per impostazione predefinita, il nome dell'emittente di un codice di sicurezza è uguale al nome di Administration Server.

Dopo aver modificato il nome dell'emittente del codice di sicurezza, è necessario riemettere una nuova chiave segreta e passarla all'applicazione di autenticazione.

Per specificare un nuovo nome dell'emittente del codice di sicurezza:

1. Nella struttura della console di Kaspersky Security Center aprire il menu di scelta rapida della cartella Administration Server, quindi selezionare Proprietà.
2. Nella finestra delle proprietà di Administration Server, nel riquadro Sezioni selezionare Avanzate, quindi Verifica in due passaggi.
3. Specificare un nuovo nome dell'emittente del codice di sicurezza nel campo Emittente codice di sicurezza.
4. Fare clic sul pulsante Applica nella sezione Verifica in due passaggi.
5. Fare clic sul pulsante OK nella sezione Verifica in due passaggi.

Viene specificato un nuovo nome dell'emittente del codice di sicurezza per Administration Server.

Gestione dei gruppi di amministrazione

Questa sezione contiene informazioni su come gestire i gruppi di amministrazione.

È possibile eseguire le seguenti azioni sui gruppi di amministrazione:

• Aggiungere un numero illimitato di gruppi nidificati a qualsiasi livello della gerarchia dei gruppi di amministrazione.
• Aggiungere dispositivi ai gruppi di amministrazione.
• Modificare la gerarchia dei gruppi di amministrazione spostando singoli dispositivi e interi gruppi in altri gruppi.
• Rimuovere gruppi nidificati e dispositivi dai gruppi di amministrazione.
• Aggiungere Administration Server secondari e virtuali ai gruppi di amministrazione.
• Spostare dispositivi dai gruppi di amministrazione di un Administration Server a quelli di un altro server.
• Definire le applicazioni Kaspersky da installare automaticamente nei dispositivi inclusi in un gruppo.

È possibile eseguire queste azioni solo se si dispone dell'autorizzazione Modifica nell'area Gestione dei gruppi di amministrazione per i gruppi di amministrazione che si desidera gestire (o per l'Administration Server a cui appartengono questi gruppi).

Creazione di gruppi di amministrazione

La gerarchia dei gruppi di amministrazione viene creata nella finestra principale dell'applicazione di Kaspersky Security Center, nella cartella Dispositivi gestiti. I gruppi di amministrazione sono visualizzati come cartelle nella struttura della console (vedere la figura seguente).

Subito dopo l'installazione di Kaspersky Security Center, la cartella Dispositivi gestiti contiene solo una cartella Administration Server vuota.

Le impostazioni dell'interfaccia utente determinano se la cartella Administration Server appare nella struttura della console. Per visualizzare questa cartella, nella barra dei menu selezionare Visualizza → Configura interfaccia e, nella finestra Configura interfaccia visualizzata, selezionare la casella di controllo Visualizza Administration Server secondari.

Durante la creazione di una gerarchia di gruppi di amministrazione, è possibile aggiungere dispositivi e macchine virtuali alla cartella Dispositivi gestiti, nonché aggiungere gruppi nidificati. Gli Administration Server secondari e virtuali possono essere aggiunti alla cartella Administration Server.

Come nel caso della cartella Dispositivi gestiti, ogni gruppo creato inizialmente contiene solo una cartella Administration Server vuota e destinata alla gestione degli Administration Server secondari e virtuali del gruppo. Le informazioni sui criteri e sulle attività per questo gruppo e le informazioni sui dispositivi inclusi in questo gruppo vengono visualizzate nelle schede con i nomi corrispondenti nell'area di lavoro del gruppo.

Visualizzazione della gerarchia di gruppi di amministrazione

Per creare un gruppo di amministrazione:

1. Nella struttura della console espandere la cartella Dispositivi gestiti.
2. Se si desidera creare un sottogruppo in un gruppo di amministrazione esistente, nella cartella Dispositivi gestiti selezionare una sottocartella corrispondente al gruppo che deve includere il nuovo gruppo di amministrazione.

   Se si crea un nuovo gruppo di amministrazione di primo livello, è possibile ignorare questo passaggio.

3. Avviare la creazione del gruppo di amministrazione in uno dei seguenti modi:
   • Utilizzando il comando Nuovo→ Gruppo nel menu di scelta rapida.
   • Facendo clic sul pulsante Nuovo gruppo nell'area di lavoro della finestra principale dell'applicazione, nella scheda Dispositivi.
4. Nella finestra Nome gruppo visualizzata immettere un nome per il gruppo, quindi fare clic su OK.

Una nuova cartella del gruppo di amministrazione con il nome specificato verrà visualizzata nella struttura della console.

L'applicazione consente di creare una gerarchia di gruppi di amministrazione basata sulla struttura di Active Directory o sulla struttura della rete di dominio. È inoltre possibile creare una struttura di gruppi a partire da un file di testo.

Per creare una struttura di gruppi di amministrazione:

1. Nella struttura della console selezionare la cartella Dispositivi gestiti.
2. Nel menu di scelta rapida della cartella Dispositivi gestiti selezionare Tutte le attività → Nuova struttura di gruppi.

Verrà avviata la Creazione guidata nuova struttura dei gruppi di amministrazione. Seguire le istruzioni della procedura guidata.

Spostamento di gruppi di amministrazione

È possibile spostare i gruppi di amministrazione nidificati all'interno della gerarchia dei gruppi.

Un gruppo di amministrazione viene spostato con tutti i gruppi nidificati, gli Administration Server secondari, i dispositivi, i criteri e le attività di gruppo. Il sistema applica al gruppo tutte le impostazioni che corrispondono alla nuova posizione nella gerarchia dei gruppi di amministrazione.

Il nome del gruppo deve essere univoco all'interno del livello della gerarchia. Se un gruppo con lo stesso nome esiste già nella cartella in cui si sposta il gruppo di amministrazione, è necessario cambiare il nome di quest'ultimo. Se non si modifica il nome del gruppo spostato, dopo lo spostamento al nome viene aggiunto un indice (<numero progressivo successivo>), ad esempio: (1), (2).

Non è possibile rinominare il gruppo Dispositivi gestiti perché si tratta di un elemento predefinito di Administration Console.

Per spostare un gruppo in un'altra cartella nella struttura della console:

1. Selezionare un gruppo da spostare nella struttura della console.
2. Eseguire una delle seguenti operazioni:
   • Spostare il gruppo utilizzando il menu di scelta rapida:
     1. Selezionare Taglia nel menu di scelta rapida del gruppo.
     2. Selezionare Incolla dal menu di scelta rapida del gruppo di amministrazione in cui si desidera spostare il gruppo selezionato.
   • Spostare il gruppo utilizzando il menu principale dell'applicazione:
     1. Nel menu principale selezionare Azione → Taglia.
     2. Selezionare nella struttura della console il gruppo di amministrazione in cui si desidera spostare il gruppo selezionato.
     3. Nel menu principale selezionare Azione → Incolla.
   • Spostare il gruppo in un altro gruppo nella struttura della console utilizzando il mouse.

Eliminazione di gruppi di amministrazione

È possibile eliminare un gruppo di amministrazione se non contiene Administration Server secondari, gruppi nidificati o dispositivi client e purché per tale gruppo di amministrazione non siano stati creati attività o criteri di gruppo.

Prima di eliminare un gruppo di amministrazione, è necessario rimuovere da tale gruppo tutti gli Administration Server secondari, i gruppi nidificati e i dispositivi client.

Per eliminare un gruppo:

1. Selezionare un gruppo di amministrazione nella struttura della console.
2. Eseguire una delle seguenti operazioni:
   • Selezionare Elimina nel menu di scelta rapida del gruppo.
   • Nel menu principale dell'applicazione selezionare Azione → Elimina.
   • Premere CANC.

Creazione automatica di una struttura di gruppi di amministrazione

Kaspersky Security Center consente di creare una struttura di gruppi di amministrazione utilizzando la Creazione guidata gerarchia di gruppi.

La procedura guidata crea una struttura di gruppi di amministrazione basata sui seguenti dati:

• Strutture di gruppi di lavoro e domini Windows
• Strutture di gruppi di Active Directory
• Contenuti di un file di testo creato manualmente dall'amministratore

Quando viene generato il file di testo, devono essere soddisfatte le seguenti condizioni:

• Il nome di ogni nuovo gruppo deve iniziare con una nuova riga e il delimitatore deve iniziare con un'interruzione di riga. Le righe vuote vengono ignorate.

  Esempio: Ufficio 1 Ufficio 2 Ufficio 3 Nel gruppo di destinazione verranno creati tre gruppi al primo livello della gerarchia.

• Il nome del gruppo nidificato deve essere immesso utilizzando una barra (/).

  Esempio: Ufficio 1/Divisione 1/Reparto 1/Gruppo 1 Nel gruppo di destinazione verranno creati quattro sottogruppi nidificati l'uno nell'altro.

• Per creare più gruppi nidificati allo stesso livello della gerarchia, è necessario specificare il "percorso completo del gruppo".

  Esempio: Ufficio 1/Divisione 1/Reparto 1 Ufficio 1/Divisione 2/Reparto 1 Ufficio 1/Divisione 3/Reparto 1 Ufficio 1/Divisione 4/Reparto 1 Nel gruppo di destinazione verrà creato un solo gruppo al primo livello della gerarchia, che includerà quattro gruppi nidificati allo stesso livello della gerarchia: "Divisione 1", "Divisione 2", "Divisione 3" e "Divisione 4". Ognuno di questi gruppi includerà il gruppo "Reparto 1".

La creazione della gerarchia dei gruppi di amministrazione utilizzando la procedura guidata non influisce sull'integrità della rete: invece di sostituire i gruppi esistenti, vengono aggiunti nuovi gruppi. Un dispositivo client non può essere incluso una seconda volta in un gruppo di amministrazione perché il dispositivo è rimosso dal gruppo Dispositivi non assegnati quando viene spostato nel gruppo di amministrazione.

Se, durante la creazione della struttura dei gruppi di amministrazione, un dispositivo non è stato incluso nel gruppo Dispositivi non assegnati per qualche motivo (ad esempio, perché era spento o disconnesso dalla rete), il dispositivo non verrà spostato automaticamente nel gruppo di amministrazione. Al termine della procedura guidata, è possibile aggiungere manualmente i dispositivi ai gruppi di amministrazione.

Per avviare la creazione automatica di una struttura di gruppi di amministrazione:

1. Selezionare la cartella Dispositivi gestiti nella struttura della console.
2. Nel menu di scelta rapida della cartella Dispositivi gestiti selezionare Tutte le attività → Nuova struttura di gruppi.

Verrà avviata la Creazione guidata nuova struttura dei gruppi di amministrazione. Seguire le istruzioni della procedura guidata.

Installazione automatica delle applicazioni nei dispositivi di un gruppo di amministrazione

È possibile specificare i pacchetti di installazione da utilizzare per l'installazione remota delle applicazioni Kaspersky nei dispositivi client aggiunti al gruppo di recente.

Per configurare l'installazione automatica delle applicazioni nei nuovi dispositivi di un gruppo di amministrazione:

1. Nella struttura della console selezionare il gruppo di amministrazione desiderato.
2. Aprire la finestra delle proprietà del gruppo di amministrazione.
3. Nel riquadro Sezioni selezionare Installazione automatica e nell'area di lavoro selezionare i pacchetti di installazione delle applicazioni da installare nei nuovi dispositivi.
4. Fare clic su OK.

Le attività di gruppo vengono create. Queste attività vengono eseguite nei dispositivi client subito dopo essere stati aggiunti al gruppo di amministrazione.

Se per un'applicazione vengono selezionati più pacchetti di installazione per l'installazione automatica, l'attività di installazione viene creata solo per la versione più recente dell'applicazione.

Gestione dei dispositivi client

Questa sezione contiene informazioni sull'utilizzo dei dispositivi client.

Connessione dei dispositivi client ad Administration Server

La connessione del dispositivo client all'Administration Server viene stabilita attraverso il Network Agent installato nel dispositivo client.

Quando un dispositivo client effettua la connessione ad Administration Server, vengono eseguite le seguenti operazioni:

• Sincronizzazione automatica dei dati:
  • Sincronizzazione dell'elenco delle applicazioni installate nel dispositivo client.
  • Sincronizzazione di criteri, impostazioni dell'applicazione, attività e impostazioni delle attività.
• Recupero di informazioni aggiornate sulle condizioni delle applicazioni e di statistiche sull'esecuzione delle applicazioni e delle attività da parte di Administration Server.
• Invio all'Administration Server delle informazioni sugli eventi per l'elaborazione.

La sincronizzazione automatica dei dati viene eseguita periodicamente, in base alle impostazioni di Network Agent (ad esempio, ogni 15 minuti). È possibile specificare l'intervallo di connessione manualmente.

Le informazioni su un evento vengono inviate ad Administration Server non appena si verificano.

Se un Administration Server è remoto, ovvero all'esterno di una rete aziendale, i dispositivi client vi si connettono tramite Internet.

Per la connessione dei dispositivi client a un Administration Server via Internet, devono essere soddisfatte le seguenti condizioni:

• L'Administration Server remoto deve disporre di un indirizzo IP esterno e la porta in entrata 13000 deve rimanere aperta (per la connessione dei Network Agent). È consigliabile aprire anche la porta UDP 13000 (per la ricezione delle notifiche sullo spegnimento dei dispositivi).
• I Network Agent devono essere installati nei dispositivi.
• Quando si installa Network Agent nei dispositivi, è necessario specificare l'indirizzo IP esterno dell'Administration Server remoto. Se per l'installazione viene utilizzato un pacchetto di installazione, l'indirizzo IP esterno deve essere specificato manualmente nelle proprietà del pacchetto di installazione, nella sezione Impostazioni.
• Per utilizzare l'Administration Server remoto al fine di gestire le applicazioni e le attività di un dispositivo, nella sezione Generale della finestra delle proprietà di tale dispositivo selezionare la casella di controllo Non eseguire la disconnessione dall'Administration Server. Dopo avere selezionato la casella di controllo, attendere la sincronizzazione di Administration Server con il dispositivo remoto. Il numero di dispositivi client che mantengono una connessione permanente con un Administration Server non può essere superiore a 300.

Per aumentare le prestazioni delle attività generate da un Administration Server remoto, è possibile aprire la porta 15000 in un dispositivo. In questo caso, per eseguire un'attività, l'Administration Server invia uno speciale pacchetto a Network Agent tramite la porta 15000 senza attendere il completamento della sincronizzazione con il dispositivo.

Kaspersky Security Center consente di configurare la connessione tra un dispositivo client e Administration Server in modo che la connessione rimanga attiva dopo che tutte le operazioni sono state completate. Una connessione senza interruzioni è necessaria quando occorre un monitoraggio in tempo reale dello stato delle applicazioni e Administration Server non è in grado di stabilire una connessione al client per qualche motivo (ad esempio, la connessione è protetta da un firewall, l'apertura di porte nel dispositivo client non è consentita o l'indirizzo IP del dispositivo client è sconosciuto). È possibile stabilire una connessione senza interruzioni tra un dispositivo client e Administration Server nella sezione Generale della finestra delle proprietà del dispositivo.

È consigliabile stabilire una connessione senza interruzioni con i dispositivi più importanti. Il numero totale di connessioni mantenute contemporaneamente da Administration Server è limitato a 300.

In caso di sincronizzazione manuale, il sistema utilizza un metodo di connessione ausiliario, per cui la connessione viene avviata da Administration Server. Prima di stabilire la connessione in un dispositivo client, è necessario aprire la porta UDP. Administration Server invia una richiesta di connessione alla porta UDP del dispositivo client. In risposta, verrà verificato il certificato di Administration Server. Se il certificato di Administration Server corrisponde alla copia archiviata nel dispositivo client, viene stabilita la connessione.

L'avvio manuale della sincronizzazione è inoltre utilizzato per ottenere informazioni aggiornate sulle condizioni delle applicazioni, l'esecuzione delle attività e le statistiche sul funzionamento delle applicazioni.

Connessione manuale di un dispositivo client ad Administration Server. Utilità Klmover

Se è necessario eseguire manualmente la connessione di un dispositivo client ad Administration Server, è possibile utilizzare l'utilità klmover nel dispositivo client.

Quando si installa Network Agent su un dispositivo client, l'utilità viene automaticamente copiata nella cartella di installazione di Network Agent.

Per connettere manualmente un dispositivo client ad Administration Server utilizzando l'utilità klmover:

Nel dispositivo avviare l'utilità klmover dalla riga di comando.

Quando viene avviata dalla riga di comando, l'utilità klmover può eseguire le seguenti operazioni (a seconda delle chiavi in uso):

• Connette Network Agent ad Administration Server con le impostazioni specificate.
• Memorizza i risultati dell'operazione nel file del registro eventi o li visualizza sullo schermo.

Sintassi della riga di comando per l'utilità:

klmover [-logfile <nome file>] [-address <indirizzo server>] [-pn <numero porta>] [-ps <numero porta SSL>] [-nossl] [-cert <percorso del file di certificato>] [-silent] [-dupfix] [-virtserv] [-cloningmode]

I diritti di amministratore sono necessari per eseguire l'utilità.

Descrizioni delle chiavi:

• -logfile <nome file> – Memorizza i risultati dell'esecuzione dell'utilità in un file di registro.

  Per impostazione predefinita, le informazioni vengono salvate nel flusso di output standard (stdout). Se la chiave non è in uso, i risultati e i messaggi di errore sono visualizzati sullo schermo.

• -address <indirizzo server>– Indirizzo dell'Administration Server a cui connettersi.

  È possibile specificare un indirizzo IP, il nome NetBIOS o il nome DNS di un dispositivo come indirizzo.

• -pn <numero di porta> – Numero della porta tramite la quale viene stabilita la connessione non criptata ad Administration Server.

  Il numero di porta predefinito è 14000.

• -ps <numero di porta SSL> – Numero della porta SSL tramite la quale viene stabilita la connessione criptata ad Administration Server utilizzando il protocollo SSL.

  Il numero di porta predefinito è 13000.

• -nossl – Utilizza la connessione non criptata ad Administration Server.

  Se la chiave non è in uso, Network Agent è connesso ad Administration Server tramite il protocollo SSL criptato.

• -cert <percorso del file di certificato> – Utilizza il file di certificato specificato per l'autenticazione di accesso ad Administration Server.

  Se la chiave non è in uso, Network Agent riceve un certificato alla prima connessione ad Administration Server.

• -silent – Esegue l'utilità in modalità automatica.

  L'utilizzo della chiave potrebbe ad esempio essere utile se l'utilità viene avviata dallo script di accesso alla registrazione dell'utente.

• -dupfix – La chiave è utilizzata se Network Agent è stato installato tramite un metodo diverso da quello usuale (con il pacchetto di distribuzione), ad esempio ripristinandolo da un'immagine disco ISO.
• -virtserv: nome dell'Administration Server virtuale.
• -cloningmode: modalità di clonazione del disco di Network Agent.

  Utilizzare uno dei seguenti parametri per configurare la modalità di clonazione del disco:

  • -cloningmode: richiede lo stato della modalità di clonazione del disco.
  • -cloningmode 1: abilita la modalità di clonazione del disco.
  • -cloningmode 0: disabilita la modalità di clonazione del disco.

Ad esempio, per connettere Network Agent ad Administration Server, eseguire il seguente comando:

klmover -address kscserver.mycompany.com -logfile klmover.log

Tunneling della connessione tra un dispositivo client e Administration Server

Kaspersky Security Center consente il tunneling delle connessioni TCP da Administration Console tramite l'Administration Server e quindi tramite Network Agent su una porta specificata in un dispositivo gestito. Il tunneling è progettato per la connessione di un'applicazione client su un dispositivo con Administration Console installato a una porta TCP in un dispositivo gestito, se non è possibile la connessione diretta tra Administration Console e il dispositivo di destinazione.

Il tunneling viene ad esempio utilizzato per le connessioni a un desktop remoto, sia per connettersi a una sessione esistente che per creare una nuova sessione remota.

È anche possibile abilitare il tunneling utilizzando strumenti esterni. L'amministratore può ad esempio eseguire l'utilità putty, il client VNC e altri strumenti in questo modo.

Il tunneling della connessione tra un dispositivo client remoto e Administration Server è richiesto se la porta utilizzata per la connessione ad Administration Server non è disponibile nel dispositivo. La porta nel dispositivo potrebbe non essere disponibile nei seguenti casi:

• Il dispositivo remoto è connesso a una rete locale che utilizza il meccanismo NAT.
• Il dispositivo remoto fa parte della rete locale di Administration Server, ma la relativa porta è chiusa da un firewall.

Per eseguire il tunneling della connessione tra un dispositivo client e Administration Server:

1. Nella struttura della console selezionare la cartella del gruppo che include il dispositivo client.
2. Nella scheda Dispositivi selezionare il dispositivo.
3. Nel menu di scelta rapida del dispositivo selezionare Tutte le attività → Tunneling connessione.
4. Creare un tunnel nella finestra Tunneling connessione visualizzata.

Connessione remota al desktop di un dispositivo client

L'amministratore può accedere in remoto al desktop di un dispositivo client attraverso Network Agent installato nel dispositivo client. La connessione remota a un dispositivo tramite Network Agent è possibile anche se le porte TCP e UDP del dispositivo client sono chiuse.

Dopo avere stabilito la connessione con il dispositivo, l'amministratore ottiene l'accesso completo alle informazioni memorizzate in tale dispositivo e può gestire le applicazioni installate.

Può essere stabilita la connessione remota con un dispositivo in uno dei seguenti modi:

• Utilizzando un componente standard di Microsoft Windows denominato Connessione Desktop remoto. La connessione a un desktop remoto viene stabilita attraverso l'utilità standard di Windows mstsc.exe in base alle impostazioni dell'utilità.

  La connessione alla sessione di desktop remoto corrente dell'utente viene stabilita senza che l'utente ne sia a conoscenza. Una volta che l'amministratore si è connesso alla sessione, l'utente del dispositivo viene disconnesso dalla sessione senza preavviso.

• Utilizzando la tecnologia Condivisione desktop Windows. Quando ci si connette a una sessione esistente di desktop remoto, l'utente della sessione nel dispositivo client riceve una richiesta per la connessione dall'amministratore. Nei rapporti creati da Kaspersky Security Center non sarà salvata alcuna informazione sull'attività remota nel dispositivo né sui relativi risultati.

  L'amministratore può connettersi a una sessione esistente in un dispositivo client senza disconnettere l'utente in questa sessione. In questo caso, l'amministratore e l'utente della sessione nel dispositivo condividono l'accesso al desktop.

  L'amministratore può configurare un controllo dell'attività dell'utente in un dispositivo client remoto. Durante il controllo, l'applicazione salva le informazioni sui file nel dispositivo client che sono stati aperti e/o modificati dall'amministratore.

  Per connettersi al desktop di un dispositivo client tramite Condivisione desktop Windows, devono essere soddisfatte le seguenti condizioni:

  • Microsoft Windows Vista o un sistema operativo Windows successivo è installato nel dispositivo client.
  • Microsoft Windows Vista o versione successiva è installato nella workstation di amministrazione. Il tipo di sistema operativo del dispositivo che contiene Administration Server non impone alcuna limitazione alla connessione tramite Condivisione desktop Windows.
  • Per verificare se la funzionalità Condivisione desktop Windows è inclusa nella versione di Windows in uso, assicurarsi che la chiave CLSID\{32BE5ED2-5C86-480F-A914-0FF8885A1B3F} sia presente nel Registro di sistema di Windows.
  • Microsoft Windows Vista o versione successiva è installato nel dispositivo client.
  • Kaspersky Security Center utilizza una licenza per Vulnerability e patch management.
• Utilizzando il sistema VNC (Virtual Network Computing). L'amministratore può utilizzare il sistema VNC per connettersi ai dispositivi macOS.

  La connessione a un desktop remoto viene stabilita tramite un client VNC installato nel dispositivo con Administration Server. Il client VNC trasmette l'input della tastiera e del mouse dal dispositivo client all'amministratore.

  Quando l'amministratore si connette al desktop remoto, l'utente non riceve notifiche o richieste di connessione dall'amministratore. L'amministratore può connettersi a una sessione esistente nel dispositivo client senza disconnettere l'utente in questa sessione.

  Per connettersi al desktop di un dispositivo macOS client tramite il client VNC, devono essere soddisfatte le seguenti condizioni:

  • Il client VNC viene installato nel dispositivo con Administration Server.
  • L'accesso remoto e la gestione remota sono consentiti sul dispositivo client.
  • L'utente ha autorizzato l'amministratore ad accedere al dispositivo client nelle impostazioni Condivisione.

Per connettersi al desktop di un dispositivo client tramite il componente Connessione Desktop remoto:

1. Nella struttura di Administration Console selezionare il dispositivo a cui è necessario ottenere l'accesso.
2. Nel menu di scelta rapida del dispositivo selezionare Tutte le attività → Connetti al dispositivo → Nuova sessione RDP.

   Verrà avviata l'utilità standard di Windows mstsc.exe, che consente stabilire la connessione al desktop remoto.

3. Seguire le istruzioni visualizzate nelle finestre di dialogo dell'utilità.

Quando viene stabilita la connessione con il dispositivo, il desktop è disponibile nella finestra Connessione Desktop remoto di Microsoft Windows.

Per connettersi al desktop di un dispositivo client tramite Condivisione desktop Windows:

1. Nella struttura di Administration Console selezionare il dispositivo a cui è necessario ottenere l'accesso.
2. Nel menu di scelta rapida del dispositivo selezionare Tutte le attività → Connetti al dispositivo → Condivisione desktop Windows.
3. Nella finestra Seleziona sessione Desktop remoto visualizzata selezionare la sessione nel dispositivo a cui è necessario connettersi.

   Se la connessione al dispositivo viene stabilita correttamente, il desktop del dispositivo sarà disponibile nella finestra Visualizzatore sessione Desktop remoto Kaspersky.

4. Per iniziare a interagire con il dispositivo, nel menu principale della finestra Visualizzatore sessione Desktop remoto Kaspersky selezionare Azioni → Modalità interattiva.

Per connettersi al desktop di un dispositivo client tramite il sistema VNC:

1. Nella struttura di Administration Console selezionare il dispositivo a cui è necessario ottenere l'accesso.
2. Nel menu di scelta rapida del dispositivo selezionare Tutte le attività → Tunneling connessione.
3. Nella finestra Tunneling connessione visualizzata, eseguire una delle seguenti operazioni:
   1. Nella sezione 1. Porta di rete, specificare il numero di porta di rete del dispositivo a cui è necessario connettersi

      Per impostazione predefinita, viene utilizzata la porta 5900.

   2. Nella sezione 2. Tunneling, fare clic sul pulsante Crea tunnel.
   3. Nella sezione 3. Impostazioni di rete, fare clic sul pulsante Copia.
4. Aprire il client VNC e incollare gli attributi di rete copiati nel campo di testo. Premere Invio.
5. Nella finestra visualizzata, visualizzare i dettagli del certificato: Se si accetta di utilizzare il certificato, fare clic sul pulsante Sì.
6. Nella finestra Autenticazione, specificare le credenziali del dispositivo client, quindi fare clic su OK.

Connessione ai dispositivi tramite Condivisione desktop Windows

Per eseguire la connessione a un dispositivo tramite Condivisione desktop Windows:

1. Nella struttura della console, nella scheda Dispositivi, selezionare la cartella Dispositivi gestiti.

   Nell'area di lavoro di questa cartella viene visualizzato un elenco di dispositivi.

2. Nel menu di scelta rapida del dispositivo a cui si desidera eseguire la connessione selezionare Connetti al dispositivo → Condivisione desktop Windows.

   Verrà aperta la finestra Seleziona sessione Desktop remoto.

3. Nella finestra Seleziona sessione Desktop remoto selezionare una sessione desktop per la connessione al dispositivo.
4. Fare clic su OK.

Il dispositivo sarà connesso.

Configurazione del riavvio di un dispositivo client

Durante l'utilizzo, l'installazione o la rimozione di Kaspersky Security Center, potrebbe essere necessario riavviare il dispositivo. È possibile specificare le impostazioni di riavvio solo per i dispositivi che eseguono Windows.

Per configurare il riavvio di un dispositivo client:

1. Nella struttura della console selezionare il gruppo di amministrazione per cui configurare il riavvio.
2. Nell'area di lavoro del gruppo selezionare la scheda Criteri.
3. Nell'area di lavoro selezionare un criterio di Kaspersky Security Center Network Agent nell'elenco dei criteri, quindi selezionare Proprietà nel menu di scelta rapida del criterio.
4. Nella finestra delle proprietà del criterio selezionare la sezione Gestione riavvio.
5. Selezionare l'azione che deve essere eseguita se è richiesto il riavvio del dispositivo:
   • Selezionare Non riavviare il sistema operativo per bloccare il riavvio automatico.
   • Selezionare Riavvia automaticamente il sistema operativo se necessario per consentire il riavvio automatico.
   • Selezionare Richiedi l'intervento dell'utente per abilitare la richiesta di conferma del riavvio da parte dell'utente.

   È possibile specificare la frequenza delle richieste di riavvio e abilitare il riavvio forzato e la chiusura forzata delle applicazioni nelle sessioni bloccate nel dispositivo, selezionando le caselle di controllo corrispondenti e le impostazioni per gli orari.

6. Fare clic su OK per salvare le modifiche e chiudere la finestra delle proprietà del criterio.

A questo punto verrà configurato il riavvio del dispositivo.

Controllo delle azioni in un dispositivo client remoto

L'applicazione consente il controllo delle azioni dell'amministratore in un dispositivo client remoto che esegue Windows. Durante il controllo, l'applicazione salva nel dispositivo le informazioni sui file che sono stati aperti e/o modificati dall'amministratore. Il controllo delle azioni dell'amministratore è disponibile quando sono soddisfatte le seguenti condizioni:

• È in uso la licenza per Vulnerability e Patch Management.
• L'amministratore dispone del diritto per l'avvio dell'accesso condiviso al desktop del dispositivo remoto.

Per abilitare il controllo delle azioni in un dispositivo client remoto:

1. Nella struttura della console selezionare il gruppo di amministrazione per cui configurare il controllo delle azioni dell'amministratore.
2. Nell'area di lavoro del gruppo selezionare la scheda Criteri.
3. Selezionare un criterio di Kaspersky Security Center Network Agent, quindi selezionare Proprietà nel menu di scelta rapida del criterio.
4. Nella finestra delle proprietà del criterio selezionare la sezione Condivisione desktop Windows.
5. Selezionare la casella di controllo Abilita controllo.
6. Negli elenchi Maschere dei file da monitorare durante la lettura e Maschere dei file da monitorare durante la modifica aggiungere maschere file in cui l'applicazione deve monitorare le azioni durante il controllo.

   Per impostazione predefinita, l'applicazione monitora le azioni effettuate sui file con estensione .txt, .rtf, .doc, .xls, .docx, .xlsx, .odt e .pdf.

7. Fare clic su OK per salvare le modifiche e chiudere la finestra delle proprietà del criterio.

Verrà configurato il controllo delle azioni eseguite dall'amministratore nel dispositivo remoto dell'utente con accesso desktop condiviso.

I record relativi alle azioni dell'amministratore nel dispositivo remoto vengono registrati:

• Nel registro eventi del dispositivo remoto.
• In un file con estensione syslog nella cartella Network Agent di un dispositivo remoto (ad esempio, C:\ProgramData\KasperskyLab\adminkit\1103\logs).
• Nel database degli eventi di Kaspersky Security Center.

Verifica della connessione tra un dispositivo client e Administration Server

Kaspersky Security Center consente di controllare le connessioni tra un dispositivo client e Administration Server automaticamente o manualmente.

La verifica automatica della connessione viene eseguita sull'Administration Server. La verifica manuale della connessione viene eseguita sul dispositivo.

Verifica automatica della connessione tra un dispositivo client e Administration Server

Per avviare una verifica automatica della connessione tra un dispositivo client e Administration Server:

1. Nella struttura della console selezionare il gruppo di amministrazione che include il dispositivo.
2. Nell'area di lavoro del gruppo di amministrazione selezionare il dispositivo nella scheda Dispositivi.
3. Nel menu di scelta rapida del dispositivo selezionare Verifica possibilità di accesso al dispositivo.

Verrà visualizzata una finestra che contiene le informazioni sull'accessibilità del dispositivo.

Verifica manuale della connessione tra un dispositivo client e Administration Server. Utilità Klnagchk

È possibile verificare la connessione e ottenere informazioni dettagliate sulle impostazioni della connessione tra un dispositivo client e Administration Server utilizzando l'utilità klnagchk.

Quando si installa Network Agent su un dispositivo, l'utilità klnagchk viene automaticamente copiata nella cartella di installazione di Network Agent.

Quando viene avviata dalla riga di comando, l'utilità klnagchk può eseguire le seguenti azioni (a seconda delle chiavi in uso):

• Visualizza sullo schermo o registra i valori delle impostazioni utilizzate per la connessione del Network Agent installato nel dispositivo ad Administration Server.
• Visualizza sullo schermo o memorizza in un file del registro eventi le statistiche di Network Agent (dal suo ultimo avvio) e i risultati dell'esecuzione dell'utilità.
• Tenta di stabilire una connessione tra Network Agent e Administration Server.

  Se il tentativo di connessione non riesce, l'utilità invia un pacchetto ICMP per verificare lo stato del dispositivo in cui è installato Administration Server.

Per controllare la connessione tra il dispositivo client e Administration Server tramite l'utilità klnagchk:

Nel dispositivo avviare l'utilità klnagchk dalla riga di comando.

Sintassi della riga di comando per l'utilità:

klnagchk [-logfile <nome file>] [-sp] [-savecert <percorso del file di certificato>] [-restart]

Descrizioni delle chiavi:

• -logfile <nome file> – Memorizza in un file di registro i valori delle impostazioni della connessione tra Network Agent e Administration Server e i risultati dell'esecuzione dell'utilità.

  Per impostazione predefinita, le informazioni vengono salvate nel flusso di output standard (stdout). Se la chiave non è in uso, le impostazioni, i risultati e i messaggi di errore sono visualizzati sullo schermo.

• -sp – Mostra la password per l'autenticazione dell'utente sul server proxy.

  L'impostazione è in uso se la connessione ad Administration Server è stabilita tramite un server proxy.

• -savecert <nome file> – Salva il certificato utilizzato per l'accesso ad Administration Server nel file specificato.
• -restart – Riavvia Network Agent al termine dell'esecuzione dell'utilità.

Informazioni sul controllo del tempo di connessione tra un dispositivo e Administration Server

Al momento dell'arresto di un dispositivo, Network Agent invia una notifica all'Administration Server di questo evento. In Administration Console il dispositivo è visualizzato come arrestato. Tuttavia, Network Agent non può notificare ad Administration Server tutti gli eventi di questo tipo. Administration Server, pertanto, analizza periodicamente l'attributo Connesso ad Administration Server (il valore di questo attributo è visualizzato in Administration Console, nella sezione Generale delle proprietà del dispositivo) per ogni dispositivo e lo confronta con l'intervallo di sincronizzazione nelle impostazioni correnti di Network Agent. Se un dispositivo non risponde per più di tre intervalli di sincronizzazione consecutivi, il dispositivo è contrassegnato come arrestato.

Identificazione dei dispositivi client in Administration Server

I dispositivi client sono identificati in base ai relativi nomi. Ogni dispositivo connesso ad Administration Server ha un nome univoco.

Il nome di un dispositivo è trasmesso ad Administration Server quando viene eseguito il polling della rete Windows ed è rilevato un nuovo dispositivo oppure durante la prima connessione ad Administration Server da parte del Network Agent installato in un dispositivo client. Per impostazione predefinita, il nome corrisponde al nome del dispositivo nella rete Windows (nome NetBIOS). Se un dispositivo con lo stesso nome è già registrato in Administration Server, al nome del dispositivo viene aggiunto un indice con un numero progressivo, ad esempio: <Nome>-1, <Nome>-2. Il dispositivo viene aggiunto al gruppo di amministrazione con questo nome.

Spostamento dei dispositivi in un gruppo di amministrazione

È possibile spostare i dispositivi da un gruppo di amministrazione a un altro solo se si dispone dell' autorizzazione Modifica nell'area Gestione dei gruppi di amministrazione per i gruppi di amministrazione di origine e di destinazione (o per l'Administration Server a cui appartengono questi gruppi).

Per includere uno o più dispositivi in un gruppo di amministrazione selezionato:

1. Nella struttura della console espandere la cartella Dispositivi gestiti.
2. Nella cartella Dispositivi gestiti selezionare la sottocartella che corrisponde al gruppo in cui saranno inclusi i dispositivi client.

   Se si desidera includere i dispositivi nel gruppo Dispositivi gestiti, è possibile saltare questo passaggio.

3. Nell'area di lavoro del gruppo di amministrazione selezionato, nella scheda Dispositivi, avviare il processo per includere i dispositivi nel gruppo in uno dei seguenti modi:
   • Aggiungendo i dispositivi al gruppo facendo clic sul pulsante Sposta i dispositivi nel gruppo nella finestra di informazioni dell'elenco dei dispositivi
   • Selezionando Crea → Dispositivo nel menu di scelta rapida dell'elenco dei dispositivi

Verrà avviato lo Spostamento guidato dispositivi. Seguendo le istruzioni visualizzate, selezionare un metodo per spostare i dispositivi nel gruppo e creare un elenco di dispositivi da includere nel gruppo.

Se l'elenco di dispositivi viene creato manualmente, è possibile utilizzare l'indirizzo IP (o un intervallo IP), un nome NetBIOS o un nome DNS come indirizzo di un dispositivo. È possibile spostare manualmente nell'elenco solo i dispositivi per cui sono già state aggiunte informazioni al database di Administration Server durante la connessione del dispositivo o dopo un'individuazione dispositivi.

Per importare un elenco di dispositivi da un file, specificare un file TXT con l'elenco di indirizzi dei dispositivi da aggiungere. Ogni indirizzo deve essere specificato in una riga distinta.

Al termine della procedura guidata, i dispositivi selezionati vengono inclusi nel gruppo di amministrazione e visualizzati nell'elenco di dispositivi con i nomi generati da Administration Server.

È possibile spostare un dispositivo nel gruppo di amministrazione selezionato trascinandolo dalla cartella Dispositivi non assegnati nella cartella del gruppo di amministrazione.

Modifica di Administration Server per i dispositivi client

È possibile sostituire l'Administration Server che gestisce i dispositivi client con un altro server mediante l'attività Cambia Administration Server.

Per sostituire l'Administration Server che gestisce i dispositivi client con un altro server:

1. Eseguire la connessione all'Administration Server che gestisce i dispositivi.
2. Creare l'attività di modifica dell'Administration Server in uno dei seguenti modi:
   • Se è necessario modificare l'Administration Server per i dispositivi inclusi nel gruppo di amministrazione selezionato, creare un'attività per il gruppo selezionato.
   • Se è necessario modificare l'Administration Server per i dispositivi inclusi in diversi gruppi di amministrazione o non inclusi in alcun gruppo di amministrazione esistente, creare un'attività per dispositivi specifici.

   Verrà avviata l'Aggiunta guidata attività. Seguire le istruzioni della procedura guidata. Nella finestra Selezionare il tipo di attività dell'Aggiunta guidata attività selezionare il nodo Kaspersky Security Center, aprire la cartella Avanzate, quindi selezionare l'attività Cambia Administration Server.

3. Eseguire l'attività creata.

Dopo il completamento dell'attività, i dispositivi client per cui è stata creata passano sotto la gestione dell'Administration Server specificato nelle impostazioni dell'attività.

Se Administration Server supporta il criptaggio e la protezione dei dati e si sta creando un'attività Cambia Administration Server, viene visualizzato un avviso. L'avviso indica che, se nei dispositivi sono contenuti dati criptati, quando il nuovo server inizia a gestire i dispositivi, gli utenti saranno in grado di accedere solo ai dati criptati che hanno utilizzato in precedenza. In nessun altro caso sarà possibile accedere ai dati criptati. Per descrizioni dettagliate degli scenari in cui non è possibile accedere ai dati criptati, fare riferimento alla Guida in linea di Kaspersky Endpoint Security for Windows.

Cluster e array di server

Kaspersky Security Center supporta la tecnologia cluster. Se Network Agent invia ad Administration Server informazioni che confermano che l'applicazione installata in un dispositivo client fa parte di un array di server, il dispositivo client diventa un nodo del cluster. Il cluster verrà aggiunto come un singolo oggetto nella cartella Dispositivi gestiti della struttura della console con l'icona dei server ().

Un cluster presenta alcune caratteristiche tipiche:

• Un cluster e i relativi nodi fanno sempre parte dello stesso gruppo di amministrazione.
• Se l'amministratore tenta di spostare un nodo del cluster, il nodo viene ripristinato nella posizione originale.
• Se l'amministratore tenta di spostare un cluster in un gruppo differente, tutti i relativi nodi verranno spostati.

Accensione, spegnimento e riavvio dei dispositivi client in remoto

Kaspersky Security Center consente di gestire in remoto i dispositivi client accendendoli, spegnendoli o riavviandoli.

Per gestire in remoto i dispositivi client:

1. Eseguire la connessione all'Administration Server che gestisce i dispositivi.
2. Creare un'attività di gestione dei dispositivi in uno dei seguenti modi:
   • Se è necessario accendere, spegnere o riavviare dispositivi inclusi nel gruppo di amministrazione selezionato, creare un'attività per il gruppo selezionato.
   • Se è necessario accendere, spegnere o riavviare dispositivi inclusi in diversi gruppi di amministrazione o non inclusi in alcun gruppo, creare un'attività per dispositivi specifici.

   Verrà avviata l'Aggiunta guidata attività. Seguire le istruzioni della procedura guidata. Nella finestra Selezionare il tipo di attività dell'Aggiunta guidata attività selezionare il nodo Kaspersky Security Center, aprire la cartella Avanzate, quindi selezionare l'attività Gestisci dispositivi.

3. Eseguire l'attività creata.

Al termine dell'attività, il comando (accensione, spegnimento o riavvio) verrà eseguito sui dispositivi selezionati.

Accesso ad attività locali e statistiche, casella di controllo "Non eseguire la disconnessione dall'Administration Server"

Per impostazione predefinita, Kaspersky Security Center non prevede una connettività continua tra i dispositivi gestiti e l'Administration Server. I Network Agent nei dispositivi gestiti stabiliscono periodicamente connessioni ed eseguono la sincronizzazione con l'Administration Server. L'intervallo tra queste sessioni di sincronizzazione (per impostazione predefinita, 15 minuti) è definito in un criterio di Network Agent. Se è richiesta una sincronizzazione anticipata (ad esempio, per forzare l'applicazione di un criterio), l'Administration Server invia a Network Agent un pacchetto di rete firmato sulla porta UDP 15000. Se per qualsiasi motivo non è possibile stabilire la connessione tramite UDP tra l'Administration Server e un dispositivo gestito, la sincronizzazione verrà eseguita alla successiva connessione periodica tra Network Agent e l'Administration Server entro l'intervallo di sincronizzazione.

Alcune operazioni non possono essere eseguite senza una connessione anticipata tra Network Agent e Administration Server, ad esempio l'esecuzione e l'arresto di attività locali, la ricezione di statistiche per un'applicazione gestita (applicazione di protezione o Network Agent), la creazione di un tunnel e così via. Per risolvere questo problema, nelle proprietà del dispositivo gestito (sezione Generale) selezionare la casella di controllo Non eseguire la disconnessione dall'Administration Server. Il numero massimo di dispositivi con la casella di controllo Non eseguire la disconnessione dall'Administration Server selezionata è 300.

Informazioni sulla sincronizzazione forzata

Anche se Kaspersky Security Center sincronizza automaticamente lo stato, le impostazioni, le attività e i criteri per i dispositivi gestiti, in alcuni casi l'amministratore ha l'esigenza di sapere esattamente se la sincronizzazione è stata già eseguita per un determinato dispositivo.

Nel menu di scelta rapida dei dispositivi gestiti in Administration Console, la voce di menu Tutte le attività contiene il comando Forza sincronizzazione. Quando Kaspersky Security Center 13.1 esegue questo comando, l'Administration Server tenta di connettersi al dispositivo. Se questo tentativo va a buon fine viene eseguita la sincronizzazione forzata. In caso contrario, la sincronizzazione verrà forzata solo dopo la successiva connessione pianificata tra Network Agent e l'Administration Server.

Informazioni sulla pianificazione di connessione

Nella finestra delle proprietà di Network Agent, nella sottosezione Pianificazione connessione della sezione Connettività, è possibile specificare gli intervalli di tempo durante i quali Network Agent trasmetterà i dati ad Administration Server.

Connetti quando necessario. Se questa opzione è selezionata, la connessione viene stabilita quando Network Agent deve inviare i dati ad Administration Server.

Connetti negli intervalli di tempo specificati. Se questa opzione è selezionata, Network Agent si connette ad Administration Server all'ora specificata. È possibile aggiungere diversi periodi di tempo per la connessione.

Invio di messaggi agli utenti dei dispositivi

Per inviare un messaggio agli utenti dei dispositivi:

1. Nella struttura della console selezionare il nodo con il nome dell'Administration Server desiderato.
2. Creare un'attività di invio dei messaggi per gli utenti dei dispositivi in uno dei seguenti modi:
   • Se si desidera inviare un messaggio agli utenti di dispositivi che appartengono al gruppo di amministrazione selezionato, creare un'attività per il gruppo selezionato.
   • Se si desidera inviare un messaggio agli utenti dei dispositivi che appartengono ad altri gruppi di amministrazione o che non appartengono ad alcun gruppo, creare un'attività per dispositivi specifici.

   Verrà avviata l'Aggiunta guidata attività. Seguire le istruzioni della procedura guidata.

3. Nella finestra Tipo di attività dell'Aggiunta guidata attività selezionare il nodo Kaspersky Security Center 13.1 Administration Server, aprire la cartella Avanzate, quindi selezionare l'attività Invia messaggio all'utente. L'attività Invia messaggio all'utente è disponibile solo per i dispositivi che eseguono Windows. È anche possibile inviare messaggi dal menu di scelta rapida dell'utente nella cartella Account utente.
4. Eseguire l'attività creata.

Al termine dell'attività, il messaggio creato verrà inviato agli utenti dei dispositivi selezionati. L'attività Invia messaggio all'utente è disponibile solo per i dispositivi che eseguono Windows. È anche possibile inviare messaggi dal menu di scelta rapida dell'utente nella cartella Account utente.

Gestione di Kaspersky Security for Virtualization

Kaspersky Security Center supporta l'opzione di connessione di macchine virtuali ad Administration Server. Le macchine virtuali sono protette da Kaspersky Security for Virtualization. Per ulteriori dettagli, consultare la documentazione relativa all'applicazione.

Configurazione del passaggio degli stati del dispositivo

È possibile modificare le condizioni per assegnare lo stato Critico o Avviso a un dispositivo.

Per abilitare la modifica dello stato del dispositivo in Critico:

1. Aprire la finestra delle proprietà in uno dei seguenti modi:
   • Nella cartella Criteri nel menu di scelta rapida di un criterio di Administration Server selezionare Proprietà.
   • Selezionare Proprietà nel menu di scelta rapida di un gruppo di amministrazione.
2. Nella finestra Proprietà visualizzata, nel riquadro Sezioni, selezionare Stato dispositivo.
3. Nel riquadro a destra, nella sezione Imposta su Critico se è specificato, selezionare la casella di controllo accanto a una condizione nell'elenco.

   È possibile modificare solo le impostazioni che non sono bloccate nel criterio padre.

4. Impostare il valore richiesto per la condizione selezionata.

   È possibile impostare i valori per alcune condizioni, ma non per tutte.

5. Fare clic su OK.

Quando le condizioni specificate vengono soddisfatte, al dispositivo gestito viene assegnato lo stato Critico.

Per abilitare la modifica dello stato del dispositivo in Avviso:

1. Aprire la finestra delle proprietà in uno dei seguenti modi:
   • Nella cartella Criteri nel menu di scelta rapida del criterio di Administration Server selezionare Proprietà.
   • Selezionare Proprietà nel menu di scelta rapida del gruppo di amministrazione.
2. Nella finestra Proprietà visualizzata, nel riquadro Sezioni, selezionare Stato dispositivo.
3. Nel riquadro a destra, nella sezione Imposta su Avviso se è specificato selezionare la casella di controllo accanto a una condizione nell'elenco.

   È possibile modificare solo le impostazioni che non sono bloccate nel criterio padre.

4. Impostare il valore richiesto per la condizione selezionata.

   È possibile impostare i valori per alcune condizioni, ma non per tutte.

5. Fare clic su OK.

Quando le condizioni specificate vengono soddisfatte, al dispositivo gestito viene assegnato lo stato Avviso.

Tagging dei dispositivi e visualizzazione dei tag assegnati

Kaspersky Security Center consente di eseguire il tagging dei dispositivi. Un tag è l'ID di un dispositivo che può essere utilizzato per raggruppare, descrivere o cercare i dispositivi. I tag assegnati ai dispositivi possono essere utilizzati per la creazione di selezioni, per il rilevamento dei dispositivi e per la distribuzione dei dispositivi tra i gruppi di amministrazione.

È possibile assegnare tag ai dispositivi in modalità manuale o automatica. Tagging manuale di un dispositivo nelle proprietà del dispositivo: è possibile utilizzare il tagging manuale quando è necessario assegnare un tag a un singolo dispositivo. Il tagging automatico viene eseguito da Administration Server in base alle regole di tagging specificate.

Nelle proprietà di un Administration Server è possibile configurare il tagging automatico per i dispositivi gestiti dall'Administration Server in questione. Ai dispositivi viene assegnato automaticamente un tag quando vengono soddisfatte le regole specificate. A ogni tag corrisponde una regola individuale. Le regole vengono applicate alle proprietà di rete del dispositivo, al sistema operativo, alle applicazioni installate nel dispositivo e ad altre proprietà del dispositivo. È ad esempio possibile impostare una regola che assegnerà il tag Win a tutti i dispositivi che eseguono Windows. Sarà quindi possibile utilizzare il tag durante la creazione di una selezione dispositivi. Questo consentirà di ordinare tutti i dispositivi che eseguono Windows e di assegnare loro un'attività.

È inoltre possibile utilizzare i tag come condizioni di attivazione del profilo criterio in un dispositivo gestito per applicare profili criterio specifici solo nei dispositivi con determinati tag. Se ad esempio un dispositivo a cui è stato assegnato il tag Corriere viene visualizzato nel gruppo di amministrazione Utenti e se è stata abilitata l'attivazione del profilo criterio corrispondente in base al tag Corriere, il criterio creato per il gruppo Utenti non verrà applicato al dispositivo e verrà invece applicato il profilo criterio. Il profilo criterio consente al dispositivo di avviare alcune applicazioni la cui esecuzione è stata bloccata dal criterio.

È possibile creare diverse regole di tagging. A un singolo dispositivo possono essere assegnati diversi tag se sono state create più regole di tagging e se vengono contemporaneamente soddisfatte le rispettive condizioni di tali regole. È possibile visualizzare l'elenco di tutti i tag assegnati nelle proprietà del dispositivo. Ogni regola di tagging può essere abilitata o disabilitata. Se una regola è abilitata, viene applicata ai dispositivi gestiti da Administration Server. Se attualmente non si utilizza una regola ma questa potrebbe essere necessaria in futuro, non bisogna rimuoverla. Basta deselezionare la casella di controllo Abilita regola. In questo caso la regola viene disabilitata e non verrà eseguita finché non viene selezionata nuovamente la casella di controllo Abilita regola. Può essere necessario disabilitare una regola senza rimuoverla se si desidera escluderla temporaneamente dall'elenco delle regole di tagging e quindi includerla di nuovo.

Tagging automatico dei dispositivi

È possibile creare e modificare le regole di tagging automatico nella finestra delle proprietà di Administration Server.

Per eseguire il tagging automatico dei dispositivi:

1. Nella struttura della console selezionare il nodo con il nome dell'Administration Server per cui è necessario specificare le regole di tagging.
2. Dal menu di scelta rapida di Administration Server selezionare Proprietà.
3. Nella finestra delle proprietà di Administration Server selezionare la sezione Regole di tagging.
4. Nella sezione Regole di tagging fare clic sul pulsante Aggiungi.

   Verrà aperta la finestra Nuova regola.

5. Nella finestra Nuova regola configurare le proprietà generali della regola:
   • Specificare il nome della regola.

     Il nome della regola non può superare i 255 caratteri e non può includere caratteri speciali (ad esempio "*<>?\:|).

   • Abilitare o disabilitare la regola utilizzando la casella di controllo Abilita regola.

     Per impostazione predefinita, la casella di controllo Abilita regola è selezionata.

   • Nel campo Tag immettere il nome di un tag.

     Il nome del tag non può superare i 255 caratteri e non può includere caratteri speciali (ad esempio "*<>?\:|).

6. Nella sezione Condizioni fare clic sul pulsante Aggiungi per aggiungere una nuova condizione o sul pulsante Proprietà per modificare una condizione esistente.

   Verrà visualizzata la finestra Creazione guidata nuova condizione regola di tagging automatico.

7. Nella finestra Condizione per l'assegnazione dei tag selezionare le caselle di controllo per le condizioni relative al tagging. È possibile selezionare più condizioni.
8. In base alle condizioni di tagging selezionate, la procedura guidata visualizza le finestre per la configurazione delle condizioni corrispondenti. Configurare l'attivazione della regola in base alle seguenti condizioni:
   • Utilizzo del dispositivo o associazione a una specifica rete - Proprietà di rete del dispositivo, ad esempio nome del dispositivo nella rete Windows e inclusione del dispositivo in un dominio o in una subnet IP.

     Se per il database utilizzato per Kaspersky Security Center sono impostate regole di confronto con distinzione tra maiuscole e minuscole, mantenere le maiuscole e le minuscole quando si specifica un nome DNS del dispositivo. In caso contrario, la regola di tagging automatico non funzionerà.

   • Utilizzo di Active Directory - Presenza del dispositivo in un'unità organizzativa di Active Directory e appartenenza del dispositivo a un gruppo di Active Directory.
   • Applicazioni specifiche - Presenza di Network Agent nel dispositivo, tipo di sistema operativo, versione e architettura.
   • Macchine virtuali - Inclusione del dispositivo in un determinato tipo di macchine virtuali.
   • Installazione di un'applicazione dal registro applicazioni - Presenza di applicazioni di vari produttori nel dispositivo.
9. Dopo la configurazione della condizione, immettere un nome, quindi chiudere la procedura guidata.

   Se necessario, è possibile impostare più condizioni per una singola regola. In questo caso, il tag verrà essere assegnato a un dispositivo se soddisfa almeno una condizione. Le condizioni che sono state aggiunte saranno visualizzate nella finestra delle proprietà della regola.

10. Fare clic su OK nella finestra Nuova regola, quindi fare clic su OK nella finestra delle proprietà di Administration Server.

Le regole create vengono applicate ai dispositivi gestiti dall'Administration Server selezionato. Se le impostazioni di un dispositivo soddisfano le condizioni della regola, al dispositivo viene assegnato il tag.

Visualizzazione e configurazione dei tag assegnati a un dispositivo

È possibile visualizzare l'elenco di tutti i tag che sono stati assegnati a un dispositivo, nonché passare alla configurazione delle regole di tagging automatico nella finestra delle proprietà del dispositivo.

Per visualizzare e configurare i tag che sono stati assegnati a un dispositivo:

1. Nella struttura della console aprire la cartella Dispositivi gestiti.
2. Nell'area di lavoro della cartella Dispositivi gestiti selezionare il dispositivo per cui si desidera visualizzare i tag assegnati.
3. Dal menu di scelta rapida del dispositivo mobile selezionare Proprietà.
4. Nella finestra delle proprietà del dispositivo selezionare la sezione Tag.

   Verrà visualizzato un elenco dei tag assegnati al dispositivo selezionato, nonché il modo in cui è stato assegnato ciascun tag: manualmente o tramite una regola.

5. Se necessario, eseguire una delle seguenti operazioni:
   • Per passare alla configurazione delle regole di tagging, fare clic sul collegamento Configura regole di tagging automatico (solo per Windows).
   • Per rinominare un tag, selezionarne uno e fare clic sul pulsante Rinomina.
   • Per rimuovere un tag, selezionarne uno e fare clic sul pulsante Rimuovi.
   • Per aggiungere manualmente un tag, immetterne uno nel campo nella parte inferiore della sezione Tag, quindi fare clic sul pulsante Aggiungi.
6. Fare clic sul pulsante Applica se sono state apportate modifiche alla sezione Tag per rendere effettive le modifiche.
7. Fare clic su OK.

Se è stato rimosso o rinominato un tag nelle proprietà del dispositivo, questa modifica non influirà sulle regole di tagging impostate nelle proprietà di Administration Server. La modifica verrà applicata solo al dispositivo in cui è stata apportata.

Diagnostica remota dei dispositivi client. Utilità di diagnostica remota di Kaspersky Security Center

L'utilità di diagnostica remota di Kaspersky Security Center (di seguito denominata utilità di diagnostica remota) è progettata per l'esecuzione remota delle seguenti operazioni sui dispositivi client:

• Abilitazione e disabilitazione della traccia, modifica del livello di traccia e download del file di traccia.
• Download di informazioni sul sistema e impostazioni dell'applicazione.
• Download dei registri eventi.
• Generazione di un file di dump per un'applicazione.
• Avvio della diagnostica e download dei rapporti.
• Avvio e arresto delle applicazioni.

È possibile utilizzare i registri eventi e i rapporti di diagnostica scaricati da un dispositivo client per eseguire autonomamente la risoluzione dei problemi. Inoltre, uno specialista del Servizio di assistenza tecnica di Kaspersky potrebbe richiedere di scaricare file di traccia, file di dump, registri eventi e rapporti di diagnostica da un dispositivo client per ulteriori analisi da parte di Kaspersky.

L'utilità di diagnostica remota viene installata automaticamente nel dispositivo insieme ad Administration Console.

Connessione dell'utilità di diagnostica remota a un dispositivo client

Per connettere l'utilità di diagnostica remota a un dispositivo client:

1. Selezionare qualsiasi gruppo di amministrazione nella struttura della console.
2. Nella scheda Dispositivi dell'area di lavoro selezionare Strumenti personalizzati → Diagnostica remota nel menu di scelta rapida di qualsiasi dispositivo.

   Verrà aperta la finestra principale dell'utilità di diagnostica remota.

3. Nel primo campo della finestra principale dell'utilità di diagnostica remota specificare gli strumenti da utilizzare per connettersi al dispositivo:
   • Accedi tramite la rete di Microsoft Windows.
   • Accedi tramite Administration Server.
4. Se si seleziona Accedi tramite la rete di Microsoft Windows nel primo campo della finestra principale dell'utilità, eseguire le seguenti azioni:
   • Nel campo Dispositivo specificare l'indirizzo del dispositivo a cui è necessario connettersi

     È possibile utilizzare un indirizzo IP, un nome NetBIOS o un nome DNS come indirizzo del dispositivo.

     Il valore predefinito è l'indirizzo del dispositivo dal cui menu di scelta rapida è stata avviata l'utilità.

   • Specificare un account per la connessione al dispositivo:
     • Esegui la connessione come utente corrente (opzione selezionata per impostazione predefinita). Connettersi utilizzando l'account utente corrente.
     • Utilizza nome utente e password specificati per la connessione. Connettersi utilizzando un account utente fornito. Specificare il nome utente e la password per l'account desiderato.

     La connessione a un dispositivo è possibile solo tramite l'account dell'amministratore locale del dispositivo.

5. Se si seleziona Accedi tramite Administration Server nel primo campo della finestra principale dell'utilità, eseguire le seguenti azioni:
   • Nel campo Administration Server specificare l'indirizzo dell'Administration Server da cui si desidera connettersi al dispositivo.

     È possibile utilizzare un indirizzo IP, un nome NetBIOS o un nome DNS come indirizzo del server.

     Il valore predefinito è l'indirizzo dell'Administration Server da cui è stata eseguita l'utilità.

   • Se necessario, selezionare le caselle di controllo Usa SSL, Comprimi traffico e Il dispositivo appartiene all'Administration Server secondario.

     Se la casella di controllo Il dispositivo appartiene all'Administration Server secondario è selezionata, è possibile specificare nel campo Il dispositivo appartiene all'Administration Server secondario il nome dell'Administration Server secondario che gestisce il dispositivo facendo clic sul pulsante Sfoglia.

6. Per connettersi al dispositivo, fare clic sul pulsante Accesso.

   È necessario concedere l'autorizzazione utilizzando la verifica in due passaggi se la verifica in due passaggi è abilitata per l'account.

Verrà visualizzata la finestra per la diagnostica remota del dispositivo (vedere la figura seguente). Nella parte sinistra della finestra sono disponibili i collegamenti alle operazioni di diagnostica dei dispositivi. Nella parte destra della finestra è riportata la struttura degli oggetti del dispositivo che l'utilità può utilizzare. Nella parte inferiore della finestra è visualizzato lo stato di avanzamento delle operazioni dell'utilità.

Utilità di diagnostica remota. Finestra di diagnostica remota del dispositivo

L'utilità di diagnostica remota salva i file scaricati dai dispositivi sul desktop del dispositivo da cui è stata avviata.

Abilitazione e disabilitazione della traccia, download del file di traccia

Espandi tutto | Comprimi tutto

Per abilitare la traccia in un dispositivo remoto:

1. Eseguire l'utilità di diagnostica remota ed eseguire la connessione al dispositivo desiderato.
2. Nella struttura di oggetti del dispositivo selezionare l'applicazione per cui si desidera abilitare la traccia.

   La traccia può essere abilitata e disabilitata per le applicazioni con funzionalità Auto-Difesa solo se il dispositivo è connesso utilizzando gli strumenti di Administration Server.

   Se si desidera abilitare la traccia per Network Agent, è anche possibile eseguire tale operazione durante la creazione dell'attività Installa aggiornamenti richiesti e correggi vulnerabilità. In questo caso, Network Agent scrive le informazioni di traccia anche se l'analisi è disabilitata per Network Agent nell'utilità di diagnostica remota.

3. Per abilitare la traccia:
   1. Nella parte sinistra della finestra dell'utilità di diagnostica remota fare clic su Abilita traccia.
   2. Nella finestra Selezionare il livello di traccia visualizzata è consigliabile mantenere i valori predefiniti delle impostazioni. Se necessario, uno specialista del Servizio di assistenza tecnica fornirà il supporto richiesto per il processo di configurazione. Sono disponibili le seguenti impostazioni:
      • Livello di traccia

        Il livello di traccia definisce la quantità di dettagli contenuti nel file di traccia.

      • Traccia basata sulla rotazione (disponibile solo per Kaspersky Endpoint Security)

        L'applicazione sovrascrive le informazioni di tracciamento per evitare un aumento eccessivo delle dimensioni del file di traccia. Specificare il numero massimo di file da utilizzare per archiviare le informazioni di tracciamento e la dimensione massima di ciascun file. Se viene eseguita la scrittura del numero massimo di file di traccia della dimensione massima, il file di traccia meno recente viene eliminato in modo da consentire la creazione di un nuovo file di traccia.

   3. Fare clic su OK.
4. Per Kaspersky Endpoint Security, uno specialista del Servizio di assistenza tecnica può richiedere di abilitare il tracciamento Xperf per ottenere informazioni sulle prestazioni del sistema.

   Per abilitare la traccia Xperf:

   1. Nella parte sinistra della finestra dell'utilità di diagnostica remota fare clic su Abilita traccia Xperf.
   2. Nella finestra Selezionare il livello di traccia visualizzata, a seconda di quanto richiesto dallo specialista del Servizio di assistenza tecnica, selezionare uno dei seguenti livelli di traccia:
      • Livello superficiale

        Un file di traccia di questo tipo contiene la quantità minima di informazioni sul sistema.

        Per impostazione predefinita, questa opzione è selezionata.

      • Livello approfondito

        Un file di traccia di questo tipo contiene informazioni più dettagliate rispetto ai file di traccia di tipo Superficiale e può essere richiesto dagli specialisti del Servizio di assistenza tecnica quando un file di traccia di tipo Superficiale non è sufficiente per la valutazione delle prestazioni. Un file di traccia Approfondito contiene informazioni tecniche sul sistema, incluse informazioni su hardware, sistema operativo, elenco di processi e applicazioni avviati e arrestati, eventi utilizzati per la valutazione delle prestazioni ed eventi raccolti da Strumento Valutazione sistema Windows.

   3. Selezionare uno dei seguenti tipi di traccia:
      • Tipologia di base

        Le informazioni di tracciamento vengono ricevute durante l'esecuzione dell'applicazione Kaspersky Endpoint Security.

        Per impostazione predefinita, questa opzione è selezionata.

      • Tipologia al riavvio

        Le informazioni di tracciamento vengono ricevute all'avvio del sistema operativo nel dispositivo gestito. Questo tipo di tracciamento è utile quando il problema che influisce sulle prestazioni del sistema si verifica dopo l'accensione del dispositivo e prima dell'avvio di Kaspersky Endpoint Security.

   4. Potrebbe anche essere necessario abilitare l'opzione Traccia basata sulla rotazione per impedire un aumento eccessivo delle dimensioni del file di traccia. Specificare quindi la dimensione massima del file di traccia. Quando il file raggiunge la dimensione massima, le informazioni di tracciamento meno recenti vengono sovrascritte da quelle nuove.
   5. Fare clic su OK.

   In alcuni casi, è necessario riavviare un'applicazione di protezione e la relativa attività per abilitare il tracciamento.

L'utilità di diagnostica remota consente di abilitare la traccia per l'applicazione selezionata.

Per scaricare un file di traccia di un'applicazione:

1. Eseguire l'utilità di diagnostica remota e connettersi al dispositivo desiderato, come descritto in "Connessione dell'utilità di diagnostica remota a un dispositivo client".
2. Nel nodo dell'applicazione selezionare il file desiderato nella cartella File di traccia.
3. Nella parte sinistra della finestra dell'utilità di diagnostica remota fare clic su Scarica l'intero file.

   Per i file di grandi dimensioni possono essere scaricate le parti della traccia più recenti.

   È possibile eliminare il file di traccia selezionato. Il file può essere eliminato dopo avere disabilitato la traccia.

Il file selezionato verrà scaricato nel percorso specificato nella parte inferiore della finestra.

Per disabilitare la traccia in un dispositivo remoto:

1. Eseguire l'utilità di diagnostica remota e connettersi al dispositivo desiderato, come descritto in "Connessione dell'utilità di diagnostica remota a un dispositivo client".
2. Nella struttura di oggetti del dispositivo selezionare l'applicazione per cui si desidera disabilitare la traccia.

   La traccia può essere abilitata e disabilitata per le applicazioni con funzionalità Auto-Difesa solo se il dispositivo è connesso utilizzando gli strumenti di Administration Server.

3. Nella parte sinistra della finestra dell'utilità di diagnostica remota fare clic su Disabilita traccia.

L'utilità di diagnostica remota consente di disabilitare la traccia per l'applicazione selezionata.

Download delle impostazioni delle applicazioni

Per scaricare le impostazioni dell'applicazione da un dispositivo remoto:

1. Eseguire l'utilità di diagnostica remota e connettersi al dispositivo desiderato, come descritto in "Connessione dell'utilità di diagnostica remota a un dispositivo client".
2. Nella struttura di oggetti della finestra dell'utilità di diagnostica remota selezionare il nodo superiore con il nome del dispositivo.
3. Nella parte sinistra della finestra dell'utilità di diagnostica remota selezionare l'azione desiderata delle seguenti opzioni:
   • Scarica informazioni di sistema
   • Scarica impostazioni applicazione
   • Genera file di dump del processo

     Nella finestra visualizzata facendo clic sul collegamento specificare il file eseguibile dell'applicazione per cui generare un file dump.

   • Avvia utilità

     Nella finestra visualizzata facendo clic sul collegamento specificare il file eseguibile dell'utilità da avviare e le relative impostazioni di esecuzione.

L'utilità selezionata viene scaricata e avviata nel dispositivo.

Download dei registri eventi

Per scaricare un registro eventi da un dispositivo remoto:

1. Eseguire l'utilità di diagnostica remota e connettersi al dispositivo desiderato, come descritto in "Connessione dell'utilità di diagnostica remota a un dispositivo client".
2. Nella cartella Registro eventi della struttura di oggetti del dispositivo selezionare il registro desiderato.
3. Scaricare il registro selezionato facendo clic sul collegamento Scarica registro eventi <nome registro eventi> nella parte sinistra della finestra dell'utilità di diagnostica remota.

Il registro eventi selezionato verrà scaricato nel percorso specificato nel riquadro inferiore.

Download di più elementi di informazioni diagnostiche

L'utilità di diagnostica remota di Kaspersky Security Center consente di scaricare più elementi di informazioni diagnostiche, inclusi registri eventi, informazioni sul sistema, file di traccia e file di dump.

Per scaricare le informazioni diagnostiche da un dispositivo remoto:

1. Eseguire l'utilità di diagnostica remota e connettersi al dispositivo desiderato, come descritto in "Connessione dell'utilità di diagnostica remota a un dispositivo client".
2. Nella parte sinistra della finestra dell'utilità di diagnostica remota fare clic su Scarica.
3. Selezionare le caselle di controllo accanto agli elementi che si desidera scaricare.
4. Fare clic su Avvia.

Ogni elemento selezionato verrà scaricato nel percorso specificato nel riquadro inferiore.

Avvio della diagnostica e download dei risultati

Per avviare la diagnostica per un'applicazione in un dispositivo remoto e scaricarne i risultati:

1. Eseguire l'utilità di diagnostica remota e connettersi al dispositivo desiderato, come descritto in "Connessione dell'utilità di diagnostica remota a un dispositivo client".
2. Nella struttura di oggetti del dispositivo selezionare l'applicazione desiderata.
3. Avviare la diagnostica facendo clic sul collegamento Esegui diagnostica nella parte sinistra della finestra dell'utilità di diagnostica remota.

   Verrà visualizzato un rapporto di diagnostica nel nodo dell'applicazione selezionata nella struttura di oggetti.

4. Selezionare il nuovo rapporto di diagnostica generato nella struttura di oggetti, quindi scaricarlo facendo clic sul collegamento Cartella di download.

Il rapporto selezionato verrà scaricato nel percorso specificato nel riquadro inferiore.

Avvio, arresto e riavvio delle applicazioni

È possibile avviare, arrestare e riavviare le applicazioni solo se il dispositivo è stato connesso utilizzando gli strumenti di Administration Server.

Per avviare, arrestare o riavviare un'applicazione:

1. Eseguire l'utilità di diagnostica remota e connettersi al dispositivo desiderato, come descritto in "Connessione dell'utilità di diagnostica remota a un dispositivo client".
2. Nella struttura di oggetti del dispositivo selezionare l'applicazione desiderata.
3. Selezionare un'azione nella parte sinistra della finestra dell'utilità di diagnostica remota:
   • Arresta applicazione
   • Riavvia applicazione
   • Avvia applicazione

A seconda dell'azione selezionata, l'applicazione viene avviata, arrestata o riavviata.

Dispositivi di protezione UEFI

Espandi tutto | Comprimi tutto

Per dispositivo di protezione UEFI si intende un dispositivo in cui Kaspersky Anti-Virus for UEFI è integrato al livello BIOS. La protezione integrata garantisce la sicurezza del dispositivo fin dall'avvio del sistema, mentre la protezione nei dispositivi senza software integrato inizia solo dopo l'avvio dell'applicazione di protezione. Kaspersky Security Center supporta la gestione di tali dispositivi.

Per modificare le impostazioni di connessione dei dispositivi di protezione UEFI:

1. Nella struttura della console selezionare il nodo con il nome dell'Administration Server desiderato.
2. Dal menu di scelta rapida di Administration Server selezionare Proprietà.
3. Nella finestra delle proprietà di Administration Server selezionare Impostazioni di connessione del server → Porte aggiuntive.
4. Nella sezione Porte aggiuntive modificare le impostazioni desiderate:
   • Porta aperta per i dispositivi di protezione UEFI e i dispositivi KasperskyOS

     I dispositivi di protezione UEFI possono connettersi all'Administration Server.

   • Porta per i dispositivi di protezione UEFI e i dispositivi KasperskyOS

     È possibile modificare il numero di porta se l'opzione Porta aperta per i dispositivi di protezione UEFI e i dispositivi KasperskyOS è abilitata. Il numero di porta predefinito è 13294.

5. Fare clic su OK.

Impostazioni di un dispositivo gestito

Espandi tutto | Comprimi tutto

Per visualizzare le impostazioni di un dispositivo gestito:

1. Nella struttura della console selezionare la cartella Dispositivi gestiti.
2. Selezionare un dispositivo nell'area di lavoro della cartella.
3. Nel menu di scelta rapida del dispositivo selezionare Proprietà.

Viene aperta la finestra delle proprietà del dispositivo selezionato, con la sezione Generale selezionata.

Generale

La sezione Generale visualizza informazioni generali sul dispositivo client. Le informazioni sono fornite in base ai dati ricevuti durante l'ultima sincronizzazione del dispositivo client con Administration Server:

• Nome

  In questo campo è possibile visualizzare e modificare il nome di un dispositivo client nel gruppo di amministrazione.

• Descrizione

  In questo campo è possibile immettere un'ulteriore descrizione di un dispositivo client.

• Dominio Windows

  Gruppo di lavoro o dominio Windows che contiene il dispositivo.

• Nome NetBIOS

  Nome di rete di Windows del dispositivo client.

• Nome DNS

  Nome del dominio DNS del dispositivo client.

• Indirizzo IP

  Indirizzo IP del dispositivo.

• Gruppo

  Gruppo di amministrazione che include il dispositivo client.

• Ultimo aggiornamento

  Data dell'ultimo aggiornamento delle applicazioni o dei database anti-virus.

• Ultima visibilità

  Data e ora in cui il dispositivo è risultato visibile nella rete per l'ultima volta.

• Connesso ad Administration Server

  Data e ora dell'ultima connessione del Network Agent installato nel dispositivo client ad Administration Server.

• Non eseguire la disconnessione dall'Administration Server

  Se questa opzione è abilitata, viene mantenuta una connessione continua tra il dispositivo gestito e Administration Server. È consigliabile utilizzare questa opzione se non si utilizzano server push, che offrono questo tipo di connettività.

  Se questa opzione è disabilitata e i server push non sono in uso, il dispositivo gestito si connette ad Administration Server solo per sincronizzare i dati o trasmettere le informazioni.

  Il numero massimo di dispositivi con l'opzione Non eseguire la disconnessione dall'Administration Server selezionata è 300.

  Questa opzione è disabilitata per impostazione predefinita nei dispositivi gestiti. Questa opzione è abilitata per impostazione predefinita nel dispositivo in cui è installato Administration Server e rimane abilitata anche se si tenta di disabilitarla.

Protezione

Nella sezione Protezione vengono visualizzate informazioni sullo stato corrente della protezione anti-virus nel dispositivo client:

• Stato dispositivo

  Stato del dispositivo client assegnato in base ai criteri definiti dall'amministratore per lo stato della protezione anti-virus nel dispositivo e l'attività del dispositivo nella rete.

• Tutti i problemi

  Questa tabella contiene un elenco completo dei problemi rilevati dalle applicazioni gestite installate nel dispositivo client. Ogni problema è accompagnato da uno stato, che l'applicazione suggerisce di assegnare al dispositivo per il problema.

• Protezione in tempo reale

  Questo campo indica lo stato corrente della protezione in tempo reale nel dispositivo client.

  Quando cambia lo stato del dispositivo, il nuovo stato viene visualizzato nella finestra delle proprietà del dispositivo solo dopo la sincronizzazione del dispositivo client con l'Administration Server.

• Ultima scansione su richiesta

  Data e ora dell'ultima scansione virus eseguita nel dispositivo client.

• Numero totale di minacce rilevate

  Numero totale di minacce rilevate nel dispositivo client dall'installazione dell'applicazione anti-virus (prima scansione) o dall'ultimo azzeramento del contatore delle minacce.

• Minacce attive

  Numero di file non elaborati nel dispositivo client.

  Questo campo ignora il numero di file non elaborati nei dispositivi mobili.

• Stato criptaggio disco

  Stato corrente del criptaggio dei file nelle unità locali del dispositivo.

Applicazioni

Nella sezione Applicazioni sono elencate tutte le applicazioni Kaspersky installate nel dispositivo client:

• Eventi

  Fare clic sul pulsante per visualizzare l'elenco degli eventi verificatisi nel dispositivo client durante l'esecuzione dell'applicazione e per visualizzare i risultati delle attività per questa applicazione.

• Statistiche

  Fare clic su questo pulsante per visualizzare le informazioni statistiche correnti relative all'applicazione.

• Proprietà

  Fare clic sul pulsante per ricevere informazioni sull'applicazione e per configurare l'applicazione.

Attività

Nella scheda Attività, è possibile gestire le attività dei dispositivi client: visualizzare l'elenco delle attività esistenti, creare nuove attività, rimuovere, avviare e arrestare le attività, modificare le relative impostazioni e visualizzare i risultati dell'esecuzione. L'elenco delle attività è basato sui dati ricevuti durante l'ultima sessione di sincronizzazione del client con Administration Server. Administration Server richiede i dettagli dello stato delle attività al dispositivo client. Se la connessione non viene stabilita, lo stato non viene visualizzato.

Eventi

Nella scheda Eventi, sono visualizzati gli eventi registrati in Administration Server per il dispositivo client selezionato.

Tag

Nella scheda Tag, è possibile gestire l'elenco di parole chiave utilizzate per cercare i dispositivi client: visualizzare l'elenco dei tag esistenti, assegnare tag dall'elenco, configurare le regole per il tagging automatico, aggiungere nuovi tag e rinominare tag esistenti, nonché rimuovere tag.

Informazioni sul sistema

La sezione Informazioni generali di sistema fornisce le informazioni sull'applicazione installata nel dispositivo client.

Registro delle applicazioni

Nella sezione Registro delle applicazioni è possibile visualizzare il registro delle applicazioni installate nel dispositivo client e i relativi aggiornamenti, nonché configurare la visualizzazione del registro delle applicazioni.

Le informazioni sulle applicazioni installate vengono fornite se Network Agent installato nel dispositivo client invia le informazioni richieste ad Administration Server. È possibile configurare l'invio di informazioni ad Administration Server nella finestra delle proprietà di Network Agent o del relativo criterio, nella sezione Archivi. Le informazioni sulle applicazioni installate sono disponibili solo per i dispositivi che eseguono Windows.

Network Agent fornisce informazioni sulle applicazioni in base ai dati ricevuti dal Registro di sistema.

• Visualizza solo applicazioni di protezione incompatibili

  Se questa opzione è abilitata, l'elenco delle applicazioni contiene solo le applicazioni di protezione incompatibili con le applicazioni Kaspersky.

  Per impostazione predefinita, questa opzione è disabilitata.

• Mostra aggiornamenti

  Se questa opzione è abilitata, l'elenco delle applicazioni contiene non solo le applicazioni ma anche i pacchetti di aggiornamento installati.

  Per visualizzare l'elenco degli aggiornamenti sono necessari 100 KB di traffico. Se si chiude l'elenco e lo si riapre, sarà necessario utilizzare altri 100 KB di traffico.

  Per impostazione predefinita, questa opzione è disabilitata.

• Esporta in un file

  Fare clic su questo pulsante per esportare l'elenco delle applicazioni installate nel dispositivo in un file CSV o TXT.

• Cronologia

  Fare clic su questo pulsante per visualizzare gli eventi che riguardano l'installazione delle applicazioni nel dispositivo. Vengono visualizzate le seguenti informazioni:

  • Data e ora in cui l'applicazione è stata installata nel dispositivo
  • Nome applicazione
  • Versione applicazione

• Proprietà

  Fare clic su questo pulsante per visualizzare le proprietà dell'applicazione selezionata nell'elenco delle applicazioni installate nel dispositivo. Vengono visualizzate le seguenti informazioni:

  • Nome applicazione
  • Versione applicazione
  • Fornitore dell'applicazione

File eseguibili

La sezione File eseguibili visualizza i file eseguibili rilevati nel dispositivo client.

Registro hardware

Nella sezione Registro hardware è possibile visualizzare le informazioni relative all'hardware installato nel dispositivo client. È possibile visualizzare queste informazioni per i dispositivi Windows e i dispositivi Linux.

Sessioni

La sezione Sessioni visualizza le informazioni sul proprietario del dispositivo client e sugli account degli utenti che hanno utilizzato il dispositivo client selezionato.

Le informazioni sugli utenti del dominio vengono generate sulla base dei dati di Active Directory. I dettagli degli utenti locali sono forniti da Windows Security Account Manager installato nel dispositivo client.

• Proprietario dispositivo

  Il campo Proprietario dispositivo visualizza il nome dell'utente che l'amministratore può contattare quando si rende necessario eseguire determinate operazioni con il dispositivo client.

  Utilizzare i pulsanti Assegna e Proprietà per selezionare il proprietario del dispositivo e visualizzare le informazioni sull'utente che è stato designato come proprietario del dispositivo.

  Utilizzare il pulsante con la croce rossa per eliminare il proprietario attuale del dispositivo.

L'elenco visualizza gli account degli utenti che lavorano sul dispositivo client.

• Nome

  Nome del dispositivo nella rete Windows.

• Nome partecipante

  Nome (di dominio o locale) dell'utente che ha effettuato l'accesso al sistema nel dispositivo.

• Account

  Account dell'utente che ha effettuato l'accesso al dispositivo.

• E-mail

  Indirizzo e-mail dell'utente.

• Telefono

  Numero di telefono dell'utente.

Incidenti

Nella scheda Incidenti, è possibile visualizzare, modificare e creare incidenti per il dispositivo client. Gli incidenti possono essere creati automaticamente, tramite le applicazioni gestite Kaspersky installate nel dispositivo client, o manualmente, dall'amministratore. Se ad esempio alcuni utenti trasferiscono regolarmente malware dalle proprie unità rimovibili nei dispositivi, l'amministratore può creare un incidente. L'amministratore può fornire una breve descrizione del caso e le azioni consigliate (ad esempio, azioni disciplinari da intraprendere nei confronti di un utente) nel testo dell'incidente e può aggiungere un collegamento per l'utente o gli utenti.

Un incidente per cui sono state eseguite tutte le azioni richieste viene definito elaborato. La presenza di incidenti non elaborati può essere selezionata come condizione per il passaggio dello stato del dispositivo a Critico o Avviso.

Questa sezione contiene un elenco degli incidenti creati per il dispositivo. Gli incidenti sono classificati in base al tipo e al livello di criticità. Il tipo di un incidente è definito dall'applicazione Kaspersky che crea l'incidente. È possibile evidenziare gli incidenti elaborati nell'elenco selezionando la casella di controllo nella colonna Trattati.

Vulnerabilità del software

La sezione Vulnerabilità del software fornisce informazioni sulle vulnerabilità delle applicazioni di terze parti installate nei dispositivi client. È possibile utilizzare il campo di ricerca sopra l'elenco per cercare le vulnerabilità in base al nome.

• Esporta in un file

  Fare clic sul pulsante Esporta in un file per salvare l'elenco delle vulnerabilità nel file. Per impostazione predefinita, l'applicazione esporta l'elenco delle vulnerabilità in un file CSV.

• Mostra solo vulnerabilità che possono essere corrette

  Se questa opzione è abilitata, nella sezione verranno visualizzate le vulnerabilità che è possibile correggere tramite una patch.

  Se questa opzione è disabilitata, nella sezione verranno visualizzate sia le vulnerabilità che è possibile correggere tramite una patch che quelle per cui non è disponibile alcuna patch.

  Per impostazione predefinita, questa opzione è abilitata.

• Proprietà

  Selezionare una vulnerabilità del software nell'elenco e fare clic sul pulsante Proprietà per visualizzare le proprietà della vulnerabilità del software selezionata in una finestra separata. Nella finestra è possibile eseguire le seguenti operazioni:

  • Ignorare la vulnerabilità del software in questo dispositivo gestito (in Administration Console o in Kaspersky Security Center 13.1 Web Console ).
  • Visualizzare l'elenco delle correzioni consigliate per la vulnerabilità.
  • Specificare manualmente gli aggiornamenti software per correggere la vulnerabilità (in Administration Console o in Kaspersky Security Center 13.1 Web Console).
  • Visualizzare le istanze della vulnerabilità.
  • Visualizzare l'elenco delle attività esistenti per correggere la vulnerabilità e creare nuove attività per correggere la vulnerabilità.

Aggiornamenti disponibili

Questa sezione visualizza un elenco degli aggiornamenti software rilevati nel dispositivo, ma non ancora installati.

• Mostra aggiornamenti installati

  Se questa opzione è abilitata, nell'elenco saranno visualizzati sia gli aggiornamenti non installati che quelli già installati nel dispositivo client.

  Per impostazione predefinita, questa opzione è disabilitata.

Criteri attivi

Questa sezione consente di visualizzare un elenco di criteri delle applicazioni Kaspersky attualmente attivi nel dispositivo.

• Esporta in un file

  È possibile fare clic sul pulsante Esporta in un file per salvare l'elenco dei criteri attivi in un file. Per impostazione predefinita, l'applicazione esporta l'elenco dei criteri in un file CSV.

Profili criterio attivi

• Profili criterio attivi

  L'elenco consente di visualizzare informazioni sui profili criterio esistenti, che sono attivi nei dispositivi client. È possibile utilizzare la barra di ricerca sopra l'elenco per trovare profili criterio attivi nell'elenco immettendo un nome criterio o il nome di un profilo criterio.

• Esporta in un file

  È possibile fare clic sul pulsante Esporta in un file per salvare l'elenco dei profili criterio attivi in un file. Per impostazione predefinita, l'applicazione esporta l'elenco dei profili criterio in un file CSV.

Punti di distribuzione

In questa sezione viene fornito un elenco dei punti di distribuzione con cui interagisce il dispositivo.

• Esporta in un file

  Fare clic sul pulsante Esporta in un file per salvare in un file un elenco di punti di distribuzione con cui interagisce il dispositivo. Per impostazione predefinita, l'applicazione esporta l'elenco di dispositivi in un file CSV.

• Proprietà

  Fare clic sul pulsante Proprietà per visualizzare e configurare il punto di distribuzione con cui interagisce il dispositivo.

Impostazioni generali dei criteri

Espandi tutto | Comprimi tutto

Generale

Nella sezione Generale è possibile modificare lo stato del criterio e specificare l'ereditarietà delle impostazioni criterio:

• Nella sezione Stato criterio è possibile selezionare una modalità criterio:
  • Criterio attivo

    Se questa opzione è selezionata, il criterio diventa attivo.

    Per impostazione predefinita, questa opzione è selezionata.

  • Criterio fuori sede

    Se questa opzione è selezionata, il criterio diventa attivo quando il dispositivo lascia la rete aziendale.

  • Criterio inattivo

    Se questa opzione è selezionata, il criterio diventa inattivo, ma viene comunque salvato nella cartella Criteri. Se necessario, il criterio può essere attivato.

• Nel gruppo di impostazioni Ereditarietà impostazioni è possibile configurare l'ereditarietà del criterio:
  • Eredita impostazioni dal criterio padre

    Se questa opzione è abilitata, i valori delle impostazioni del criterio vengono ereditati dal criterio di gruppo di livello superiore e pertanto vengono bloccati.

    Per impostazione predefinita, questa opzione è abilitata.

  • Forza ereditarietà impostazioni nei criteri figlio

    Se questa opzione è abilitata, una volta applicate le modifiche ai criteri, verranno eseguite le seguenti azioni:

    • I valori delle impostazioni dei criteri saranno propagati ai criteri dei sottogruppi di amministrazione, ovvero ai criteri figlio.
    • Nel gruppo Ereditarietà impostazioni della sezione Generale nella finestra delle proprietà di ogni criterio figlio, l'opzione Eredita impostazioni dal criterio padre sarà abilitata automaticamente.

    Se questa opzione è abilitata, le impostazioni dei criteri figlio vengono bloccate.

    Per impostazione predefinita, questa opzione è disabilitata.

Configurazione eventi

La sezione Configurazione eventi consente di configurare la registrazione degli eventi e le notifiche degli eventi. Gli eventi vengono distribuiti nelle seguenti schede in base al livello di importanza:

• Critico

  La scheda Critico non è visualizzata nelle proprietà del criterio di Network Agent.

• Errore funzionale
• Avviso
• Informazioni

In ogni scheda, l'elenco mostra i tipi di eventi e il periodo di archiviazione predefinito per gli eventi in Administration Server (in giorni). Facendo clic sul pulsante Proprietà è possibile specificare le impostazioni di registrazione degli eventi e le notifiche sugli eventi selezionati nell'elenco. Per impostazione predefinita, le impostazioni di notifica comuni specificate per l'intero Administration Server vengono utilizzate per tutti i tipi di eventi. Tuttavia, è possibile modificare impostazioni specifiche per i tipi di eventi desiderati.

Nella scheda Avviso è ad esempio possibile configurare il tipo di evento Si è verificato un incidente. Tali eventi possono ad esempio verificarsi quando lo spazio libero sul disco di un punto di distribuzione è inferiore a 2 GB (sono necessari almeno 4 GB per installare le applicazioni e scaricare gli aggiornamenti in remoto). Per configurare l'evento Si è verificato un incidente, selezionarlo e fare clic sul pulsante Proprietà. Successivamente è possibile specificare la posizione in cui archiviare gli eventi che si sono verificati e la modalità di notifica.

Se Network Agent ha rilevato un incidente, è possibile gestire tale incidente utilizzando le impostazioni di un dispositivo gestito.

Per selezionare più tipi di eventi, utilizzare il tasto MAIUSC o CTRL. Per selezionare tutti i tipi, utilizzare il pulsante Seleziona tutto.

Impostazioni del criterio di Network Agent

Espandi tutto | Comprimi tutto

Per configurare il criterio di Network Agent:

1. Nella struttura della console selezionare la cartella Criteri.
2. Nell'area di lavoro della cartella selezionare il criterio di Network Agent.
3. Nel menu di scelta rapida del criterio selezionare Proprietà.

Verrà visualizzata la finestra delle proprietà del criterio di Network Agent.

Generale

Nella sezione Generale è possibile modificare lo stato del criterio e specificare l'ereditarietà delle impostazioni criterio:

• Nella sezione Stato criterio è possibile selezionare una modalità criterio:
  • Criterio attivo

    Se questa opzione è selezionata, il criterio diventa attivo.

    Per impostazione predefinita, questa opzione è selezionata.

  • Criterio fuori sede

    Se questa opzione è selezionata, il criterio diventa attivo quando il dispositivo lascia la rete aziendale.

  • Criterio inattivo

    Se questa opzione è selezionata, il criterio diventa inattivo, ma viene comunque salvato nella cartella Criteri. Se necessario, il criterio può essere attivato.

• Nel gruppo di impostazioni Ereditarietà impostazioni è possibile configurare l'ereditarietà del criterio:
  • Eredita impostazioni dal criterio padre

    Se questa opzione è abilitata, i valori delle impostazioni del criterio vengono ereditati dal criterio di gruppo di livello superiore e pertanto vengono bloccati.

    Per impostazione predefinita, questa opzione è abilitata.

  • Forza ereditarietà impostazioni nei criteri figlio

    Se questa opzione è abilitata, una volta applicate le modifiche ai criteri, verranno eseguite le seguenti azioni:

    • I valori delle impostazioni dei criteri saranno propagati ai criteri dei sottogruppi di amministrazione, ovvero ai criteri figlio.
    • Nel gruppo Ereditarietà impostazioni della sezione Generale nella finestra delle proprietà di ogni criterio figlio, l'opzione Eredita impostazioni dal criterio padre sarà abilitata automaticamente.

    Se questa opzione è abilitata, le impostazioni dei criteri figlio vengono bloccate.

    Per impostazione predefinita, questa opzione è disabilitata.

Configurazione eventi

La sezione Configurazione eventi consente di configurare la registrazione degli eventi e le notifiche degli eventi. Gli eventi vengono distribuiti nelle seguenti schede in base al livello di importanza:

• Critico

  La scheda Critico non è visualizzata nelle proprietà del criterio di Network Agent.

• Errore funzionale
• Avviso
• Informazioni

In ogni scheda, l'elenco mostra i tipi di eventi e il periodo di archiviazione predefinito per gli eventi in Administration Server (in giorni). Facendo clic sul pulsante Proprietà è possibile specificare le impostazioni di registrazione degli eventi e le notifiche sugli eventi selezionati nell'elenco. Per impostazione predefinita, le impostazioni di notifica comuni specificate per l'intero Administration Server vengono utilizzate per tutti i tipi di eventi. Tuttavia, è possibile modificare impostazioni specifiche per i tipi di eventi desiderati.

Nella scheda Avviso è ad esempio possibile configurare il tipo di evento Si è verificato un incidente. Tali eventi possono ad esempio verificarsi quando lo spazio libero sul disco di un punto di distribuzione è inferiore a 2 GB (sono necessari almeno 4 GB per installare le applicazioni e scaricare gli aggiornamenti in remoto). Per configurare l'evento Si è verificato un incidente, selezionarlo e fare clic sul pulsante Proprietà. Successivamente è possibile specificare la posizione in cui archiviare gli eventi che si sono verificati e la modalità di notifica.

Se Network Agent ha rilevato un incidente, è possibile gestire tale incidente utilizzando le impostazioni di un dispositivo gestito.

Per selezionare più tipi di eventi, utilizzare il tasto MAIUSC o CTRL. Per selezionare tutti i tipi, utilizzare il pulsante Seleziona tutto.

Impostazioni

Nella sezione Impostazioni è possibile configurare il criterio di Network Agent:

• Distribuisci i file solo tramite punti di distribuzione

  Se questa opzione è abilitata, i Network Agent nei dispositivi gestiti recuperano gli aggiornamenti solo dai punti di distribuzione.

  Se questa opzione è disabilitata, i Network Agent nei dispositivi gestiti recuperano gli aggiornamenti dai punti di distribuzione o da Administration Server.

  Le applicazioni di protezione nei dispositivi gestiti recuperano gli aggiornamenti dalla sorgente impostata nell'attività di aggiornamento per ciascuna applicazione di protezione. Se si abilita l'opzione Distribuisci i file solo tramite punti di distribuzione, assicurarsi che Kaspersky Security Center sia impostato come sorgente aggiornamenti nelle attività di aggiornamento.

  Per impostazione predefinita, questa opzione è disabilitata.

• Abilita NAP

  Questa opzione è obsoleta. Si consiglia di non utilizzarla.

  Se la casella di controllo è selezionata, viene utilizzato Kaspersky Security Center SHV (SHV) per controllare lo stato di integrità del sistema nel dispositivo client. Questa casella di controllo è disponibile se Kaspersky Security Center SHV è installato nel dispositivo.

  Per impostazione predefinita, questa casella di controllo è deselezionata.

• Dimensione massima della coda di eventi (MB)

  In questo campo è possibile specificare la quantità massima di spazio su disco che una coda di eventi può occupare.

  Il valore predefinito è 2 megabyte (MB).

• L'applicazione può recuperare i dati estesi del criterio nel dispositivo

  Network Agent installato in un dispositivo gestito trasferisce le informazioni sul criterio dell'applicazione di protezione applicato all'applicazione di protezione (ad esempio Kaspersky Endpoint Security for Windows). È possibile visualizzare le informazioni trasferite nell'interfaccia dell'applicazione di protezione.

  Network Agent trasferisce le seguenti informazioni:

  • Ora della distribuzione del criterio al dispositivo gestito
  • Nome del criterio attivo o fuori sede al momento della distribuzione del criterio al dispositivo gestito
  • Nome e percorso completo del gruppo di amministrazione che conteneva il dispositivo gestito al momento della distribuzione del criterio al dispositivo gestito
  • Elenco dei profili criterio attivi

    È possibile utilizzare le informazioni per assicurarsi che venga applicato il criterio corretto al dispositivo e per la risoluzione dei problemi. Per impostazione predefinita, questa opzione è disabilitata.

• Proteggi il servizio Network Agent dalle operazioni non autorizzate di rimozione o terminazione e impedisci la modifica delle impostazioni

  Dopo l'installazione di Network Agent in un dispositivo gestito, il componente non può essere rimosso o riconfigurato senza i privilegi richiesti. Il servizio Network Agent non può essere arrestato.

  Per impostazione predefinita, questa opzione è disabilitata.

• Usa password di disinstallazione

  Se questa opzione è abilitata, facendo clic sul pulsante Modifica è possibile specificare la password per la disinstallazione remota di Network Agent.

  Per impostazione predefinita, questa opzione è disabilitata.

Archivi

Nella sezione Archivi è possibile selezionare i tipi di oggetti i cui dettagli verranno inviati da Network Agent ad Administration Server. Se la modifica di alcune impostazioni in questa sezione non è consentita dal criterio di Network Agent, non è possibile modificare tali impostazioni. Le impostazioni nella sezione Archivi sono disponibili solo nei dispositivi che eseguono Windows:

• Informazioni dettagliate sugli aggiornamenti Windows Update

  Se questa opzione è abilitata, le informazioni sugli aggiornamenti di Microsoft Windows Update da installare nei dispositivi client vengono inviate ad Administration Server.

  A volte, anche se l'opzione è disabilitata, gli aggiornamenti vengono visualizzati nelle proprietà del dispositivo, nella sezione Aggiornamenti disponibili. Questo potrebbe ad esempio accadere se i dispositivi dell'organizzazione presentassero vulnerabilità correggibili tramite questi aggiornamenti.

  Per impostazione predefinita, questa opzione è abilitata. È disponibile solo per Windows.

• Informazioni dettagliate sulle vulnerabilità del software e sugli aggiornamenti corrispondenti

  Se questa opzione è abilitata, le informazioni sulle vulnerabilità nel software di terze parti (incluso il software Microsoft) rilevate nei dispositivi gestiti e sugli aggiornamenti software per correggere le vulnerabilità di terze parti (escluso il software Microsoft) vengono inviate ad Administration Server.

  Selezionando questa opzione (Informazioni dettagliate sulle vulnerabilità del software e sugli aggiornamenti corrispondenti) aumentano il carico di rete, il carico sul disco di Administration Server e il consumo di risorse di Network Agent.

  Per impostazione predefinita, questa opzione è abilitata. È disponibile solo per Windows.

  Per gestire gli aggiornamenti software del software Microsoft, utilizzare l'opzione Informazioni dettagliate sugli aggiornamenti Windows Update.

• Dettagli registro hardware

  Network Agent installato in un dispositivo invia informazioni sull'hardware del dispositivo ad Administration Server. È possibile visualizzare i dettagli hardware nelle proprietà del dispositivo.

• Informazioni dettagliate sulle applicazioni installate

  Se questa opzione è abilitata, le informazioni sulle applicazioni installate nei dispositivi client vengono inviate ad Administration Server.

  Per impostazione predefinita, questa opzione è abilitata.

• Includi informazioni sulle patch

  Le informazioni sulle patch delle applicazioni installate nei dispositivi client vengono inviate ad Administration Server. L'abilitazione di questa opzione può aumentare il carico su Administration Server e DBMS, nonché incrementare il volume del database.

  Per impostazione predefinita, questa opzione è abilitata. È disponibile solo per Windows.

Aggiornamenti e vulnerabilità del software

Nella sezione Vulnerabilità e aggiornamenti software è possibile configurare la ricerca e la distribuzione degli aggiornamenti di Windows, nonché abilitare la scansione dei file eseguibili per rilevare la presenza di vulnerabilità. Le impostazioni nella sezione Vulnerabilità e aggiornamenti software sono disponibili solo nei dispositivi che eseguono Windows:

• Usa Administration Server come server WSUS

  Se questa opzione è abilitata, gli aggiornamenti di Windows vengono scaricati in Administration Server. Administration Server fornisce gli aggiornamenti scaricati a Windows Update nei dispositivi client in modalità centralizzata tramite Network Agent.

  Se questa opzione è disabilitata, Administration Server non viene utilizzato per scaricare gli aggiornamenti di Windows. In questo caso, i dispositivi client ricevono autonomamente gli aggiornamenti di Windows.

  Per impostazione predefinita, questa opzione è disabilitata.

• In Consentire agli utenti di gestire l'installazione degli aggiornamenti Windows Update è possibile limitare gli aggiornamenti di Windows che gli utenti possono installare manualmente nei propri dispositivi tramite Windows Update.

  Nei dispositivi che eseguono Windows 10, se Windows Update ha già rilevato aggiornamenti per il dispositivo, la nuova opzione selezionata in Consentire agli utenti di gestire l'installazione degli aggiornamenti Windows Update verrà applicata solo dopo l'installazione degli aggiornamenti rilevati.

  Selezionare un elemento nell'elenco a discesa:

  • Consentire agli utenti di installare tutti gli aggiornamenti Windows Update applicabili

    Gli utenti possono installare nei propri dispositivi tutti gli aggiornamenti di Microsoft Windows Update applicabili.

    Selezionare questa opzione se non si desidera interferire nell'installazione degli aggiornamenti.

    Quando l'utente installa manualmente gli aggiornamenti di Microsoft Windows Update, gli aggiornamenti possono essere scaricati dai server Microsoft anziché da Administration Server. Questo è possibile se Administration Server non ha ancora scaricato gli aggiornamenti. Il download degli aggiornamenti dai server Microsoft comporta un traffico aggiuntivo.

  • Consentire agli utenti di installare solo gli aggiornamenti Windows Update approvati

    Gli utenti possono installare nei propri dispositivi tutti gli aggiornamenti di Microsoft Windows Update applicabili e approvati dall'amministratore.

    Ad esempio, potrebbe essere utile controllare prima l'installazione degli aggiornamenti in un ambiente di test e verificare che non interferiscano con l'utilizzo dei dispositivi e solo successivamente consentire l'installazione degli aggiornamenti approvati nei dispositivi client.

    Quando l'utente installa manualmente gli aggiornamenti di Microsoft Windows Update, gli aggiornamenti possono essere scaricati dai server Microsoft anziché da Administration Server. Questo è possibile se Administration Server non ha ancora scaricato gli aggiornamenti. Il download degli aggiornamenti dai server Microsoft comporta un traffico aggiuntivo.

  • Non consentire agli utenti di installare gli aggiornamenti Windows Update

    Gli utenti non possono installare manualmente gli aggiornamenti di Microsoft Windows Update nei propri dispositivi. Tutti gli aggiornamenti applicabili vengono installati in base alla configurazione specificata dall'amministratore.

    Selezionare questa opzione se si desidera gestire l'installazione degli aggiornamenti in modo centralizzato.

    È ad esempio possibile ottimizzare la pianificazione degli aggiornamenti in modo da evitare di sovraccaricare la rete. È possibile pianificare le installazioni degli aggiornamenti in orario non lavorativo, in modo che non interferiscano con la produttività degli utenti.

• Nel gruppo di impostazioni Modalità di ricerca di Windows Update è possibile selezionare la modalità di ricerca degli aggiornamenti:
  • Attiva

    Se questa opzione è selezionata, Administration Server con il supporto di Network Agent avvia una richiesta da un Windows Update Agent nel dispositivo client alla sorgente aggiornamenti: server Windows Update o WSUS. Successivamente, Network Agent trasmette le informazioni ricevute da Windows Update Agent ad Administration Server.

    L'opzione è valida solo se l'opzione Connetti al server degli aggiornamenti per aggiornare i dati dell'attività Trova vulnerabilità e aggiornamenti richiesti è selezionata.

    Per impostazione predefinita, questa opzione è selezionata.

  • Passiva

    Se questa opzione è selezionata, Network Agent trasmette periodicamente ad Administration Server le informazioni sugli aggiornamenti recuperati durante l'ultima sincronizzazione di Windows Update Agent con la sorgente aggiornamenti. Se non viene eseguita la sincronizzazione di Windows Update Agent con una sorgente aggiornamenti, le informazioni sugli aggiornamenti in Administration Server diventano obsolete.

    Selezionare questa opzione se si desidera ottenere gli aggiornamenti dalla cache della memoria della sorgente aggiornamenti.

  • Disabilitata

    Se questa opzione è selezionata, Administration Server non richiede informazioni sugli aggiornamenti.

    Selezionare questa opzione se, ad esempio, si desidera prima testare gli aggiornamenti nel dispositivo locale.

• Esegui la scansione dei file eseguibili per rilevarne le vulnerabilità al momento dell'esecuzione

  Se questa opzione è abilitata, i file eseguibili vengono esaminati alla ricerca di vulnerabilità al momento dell'esecuzione.

  Per impostazione predefinita, questa opzione è abilitata.

Gestione riavvio

Nella sezione Gestione riavvio è possibile specificare l'azione che deve essere eseguita se il sistema operativo di un dispositivo gestito deve essere riavviato per utilizzare, installare o disinstallare correttamente un'applicazione. Le impostazioni nella sezione Gestione riavvio sono disponibili solo nei dispositivi che eseguono Windows:

• Non riavviare il sistema operativo

  Il sistema operativo non sarà riavviato.

• Riavvia automaticamente il sistema operativo se necessario

  Se necessario, il sistema operativo sarà riavviato automaticamente.

• Richiedi l'intervento dell'utente

  All'utente viene chiesto di confermare il riavvio del sistema operativo.

  Per impostazione predefinita, questa opzione è selezionata.

  • Ripeti la richiesta ogni (min.)

    Se questa opzione è abilitata, all'utente verrà richiesto di confermare il riavvio del sistema operativo con la frequenza specificata nel campo accanto alla casella di controllo. La frequenza predefinita per la richiesta di conferma è di 5 minuti.

    Se questa opzione è disabilitata, all'utente non verrà richiesto ripetutamente di confermare il riavvio.

    Per impostazione predefinita, questa opzione è abilitata.

  • Forza riavvio dopo (min.)

    Se questa opzione è abilitata, dopo la richiesta di conferma all'utente, verrà forzato il riavvio del sistema operativo alla scadenza dell'intervallo di tempo specificato nel campo accanto alla casella di controllo.

    Se questa opzione è disabilitata, non verrà forzato il riavvio.

    Per impostazione predefinita, questa opzione è abilitata.

  • Tempo di attesa prima della chiusura forzata delle applicazioni nelle sessioni bloccate (min.)

    Viene forzata la chiusura delle applicazioni quando il dispositivo dell'utente viene bloccato (automaticamente dopo un intervallo di inattività specificato o manualmente).

    Se questa opzione è abilitata, viene forzata la chiusura delle applicazioni nel dispositivo bloccato alla scadenza dell'intervallo di tempo specificato nel campo di immissione.

    Se questa opzione è disabilitata, le applicazioni nel dispositivo bloccato non vengono chiuse.

    Per impostazione predefinita, questa opzione è disabilitata.

Condivisione desktop Windows

Nella sezione Condivisione desktop Windows è possibile abilitare e configurare il controllo delle azioni eseguite dall'amministratore in un dispositivo remoto quando viene condiviso l'accesso al desktop. Le impostazioni nella sezione Condivisione desktop Windows sono disponibili solo nei dispositivi che eseguono Windows:

• Abilita controllo

  Se questa opzione è abilitata, il controllo delle azioni dell'amministratore nel dispositivo remoto è abilitato. I record relativi alle azioni dell'amministratore nel dispositivo remoto vengono registrati:

  • Nel registro eventi del dispositivo remoto
  • In un file con estensione syslog nella cartella di installazione di Network Agent nel dispositivo remoto
  • Nel database degli eventi di Kaspersky Security Center

  Il controllo delle azioni dell'amministratore è disponibile quando sono soddisfatte le seguenti condizioni:

  • È in uso la licenza per Vulnerability e Patch Management
  • L'amministratore dispone del diritto per l'avvio dell'accesso condiviso al desktop del dispositivo remoto

  Se questa opzione è disabilitata, il controllo delle azioni dell'amministratore nel dispositivo remoto è disabilitato.

  Per impostazione predefinita, questa opzione è disabilitata.

• Maschere dei file da monitorare durante la lettura

  L'elenco contiene le maschere dei file. Quando il controllo è abilitato, l'applicazione monitora i file di lettura dell'amministratore corrispondenti alle maschere e salva le informazioni sui file letti. L'elenco è disponibile se la casella di controllo Abilita controllo è selezionata. È possibile modificare le maschere dei file e aggiungerne di nuove all'elenco. Ogni nuova maschera di file deve essere specificata nell'elenco su una nuova riga.

  Per impostazione predefinita, sono specificate le seguenti maschere dei file: *.txt, *.rtf, *.doc, *.xls, *.docx, *.xlsx, *.odt, *.pdf.

• Maschere dei file da monitorare durante la modifica

  L'elenco contiene maschere dei file nel dispositivo remoto. Quando il controllo è abilitato, l'applicazione monitora le modifiche apportate dall'amministratore ai file corrispondenti alle maschere e salva le informazioni su tali modifiche. L'elenco è disponibile se la casella di controllo Abilita controllo è selezionata. È possibile modificare le maschere dei file e aggiungerne di nuove all'elenco. Ogni nuova maschera di file deve essere specificata nell'elenco su una nuova riga.

  Per impostazione predefinita, sono specificate le seguenti maschere dei file: *.txt, *.rtf, *.doc, *.xls, *.docx, *.xlsx, *.odt, *.pdf.

Gestire patch e aggiornamenti

Nella sezione Gestire patch e aggiornamenti è possibile configurare il download e la distribuzione degli aggiornamenti, nonché l'installazione delle patch nei dispositivi gestiti:

• Installa automaticamente le patch e gli aggiornamenti applicabili per i componenti con lo stato Indefinito

  Se questa opzione è abilitata, le patch di Kaspersky con lo stato di approvazione Indefinito vengono installate automaticamente nei dispositivi gestiti subito dopo il download dai server di aggiornamento. L'installazione automatica delle patch con lo stato Indefinito è disponibile per Kaspersky Security Center 10 Service Pack 2 e versioni successive.

  Se questa opzione è disabilitata, le patch di Kaspersky che sono state scaricate e contrassegnate con lo stato Indefinito saranno installate solo dopo che si modifica il relativo stato in Approvato.

  Per impostazione predefinita, questa opzione è abilitata.

• Scarica aggiornamenti e database anti-virus da Administration Server anticipatamente (scelta consigliata)

  Se questa opzione è abilitata, viene utilizzato il modello offline di download degli aggiornamenti. Quando Administration Server riceve gli aggiornamenti, segnala a Network Agent (nei dispositivi in cui è installato) gli aggiornamenti che saranno necessari per le applicazioni gestite. Quando Network Agent riceve le informazioni su questi aggiornamenti, scarica anticipatamente i file appropriati da Administration Server. Alla prima connessione con Network Agent, Administration Server avvia un download degli aggiornamenti. Una volta che Network Agent ha scaricato tutti gli aggiornamenti in un dispositivo client, tali aggiornamenti diventano disponibili per le applicazioni nel dispositivo.

  Quando un'applicazione gestita in un dispositivo client tenta di accedere a Network Agent per gli aggiornamenti, questo Network Agent verifica se dispone di tutti gli aggiornamenti richiesti. Se gli aggiornamenti sono stati ricevuti da Administration Server non più di 25 ore prima del momento in cui vengono richiesti dall'applicazione gestita, il Network Agent non si connette ad Administration Server, ma fornisce all'applicazione gestita gli aggiornamenti dalla cache locale. La connessione con Administration Server potrebbe non essere stabilita quando Network Agent fornisce gli aggiornamenti alle applicazioni nei dispositivi client, ma la connessione non è necessaria per l'aggiornamento.

  Se questa opzione è disabilitata, non viene utilizzato il modello offline di download degli aggiornamenti. Gli aggiornamenti vengono distribuiti in base alla pianificazione dell'attività di download degli aggiornamenti.

  Per impostazione predefinita, questa opzione è abilitata.

Connettività

La sezione Connettività include tre sottosezioni nidificate:

• Rete
• Profili connessione (solo per Windows)
• Pianificazione connessione

Nella sottosezione Rete è possibile configurare la connessione ad Administration Server, abilitare l'utilizzo di una porta UDP e specificare il relativo numero. Sono disponibili le seguenti opzioni:

• Nel gruppo di impostazioni Connessione ad Administration Server è possibile configurare la connessione ad Administration Server e specificare l'intervallo di tempo per la sincronizzazione tra i dispositivi client e Administration Server:
  • Comprimi traffico di rete

    Se questa opzione è abilitata, la velocità di trasferimento dei dati da parte di Network Agent viene aumentata attraverso una riduzione della quantità di informazioni da trasferire e una conseguente riduzione del carico di Administration Server.

    Il carico di lavoro sulla CPU del computer client potrebbe aumentare.

    Per impostazione predefinita, questa casella di controllo è abilitata.

  • Apri porte di Network Agent in Microsoft Windows Firewall

    Se questa opzione è abilitata, una porta UDP necessaria per l'utilizzo di Network Agent viene aggiunta all'elenco di esclusioni di Microsoft Windows Firewall.

    Per impostazione predefinita, questa opzione è abilitata.

  • Usa SSL

    Se questa opzione è abilitata, la connessione ad Administration Server viene stabilita attraverso una porta sicura tramite SSL.

    Per impostazione predefinita, questa opzione è abilitata.

  • Usa il gateway di connessione nel punto di distribuzione (se disponibile) con le impostazioni di connessione predefinite

    Se questa opzione è abilitata, viene utilizzato il gateway di connessione nel punto di distribuzione con le impostazioni specificate nelle proprietà del gruppo di amministrazione.

    Per impostazione predefinita, questa opzione è abilitata.

• Usa porta UDP

  Se è necessario che i dispositivi gestiti si connettano al server proxy KSN attraverso una porta UDP, abilitare l'opzione Usa porta UDP e specificare il numero in Porta UDP. Per impostazione predefinita, questa opzione è abilitata. La porta UDP predefinita per la connessione al server proxy KSN è la 15111.

• Numero di porta UDP

  In questo campo è possibile immettere il numero della porta UDP. Il numero di porta predefinito è 15000.

  Viene utilizzato il sistema decimale per i record.

  Se il dispositivo client esegue Windows XP Service Pack 2, il firewall integrato blocca la porta UDP 15000. Si consiglia di aprire questa porta manualmente.

• Usa punto di distribuzione per forzare la connessione ad Administration Server

  Selezionare questa opzione se è stata selezionata l'opzione Usa questo punto di distribuzione come server push nella finestra delle impostazioni del punto di distribuzione. In caso contrario, il punto di distribuzione non fungerà da server push.

Nella sottosezione Profili connessione è possibile specificare le impostazioni del percorso di rete, configurare i profili di connessione per Administration Server e abilitare la modalità fuori sede quando Administration Server non è disponibile. Le impostazioni nella sezione Profili connessione sono disponibili solo nei dispositivi che eseguono Windows:

• Impostazioni percorso di rete

  Le impostazioni del percorso di rete definiscono le caratteristiche della rete alla quale è connesso il dispositivo client e specificano le regole per il passaggio di Network Agent da un profilo di connessione Administration Server all'altro quando tali caratteristiche di rete subiscono variazioni.

• Profili connessione di Administration Server

  In questa sezione è possibile visualizzare e aggiungere profili per la connessione di Network Agent ad Administration Server. In questa sezione è inoltre possibile creare regole per il passaggio di Network Agent a diversi Administration Server quando si verificano i seguenti eventi:

  • Quando il dispositivo client si connette a un'altra rete locale
  • Quando il dispositivo perde la connessione con la rete locale dell'organizzazione
  • Quando cambia l'indirizzo del gateway di connessione o l'indirizzo del server DNS viene modificato

  I profili di connessione sono supportati solo per i dispositivi che eseguono Windows e macOS.

• Abilita la modalità fuori sede quando Administration Server non è disponibile

  Se questa opzione è abilitata, in caso di utilizzo di questo profilo per la connessione, le applicazioni installate nel dispositivo client utilizzeranno i profili criterio per i dispositivi in modalità fuori sede, nonché i criteri fuori sede. Se non è definito alcun criterio fuori sede per l'applicazione, verrà utilizzato il criterio attivo.

  Se questa opzione è disabilitata, le applicazioni utilizzeranno i criteri attivi.

  Per impostazione predefinita, questa opzione è disabilitata.

Nella sottosezione Pianificazione connessione è possibile specificare gli intervalli di tempo durante i quali Network Agent invia i dati ad Administration Server:

• Connetti quando necessario

  Se questa opzione è selezionata, la connessione viene stabilita quando Network Agent deve inviare i dati ad Administration Server.

  Per impostazione predefinita, questa opzione è selezionata.

• Connetti negli intervalli di tempo specificati

  Se questa opzione è selezionata, Network Agent si connette ad Administration Server all'ora specificata. È possibile aggiungere diversi periodi di tempo per la connessione.

Punti di distribuzione

La sezione Punti di distribuzione include quattro sottosezioni nidificate:

• Polling della rete
• Impostazioni della connessione Internet
• Proxy KSN
• Aggiornamenti

Nella sottosezione Polling della rete è possibile configurare il polling automatico della rete. Le impostazioni del polling sono disponibili solo nei dispositivi che eseguono Windows. È possibile abilitare tre tipi di polling, ovvero il polling di rete, il polling dell'intervallo IP e il polling di Active Directory:

• Consenti il polling della rete

  Se l'opzione è abilitata, Administration Server esegue automaticamente il polling della rete in base alla pianificazione configurata facendo clic sui collegamenti Imposta pianificazione di polling rapida e Imposta pianificazione di polling completa.

  Se questa opzione è disabilitata, Administration Server esegue il polling della rete con l'intervallo specificato nel campo Frequenza di polling della rete (min.).

  L'intervallo di rilevamento dei dispositivi per le versioni di Network Agent precedenti alla 10.2 può essere configurato nei campi Frequenza dei polling dai domini Windows (min.) (per il polling rapido della rete Windows) e Frequenza di polling della rete (min.) (per il polling completo della rete Windows).

  Per impostazione predefinita, questa opzione è disabilitata.

• Abilita polling intervalli IP

  Se l'opzione è abilitata, Administration Server esegue automaticamente il polling degli intervalli IP in base alla pianificazione configurata facendo clic sul collegamento Imposta pianificazione di polling.

  Se questa opzione è disabilitata, Administration Server non esegue il polling degli intervalli IP.

  La frequenza di polling degli intervalli IP per le versioni di Network Agent precedenti alla 10.2 può essere configurata nel campo Intervallo di polling (min.). Il campo è disponibile se l'opzione è abilitata.

  Per impostazione predefinita, questa opzione è disabilitata.

• Abilita polling di Active Directory

  Se l'opzione è abilitata, Administration Server esegue automaticamente il polling di Active Directory in base alla pianificazione configurata facendo clic sul collegamento Imposta pianificazione di polling.

  Se questa opzione è disabilitata, Administration Server non esegue il polling di Active Directory.

  La frequenza di polling di Active Directory per le versioni di Network Agent precedenti alla 10.2 può essere configurata nel campo Intervallo di polling (min.). Il campo è disponibile se questa opzione è abilitata.

  Per impostazione predefinita, questa opzione è disabilitata.

Nella sottosezione Impostazioni della connessione Internet, è possibile specificare le impostazioni di accesso a Internet:

• Usa server proxy

  Se questa casella di controllo è selezionata, nei campi di immissione è possibile configurare la connessione al server proxy.

  Per impostazione predefinita, questa casella di controllo è deselezionata.

• Indirizzo server proxy

  Indirizzo del server proxy.

• Numero di porta

  Il numero di porta utilizzato per la connessione.

• Ignora il server proxy per gli indirizzi locali

  Se questa opzione è abilitata, non viene utilizzato alcun server proxy per la connessione ai dispositivi nella rete locale.

  Per impostazione predefinita, questa opzione è disabilitata.

• Autenticazione server proxy

  Se questa casella di controllo è abilitata, nei campi di immissione è possibile specificare le credenziali per l'autenticazione del server proxy.

  Per impostazione predefinita, questa casella di controllo è disabilitata.

• Nome utente

  Account utente con cui viene stabilita la connessione al server proxy.

• Password

  Password dell'account con cui verrà eseguita l'attività.

Nella sottosezione Proxy KSN è possibile configurare l'applicazione per l'utilizzo del punto di distribuzione per l'inoltro delle richieste KSN dai dispositivi gestiti:

• Abilita proxy KSN da parte del punto di distribuzione

  Il servizio proxy KSN viene eseguito nel dispositivo utilizzato come punto di distribuzione. Utilizzare questa funzionalità per ridistribuire e ottimizzare il traffico nella rete.

  Il punto di distribuzione invia le statistiche KSN, elencate nell'informativa di Kaspersky Security Network, a Kaspersky. Per impostazione predefinita, l'informativa KSN è disponibile in %ProgramFiles%\Kaspersky Lab\Kaspersky Security Center\ksneula.

  Per impostazione predefinita, questa opzione è disabilitata. L'attivazione di questa opzione ha effetto solo se le opzioni Usa Administration Server come server proxy e Accetto di utilizzare Kaspersky Security Network sono abilitate nella finestra delle proprietà di Administration Server.

  È possibile assegnare il nodo di un cluster attivo-passivo a un punto di distribuzione e abilitare il proxy KSN in tale nodo.

• Inoltra richieste KSN ad Administration Server

  Il punto di distribuzione inoltra le richieste KSN dai dispositivi gestiti ad Administration Server.

  Per impostazione predefinita, questa opzione è abilitata.

• Accedi a KSN Cloud / KSN Privato direttamente tramite Internet

  Il punto di distribuzione inoltra le richieste KSN dai dispositivi gestiti a KSN Cloud o KSN Privato. Anche le richieste KSN generate nello stesso punto di distribuzione vengono inviate direttamente a KSN Cloud o KSN Privato.

  I punti di distribuzione in cui è installato Network Agent versione 11 (o precedente) non possono accedere direttamente a KSN Privato. Se si desidera riconfigurare i punti di distribuzione per inviare richieste KSN a KSN Privato, abilitare l'opzione Inoltra richieste KSN ad Administration Server per ciascun punto di distribuzione.

  I punti di distribuzione in cui è installato Network Agent versione 12 (o successive) possono accedere direttamente a KSN Privato.

• Ignora impostazioni del server proxy KSC durante la connessione a KSN Privato

  Abilitare questa opzione se le impostazioni del server proxy sono configurate nelle proprietà del punto di distribuzione o nel criterio di Network Agent ma l'architettura di rete richiede l'utilizzo diretto di KSN Privato. In caso contrario, le richieste dalle applicazioni gestite non possono raggiungere KSN Privato.

  Questa opzione è disponibile se si seleziona l'opzione Accedi a KSN Cloud/KSN Privato direttamente tramite Internet.

• Porta TCP

  Numero della porta TCP utilizzata dai dispositivi gestiti per la connessione al server proxy KSN. Il numero di porta predefinito è 13111.

• Usa porta UDP

  Se è necessario che i dispositivi gestiti si connettano al server proxy KSN attraverso una porta UDP, abilitare l'opzione Usa porta UDP e specificare il numero in Porta UDP. Per impostazione predefinita, questa opzione è abilitata. La porta UDP predefinita per la connessione al server proxy KSN è la 15111.

Nella sottosezione Aggiornamenti è possibile specificare se Network Agent deve scaricare i file diff abilitando o disabilitando l'opzione Scarica file diff. (Per impostazione predefinita, questa opzione è abilitata.)

Cronologia revisioni

Nella scheda Cronologia revisioni è possibile visualizzare la cronologia delle revisioni dei criteri di Network Agent. È possibile confrontare le revisioni, visualizzare le revisioni ed eseguire operazioni avanzate, ad esempio salvare le revisioni in un file, eseguire il rollback a una revisione e aggiungere e modificare le descrizioni delle revisioni.

Le impostazioni del criterio di Network Agent disponibili per un sistema operativo specifico sono riportate nella tabella seguente.

Impostazioni del criterio di Network Agent

Gestione degli account utente

Questa sezione fornisce informazioni sugli account e i ruoli utente supportati dall'applicazione. Vengono inoltre fornite istruzioni per la creazione di account e ruoli per gli utenti di Kaspersky Security Center.

Kaspersky Security Center consente di gestire account utente e gruppi di account. L'applicazione supporta due tipi di account:

• Account dei dipendenti dell'organizzazione. Administration Server recupera i dati degli account degli utenti durante il polling della rete dell'organizzazione.
• Account degli utenti interni. Questi account vengono applicati quando si utilizzano Administration Server virtuali. Gli account degli utenti interni vengono creati e utilizzati solo in Kaspersky Security Center.

Utilizzo degli account utente

Kaspersky Security Center consente di gestire account utente e gruppi di account. L'applicazione supporta due tipi di account:

• Account dei dipendenti dell'organizzazione. Administration Server recupera i dati degli account degli utenti durante il polling della rete dell'organizzazione.
• Account degli utenti interni. Questi account vengono applicati quando si utilizzano Administration Server virtuali. Gli account degli utenti interni vengono creati e utilizzati solo in Kaspersky Security Center.

Tutti gli account utente possono essere visualizzati nella cartella Account utente della struttura della console. La cartella Account utente è una sottocartella della cartella Avanzate per impostazione predefinita.

È possibile eseguire le seguenti operazioni con gli account utente e i gruppi di account:

• Configurare i diritti di accesso degli utenti alle funzionalità dell'applicazione tramite i ruoli.
• Inviare messaggi agli utenti tramite e-mail e SMS.
• Visualizzare l'elenco dei dispositivi mobili dell'utente.
• Rilasciare e installare certificati nei dispositivi mobili di un utente.
• Visualizzare l'elenco dei certificati rilasciati all'utente.
• Disabilitare la verifica in due passaggi per un account utente.

Aggiunta di un account di un utente interno

Per aggiungere un nuovo account utente interno di Kaspersky Security Center:

1. Nella struttura della console aprire la cartella Account utente.

   La cartella Account utente è una sottocartella della cartella Avanzate per impostazione predefinita.

2. Nell'area di lavoro fare clic sul pulsante Aggiungi utente.
3. Nella finestra Nuovo utente visualizzata specificare le impostazioni del nuovo account utente:
   • Un nome utente ()

     Prestare attenzione durante l'immissione del nome utente. Non sarà possibile modificarlo dopo il salvataggio delle modifiche.

   • Descrizione
   • Nome e cognome
   • E-mail principale
   • Telefono principale
   • Password per la connessione dell'utente a Kaspersky Security Center

     La password deve rispettare le seguenti regole:

     • La password deve avere una lunghezza compresa tra 8 e 16 caratteri.
     • La password deve contenere caratteri da almeno tre dei gruppi elencati di seguito:
       • Lettere maiuscole (A-Z)
       • Lettere minuscole (a-z)
       • Numeri (0-9)
       • Caratteri speciali (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;)
     • La password non deve contenere spazi, caratteri Unicode o la combinazione di "." e "@", quando "." si trova prima di "@".

     Per visualizzare la password immessa, tenere premuto il pulsante Mostra.

     Il numero di tentativi per l'immissione della password è limitato. Per impostazione predefinita, il numero massimo di tentativi di immissione della password consentiti è 10. È possibile modificare il numero di tentativi di immissione della password consentiti, come descritto in "Modifica del numero di tentativi di immissione della password consentiti".

     Se l'utente raggiunge il numero di tentativi specificato per l'immissione della password, il relativo account viene bloccato per un'ora. Nell'elenco degli account utente l'icona dell'utente () di un account bloccato è visualizzata in grigio (non disponibile). È possibile sbloccare l'account utente solo modificando la password.

   • Se necessario, selezionare la casella di controllo Disabilita account per impedire all'utente di connettersi all'applicazione. È ad esempio possibile disabilitare un account se si desidera crearlo anticipatamente ma attivarlo in un secondo momento.
   • Selezionare la casella di controllo Richiedi la password quando vengono modificate le impostazioni dell'account se si desidera abilitare un'opzione aggiuntiva per proteggere un account utente dalle modifiche non autorizzate. Se questa opzione è abilitata, la modifica delle impostazioni dell'account utente richiede l'autorizzazione dell'utente con il diritto Modifica elenchi di controllo degli accessi agli oggetti dell'area funzionale Caratteristiche generali: Autorizzazioni utente.
4. Fare clic su OK.

Il nuovo account utente creato verrà visualizzato nell'area di lavoro della cartella Account utente.

Modifica di un account di un utente interno

Per modificare un account di un utente interno in Kaspersky Security Center:

1. Nella struttura della console aprire la cartella Account utente.

   La cartella Account utente è una sottocartella della cartella Avanzate per impostazione predefinita.

2. Nell'area di lavoro fare doppio clic sull'account dell'utente interno che si desidera modificare.
3. Nella finestra Proprietà: <nome utente> visualizzata modificare le impostazioni dell'account utente:
   • Descrizione
   • Nome e cognome
   • E-mail principale
   • Telefono principale
   • Password per la connessione dell'utente a Kaspersky Security Center

     La password deve rispettare le seguenti regole:

     • La password deve avere una lunghezza compresa tra 8 e 16 caratteri.
     • La password deve contenere caratteri da almeno tre dei gruppi elencati di seguito:
       • Lettere maiuscole (A-Z)
       • Lettere minuscole (a-z)
       • Numeri (0-9)
       • Caratteri speciali (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;)
     • La password non deve contenere spazi, caratteri Unicode o la combinazione di "." e "@", quando "." si trova prima di "@".

     Per visualizzare la password immessa, tenere premuto il pulsante Mostra.

     Il numero di tentativi per l'immissione della password è limitato. Per impostazione predefinita, il numero massimo di tentativi di immissione della password consentiti è 10. È possibile modificare il numero di tentativi di immissione della password consentiti, come descritto in "Modifica del numero di tentativi di immissione della password consentiti".

     Se l'utente raggiunge il numero di tentativi specificato per l'immissione della password, il relativo account viene bloccato per un'ora. Nell'elenco degli account utente l'icona dell'utente () di un account bloccato è visualizzata in grigio (non disponibile). È possibile sbloccare l'account utente solo modificando la password.

   • Se necessario, selezionare la casella di controllo Disabilita account per impedire all'utente di connettersi all'applicazione. È ad esempio possibile disabilitare un account dopo che un dipendente lascia l'azienda.
   • Selezionare l'opzione Richiedi la password quando vengono modificate le impostazioni dell'account se si desidera abilitare un'opzione aggiuntiva per proteggere un account utente dalle modifiche non autorizzate. Se questa opzione è abilitata, la modifica delle impostazioni dell'account utente richiede l'autorizzazione dell'utente con il diritto Modifica elenchi di controllo degli accessi agli oggetti dell'area funzionale Caratteristiche generali: Autorizzazioni utente.
4. Fare clic su OK.

L'account utente modificato verrà visualizzato nell'area di lavoro della cartella Account utente.

Modifica del numero di tentativi di immissione della password consentiti

L'utente di Kaspersky Security Center può immettere una password non valida un numero limitato di volte. Una volta raggiunto il limite, l'account utente viene bloccato per un'ora.

Per impostazione predefinita, il numero massimo di tentativi di immissione della password consentiti è 10. È possibile modificare il numero di tentativi di immissione della password consentiti, come descritto in questa sezione.

Per modificare il numero di tentativi di immissione della password consentiti:

1. Aprire il Registro di sistema del dispositivo in cui è installato Administration Server (ad esempio, in locale, utilizzando il comando regedit dal menu Start → Esegui).
2. Passare alla seguente chiave:
   • Per i sistemi a 32 bit:

     HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\1093\1.0.0.0\ServerFlags

   • Per i sistemi a 64 bit:

     HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\1093\1.0.0.0\ServerFlags

3. Se il valore SrvSplPpcLogonAttempts non è presente, crearlo. Il tipo di valore è DWORD.

   Per impostazione predefinita, dopo l'installazione di Kaspersky Security Center questo valore non viene creato.

4. Specificare il numero di tentativi richiesti nel valore SrvSplPpcLogonAttempts.
5. Fare clic su OK per salvare le modifiche.
6. Riavviare il servizio Administration Server.

Il numero massimo di tentativi di immissione della password consentiti è stato modificato.

Configurazione del controllo dell'univocità del nome di un utente interno

È possibile configurare il controllo dell'univocità del nome di un utente interno di Kaspersky Security Center quando il nome viene aggiunto all'applicazione. Il controllo dell'univocità del nome di un utente interno può essere eseguito solo in un Administration Server virtuale o nell'Administration Server primario per cui deve essere creato l'account utente oppure in tutti gli Administration Server virtuali e nell'Administration Server primario. Per impostazione predefinita, il controllo dell'univocità del nome di un utente interno viene eseguito in tutti gli Administration Server virtuali e nell'Administration Server primario.

Per abilitare il controllo dell'univocità del nome di un utente interno in un Administration Server virtuale o nell'Administration Server primario:

1. Aprire il Registro di sistema del dispositivo in cui è installato Administration Server (ad esempio, in locale, utilizzando il comando regedit dal menu Start → Esegui).
2. Passare al seguente hive:
   • Per i sistemi a 32 bit:

     HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\.core\.independent\KLLIM

   • Per i sistemi a 64 bit:

     HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\.core\.independent\KLLIM

3. Per la chiave LP_InterUserUniqVsScope (DWORD), impostare il valore 00000001.

   Il valore predefinito specificato per questa chiave è 0.

4. Riavviare il servizio Administration Server.

Il controllo dell'univocità del nome verrà eseguito solo nell'Administration Server virtuale in cui è stato creato l'utente interno o nell'Administration Server primario, se l'utente interno è stato creato nell'Administration Server primario.

Per abilitare il controllo dell'univocità del nome di un utente interno in tutti gli Administration Server virtuali e nell'Administration Server primario:

1. Aprire il Registro di sistema del dispositivo in cui è installato Administration Server (ad esempio, in locale, utilizzando il comando regedit dal menu Start → Esegui).
2. Passare al seguente hive:
   • Per un sistema a 64 bit:

     HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\.core\.independent\KLLIM

   • Per un sistema a 32 bit:

     HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\.core\.independent\KLLIM

3. Per la chiave LP_InterUserUniqVsScope (DWORD), impostare il valore 00000000.

   Il valore predefinito specificato per questa chiave è 0.

4. Riavviare il servizio Administration Server.

Il controllo dell'univocità del nome verrà eseguito in tutti gli Administration Server virtuali e nell'Administration Server primario.

Aggiunta di un gruppo di protezione

È possibile aggiungere gruppi di protezione (gruppi di utenti) e configurare in modo flessibile i gruppi e l'accesso dei gruppi di protezione alle diverse funzionalità dell'applicazione. Ai gruppi di protezione possono essere assegnati nomi corrispondenti ai rispettivi scopi. Ad esempio, il nome può corrispondere alla collocazione degli utenti nell'ufficio o al nome dell'unità organizzativa dell'azienda a cui appartengono gli utenti.

Un utente può appartenere a diversi gruppi di protezione. Un account utente gestito da un Administration Server virtuale può appartenere solo a gruppi di protezione di tale server virtuale e avere diritti di accesso solo all'interno di questo server virtuale.

Per aggiungere un gruppo di protezione:

1. Nella struttura della console selezionare la cartella Account utente.

   La cartella Account utente è una sottocartella della cartella Avanzate per impostazione predefinita.

2. Fare clic sul pulsante Aggiungi gruppo di protezione.

   Verrà aperta la finestra Aggiungi gruppo di protezione.

3. Nella finestra Aggiungi gruppo di protezione, nella sezione Generale, specificare il nome del gruppo.

   Il nome del gruppo non può superare i 255 caratteri e contenere simboli speciali come *, <, >, ?, \, :, |. Il nome del gruppo deve essere univoco.

   È possibile immettere la descrizione del gruppo nel campo di immissione Descrizione. La compilazione del campo Descrizione è facoltativa.

4. Fare clic su OK.

Il gruppo di protezione aggiunto viene visualizzato nella cartella Account utente nella struttura della console. È possibile aggiungere utenti al nuovo gruppo creato.

Aggiunta di un utente a un gruppo

Per aggiungere un utente a un gruppo:

1. Nella struttura della console selezionare la cartella Account utente.

   La cartella Account utente è una sottocartella della cartella Avanzate per impostazione predefinita.

2. Nell'elenco degli account utente e dei gruppi selezionare il gruppo a cui si desidera aggiungere l'utente.
3. Nella finestra delle proprietà del gruppo selezionare la sezione Utenti del gruppo e fare clic sul pulsante Aggiungi.

   Verrà visualizzata una finestra con un elenco di utenti.

4. Nell'elenco selezionare l'utente da includere nel gruppo.
5. Fare clic su OK.

L'utente viene aggiunto al gruppo ed è visualizzato nell'elenco degli utenti del gruppo.

Configurazione dei diritti di accesso alle funzionalità dell'applicazione. Controllo degli accessi in base al ruolo

Kaspersky Security Center offre l'accesso in base al ruolo alle funzionalità di Kaspersky Security Center e delle applicazioni Kaspersky gestite.

È possibile configurare i diritti di accesso alle funzionalità dell'applicazione per gli utenti di Kaspersky Security Center in uno dei seguenti modi:

• Attraverso la configurazione dei diritti per ciascun utente o gruppo di utenti singolarmente.
• Attraverso la creazione di ruoli utente standard con un set di diritti predefinito e l'assegnazione di tali ruoli agli utenti sulla base dell'ambito delle relative mansioni lavorative.

Il ruolo utente (definito anche ruolo) è un insieme predefinito di diritti di accesso alle funzionalità di Kaspersky Security Center o delle applicazioni Kaspersky gestite. Un ruolo può essere assegnato a un utente o a un gruppo di utenti.

L'applicazione dei ruoli utente ha lo scopo di semplificare e abbreviare le procedure di routine per la configurazione dei diritti di accesso degli utenti alle funzionalità dell'applicazione. I diritti di accesso all'interno di un ruolo vengono configurati in base alle attività standard e all'ambito delle mansioni lavorative degli utenti.

Ai ruoli utente possono essere assegnati nomi corrispondenti ai rispettivi scopi. È possibile creare un numero illimitato di ruoli nell'applicazione.

È possibile utilizzare i ruoli utente predefiniti con un set di diritti già configurato oppure creare nuovi ruoli e configurare autonomamente i diritti richiesti.

Diritti di accesso alle funzionalità dell'applicazione

La tabella seguente mostra le funzionalità di Kaspersky Security Center con i diritti di accesso per gestire le attività, i rapporti e le impostazioni associati e per eseguire le azioni utente associate.

Per eseguire le azioni utente elencate nella tabella, un utente deve disporre del diritto specificato accanto all'azione.

I diritti Lettura, Modifica ed Esecuzione sono applicabili a qualsiasi attività, rapporto o impostazione. Oltre a questi diritti, un utente deve disporre del diritto Esegui operazioni per le selezioni di dispositivi per gestire attività, rapporti o impostazioni relativi alle selezioni dispositivi.

Tutte le attività, i rapporti, le impostazioni e i pacchetti di installazione mancanti nella tabella appartengono all'area funzionale Caratteristiche generali: Funzionalità di base.

Diritti di accesso alle funzionalità dell'applicazione

Ruoli utente predefiniti

I ruoli utente assegnati agli utenti di Kaspersky Security Center forniscono set di diritti di accesso alle funzionalità dell'applicazione.

È possibile utilizzare i ruoli utente predefiniti con un set di diritti già configurato oppure creare nuovi ruoli e configurare autonomamente i diritti richiesti. Alcuni dei ruoli utente predefiniti disponibili in Kaspersky Security Center possono essere associati a posizioni lavorative specifiche, ad esempio Auditor, Security Officer e Supervisore (questi ruoli sono presenti in Kaspersky Security Center a partire dalla versione 11). I diritti di accesso di questi ruoli sono preconfigurati in base alle attività standard e all'ambito delle mansioni lavorative delle posizioni associate. La tabella seguente illustra il modo in cui è possibile associare i ruoli a posizioni specifiche.

Esempi di ruoli per posizioni specifiche

La tabella seguente illustra i diritti di accesso assegnati a ciascun ruolo utente predefinito.

Diritti di accesso dei ruoli utente predefiniti

Aggiunta di un ruolo utente

Per aggiungere un ruolo utente:

1. Nella struttura della console selezionare il nodo con il nome dell'Administration Server desiderato.
2. Dal menu di scelta rapida di Administration Server selezionare Proprietà.
3. Nella finestra delle proprietà di Administration Server, nel riquadro Sezioni, selezionare Ruoli utente e fare clic sul pulsante Aggiungi.

   La sezione Ruoli utente è disponibile se l'opzione Visualizza le sezioni delle impostazioni di protezione è abilitata.

4. Nella finestra delle proprietà Nuovo ruolo configurare il ruolo:
   • In Sezioni selezionare Generale e specificare il nome del ruolo.

     Il nome di un ruolo non può superare i 100 caratteri.

   • Selezionare la sezione Diritti e configurare il set di diritti selezionando le caselle di controllo Consenti e Nega accanto alle funzionalità dell'applicazione.

   Se si utilizza l'Administration Server primario, è possibile abilitare l'opzione Trasferisci elenco dei ruoli agli Administration Server secondari.

5. Fare clic su OK.

Il ruolo viene aggiunto.

I ruoli utente creati per Administration Server vengono visualizzati nella finestra delle proprietà di Administration Server nella sezione Ruoli utente. È possibile modificare ed eliminare ruoli utente, nonché assegnare ruoli a gruppi di utenti o utenti selezionati.

Assegnazione di un ruolo a un utente o un gruppo di utenti

Per assegnare un ruolo a un utente o a un gruppo di utenti:

1. Nella struttura della console selezionare il nodo con il nome dell'Administration Server desiderato.
2. Dal menu di scelta rapida di Administration Server selezionare Proprietà.
3. Nella finestra delle proprietà di Administration Server selezionare la sezione Protezione.

   La sezione Protezione è disponibile se la casella di controllo Visualizza le sezioni delle impostazioni di protezione è selezionata nella finestra delle impostazioni dell'interfaccia.

4. Nel campo Nomi di gruppi o utenti selezionare un utente o un gruppo di utenti a cui si desidera assegnare un ruolo.

   Se l'utente o il gruppo non è contenuto nel campo, è possibile aggiungerlo facendo clic sul pulsante Aggiungi.

   Quando si aggiunge un utente facendo clic sul pulsante Aggiungi, è possibile selezionare il tipo di autenticazione utente (Microsoft Windows o Kaspersky Security Center). L'autenticazione Kaspersky Security Center viene utilizzata per selezionare gli account degli utenti interni impiegati per l'utilizzo degli Administration Server virtuali.

5. Selezionare la scheda Ruoli e fare clic sul pulsante Aggiungi.

   Verrà visualizzata la finestra Ruoli utente. In questa finestra sono visualizzati i ruoli utente che sono stati creati.

6. Nella finestra Ruoli utente selezionare un ruolo per il gruppo di utenti.
7. Fare clic su OK.

Il ruolo con un set di diritti per l'utilizzo di Administration Server viene assegnato all'utente o al gruppo di utenti. I ruoli assegnati sono visualizzati nella scheda Ruoli nella sezione Protezione della finestra delle proprietà di Administration Server.

Assegnazione delle autorizzazioni a utenti e gruppi

È possibile concedere a utenti e gruppi autorizzazioni per l'utilizzo delle diverse funzionalità dell'Administration Server e delle applicazioni Kaspersky per cui sono disponibili plug-in di gestione, ad esempio Kaspersky Endpoint Security for Windows.

Per assegnare le autorizzazioni a un utente o un gruppo di utenti:

1. Nella struttura della console eseguire una delle seguenti operazioni:
   • Espandere il nodo Administration Server, quindi selezionare la sottocartella con il nome dell'Administration Server desiderato.
   • Selezionare il gruppo di amministrazione.
2. Dal menu di scelta rapida dell'Administration Server o del gruppo di amministrazione selezionare Proprietà.
3. Nella finestra delle proprietà dell'Administration Server (o nella finestra delle proprietà del gruppo di amministrazione) visualizzata, nel riquadro sinistro Sezioni, selezionare Protezione.

   La sezione Protezione è disponibile se la casella di controllo Visualizza le sezioni delle impostazioni di protezione è selezionata nella finestra delle impostazioni dell'interfaccia.

4. Nella sezione Protezione, nell'elenco Nomi di gruppi o utenti, selezionare un utente o un gruppo.
5. Nell'elenco delle autorizzazioni nella parte inferiore dell'area di lavoro, nella scheda Diritti configurare il set di diritti per l'utente o il gruppo:
   1. Fare clic sul segno più (+) per espandere i nodi nell'elenco e ottenere l'accesso alle autorizzazioni.
   2. Selezionare le caselle di controllo Consenti e Nega accanto alle autorizzazioni desiderate.

      Esempio 1: espandere il nodo Accesso agli oggetti indipendentemente dagli elenchi di controllo degli accessi o Oggetti eliminati, quindi selezionare Lettura.

      Esempio 2: espandere il nodo Funzionalità di base, quindi selezionare Scrittura.

6. Al termine della configurazione del set di diritti, fare clic su Applica.

Verrà configurato il set di diritti per l'utente o il gruppo di utenti.

Le autorizzazioni dell'Administration Server (o del gruppo di amministrazione) sono suddivise nelle seguenti aree:

• Caratteristiche generali:
  • Gestione dei gruppi di amministrazione (solo per Kaspersky Security Center 11 o versioni successive)
  • Accesso agli oggetti indipendentemente dagli elenchi di controllo degli accessi (solo per Kaspersky Security Center 11 o versioni successive)
  • Funzionalità di base
  • Oggetti eliminati (solo per Kaspersky Security Center 11 o versioni successive)
  • Elaborazione degli eventi
  • Operazioni in Administration Server (solo nella finestra delle proprietà di Administration Server)
  • Distribuisci applicazioni Kaspersky
  • Gestione delle chiavi di licenza
  • Gestione dei rapporti forzata (solo per Kaspersky Security Center 11 o versioni successive)
  • Gerarchia di server
  • Diritti utente
  • Administration Server virtuali
• Mobile Device Management:
  • Generale
• Gestione sistema:
  • Connettività
  • Inventario hardware
  • Controllo accesso alla rete
  • Distribuisci sistema operativo
  • Gestisci vulnerabilità e patch
  • Installazione remota
  • Inventario software

Se non si seleziona Consenti o Nega per un'autorizzazione, l'autorizzazione viene considerata non definita: è negata finché non viene negata o consentita in modo esplicito per l'utente.

I diritti di un utente sono la somma di quanto segue:

• I diritti propri dell'utente
• I diritti di tutti i ruoli assegnati all'utente
• I diritti di tutto il gruppo di protezione a cui appartiene l'utente
• I diritti di tutti i ruoli assegnati ai gruppi di protezione a cui appartiene l'utente

Se almeno uno di questi set di diritti ha l'autorizzazione Nega, l'autorizzazione viene negata all'utente, anche se altri set la consentono o la lasciano non definita.

Propagazione dei ruoli utente agli Administration Server secondari

Per impostazione predefinita, gli elenchi dei ruoli utente degli Administration Server primari e secondari sono indipendenti. È possibile configurare l'applicazione in modo da propagare automaticamente i ruoli utente creati nell'Administration Server primario a tutti gli Administration Server secondari. I ruoli utente possono inoltre essere propagati da un Administration Server secondario ai relativi Administration Server secondari.

Per propagare i ruoli utente dall'Administration Server primario agli Administration Server secondari:

1. Aprire la finestra principale dell'applicazione.
2. Eseguire una delle seguenti operazioni:
   • Nella struttura della console fare clic con il pulsante destro del mouse sul nome dell'Administration Server, quindi selezionare Proprietà.
   • Se è presente un criterio di Administration Server attivo, nell'area di lavoro della cartella Criteri fare clic con il pulsante destro del mouse su questo criterio, quindi selezionare Proprietà dal menu di scelta rapida.
3. Nella finestra delle proprietà dell'Administration Server o nella finestra delle impostazioni del criterio, nel riquadro Sezioni, selezionare Ruoli utente.

   La sezione Ruoli utente è disponibile se l'opzione Visualizza le sezioni delle impostazioni di protezione è abilitata.

4. Abilitare l'opzione Trasferisci elenco dei ruoli agli Administration Server secondari.
5. Fare clic su OK.

L'applicazione copierà i ruoli utente dell'Administration Server primario negli Administration Server secondari.

Quando l'opzione Trasferisci elenco dei ruoli agli Administration Server secondari è abilitata e vengono propagati i ruoli utente, questi non possono essere modificati o eliminati negli Administration Server secondari. Quando si crea un nuovo ruolo o si modifica un ruolo esistente nell'Administration Server primario, le modifiche vengono copiate automaticamente negli Administration Server secondari. Quando si elimina un ruolo utente nell'Administration Server primario, questo ruolo rimane negli Administration Server secondari, ma può essere modificato o eliminato.

I ruoli propagati all'Administration Server secondario dal server primario sono visualizzati con l'icona del lucchetto (). Non è possibile modificare tali ruoli nell'Administration Server secondario.

Se si crea un ruolo nell'Administration Server primario ed è presente un ruolo con lo stesso nome nell'Administration Server secondario, il nuovo ruolo viene copiato nell'Administration Server secondario con l'aggiunta di un indice al nome, ad esempio ~~1, ~~2 (l'indice può essere casuale).

Se si disabilita l'opzione Trasferisci elenco dei ruoli agli Administration Server secondari, tutti i ruoli utente restano negli Administration Server secondari, ma diventano indipendenti da quelli nell'Administration Server primario. Dopo essere diventati indipendenti, i ruoli utente negli Administration Server secondari possono essere modificati o eliminati.

Assegnazione dell'utente come proprietario dispositivo

È possibile assegnare l'utente come proprietario dispositivo per allocare un dispositivo a tale utente. Se è necessario eseguire determinate azioni sul dispositivo (ad esempio eseguire l'upgrade dell'hardware), l'amministratore può inviare una notifica al proprietario del dispositivo per ricevere la relativa autorizzazione.

Per assegnare un utente come proprietario di un dispositivo:

1. Nella struttura della console selezionare la cartella Dispositivi gestiti.
2. Nell'area di lavoro della cartella, nella scheda Dispositivi, selezionare il dispositivo per cui si desidera assegnare un proprietario.
3. Nel menu di scelta rapida del dispositivo selezionare Proprietà.
4. Nella finestra delle proprietà del dispositivo selezionare Informazioni di sistema → Sessioni.
5. Fare clic sul pulsante Assegna accanto al campo Proprietario dispositivo.
6. Nella finestra Selezione utente selezionare l'utente da assegnare come proprietario dispositivo e fare clic su OK.
7. Fare clic su OK.

Il proprietario dispositivo viene assegnato. Per impostazione predefinita, il campo Proprietario dispositivo è compilato con un valore di Active Directory e viene aggiornato durante ogni polling di Active Directory. È possibile visualizzare l'elenco dei proprietari del dispositivo nel Rapporto sui proprietari del dispositivo. È possibile creare un rapporto utilizzando la creazione guidata nuovo rapporto.

Invio di messaggi agli utenti

Per inviare un messaggio a un utente tramite e-mail:

1. Nella struttura della console, nella cartella Account utente, selezionare un utente.

   La cartella Account utente è una sottocartella della cartella Avanzate per impostazione predefinita.

2. Nel menu di scelta rapida dell'utente selezionare Notifica tramite e-mail.
3. Inserire le informazioni nei campi rilevanti nella finestra Invia messaggio all'utente e fare clic sul pulsante OK.

Il messaggio verrà inviato all'indirizzo e-mail specificato nelle proprietà dell'utente.

Per inviare un messaggio SMS a un utente:

1. Nella struttura della console, nella cartella Account utente, selezionare un utente.
2. Nel menu di scelta rapida dell'utente selezionare Invia un SMS.
3. Inserire le informazioni nei campi rilevanti nella finestra Testo SMS e fare clic sul pulsante OK.

Il messaggio verrà inviato al dispositivo mobile con il numero specificato nelle proprietà dell'utente.

Visualizzazione dell'elenco dei dispositivi mobili dell'utente

Per visualizzare un elenco dei dispositivi mobili di un utente:

1. Nella struttura della console, nella cartella Account utente, selezionare un utente.

   La cartella Account utente è una sottocartella della cartella Avanzate per impostazione predefinita.

2. Nel menu di scelta rapida dell'account utente selezionare Proprietà.
3. Nella finestra delle proprietà dell'account utente selezionare la sezione Dispositivi mobili.

Nella sezione Dispositivi mobili è possibile visualizzare l'elenco dei dispositivi mobili dell'utente e le informazioni su ciascuno di essi. È possibile fare clic sul pulsante Esporta in un file per salvare l'elenco di dispositivi mobili in un file.

Installazione di un certificato per un utente

È possibile installare tre tipi di certificati per un utente:

• Certificato condiviso, richiesto per identificare il dispositivo mobile dell'utente.
• Certificato di posta, richiesto per configurare la posta aziendale nel dispositivo mobile dell'utente.
• Certificato VPN, richiesto per configurare la rete privata virtuale (VPN) nel dispositivo mobile dell'utente.

Per rilasciare un certificato a un utente e installarlo:

1. Nella struttura della console aprire la cartella Account utente e selezionare un account utente.

   La cartella Account utente è una sottocartella della cartella Avanzate per impostazione predefinita.

2. Nel menu di scelta rapida dell'account utente selezionare Installa certificato.

Verrà avviata l'Installazione guidata certificato. Seguire le istruzioni della procedura guidata.

Al termine dell'Installazione guidata certificato, il certificato verrà creato e installato per l'utente. È possibile visualizzare l'elenco dei certificati utente installati ed esportarlo in un file.

Visualizzazione dell'elenco dei certificati rilasciati a un utente

Per visualizzare un elenco di tutti i certificati rilasciati a un utente:

1. Nella struttura della console, nella cartella Account utente, selezionare un utente.

   La cartella Account utente è una sottocartella della cartella Avanzate per impostazione predefinita.

2. Nel menu di scelta rapida dell'account utente selezionare Proprietà.
3. Nella finestra delle proprietà dell'account utente selezionare la sezione Certificati.

Nella sezione Certificati è possibile visualizzare l'elenco dei certificati dell'utente e le informazioni su ciascuno di essi. È possibile fare clic sul pulsante Esporta in un file per salvare l'elenco di certificati in un file.

Informazioni sull'amministratore del Administration Server virtuale

Un amministratore della rete aziendale gestita tramite un Administration Server virtuale avvia Kaspersky Security Center 13.1 Web Console con l'account utente specificato in questa finestra per visualizzare i dettagli della protezione anti-virus.

Se necessario, è possibile creare diversi account amministratore in un server virtuale.

L'amministratore di un Administration Server virtuale è un utente interno di Kaspersky Security Center. Nessun dato relativo agli utenti interni viene trasferito al sistema operativo. Kaspersky Security Center esegue l'autenticazione degli utenti interni.

Installazione remota di sistemi operativi e applicazioni

Kaspersky Security Center consente di creare immagini dei sistemi operativi e distribuirle nei dispositivi client in rete, nonché di eseguire l'installazione remota delle applicazioni Kaspersky o di altri produttori.

Per creare immagini dei sistemi operativi è necessario installare gli strumenti Windows ADK e il componente aggiuntivo Windows PE per Windows ADK in Administration Server. È consigliabile installare le versioni più recenti di Windows ADK e del componente aggiuntivo Windows PE per Windows ADK. È possibile creare un'immagine di qualsiasi versione del sistema operativo Windows che soddisfi i requisiti di Kaspersky Security Center.

Acquisizione di immagini dei sistemi operativi

Kaspersky Security Center consente di acquisire le immagini dei sistemi operativi dai dispositivi e di trasferirle all'Administration Server. Le immagini dei sistemi operativi vengono archiviate in Administration Server in una cartella dedicata. L'immagine del sistema operativo di un dispositivo di riferimento viene acquisita e quindi creata attraverso un'attività di creazione del pacchetto di installazione.

La funzionalità di acquisizione delle immagini dei sistemi operativi presenta le seguenti caratteristiche:

• Non è possibile acquisire un'immagine del sistema operativo in un dispositivo in cui è installato Administration Server.
• Durante l'acquisizione di un'immagine del sistema operativo, l'utilità sysprep.exe reimposta le impostazioni del dispositivo di riferimento. Se si desidera ripristinare le impostazioni del dispositivo di riferimento, selezionare la casella di controllo Crea copia di backup dello stato del dispositivo nella Creazione guidata immagine del sistema operativo.
• Il processo di acquisizione dell'immagine consente di riavviare il dispositivo di riferimento.

Distribuzione delle immagini dei sistemi operativi nei nuovi dispositivi

È possibile utilizzare le immagini ricevute per la distribuzione nei dispositivi della rete in cui non è stato ancora installato alcun sistema operativo. In questo caso, viene utilizzata una tecnologia denominata Preboot eXecution Environment (PXE). Selezionare un dispositivo della rete da utilizzare come server PXE server. Il dispositivo deve soddisfare i seguenti requisiti:

• Network Agent deve essere installato nel dispositivo.
• Nel dispositivo non può essere attivo alcun server DHCP, poiché un server PXE utilizza le stesse porte di un server DHCP.
• Il segmento della rete che comprende il dispositivo non deve contenere altri server PXE.

Devono essere soddisfatte le seguenti condizioni per distribuire un sistema operativo:

• Nel dispositivo deve essere installata una scheda di rete.
• Il dispositivo deve essere connesso alla rete.
• L'opzione per l'avvio dalla rete deve essere selezionata nel BIOS all'avvio del dispositivo.

La distribuzione di un sistema operativo viene eseguita nel modo seguente:

1. Il server PXE stabilisce una connessione con il nuovo dispositivo client durante l'avvio di quest'ultimo.
2. Il dispositivo client viene incluso in Ambiente preinstallazione di Windows (WinPE).

   L'aggiunta del dispositivo a WinPE può richiedere la configurazione del set di driver per WinPE.

3. Il dispositivo client viene registrato in Administration Server.
4. L'amministratore assegna al dispositivo client un pacchetto di installazione con un'immagine del sistema operativo.

   L'amministratore può aggiungere i driver richiesti al pacchetto di installazione con l'immagine del sistema operativo. L'amministratore può anche specificare un file di configurazione con le impostazioni del sistema operativo (file di risposta) da applicare durante l'installazione.

5. Il sistema operativo viene distribuito nel dispositivo client.

L'amministratore può specificare manualmente gli indirizzi MAC dei dispositivi client che non sono ancora connessi e assegnare loro il pacchetto di installazione con l'immagine del sistema operativo. Quando i dispositivi client selezionati si connettono al server PXE, il sistema operativo viene automaticamente installato in tali dispositivi.

Distribuzione delle immagini dei sistemi operativi nei dispositivi in cui è già installato un altro sistema operativo

La distribuzione delle immagini dei sistemi operativi nei dispositivi client in cui è già installato un altro sistema operativo viene eseguita tramite l'attività di installazione remota per dispositivi specifici.

Installazione di applicazioni Kaspersky e di altri produttori

L'amministratore può creare pacchetti di installazione di qualsiasi applicazione, incluse quelle specificate dall'utente, e installare le applicazioni nei dispositivi client tramite l'attività di installazione remota.

Creazione di immagini dei sistemi operativi

Le immagini dei sistemi operativi vengono create tramite l'attività di rimozione dell'immagine del sistema operativo del dispositivo di riferimento.

Per creare l'attività di creazione dell'immagine del sistema operativo:

1. Nella cartella Installazione remota della struttura della console selezionare la sottocartella Pacchetti di installazione.
2. Fare clic sul pulsante Crea pacchetto di installazione per eseguire la Creazione guidata nuovo pacchetto.
3. Nella finestra Selezionare il tipo di pacchetto di installazione della procedura guidata fare clic sul pulsante Creare un pacchetto di installazione con l'immagine del sistema operativo.
4. Seguire le istruzioni della procedura guidata.

Al termine della procedura guidata, viene creata un'attività di Administration Server denominata Crea pacchetto di installazione in base all'immagine del sistema operativo del dispositivo di riferimento. È possibile visualizzare l'attività nella cartella Attività.

Al termine dell'attività Crea pacchetto di installazione in base all'immagine del sistema operativo del dispositivo di riferimento, verrà creato un pacchetto di installazione che è possibile utilizzare per distribuire il sistema operativo nei dispositivi client tramite un server PXE o mediante l'attività di installazione remota. È possibile visualizzare il pacchetto di installazione nella cartella Pacchetti di installazione.

Installazione di immagini dei sistemi operativi

Kaspersky Security Center consente di distribuire immagini WIM di sistemi operativi Windows desktop e server nei dispositivi della rete di un'organizzazione.

È possibile utilizzare i seguenti metodi per recuperare un'immagine di un sistema operativo da distribuire tramite gli strumenti di Kaspersky Security Center:

• Eseguire l'importazione dal file install.wim incluso nel pacchetto di distribuzione di Windows
• Acquisire un'immagine da un dispositivo di riferimento

Sono supportati due scenari per la distribuzione delle immagini dei sistemi operativi:

• Distribuzione in un dispositivo "pulito", ovvero senza alcun sistema operativo installato
• Distribuzione in un dispositivo Windows

L'Administration Server utilizza implicitamente un'immagine di servizio di Ambiente preinstallazione di Windows (Windows PE), che viene sempre utilizzata sia per l'acquisizione che per la distribuzione delle immagini dei sistemi operativi. Tutti i driver richiesti per il corretto funzionamento di tutti i dispositivi di destinazione devono essere aggiunti a WinPE. In genere, è necessario aggiungere i driver del chipset necessari per il funzionamento dell'interfaccia di rete Ethernet.

Per implementare gli scenari di distribuzione e acquisizione delle immagini, devono essere soddisfatti i seguenti requisiti:

• Nell'Administration Server deve essere installato Windows Automated Installation Kit (WAIK) 2.0 o versione successiva oppure Windows Assessment and Deployment Kit (WADK). Se lo scenario consente l'installazione o l'acquisizione di immagini in Windows XP, deve essere installato WAIK.
• Un server DHCP deve essere disponibile nella rete che contiene il dispositivo di destinazione.
• La cartella condivisa dell'Administration Server deve essere accessibile in lettura dalla rete che contiene il dispositivo di destinazione. Se la cartella condivisa si trova in Administration Server, è richiesto l'accesso per l'account KlPxeUser (questo account viene creato automaticamente durante l'esecuzione del programma di installazione di Administration Server). Se la cartella condivisa è all'esterno dell'Administration Server, è necessario concedere l'accesso al gruppo Everyone.

Al momento della selezione dell'immagine del sistema operativo da installare, l'amministratore deve specificare esplicitamente l'architettura della CPU del dispositivo di destinazione: x86 o x86-64.

Configurazione dell'indirizzo del server proxy KSN

Per impostazione predefinita, il nome di dominio di Administration Server coincide con l'indirizzo del server proxy KSN. Se si modifica il nome di dominio per Administration Server, è necessario specificare l'indirizzo del server proxy KSN corretto per prevenire la perdita di connessione tra i dispositivi host e KSN.

Per configurare l'indirizzo del server proxy KSN:

1. Nella struttura della console accedere a Avanzate → Installazione remota → Pacchetti di installazione.
2. Nel menu di scelta rapida Pacchetti di installazione selezionare Proprietà.
3. Nella finestra visualizzata specificare il nuovo indirizzo del server proxy KSN nella scheda Generale.
4. Fare clic sul pulsante Applica.

D'ora in poi l'indirizzo specificato verrà utilizzato come indirizzo del server proxy KSN.

Aggiunta di driver per Ambiente preinstallazione di Windows (WinPE)

Per aggiungere driver per Ambiente preinstallazione di Windows (WinPE)

1. Nella cartella Installazione remota della struttura della console selezionare la sottocartella Distribuisci immagini dei dispositivi.
2. Nell'area di lavoro della cartella Distribuisci immagini dei dispositivi fare clic sul pulsante Azioni aggiuntive e selezionare Configura set di driver per Ambiente preinstallazione di Windows (WinPE) nell'elenco a discesa.

   Verrà aperta la finestra Driver Ambiente preinstallazione di Windows.

3. Nella finestra Driver Ambiente preinstallazione di Windows fare clic sul pulsante Aggiungi.

   Verrà aperta la finestra Selezionare un driver.

4. Nella finestra Selezionare un driver selezionare un driver dall'elenco.

   Se il driver necessario manca nell'elenco, fare clic sul pulsante Aggiungi e specificare il nome del driver e la cartella del pacchetto di distribuzione del driver nella finestra Aggiungere un driver visualizzata.

   È possibile selezionare una cartella facendo clic sul pulsante Sfoglia.

   Nella finestra Aggiungere un driver fare clic su OK.

5. Nella finestra Selezionare un driver fare clic su OK.

   Il driver verrà aggiunto all'archivio di Administration Server. Dopo essere stato aggiunto all'archivio, il driver viene visualizzato nella finestra Selezionare un driver.

6. Nella finestra Driver Ambiente preinstallazione di Windows fare clic su OK.

Il driver verrà aggiunto ad Ambiente preinstallazione di Windows (WinPE).

Aggiunta di driver a un pacchetto di installazione con un'immagine del sistema operativo

Per aggiungere driver a un pacchetto di installazione con un'immagine del sistema operativo:

1. Nella cartella Installazione remota della struttura della console selezionare la sottocartella Pacchetti di installazione.
2. Nel menu di scelta rapida di un pacchetto di installazione con un'immagine del sistema operativo selezionare Proprietà.

   Verrà visualizzata la finestra delle proprietà del pacchetto di installazione.

3. Nella finestra delle proprietà del pacchetto di installazione selezionare la sezione Driver aggiuntivi.
4. Fare clic sul pulsante Aggiungi nella sezione Driver aggiuntivi.

   Verrà aperta la finestra Selezionare un driver.

5. Nella finestra Selezionare un driver selezionare i driver che si desidera aggiungere al pacchetto di installazione con l'immagine del sistema operativo.

   È possibile aggiungere nuovi driver all'archivio di Administration Server facendo clic sul pulsante Aggiungi nella finestra Selezionare un driver.

6. Fare clic su OK.

I driver aggiunti sono visualizzati nella sezione Driver aggiuntivi della finestra delle proprietà del pacchetto di installazione con l'immagine del sistema operativo.

Configurazione dell'utilità sysprep.exe

L'utilità sysprep.exe consente di preparare il dispositivo per la creazione di un'immagine del sistema operativo.

Per configurare l'utilità sysprep.exe:

1. Nella cartella Installazione remota della struttura della console selezionare la sottocartella Pacchetti di installazione.
2. Nel menu di scelta rapida di un pacchetto di installazione con un'immagine del sistema operativo selezionare Proprietà.

   Verrà visualizzata la finestra delle proprietà del pacchetto di installazione.

3. Nella finestra delle proprietà del pacchetto di installazione selezionare la sezione Impostazioni di sysprep.exe.
4. Nella sezione Impostazioni di sysprep.exe specificare un file di configurazione da utilizzare durante la distribuzione del sistema operativo nel dispositivo client:
   • Usa file di configurazione predefinito. Selezionare questa opzione per utilizzare il file di risposte generato per impostazione predefinita durante l'acquisizione dell'immagine del sistema operativo.
   • Specifica valori personalizzati delle impostazioni principali. Selezionare questa opzione per specificare i valori per le impostazioni tramite l'interfaccia utente.
   • Specifica file di configurazione. Selezionare questa opzione per utilizzare un file di risposte personalizzato.
5. Per applicare le modifiche apportate, fare clic sul pulsante Applica.

Distribuzione di sistemi operativi nei nuovi dispositivi della rete

Per distribuire un sistema operativo nei nuovi dispositivi in cui non è ancora installato alcun sistema operativo:

1. Nella cartella Installazione remota della struttura della console selezionare la sottocartella Distribuisci immagini dei dispositivi.
2. Fare clic sul pulsante Azioni aggiuntive e selezionare Gestisci l'elenco dei server PXE nella rete nell'elenco a discesa.

   Verrà aperta la finestra Proprietà: Distribuisci immagini dei dispositivi nella sezione Server PXE.

3. Nella sezione Server PXE fare clic sul pulsante Aggiungi e, nella finestra Server PXE visualizzata, selezionare il dispositivo da utilizzare come server PXE.

   Il dispositivo aggiunto verrà visualizzato nella sezione dei server PXE.

4. Nella sezione Server PXE selezionare un server PXE, quindi fare clic sul pulsante Proprietà.
5. Nella finestra delle proprietà del server PXE selezionato, nella scheda Impostazioni di connessione del server PXE, configurare la connessione tra l'Administration Server e il server PXE.
6. Avviare il dispositivo client in cui si desidera distribuire il sistema operativo.
7. Nel BIOS del dispositivo client selezionare l'opzione per l'avvio dalla rete.

   Il dispositivo client si connette al server PXE e quindi viene visualizzato nell'area di lavoro della cartella Distribuisci immagini dei dispositivi.

8. Nella sezione Azioni fare clic sul collegamento Assegna pacchetto di installazione per selezionare il pacchetto di installazione da utilizzare per l'installazione del sistema operativo nel dispositivo selezionato.

   Dopo avere aggiunto il dispositivo e avergli assegnato un pacchetto di installazione, verrà avviata automaticamente la distribuzione del sistema operativo nel dispositivo.

9. Per annullare la distribuzione del sistema operativo nel dispositivo client, fare clic sul collegamento Annulla l'installazione dell'immagine del sistema operativo nella sezione Azioni.

Per aggiungere i dispositivi tramite l'indirizzo MAC:

• Nella cartella Distribuisci immagini dei dispositivi fare clic su Aggiungi l'indirizzo MAC del dispositivo per aprire la finestra Nuovo dispositivo e specificare l'indirizzo MAC del dispositivo che si desidera aggiungere.
• Nella cartella Distribuisci immagini dei dispositivi fare clic su Importa gli indirizzi MAC dei dispositivi da un file per selezionare il file che contiene un elenco di indirizzi MAC di tutti i dispositivi in cui si desidera distribuire un sistema operativo.

Distribuzione di sistemi operativi nei dispositivi client

Per distribuire un sistema operativo nei dispositivi client in cui è già installato un altro sistema operativo:

1. Nella struttura della console aprire la cartella Installazione remota e fare clic sul collegamento Distribuisci il pacchetto di installazione nei dispositivi gestiti (workstation) per eseguire la Distribuzione guidata della protezione.
2. Nella finestra Selezionare il pacchetto di installazione della procedura guidata specificare un pacchetto di installazione con un'immagine del sistema operativo.
3. Seguire le istruzioni della procedura guidata.

Al termine della procedura guidata, verrà creata un'attività di installazione remota per l'installazione del sistema operativo nei dispositivi client. È possibile avviare o arrestare l'attività nella cartella Attività.

Creazione di pacchetti di installazione delle applicazioni

Espandi tutto | Comprimi tutto

Per creare un pacchetto di installazione dell'applicazione:

1. Nella cartella Installazione remota della struttura della console selezionare la sottocartella Pacchetti di installazione.
2. Fare clic sul pulsante Crea pacchetto di installazione per eseguire la Creazione guidata nuovo pacchetto.
3. Nella finestra Selezionare il tipo di pacchetto di installazione della procedura guidata fare clic su uno dei seguenti pulsanti:
   • Creare un pacchetto di installazione per un'applicazione Kaspersky. Selezionare questa opzione se si desidera creare un pacchetto di installazione per un'applicazione Kaspersky.
   • Creare un pacchetto di installazione per il file eseguibile specificato. Selezionare questa opzione se si desidera creare un pacchetto di installazione per un'applicazione di terze parti utilizzando un file eseguibile. In genere il file eseguibile è un file di configurazione dell'applicazione.
     • Copia intera cartella nel pacchetto di installazione

       Selezionare questa opzione se il file eseguibile è corredato da file aggiuntivi richiesti per l'installazione dell'applicazione. Prima di abilitare questa opzione, assicurarsi che tutti i file richiesti siano archiviati nella stessa cartella. Se questa opzione è abilitata, l'applicazione aggiunge tutti i contenuti nella cartella, incluso il file eseguibile specificato, nel pacchetto di installazione.

     • Specificare i parametri di installazione

       Affinché l'installazione remota vada a buon fine, per la maggior parte delle applicazioni l'installazione deve essere eseguita in modalità automatica. In questo caso, è necessario specificare il parametro per l'installazione automatica.

       Configurare le impostazioni di installazione:

       • Riga di comando file eseguibile

         Se l'applicazione richiede parametri aggiuntivi per l'installazione automatica, specificarli in questo campo. Fare riferimento alla documentazione del fornitore per ulteriori dettagli.

         È possibile immettere anche altri parametri.

       • Convertire le impostazioni nei valori consigliati per le applicazioni riconosciute da Kaspersky Security Center 13.1

         L'applicazione verrà installata con le impostazioni consigliate se le informazioni sull'applicazione specificata sono contenute nel database Kaspersky.

         Se nel campo Riga di comando file eseguibile sono stati immessi parametri, questi vengono riscritti con le impostazioni consigliate.

         Per impostazione predefinita, questa opzione è abilitata.

         Il database Kaspersky viene creato e gestito dagli analisti di Kaspersky. Per ogni applicazione aggiunta al database, gli analisti Kaspersky definiscono le impostazioni di installazione ottimali. Le impostazioni vengono definite in modo da garantire la corretta installazione remota di un'applicazione in un dispositivo client. Il database viene automaticamente aggiornato nell'Administration Server quando viene eseguita l'attività Scarica aggiornamenti nell'archivio di Administration Server.

   • Selezionare un'applicazione dal database di Kaspersky per creare un pacchetto di installazione. Selezionare questa opzione se si desidera selezionare l'applicazione di terze parti richiesta dal database Kaspersky per creare un pacchetto di installazione. Il database viene creato automaticamente quando si esegue l'attività Scarica aggiornamenti nell'archivio di Administration Server; le applicazioni vengono visualizzate nell'elenco.
   • Creare un pacchetto di installazione con l'immagine del sistema operativo. Selezionare questa opzione se è necessario creare un pacchetto di installazione del sistema operativo di un dispositivo di riferimento.

     Al termine della procedura guidata, viene creata un'attività di Administration Server denominata Crea pacchetto di installazione in base all'immagine del sistema operativo del dispositivo di riferimento. Al termine di questa attività, verrà creato un pacchetto di installazione che è possibile utilizzare per distribuire l'immagine del sistema operativo tramite un server PXE o mediante l'attività di installazione remota.

4. Seguire le istruzioni della procedura guidata.

Al termine della procedura guidata, verrà creato un pacchetto di installazione che è possibile utilizzare per installare l'applicazione nei dispositivi client. È possibile visualizzare il pacchetto di installazione selezionando Pacchetti di installazione nella struttura della console.

Emissione di un certificato per i pacchetti di installazione delle applicazioni

Per emettere un certificato per il pacchetto di installazione di un'applicazione:

1. Nella cartella Installazione remota della struttura della console selezionare la sottocartella Pacchetti di installazione.

   La cartella Installazione remota è una sottocartella della cartella Avanzate per impostazione predefinita.

2. Dal menu di scelta rapida della cartella Pacchetti di installazione selezionare Avanzate.

   Verrà visualizzata la finestra delle proprietà della cartella Pacchetti di installazione.

3. Nella finestra delle proprietà della cartella Pacchetti di installazione selezionare la sezione Firma dei pacchetti indipendenti.
4. Nella sezione Firma dei pacchetti indipendenti fare clic sul pulsante Specifica.

   Finestra Certificato.

5. Nel campo Tipo di certificato specificare il tipo di certificato, pubblico o privato:
   • Se è selezionato il valore Contenitore PKCS #12, specificare il file di certificato e la password.
   • Se è selezionato il valore Certificato X.509:
     1. Specificare il file della chiave privata (con l'estensione *.prk o *.pem).
     2. Specificare la password della chiave privata.
     3. Specificare il file della chiave pubblica (con l'estensione * cer).
6. Fare clic su OK.

Verrà emesso un certificato per il pacchetto di installazione dell'applicazione.

Installazione delle applicazioni nei dispositivi client

Per installare un'applicazione nei dispositivi client:

1. Nella struttura della console aprire la cartella Installazione remota e fare clic su Distribuisci il pacchetto di installazione nei dispositivi gestiti (workstation) per eseguire la Distribuzione guidata della protezione.
2. Nella finestra Selezionare il pacchetto di installazione della procedura guidata specificare il pacchetto di installazione di un'applicazione da installare.
3. Seguire le istruzioni della procedura guidata.

Al termine della procedura guidata, verrà creata un'attività di installazione remota per installare l'applicazione nei dispositivi client. È possibile avviare o arrestare l'attività nella cartella Attività.

Utilizzando la Distribuzione guidata della protezione, è possibile installare Network Agent nei dispositivi client che eseguono Windows, Linux e macOS.

Per gestire applicazioni di protezione a 64 bit utilizzando Kaspersky Security Center nei dispositivi che eseguono sistemi operativi Linux, è necessario utilizzare Network Agent a 64 bit per Linux. È possibile scaricare la versione necessaria di Network Agent dal sito Web del Servizio di assistenza tecnica.

Prima dell'installazione remota di Network Agent in un dispositivo Linux, è necessario preparare il dispositivo.

Gestione delle revisioni degli oggetti

Questa sezione contiene informazioni sulla gestione delle revisioni degli oggetti. Kaspersky Security Center consente di tenere traccia delle modifiche apportate agli oggetti. Ogni volta che si salvano le modifiche apportate a un oggetto, viene creata una revisione. Ogni revisione ha un numero.

Gli oggetti delle applicazioni che supportano la gestione delle revisioni includono:

• Administration Server
• Criteri
• Attività
• Gruppi di amministrazione
• Account utente
• Pacchetti di installazione

È possibile eseguire le seguenti azioni sulle revisioni degli oggetti:

• Confrontare una revisione selezionata con quella corrente
• Confrontare le revisioni selezionate
• Confrontare un oggetto con la revisione selezionata di un altro oggetto dello stesso tipo
• Visualizzare una revisione selezionata
• Eseguire il rollback delle modifiche apportate a un oggetto a una revisione selezionata
• Salvare le revisioni come file .txt

Nella finestra delle proprietà di un oggetto che supporta la gestione delle revisioni, la sezione Cronologia revisioni visualizza un elenco delle revisioni degli oggetti con i seguenti dettagli:

• Numero di revisione dell'oggetto
• Data e ora di modifica dell'oggetto
• Nome dell'utente che ha modificato l'oggetto
• Azione eseguita sull'oggetto
• Descrizione della revisione relativa alla modifica apportata alle impostazioni dell'oggetto

  Per impostazione predefinita, la descrizione della revisione dell'oggetto è vuota. Per aggiungere una descrizione a una revisione, selezionare la revisione desiderata, quindi fare clic sul pulsante Descrizione. Nella finestra Descrizione revisione oggetto immettere il testo relativo alla descrizione della revisione.

Informazioni sulle revisioni degli oggetti

È possibile eseguire le seguenti azioni sulle revisioni degli oggetti:

• Confrontare una revisione selezionata con quella corrente
• Confrontare le revisioni selezionate
• Confrontare un oggetto con la revisione selezionata di un altro oggetto dello stesso tipo
• Visualizzare una revisione selezionata
• Eseguire il rollback delle modifiche apportate a un oggetto a una revisione selezionata
• Salvare le revisioni come file .txt

Nella finestra delle proprietà di un oggetto che supporta la gestione delle revisioni, la sezione Cronologia revisioni visualizza un elenco delle revisioni degli oggetti con i seguenti dettagli:

• Numero di revisione dell'oggetto
• Data e ora di modifica dell'oggetto
• Nome dell'utente che ha modificato l'oggetto
• Azione eseguita sull'oggetto
• Descrizione della revisione relativa alla modifica apportata alle impostazioni dell'oggetto

Visualizzazione della sezione Cronologia revisioni

È possibile confrontare le revisioni di un oggetto con la revisione corrente, confrontare diverse revisioni selezionate nell'elenco o confrontare la revisione di un oggetto con la revisione di un altro oggetto dello stesso tipo.

Per visualizzare la sezione Cronologia revisioni di un oggetto:

1. Nella struttura della console selezionare uno dei seguenti oggetti:
   • Nodo Administration Server
   • Cartella Criteri
   • Cartella Attività
   • Cartella di un gruppo di amministrazione
   • Cartella Account utente
   • Cartella Oggetti eliminati
   • Sottocartella Pacchetti di installazione, nidificata nella cartella Installazione remota
2. A seconda della posizione dell'oggetto desiderato, eseguire una delle seguenti operazioni:
   • Se l'oggetto è incluso nel nodo Administration Server o in un gruppo di amministrazione, fare clic con il pulsante destro del mouse sul nodo, quindi selezionare Proprietà nel menu di scelta rapida.
   • Se l'oggetto si trova nella cartella Criteri, Attività, Account utente, Oggetti eliminati o Pacchetti di installazione, selezionare la cartella e, nell'area di lavoro corrispondente, selezionare l'oggetto.

   Verrà visualizzata la finestra delle proprietà dell'oggetto.

3. Nel riquadro sinistro Sezioni selezionare Cronologia revisioni.

La cronologia delle revisioni verrà visualizzata nell'area di lavoro.

Confronto delle revisioni degli oggetti

Espandi tutto | Comprimi tutto

È possibile confrontare le revisioni precedenti di un oggetto con la revisione corrente, confrontare diverse revisioni selezionate nell'elenco o confrontare la revisione di un oggetto con la revisione di un altro oggetto dello stesso tipo.

Per confrontare le revisioni di un oggetto:

1. Selezionare un oggetto, quindi aprire la finestra delle proprietà dell'oggetto.
2. Nella finestra delle proprietà passare alla sezione Cronologia revisioni.
3. Nell'area di lavoro, nell'elenco delle revisioni dell'oggetto selezionare la revisione per il confronto.

   Per selezionare più di una revisione dell'oggetto, utilizzare i tasti MAIUSC e CTRL.

4. Eseguire una delle seguenti operazioni:
   • Fare clic sul pulsante Confronta e selezionare uno dei valori nell'elenco a discesa:
     • Confronta con la revisione corrente

       Selezionare questa opzione per confrontare la revisione selezionata con quella corrente.

     • Confronta revisioni selezionate

       Selezionare questa opzione per confrontare due revisioni selezionate.

     • Confronta con un'altra attività

       Se si utilizzano revisioni delle attività, selezionare Confronta con un'altra attività per confrontare la revisione selezionata con la revisione di un'altra attività.

       Se si utilizzano revisioni dei criteri, selezionare Confronta con un altro criterio per confrontare la revisione selezionata con la revisione di un altro criterio.

   • Fare doppio clic sul nome di una revisione e nella finestra delle proprietà della revisione visualizzata fare clic su uno dei seguenti pulsanti:
     • Confronta con attuale

       Fare clic su questo pulsante per confrontare la revisione selezionata con quella corrente.

     • Confronta con precedente

       Fare clic su questo pulsante per confrontare la revisione selezionata con quella precedente.

Verrà visualizzato un rapporto in formato HTML sul confronto delle revisioni nel browser predefinito.

In questo rapporto è possibile comprimere alcune delle sezioni con le impostazioni della revisione. Per ridurre a icona una sezione con impostazioni di revisione dell'oggetto, fare clic sull'icona della freccia () accanto al nome della sezione.

Le revisioni di Administration Server includono tutti i dettagli delle modifiche apportate, ad eccezione delle informazioni relative alle seguenti aree:

• Sezione Traffico
• Sezione Regole di tagging
• Sezione Notifica
• Sezione Punti di distribuzione
• Sezione Epidemia di virus

  Non vengono registrate informazioni dalla sezione Epidemia di virus sulla configurazione di un'attivazione del criterio che si verifica quando viene attivato un evento Epidemia di virus.

È possibile confrontare le revisioni di un oggetto eliminato con una revisione di un oggetto esistente, ma non il contrario: non è possibile confrontare le revisioni di un oggetto esistente con una revisione di un oggetto eliminato.

Impostazione del periodo di archiviazione per le revisioni degli oggetti e le informazioni sugli oggetti eliminati

Il periodo di archiviazione per le revisioni degli oggetti e per le informazioni sugli oggetti eliminati è lo stesso. Il periodo di archiviazione predefinito è 90 giorni. Rappresenta un tempo sufficiente per il controllo periodico del programma.

Solo gli utenti con l'autorizzazione Modifica nell'area Oggetti eliminati possono modificare il periodo di archiviazione.

Per modificare il periodo di archiviazione per le revisioni degli oggetti e per le informazioni sugli oggetti eliminati:

1. Nella struttura della console selezionare l'Administration Server per cui si desidera modificare il periodo di archiviazione.
2. Fare clic con il pulsante destro del mouse e, nel menu di scelta rapida, selezionare Proprietà.
3. Nella finestra delle proprietà di Administration Server visualizzata, nella sezione Archivio cronologia delle revisioni, immettere il periodo di archiviazione desiderato (numero di giorni).
4. Fare clic su OK.

Le revisioni degli oggetti e le informazioni sugli oggetti eliminati verranno archiviate per il numero di giorni specificato.

Visualizzazione di una revisione degli oggetti

Se è necessario sapere quali modifiche sono state apportate a un oggetto in un determinato periodo di tempo, è possibile visualizzare le revisioni dell'oggetto.

Per visualizzare le revisioni di un oggetto:

1. Passare alla sezione Cronologia revisioni dell'oggetto.
2. Nell'elenco delle revisioni degli oggetti selezionare la revisione per cui si desidera visualizzare le impostazioni.
3. Eseguire una delle seguenti operazioni:
   • Fare clic sul pulsante Visualizza revisione.
   • Aprire la finestra delle proprietà della revisione facendo doppio clic sul nome della revisione, quindi facendo clic sul pulsante Visualizza revisione.

Verrà visualizzato un rapporto in formato HTML con le impostazioni della revisione dell'oggetto selezionato. In questo rapporto è possibile comprimere alcune delle sezioni con le impostazioni della revisione dell'oggetto. Per ridurre a icona una sezione con impostazioni di revisione dell'oggetto, fare clic sull'icona della freccia () accanto al nome della sezione.

Salvataggio di una revisione degli oggetti in un file

È possibile salvare la revisione di un oggetto come file di testo, ad esempio per inviarla tramite e-mail.

Per salvare la revisione di un oggetto in un file:

1. Passare alla sezione Cronologia revisioni dell'oggetto.
2. Nell'elenco delle revisioni di un oggetto selezionare quella di cui è necessario salvare le impostazioni.
3. Fare clic sul pulsante Avanzate e selezionare il valore Salva su file nell'elenco a discesa.

La revisione verrà salvata come file .txt.

Rollback delle modifiche

È possibile eseguire il rollback delle modifiche apportate a un oggetto, se necessario. Potrebbe ad esempio essere necessario ripristinare lo stato delle impostazioni di un criterio in una data specifica.

Per eseguire il rollback delle modifiche apportate a un oggetto:

1. Passare alla sezione Cronologia revisioni dell'oggetto.
2. Nell'elenco delle revisioni dell'oggetto selezionare il numero della revisione a cui eseguire il rollback delle modifiche.
3. Fare clic sul pulsante Avanzate e selezionare il valore Rollback nell'elenco a discesa.

Verrà eseguito il rollback dell'oggetto alla revisione selezionata. L'elenco delle revisioni dell'oggetto visualizza un record dell'azione eseguita. La descrizione della revisione indica il numero della revisione a cui è stato riportato l'oggetto.

Aggiunta di una descrizione della revisione

È possibile aggiungere una descrizione per la revisione, in modo da semplificare la ricerca delle revisioni nell'elenco.

Per aggiungere una descrizione per una revisione:

1. Passare alla sezione Cronologia revisioni dell'oggetto.
2. Nell'elenco delle revisioni di un oggetto selezionare la revisione per cui è necessario aggiungere una descrizione.
3. Fare clic sul pulsante Descrizione.
4. Nella finestra Descrizione revisione oggetto immettere il testo relativo alla descrizione della revisione.

   Per impostazione predefinita, la descrizione della revisione dell'oggetto è vuota.

5. Fare clic su OK.

Eliminazione di oggetti

Questa sezione fornisce informazioni sull'eliminazione degli oggetti e la visualizzazione di informazioni sugli oggetti dopo l'eliminazione.

È possibile eliminare oggetti come:

• Criteri
• Attività
• Pacchetti di installazione
• Administration Server virtuali
• Utenti
• Gruppi di protezione
• Gruppi di amministrazione

Quando si elimina un oggetto, le relative informazioni rimangono nel database. Il periodo di archiviazione per le informazioni sugli oggetti eliminati corrisponde al periodo di archiviazione per le revisioni degli oggetti (il periodo consigliato è di 90 giorni). È possibile modificare il periodo di archiviazione solo se si dispone dell'autorizzazione Modifica nell'area dei diritti Oggetti eliminati.

Eliminazione di un oggetto

È possibile eliminare oggetti come criteri, attività, pacchetti di installazione, utenti interni e gruppi di utenti interni se si dispone dell'autorizzazione Modifica, che si trova nella categoria di diritti Funzionalità di base (per ulteriori informazioni, vedere Assegnazione delle autorizzazioni a utenti e gruppi).

Per eliminare un oggetto:

1. Nella struttura della console selezionare un oggetto nell'area di lavoro della cartella desiderata.
2. Eseguire una delle seguenti operazioni:
   • Fare clic con il pulsante destro del mouse sull'oggetto e selezionare Elimina.
   • Premere CANC.

L'oggetto verrà eliminato e le relative informazioni saranno memorizzate nel database.

Visualizzazione delle informazioni sugli oggetti eliminati

Le informazioni sugli oggetti eliminati sono archiviate nella cartella Oggetti eliminati per lo stesso periodo di tempo delle revisioni degli oggetti (il periodo consigliato è di 90 giorni).

Solo gli utenti con l'autorizzazione Lettura nell'area di diritti Oggetti eliminati possono visualizzare l'elenco degli oggetti eliminati (per ulteriori informazioni, vedere Assegnazione delle autorizzazioni a utenti e gruppi).

Per visualizzare l'elenco degli oggetti eliminati:

Nella struttura della console selezionare Oggetti eliminati (per impostazione predefinita, Oggetti eliminati è una sottocartella della cartella Avanzate).

Se non si dispone dell'autorizzazione Lettura nell'area di diritti Oggetti eliminati, viene visualizzato un elenco vuoto nella cartella Oggetti eliminati.

L'area di lavoro della cartella Oggetti eliminati contiene le seguenti informazioni sugli oggetti eliminati:

• Nome. Nome dell'oggetto.
• Tipo. Tipo di oggetto, ad esempio criterio, attività o pacchetto di installazione.
• Data/Ora. Ora in cui è stato eliminato l'oggetto.
• Utente. Nome dell'account dell'utente che ha eliminato l'oggetto.

Per visualizzare ulteriori informazioni su un oggetto:

1. Nella struttura della console selezionare Oggetti eliminati (per impostazione predefinita, Oggetti eliminati è una sottocartella della cartella Avanzate).
2. Nell'area di lavoro Oggetti eliminati selezionare l'oggetto desiderato.

   Nella parte destra dell'area di lavoro verrà visualizzata la casella per l'utilizzo dell'oggetto selezionato.

3. Eseguire una delle seguenti operazioni:
   • Fare clic sul collegamento Proprietà nella casella.
   • Fare clic con il pulsante destro del mouse sull'oggetto selezionato nell'area di lavoro, quindi selezionare Proprietà nel menu di scelta rapida.

   Verrà visualizzata la finestra delle proprietà dell'oggetto, in cui sono visualizzate le seguenti schede:

   • Generale
   • Cronologia revisioni

Eliminazione definitiva di oggetti dall'elenco degli oggetti eliminati

Solo gli utenti con l'autorizzazione Modifica nell'area di diritti Oggetti eliminati possono eliminare definitivamente gli oggetti dall'elenco degli oggetti eliminati (per ulteriori informazioni, vedere Assegnazione delle autorizzazioni a utenti e gruppi).

Per eliminare un oggetto dall'elenco degli oggetti eliminati:

1. Nella struttura della console selezionare il nodo dell'Administration Server richiesto e quindi selezionare la cartella Oggetti eliminati.
2. Nell'area di lavoro selezionare uno o più oggetti da eliminare.
3. Eseguire una delle seguenti operazioni:
   • Premere CANC.
   • Nel menu di scelta rapida degli oggetti selezionati selezionare Elimina.
4. Nella finestra di conferma fare clic su Sì.

L'oggetto verrà eliminato definitivamente dall'elenco degli oggetti eliminati. Tutte le informazioni sull'oggetto (incluse tutte le revisioni) saranno rimosse definitivamente dal database. Non è possibile ripristinare tali informazioni.

Mobile Device Management

La gestione della protezione per i dispositivi mobili tramite Kaspersky Security Center viene eseguita utilizzando la funzionalità Mobile Device Management, che richiede una licenza dedicata. Per gestire i dispositivi mobili appartenenti ai dipendenti dell'organizzazione, è necessario abilitare Mobile Device Management.

In questa sezione vengono fornite le istruzioni per l'abilitazione, la configurazione e la disabilitazione di Mobile Device Management. Questa sezione descrive inoltre come gestire i dispositivi mobili connessi ad Administration Server.

Per dettagli su Kaspersky Security for Mobile, vedere la Guida di Kaspersky Security for Mobile.

Scenario: Distribuzione di Mobile Device Management

Questa sezione fornisce uno scenario per la configurazione della funzionalità Mobile Device Management in Kaspersky Security Center.

Prerequisiti

Verificare di disporre di una licenza che consenta l'accesso alla funzionalità Mobile Device Management.

Passaggi

La distribuzione della funzionalità Mobile Device Management comprende le seguenti fasi:

1. Preparazione delle porte

   Assicurarsi che la porta 13292 sia disponibile in Administration Server. Questa porta è necessaria per la connessione dei dispositivi mobili. Inoltre, è possibile rendere disponibile la porta 17100. Questa porta è richiesta solo per l'attivazione del server proxy per i dispositivi mobili gestiti; se i dispositivi mobili gestiti hanno accesso a Internet, non è necessario rendere disponibile questa porta.

2. Abilitazione di Mobile Device Management

   È possibile abilitare Mobile Device Management quando si esegue l'Avvio rapido guidato di Administration Server o in un secondo momento.

3. Specificazione dell'indirizzo esterno di Administration Server

   È possibile specificare l'indirizzo esterno quando si esegue l'Avvio rapido guidato di Administration Server o in un secondo momento. Se Mobile Device Management non è stato selezionato per l'installazione e non è stato specificato l'indirizzo nell'installazione guidata, specificare l'indirizzo esterno nelle proprietà del pacchetto di installazione.

4. Aggiunta di dispositivi mobili al gruppo Dispositivi gestiti

   Aggiungere i dispositivi mobili al gruppo Dispositivi gestiti in modo da gestire i dispositivi tramite i criteri. È possibile creare una regola di spostamento in uno dei passaggi dell'Avvio rapido guidato di Administration Server. È inoltre possibile creare la regola di spostamento in un secondo momento. Se non si crea tale regola è possibile aggiungere manualmente i dispositivi mobili al gruppo Dispositivi gestiti.

   È possibile aggiungere i dispositivi mobili direttamente al gruppo Dispositivi gestiti, oppure è possibile creare un sottogruppo (o più sottogruppi).

   Successivamente è possibile connettere un nuovo dispositivo mobile ad Administration Server utilizzando la Connessione guidata nuovo dispositivo mobile.

5. Creazione di un criterio per i dispositivi mobili

   Per gestire i dispositivi mobili, creare un criterio (o più criteri) nel gruppo di appartenenza di questi dispositivi. È possibile modificare le impostazioni di questo criterio in qualsiasi momento.