Kaspersky Security Center 14.2 Windows

Certificati per l'utilizzo di Kaspersky Security Center

Schemi per traffico dati e utilizzo delle porte

Best practice per la distribuzione

Installazione di Kaspersky Security Center

Informazioni sull'aggiornamento di Kaspersky Security Center

Configurazione iniziale di Kaspersky Security Center

Individuazione dei dispositivi nella rete

Licensing

Applicazioni Kaspersky. Distribuzione centralizzata

Applicazioni Kaspersky: licensing e attivazione

Configurazione della protezione di rete

Aggiornamento di Kaspersky Security Center e delle applicazioni gestite

Gestione delle applicazioni di terzi nei dispositivi client

Monitoraggio e generazione dei rapporti

Regolazione di punti di distribuzione e gateway di connessione

Altre operazioni di routine

Esportazione di eventi nei sistemi SIEM

Utilizzo di SNMP per l'invio di statistiche ad applicazioni di terze parti

Utilizzo di un ambiente cloud

Appendici

Inizio pagina

[Topic 3396]

Informazioni su Kaspersky Security Center

Questa sezione contiene informazioni sulla funzione di Kaspersky Security Center, sui relativi componenti e funzionalità principali e sulle modalità di acquisto di Kaspersky Security Center.

Kaspersky Security Center è progettato per l'esecuzione centralizzata delle attività di base di amministrazione e manutenzione nella rete di un'organizzazione. L'applicazione consente all'amministratore di accedere a informazioni dettagliate sul livello di protezione della rete dell'organizzazione e permette di configurare tutti i componenti della protezione utilizzando le applicazioni Kaspersky.

L'applicazione Kaspersky Security Center è destinata agli amministratori di reti aziendali e ai dipendenti responsabili della protezione dei dispositivi in un'ampia gamma di organizzazioni.

Utilizzando Kaspersky Security Center è possibile eseguire quanto segue:

Creare una gerarchia di Administration Server per gestire la rete dell'organizzazione, nonché le reti di filiali remote o organizzazioni client.
Un'organizzazione client è un'organizzazione la cui protezione anti-virus viene assicurata da un provider di servizi.
Creare una gerarchia di gruppi di amministrazione per gestire una selezione di dispositivi client come una singola unità.
Gestire un sistema di protezione anti-virus basato sulle applicazioni Kaspersky.
Creare immagini dei sistemi operativi e distribuirle nei dispositivi client in rete, nonché eseguire l'installazione remota delle applicazioni Kaspersky e di altri produttori di software.
Gestire in remoto le applicazioni Kaspersky e di altri produttori installate nei dispositivi client. Installare gli aggiornamenti, individuare e correggere le vulnerabilità.
Eseguire la distribuzione centralizzata delle chiavi di licenza per le applicazioni Kaspersky nei dispositivi client, monitorarne l'utilizzo e rinnovare le licenze.
Ricevere statistiche e rapporti sull'esecuzione delle applicazioni e dei dispositivi.
Ricevere notifiche relative agli eventi critici durante l'esecuzione delle applicazioni Kaspersky.
Gestire i dispositivi mobili.
Gestire il criptaggio delle informazioni archiviate nei dischi rigidi di dispositivi e unità rimovibili e l'accesso degli utenti ai dati criptati.
Eseguire l'inventario dell'hardware connesso alla rete dell'organizzazione.
Gestire in modo centralizzato il file spostati in Quarantena o Backup dalle applicazioni di protezione, nonché gestire i file per cui l'elaborazione da parte delle applicazioni di protezione è stata rimandata.

È possibile acquistare Kaspersky Security Center tramite Kaspersky (ad esempio, all'indirizzo https://www.kaspersky.it) o tramite aziende partner.

Se Kaspersky Security Center viene acquistato tramite Kaspersky, è possibile copiare l'applicazione dal nostro sito Web. Le informazioni richieste per l'attivazione dell'applicazione vengono inviate tramite e-mail una volta elaborato il pagamento.

Le funzionalità di aggiornamento (compresa la fornitura degli aggiornamenti delle firme anti-virus e della base di codice) e la funzionalità KSN potrebbero non essere disponibili nel software negli Stati Uniti.

In questa sezione

Requisiti hardware e software

Applicazioni e soluzioni Kaspersky compatibili

Licenze e funzionalità di Kaspersky Security Center 14.2

Informazioni sulla compatibilità di Administration Server e Kaspersky Security Center Web Console

Confronto tra Kaspersky Security Center basato su Windows e basato su Linux

Informazioni di Kaspersky Security Center Cloud Console

Inizio pagina

[Topic 96255]

Vedere anche:

Requisiti hardware per il DBMS e l'Administration Server

Requisiti per un punto di distribuzione

Inizio pagina

[Topic 255791]

Requisiti di Administration Server

Requisiti hardware minimi:

CPU: con frequenza operativa di 1 GHz o superiore. Per un sistema operativo a 64 bit, la frequenza minima della CPU è di 1.4 GHz.
RAM: 4 GB.
Spazio disponibile su disco: 10 GB. Quando si utilizza Vulnerability e patch management, è necessario disporre di almeno 100 GB di spazio disponibile su disco.

Per la distribuzione in ambienti cloud, i requisiti per Administration Server e il server database sono gli stessi di quelli per Administration Server fisico (a seconda del numero di dispositivi che si desidera gestire).

Requisiti software:

Microsoft Data Access Components (MDAC) 2.8
Microsoft Windows DAC 6.0
Microsoft Windows Installer 4.5

Sono supportati i seguenti sistemi operativi:

Windows Server 2008 R2 Standard con Service Pack 1 e versioni successive 64 bit
Windows Server 2012 Server Core 64 bit
Windows Server 2012 Datacenter 64 bit
Windows Server 2012 Essentials 64 bit
Windows Server 2012 Foundation 64 bit
Windows Server 2012 Standard 64 bit
Windows Server 2012 R2 Server Core 64 bit
Windows Server 2012 R2 Datacenter 64 bit
Windows Server 2012 R2 Essentials 64 bit
Windows Server 2012 R2 Foundation 64 bit
Windows Server 2012 R2 Standard 64 bit
Windows Server 2016 Datacenter (LTSB) 64 bit
Windows Server 2016 Standard (LTSB) 64 bit
Windows Server 2016 Server Core (Installation Option) (LTSB) 64 bit
Windows Server 2019 Standard 64 bit
Windows Server 2019 Datacenter 64 bit
Windows Server 2019 Core 64 bit
Windows Server 2022 Standard 64 bit
Windows Server 2022 Datacenter 64 bit
Windows Server 2022 Core 64 bit
Windows Storage Server 2012 64 bit
Windows Storage Server 2012 R2 64 bit
Windows Storage Server 2016 64 bit
Windows Storage Server 2019 64 bit

Sono supportate le seguenti piattaforme di virtualizzazione:

VMware vSphere 6.7
VMware vSphere 7.0
VMware Workstation 16 Pro
Microsoft Hyper-V Server 2012 64 bit
Microsoft Hyper-V Server 2012 R2 64 bit
Microsoft Hyper-V Server 2016 64 bit
Microsoft Hyper-V Server 2019 64 bit
Microsoft Hyper-V Server 2022 64 bit
Citrix XenServer 7.1 LTSR
Citrix XenServer 8.x
Parallels Desktop 17
Oracle VM VirtualBox 6.x

Sono supportati i seguenti server di database (può essere installato su un dispositivo diverso):

Microsoft SQL Server 2012 Express 64 bit con limitazioni
Microsoft SQL Server 2014 Express 64 bit con limitazioni
Microsoft SQL Server 2016 Express 64 bit con limitazioni
Microsoft SQL Server 2017 Express 64 bit con limitazioni
Microsoft SQL Server 2019 Express 64 bit con limitazioni
Microsoft SQL Server 2014 (tutte le edizioni) 64 bit
Microsoft SQL Server 2016 (tutte le edizioni) 64 bit
Microsoft SQL Server 2017 (tutte le edizioni) in Windows 64 bit
Microsoft SQL Server 2017 (tutte le edizioni) in Linux 64 bit
Microsoft SQL Server 2019 (tutte le edizioni) in Windows 64 bit (richiede azioni aggiuntive)
Microsoft SQL Server 2019 (tutte le edizioni) in Linux 64 bit (richiede azioni aggiuntive)
Microsoft Azure SQL Database
Tutte le edizioni di SQL Server supportate nelle piattaforme cloud Amazon RDS e Microsoft Azure
MySQL 5.7 Community 32 bit/64 bit
MySQL Standard Edition 8.0 (versione 8.0.20 e successive) 32 bit/64 bit
MySQL Enterprise Edition 8.0 (versione 8.0.20 e successive) 32 bit/64 bit
MariaDB 10.1 (build 10.1.30 e versioni successive) 32 bit/64 bit
MariaDB 10.3 (build 10.3.22 e versioni successive) 32 bit/64 bit
MariaDB 10.4 (build 10.4.26 e versioni successive) 32 bit/64 bit
MariaDB 10.5 (build 10.5.27 e versioni successive) 32 bit/64 bit
Cluster MariaDB Galera 10.3 a 32 bit/64 bit con motore di archiviazione InnoDB
PostgreSQL 13.x 64 bit
PostgreSQL 14.x 64 bit
Postgres Pro 13.x (tutte le edizioni)
Postgres Pro 14.x (tutte le edizioni)

Fare riferimento al seguente argomento per dettagli e limitazioni: Selezione di un DBMS.

È consigliabile utilizzare MariaDB 10.3.22; se si utilizza una versione precedente, l'esecuzione dell'attività di esecuzione degli aggiornamenti Windows potrebbe richiedere più di un giorno.

SIEM e altri sistemi di gestione delle informazioni:

HP (Micro Focus) ArcSight ESM 7.0
IBM QRadar 7.3
Splunk 7.1

Inizio pagina

[Topic 255792]

Requisiti di Web Console

Kaspersky Security Center Web Console Server

Requisiti hardware minimi:

CPU: 4 core, frequenza operativa di 2.5 GHz
RAM: 8 GB
Spazio disponibile su disco: 40 GB
Sistemi operativi supportati da Kaspersky Security Center Web Console Server

Sistemi operativi. Microsoft Windows (solo versioni a 64 bit):

Windows Server 2012 Server Core

Windows Server 2012 Datacenter

Windows Server 2012 Essentials

Windows Server 2012 Foundation

Windows Server 2012 Standard

Windows Server 2012 R2 Server Core

Windows Server 2012 R2 Datacenter

Windows Server 2012 R2 Essentials

Windows Server 2012 R2 Foundation

Windows Server 2012 R2 Standard

Windows Server 2016 Datacenter (LTSB)

Windows Server 2016 Standard (LTSB)

Windows Server 2016 Server Core (Installation Option) (LTSB)

Windows Server 2019 Standard

Windows Server 2019 Datacenter

Windows Server 2019 Core

Windows Server 2022 Standard

Windows Server 2022 Datacenter

Windows Server 2022 Core

Windows Storage Server 2012

Windows Storage Server 2012 R2

Windows Storage Server 2016

Windows Storage Server 2019

Sistemi operativi. Linux (solo versioni a 64 bit)

Debian GNU/Linux 9.х (Stretch)

Debian GNU/Linux 10.х (Buster)

Debian GNU/Linux 11.х (Bullseye)

Ubuntu Server 18.04 LTS (Bionic Beaver)

Ubuntu Server 20.04 LTS (Focal Fossa)

Ubuntu Server 22.04 LTS (Jammy Jellyfish)

CentOS 7.x

Red Hat Enterprise Linux Server 7.x

Red Hat Enterprise Linux Server 8.x

Red Hat Enterprise Linux Server 9.x

SUSE Linux Enterprise Server 12 (tutti i Service Pack)

SUSE Linux Enterprise Server 15 (tutti i Service Pack)

Astra Linux Special Edition RUSB.10015-01 (aggiornamento operativo 1.6)

Astra Linux Special Edition RUSB.10015-01 (aggiornamento operativo 1.7)

Astra Linux Common Edition (aggiornamento operativo 2.12)

ALT Server 9.2

ALT Server 10

ALT 8 SP Server (LKNV.11100-01)

ALT 8 SP Server (LKNV.11100-02)

ALT 8 SP Server (LKNV.11100-03)

Oracle Linux 7

Oracle Linux 8

Oracle Linux 9

RED OS 7.3 Server

RED OS 7.3 Certified Edition

Macchina virtuale basata su kernel (tutti i sistemi operativi Linux supportati da Kaspersky Security Center Web Console Server)

Dispositivi client

Per un dispositivo client, l'utilizzo di Kaspersky Security Center Web Console richiede solo un browser.

La risoluzione minima dello schermo è 1366x768 pixel.

I requisiti hardware e software relativi al dispositivo sono identici a quelli del browser utilizzato per Kaspersky Security Center Web Console.

Browser:

Mozilla Firefox Extended Support versione 91.8.0 o successiva (91.8.0 rilasciata il 5 aprile 2022)
Google Chrome versione 100.0.4896.88 o successiva (build ufficiale)
Microsoft Edge versione 100 o successiva
Safari 15 su macOS

Inizio pagina

[Topic 255794]

Requisiti dei server mobili

Server MDM iOS (Mobile Device Management iOS)

Requisiti hardware:

CPU: con frequenza operativa di 1 GHz o superiore. Per un sistema operativo a 64 bit, la frequenza minima della CPU è di 1.4 GHz.
RAM: 2 GB.
Spazio disponibile su disco: 2 GB.

Requisiti software: Microsoft Windows (la versione del sistema operativo supportato è definita dai requisiti di Administration Server).

Server per dispositivi mobili Exchange

Tutti i requisiti software e hardware per il server per dispositivi mobili Exchange sono inclusi nei requisiti per Microsoft Exchange Server.

La compatibilità con Microsoft Exchange Server 2007, Microsoft Exchange Server 2010 e Microsoft Exchange Server 2013 è supportata.

Inizio pagina

[Topic 255796]

Requisiti di Administration Console

Requisiti hardware:

CPU: con frequenza operativa di 1 GHz o superiore. Per un sistema operativo a 64 bit, la frequenza minima della CPU è di 1.4 GHz.
RAM: 512 MB.
Spazio disponibile su disco: 1 GB.

Requisiti software:

Sistema operativo Microsoft Windows (la versione supportata del sistema operativo è determinata dai requisiti di Administration Server), ad eccezione dei seguenti sistemi operativi:
- Windows Server 2012 Server Core 64 bit
- Windows Server 2012 R2 Server Core 64 bit
- Windows Server 2016 Server Core (Installation Option) (LTSB) 64 bit
- Windows Server 2019 Core 64 bit
- Windows Server 2022 Core 64 bit
Microsoft Management Console 2.0
Microsoft Windows Installer 4.5
Microsoft Internet Explorer 10.0 eseguito in:
- Microsoft Windows Server 2008 R2 con Service Pack 1
- Microsoft Windows Server 2012
- Microsoft Windows Server 2012 R2
- Microsoft Windows 7 con Service Pack 1
- Microsoft Windows 8
- Microsoft Windows 8.1
- Microsoft Windows 10
Microsoft Internet Explorer 11.0 eseguito in:
- Microsoft Windows Server 2012 R2
- Microsoft Windows Server 2012 R2 con Service Pack 1
- Microsoft Windows Server 2016
- Microsoft Windows Server 2019
- Microsoft Windows 7 con Service Pack 1
- Microsoft Windows 8.1
- Microsoft Windows 10
Microsoft Edge eseguito in Microsoft Windows 10

Inizio pagina

[Topic 255797]

Requisiti di Network Agent

Requisiti hardware minimi:

CPU: con frequenza operativa di 1 GHz o superiore. Per un sistema operativo a 64 bit, la frequenza minima della CPU è di 1.4 GHz.
RAM: 512 MB.
Spazio disponibile su disco: 1 GB.

Requisiti hardware minimi per Vulnerability e patch management:

CPU con frequenza operativa di 1.4 GHz o superiore. È richiesto un sistema operativo a 64 bit.
RAM: 8 GB.
Spazio disponibile su disco: 1 GB.

Requisito software per dispositivi basati su Linux: è necessario installare l'interprete Perl versione 5.10 o successiva.

Sistemi operativi supportati da Network Agent

Sistemi operativi. Microsoft Windows

Microsoft Windows Embedded POSReady 2009 con il Service Pack più recente 32 bit

Microsoft Windows Embedded POSReady 7 32 bit/64 bit

Microsoft Windows Embedded 7 Standard con Service Pack 1 32 bit/64 bit

Microsoft Windows Embedded 8 Standard 32 bit/64 bit

Microsoft Windows Embedded 8.1 Industry Pro 32 bit/64 bit

Microsoft Windows Embedded 8.1 Industry Enterprise 32 bit/64 bit

Microsoft Windows Embedded 8.1 Industry Update 32 bit/64 bit

Microsoft Windows 10 Enterprise 2015 LTSB 32 bit/64 bit

Microsoft Windows 10 Enterprise 2016 LTSB 32 bit/64 bit

Microsoft Windows 10 IoT Enterprise 2015 LTSB 32-bit/64 bit

Microsoft Windows 10 IoT Enterprise 2016 LTSB 32-bit/64 bit

Microsoft Windows 10 Enterprise 2019 LTSC 32 bit/64 bit

Microsoft Windows 10 IoT Enterprise versione 1703 32 bit/64 bit

Microsoft Windows 10 IoT Enterprise versione 1709 32 bit/64 bit

Microsoft Windows 10 IoT Enterprise versione 1803 32 bit/64 bit

Microsoft Windows 10 IoT Enterprise versione 1809 32 bit/64 bit

Microsoft Windows 10 20H2 IoT Enterprise 32 bit/64 bit

Microsoft Windows 10 21H2 IoT Enterprise 32 bit/64 bit

Microsoft Windows 10 IoT Enterprise 32 bit/64 bit

Microsoft Windows 10 IoT Enterprise versione 1909 32 bit/64 bit

Microsoft Windows 10 IoT Enterprise LTSC 2021 32 bit/64 bit

Microsoft Windows 10 IoT Enterprise versione 1607 32 bit/64 bit

Microsoft Windows 10 Home RS3 (Fall Creators Update, v1709) 32 bit/64 bit

Microsoft Windows 10 Pro RS3 (Fall Creators Update, v1709) 32 bit/64 bit

Microsoft Windows 10 Pro for Workstations RS3 (Fall Creators Update, v1709) 32 bit/64 bit

Microsoft Windows 10 Enterprise RS3 (Fall Creators Update, v1709) 32 bit/64 bit

Microsoft Windows 10 Education RS3 (Fall Creators Update, v1709) 32 bit/64 bit

Microsoft Windows 10 Home RS4 (aggiornamento di aprile 2018, 17134) 32 bit/64 bit

Microsoft Windows 10 Pro RS4 (aggiornamento di aprile 2018, 17134) 32 bit/64 bit

Microsoft Windows 10 Pro for Workstations RS4 (aggiornamento di aprile 2018, 17134) 32 bit/64 bit

Microsoft Windows 10 Enterprise RS4 (aggiornamento di aprile 2018, 17134) 32 bit/64 bit

Microsoft Windows 10 Education RS4 (aggiornamento di aprile 2018, 17134) 32 bit/64 bit

Microsoft Windows 10 Home RS5 (ottobre 2018) 32 bit/64 bit

Microsoft Windows 10 Pro RS5 (ottobre 2018) 32 bit/64 bit

Microsoft Windows 10 Pro for Workstations RS5 (ottobre 2018) 32 bit/64 bit

Microsoft Windows 10 Enterprise RS5 (ottobre 2018) 32 bit/64 bit

Microsoft Windows 10 Education RS5 (ottobre 2018) 32 bit/64 bit

Microsoft Windows 10 Home 19H1 32 bit/64 bit

Microsoft Windows 10 Pro 19H1 32 bit/64 bit

Microsoft Windows 10 Pro for Workstations 19H1 32 bit/64 bit

Microsoft Windows 10 Enterprise 19H1 32 bit/64 bit

Microsoft Windows 10 Education 19H1 32 bit/64 bit

Microsoft Windows 10 Home 19H2 32 bit/64 bit

Microsoft Windows 10 Pro 19H2 32 bit/64 bit

Microsoft Windows 10 Pro for Workstations 19H2 32 bit/64 bit

Microsoft Windows 10 Enterprise 19H2 32 bit/64 bit

Microsoft Windows 10 Education 19H2 32 bit/64 bit

Microsoft Windows 10 Home 20H1 (aggiornamento di maggio 2020) 32 bit/64 bit

Microsoft Windows 10 Pro 20H1 (aggiornamento di maggio 2020) 32 bit/64 bit

Microsoft Windows 10 Enterprise 20H1 (aggiornamento di maggio 2020) 32 bit/64 bit

Microsoft Windows 10 Education 20H1 (aggiornamento di maggio 2020) 32 bit/64 bit

Microsoft Windows 10 Home 20H2 (aggiornamento di ottobre 2020) 32 bit/64 bit

Microsoft Windows 10 Pro 20H2 (aggiornamento di ottobre 2020) 32 bit/64 bit

Microsoft Windows 10 Enterprise 20H2 (aggiornamento di ottobre 2020) 32 bit/64 bit

Microsoft Windows 10 Education 20H2 (aggiornamento di ottobre 2020) 32 bit/64 bit

Microsoft Windows 10 Home 21H1 (aggiornamento di maggio 2021) 32 bit/64 bit

Microsoft Windows 10 Pro 21H1 (aggiornamento di maggio 2021) 32 bit/64 bit

Microsoft Windows 10 Enterprise 21H1 (aggiornamento di maggio 2021) 32 bit/64 bit

Microsoft Windows 10 Education 21H1 (aggiornamento di maggio 2021) 32 bit/64 bit

Microsoft Windows 10 Home 21H2 (aggiornamento di ottobre 2021) 32 bit / 64 bit

Microsoft Windows 10 Pro 21H2 (aggiornamento di ottobre 2021) 32 bit / 64 bit

Microsoft Windows 10 Enterprise 21H2 (aggiornamento di ottobre 2021) 32 bit / 64 bit

Microsoft Windows 10 Education 21H2 (aggiornamento di ottobre 2021) 32 bit / 64 bit

Microsoft Windows 10 Home 22H2 (aggiornamento di ottobre 2023) 32 bit/64 bit

Microsoft Windows 10 Pro 22H2 (aggiornamento di ottobre 2023) 32 bit/64 bit

Microsoft Windows 10 Enterprise 22H2 (aggiornamento di ottobre 2023) 32 bit/64 bit

Microsoft Windows 10 Education 22H2 (aggiornamento di ottobre 2023) 32 bit/64 bit

Microsoft Windows 11 Home 64 bit

Microsoft Windows 11 Pro 64 bit

Microsoft Windows 11 Enterprise 64 bit

Microsoft Windows 11 Education 64 bit

Microsoft Windows 11 22H2

Microsoft Windows 8.1 Pro 32 bit/64 bit

Microsoft Windows 8.1 Enterprise 32 bit/64 bit

Microsoft Windows 8 Pro 32 bit/64 bit

Microsoft Windows 8 Enterprise 32 bit/64 bit

Microsoft Windows 7 Professional con Service Pack 1 e versioni successive 32 bit/64 bit

Microsoft Windows 7 Enterprise / Ultimate con Service Pack 1 e versioni successive 32 bit/64 bit

Microsoft Windows 7 Home Basic/Premium con Service Pack 1 e versioni successive 32 bit/64 bit

Microsoft Windows XP Professional con Service Pack 2 a 32 bit/64 bit (supportato solo da Network Agent versione 10.5.1781)

Microsoft Windows XP Professional con Service Pack 3 e versioni successive 32 bit (supportato da Network Agent versione 14.0.0.20023)

Microsoft Windows XP Professional per sistemi integrati con Service Pack 3 32 bit (supportato da Network Agent versione 14.0.0.20023)

Windows Small Business Server 2011 Essentials 64 bit

Windows Small Business Server 2011 Premium Add-on 64 bit

Windows Small Business Server 2011 Standard 64 bit

Windows MultiPoint Server 2011 Standard/Premium 64 bit

Windows MultiPoint Server 2012 Standard/Premium 64 bit

Windows Server 2003 SP1 a 32/64 bit (supportato solo da Network Agent versione 10.5.1781, che è possibile richiedere tramite l'Assistenza tecnica)

Windows Server 2008 Foundation con Service Pack 2 32 bit/64 bit

Windows Server 2008 con Service Pack 2 (tutte le edizioni) 32 bit/64 bit

Windows Server 2008 R2 Datacenter con Service Pack 1 e versioni successive 64 bit

Windows Server 2008 R2 Enterprise con Service Pack 1 e versioni successive 64 bit

Windows Server 2008 R2 Foundation con Service Pack 1 e versioni successive 64 bit

Windows Server 2008 R2 Core Mode con Service Pack 1 e versioni successive 64 bit

Windows Server 2008 R2 Standard con Service Pack 1 e versioni successive 64 bit

Windows Server 2008 R2 con Service Pack 1 (tutte le edizioni) 64 bit

Windows Server 2012 Server Core 64 bit

Windows Server 2012 Datacenter 64 bit

Windows Server 2012 Essentials 64 bit

Windows Server 2012 Foundation 64 bit

Windows Server 2012 Standard 64 bit

Windows Server 2012 R2 Server Core 64 bit

Windows Server 2012 R2 Datacenter 64 bit

Windows Server 2012 R2 Essentials 64 bit

Windows Server 2012 R2 Foundation 64 bit

Windows Server 2012 R2 Standard 64 bit

Windows Server 2016 Datacenter (LTSB) 64 bit

Windows Server 2016 Standard (LTSB) 64 bit

Windows Server 2016 Server Core (Installation Option) (LTSB) 64 bit

Windows Server 2019 Standard 64 bit

Windows Server 2019 Datacenter 64 bit

Windows Server 2019 Core 64 bit

Windows Server 2022 Standard 64 bit

Windows Server 2022 Datacenter 64 bit

Windows Server 2022 Core 64 bit

Windows Storage Server 2012 64 bit

Windows Storage Server 2012 R2 64 bit

Windows Storage Server 2016 64 bit

Windows Storage Server 2019 64 bit

Sistemi operativi. Linux

Debian GNU/Linux 9.х (Stretch) 32 bit/64 bit

Debian GNU/Linux 10.х (Buster) 32 bit/64 bit

Debian GNU/Linux 11.х (Bullseye) 32 bit/64 bit

Ubuntu Server 18.04 LTS (Bionic Beaver) 32 bit/64 bit

Ubuntu Server 20.04 LTS (Focal Fossa) 32 bit/64 bit

Ubuntu Server 20.04.04 LTS (Focal Fossa) ARM 64 bit

Ubuntu Desktop 18.04 LTS (Bionic Beaver) 32 bit/64 bit

Ubuntu Desktop 20.04 LTS (Focal Fossa) 32 bit/64 bit

Ubuntu Server 22.04 LTS (Jammy Jellyfish) 64 bit

CentOS 7.x 64 bit

CentOS 7.x ARM 64 bit

Red Hat Enterprise Linux Server 6.x 32 bit/64 bit

Red Hat Enterprise Linux Server 7.x 64 bit

Red Hat Enterprise Linux Server 8.x 64 bit

Red Hat Enterprise Linux Server 9.x 64 bit

SUSE Linux Enterprise Server 12 (tutti i Service Pack) 64 bit

SUSE Linux Enterprise Server 15 (tutti i Service Pack) 64 bit

SUSE Linux Enterprise Desktop 15 (tutti i Service Pack) 64 bit

SUSE Linux Enterprise Desktop 15 con Service Pack 3 ARM 64 bit

openSUSE 15 64 bit

EulerOS 2.0 SP8 ARM

Pardus OS 19.1 64 bit

Astra Linux Common Edition (aggiornamento operativo 2.12) 64 bit

Astra Linux Special Edition RUSB.10015-01 (aggiornamento operativo 1.6) 64 bit

Astra Linux Special Edition RUSB.10015-01 (aggiornamento operativo 1.7) 64 bit

Astra Linux Special Edition RUSB.10152-02 (aggiornamento operativo 4.7) ARM 64 bit

ALT Server 9.2 64 bit

ALT Server 10 64 bit

ALT Workstation 9.2 32 bit/64 bit

ALT Workstation 10 32 bit/64 bit

ALT 8 SP Server (LKNV.11100-01) 64 bit

ALT 8 SP Server (LKNV.11100-02) 64 bit

ALT 8 SP Server (LKNV.11100-03) 64 bit

ALT 8 SP Workstation (LKNV.11100-01) 32 bit/64 bit

ALT 8 SP Workstation (LKNV.11100-02) 32 bit/64 bit

ALT 8 SP Workstation (LKNV.11100-03) 32 bit/64 bit

Mageia 4 32 bit

Oracle Linux 7 64 bit

Oracle Linux 8 64 bit

Oracle Linux 9 64 bit

Linux Mint 19.x 32 bit

Linux Mint 20.x 64 bit

AlterOS 7.5 e versioni successive 64 bit

GosLinux IC6 64 bit

RED OS 7.3 Server 64 bit

RED OS 7.3 Certified Edition 64 bit

ROSA COBALT 7.9 64 bit

ROSA CHROME 12 64 bit

Lotos (versione core Linux 4.19.50, DE: MATE) 64 bit

Sistemi operativi. macOS

macOS 10.12

macOS 10.13

macOS 10.14

macOS 10.15

macOS 11.x

macOS 12.x

Per Network Agent è supportata anche l'architettura Apple Silicon (M1), così come Intel.

Sono supportate le seguenti piattaforme di virtualizzazione:

VMware vSphere 6.7
VMware vSphere 7.0
VMware Workstation 16 Pro
Microsoft Hyper-V Server 2012 64 bit
Microsoft Hyper-V Server 2012 R2 64 bit
Microsoft Hyper-V Server 2016 64 bit
Microsoft Hyper-V Server 2019 64 bit
Microsoft Hyper-V Server 2022 64 bit
Citrix XenServer 7.1 LTSR
Citrix XenServer 8.x
Macchina virtuale basata su kernel (tutti i sistemi operativi Linux supportati da Network Agent)

Nei dispositivi che eseguono Windows 10 versione RS4 o RS5, Kaspersky Security Center potrebbe non essere in grado di rilevare alcune vulnerabilità nelle cartelle in cui è abilitata la distinzione tra maiuscole e minuscole.

Prima di installare Network Agent nei dispositivi in cui viene eseguito Windows 7, Windows Server 2008, Windows Server 2008 R2 o Windows Small Business Server 2011 Premium Add-on, assicurarsi di aver installato l'aggiornamento di sicurezza KB3063858 per il sistema operativo Windows (Aggiornamento di sicurezza per Windows 7 (KB3063858), Aggiornamento di sicurezza per Windows 7 per sistemi basati su x64 (KB3063858), Aggiornamento di sicurezza per Windows Server 2008 (KB3063858), Aggiornamento di sicurezza per Windows Server 2008 x64 Edition (KB3063858), Aggiornamento di sicurezza per Windows Server 2008 R2 x64 Edition (KB3063858).

In Microsoft Windows XP Network Agent non potrebbe eseguire correttamente alcune operazioni.

È possibile installare o aggiornare Network Agent for Windows XP solo in Microsoft Windows XP. Le edizioni supportate di Microsoft Windows XP e le versioni corrispondenti di Network Agent sono elencate nell'elenco dei sistemi operativi supportati. È possibile scaricare la versione richiesta di Network Agent per Microsoft Windows XP da questa pagina.

Si consiglia di installare la stessa versione o una versione più recente di Network Agent per Linux di Kaspersky Security Center.

Kaspersky Security Center supporta Network Agent con versioni uguali o più recenti.

Network Agent per macOS viene fornito insieme all'applicazione di protezione Kaspersky per questo sistema operativo.

Inizio pagina

[Topic 172903]

Applicazioni e soluzioni Kaspersky compatibili

Kaspersky Security Center supporta la distribuzione e la gestione centralizzate di tutte le applicazioni e soluzioni Kaspersky attualmente supportate. La tabella seguente mostra le applicazioni e soluzioni Kaspersky supportate da Administration Console basata su MMC e Kaspersky Security Center Web Console. Per conoscere le versioni delle applicazioni e delle soluzioni, consultare la pagina Web del ciclo di vita del supporto del prodotto.

Elenco delle soluzioni e delle applicazioni Kaspersky supportate da Kaspersky Security Center

Nome dell'applicazione o della soluzione Kaspersky	Supportato da Administration Console basata su MMC	Supportata da Kaspersky Security Center Web Console

Per workstation
Kaspersky Endpoint Security for Windows
Kaspersky Endpoint Security for Linux
Kaspersky Endpoint Security for Linux Elbrus Edition
Kaspersky Endpoint Security for Mac
Kaspersky Endpoint Agent
Kaspersky Embedded Systems Security for Windows
Kaspersky Embedded Systems Security for Linux
Per soluzioni industriali
Kaspersky Industrial CyberSecurity for Nodes
Kaspersky Industrial CyberSecurity for Linux Nodes
Kaspersky Industrial CyberSecurity for Networks (la distribuzione centralizzata non è supportata)
Per dispositivi mobili
Kaspersky Endpoint Security for Android
Kaspersky Security for iOS
Per file server
Kaspersky Security for Windows Server
Kaspersky Endpoint Security for Windows
Kaspersky Endpoint Security for Linux
Per ambienti virtuali
Kaspersky Security for Virtualization Light Agent
Kaspersky Security for Virtualization Agentless
Per i server di posta e di collaborazione
Kaspersky Security for Linux Mail Server
Kaspersky Security for Microsoft Exchange Servers
Per il rilevamento degli attacchi mirati
Kaspersky Sandbox Server
Kaspersky Endpoint Detection and Response Optimum
Kaspersky Managed Detection and Response
Per dispositivi KasperskyOS
Kaspersky IoT Secure Gateway
KasperskyOS Thin Client

Vedere anche:

Funzionalità di gestione delle licenze di Kaspersky Security Center e delle applicazioni gestite

Inizio pagina

[Topic 209155]

Licenze e funzionalità di Kaspersky Security Center 14.2

Kaspersky Security Center richiede una licenza per alcune funzionalità.

La seguente tabella mostra le funzionalità di Kaspersky Security Center incluse nelle varie licenze.

Per abilitare le funzionalità di Kaspersky Security Center, è necessario attivare Administration Server aggiungendo una chiave di licenza di Administration Server.

È necessario aggiungere manualmente una chiave di licenza per ogni Administration Server.

Licenze e funzionalità Kaspersky Security Center

Funzionalità di Kaspersky Security Center	Vulnerability e patch management di Kaspersky	Kaspersky Endpoint Security for Business Select	Kaspersky Endpoint Security for Business Advanced	Kaspersky Total Security for Business	Kaspersky Hybrid Cloud Security Standard	Kaspersky Hybrid Cloud Security Enterprise	Kaspersky EDR Optimum
Valutazione vulnerabilità
Gestione patch
Controllo dell'accesso basato sui ruoli
Installazione di sistemi operativi e applicazioni
Mobile Device Management (gestione dei dispositivi iOS e Android degli utenti)
Configura ambiente cloud per l'utilizzo in ambienti cloud come AWS, Microsoft Azure o Google Cloud
Esportazione di eventi nei sistemi SIEM: Syslog
Esportazione di eventi nei sistemi SIEM: QRadar di IBM e ArcSight di Micro Focus

Vedere anche:

Applicazioni Kaspersky: licensing e attivazione

Aggiunta di una chiave di licenza di Administration Server

Configurazione dell'interfaccia

Inizio pagina

[Topic 211939]

Informazioni sulla compatibilità di Administration Server e Kaspersky Security Center Web Console

È consigliabile utilizzare la versione più recente di Kaspersky Security Center Administration Server e Kaspersky Security Center Web Console; in caso contrario, le funzionalità di Kaspersky Security Center saranno limitate.

È possibile installare e aggiornare Kaspersky Security Center Administration Server e Kaspersky Security Center Web Console in modo indipendente. In questo caso, è preferibile assicurarsi che la versione installata di Kaspersky Security Center Web Console sia compatibile con la versione di Administration Server a cui ci si connette:

Web Console inclusa in Kaspersky Security Center 14.2 Windows supporta le seguenti versioni di Kaspersky Security Center Administration Server: 14.2, 14 e 13.2.
Administration Server incluso in Kaspersky Security Center 14.2 Windows supporta le seguenti versioni di Kaspersky Security Center Web Console: 14.2, 14 e 13.2 per Windows, 15 per Linux.

Inizio pagina

[Topic 211055]

Confronto tra Kaspersky Security Center basato su Windows e basato su Linux

Kaspersky fornisce Kaspersky Security Center come soluzione locale per due piattaforme: Windows e Linux. Nella soluzione basata su Windows, Administration Server è installato in un dispositivo Windows. Nella soluzione basata su Linux, la versione di Administration Server è invece progettata per l'installazione in un dispositivo Linux. Questa Guida in linea contiene informazioni su Kaspersky Security Center Windows. Per informazioni dettagliate sulla soluzione basata su Linux, fare riferimento alla Guida in linea di Kaspersky Security Center Linux.

La seguente tabella consente di confrontare le caratteristiche principali di Kaspersky Security Center come soluzione basata su Windows e come soluzione basata su Linux.

Confronto delle funzionalità di Kaspersky Security Center come soluzione basata su Windows e soluzione basata su Linux

Funzionalità o proprietà	Kaspersky Security Center 14.2

	Soluzione basata su Windows	Soluzione basata su Linux
Posizione dell'Administration Server	In locale	In locale
Posizione del DBMS (Database Management System)	In locale	In locale
Sistema operativo in cui installare Administration Server	Windows	Linux
Tipo di Administration Console	In locale e basata sul Web	Basata sul Web
Sistema operativo in cui installare l'Administration Console basata sul Web	Windows o Linux	Linux
Gerarchia di Administration Server
Gerarchia di gruppi di amministrazione
Polling della rete		(solo per intervalli IP)
Numero massimo di dispositivi gestiti	100.000	20.000
Protezione dei dispositivi gestiti Windows, macOS e Linux		(protezione solo per dispositivi Linux e Windows)
Protezione dei dispositivi mobili
Protezione delle macchine virtuali
Protezione dell'infrastruttura cloud pubblica
Gestione della sicurezza incentrata sul dispositivo
Gestione della sicurezza incentrata sull'utente
Criteri dell'applicazione
Attività per le applicazioni Kaspersky
Kaspersky Security Network
Proxy KSN
Kaspersky Private Security Network
Distribuzione centralizzata delle chiavi di licenza per le applicazioni Kaspersky
Aggiornamento automatico dei database anti-virus
Supporto per Administration Server virtuali
Installazione di aggiornamenti software di terze parti e correzione delle vulnerabilità del software di terze parti		(solo utilizzando un'attività di installazione remota)
Notifiche sugli eventi che si sono verificati nei dispositivi gestiti
Creazione e gestione degli account utente
Accesso alla console utilizzando l'autenticazione del dominio
Integrazione con i sistemi SIEM		(utilizzando solo Syslog)
Monitoraggio dello stato di criteri e attività
Distribuzione del cluster di failover Kaspersky Security Center
Installazione di Administration Server in un cluster di failover di Windows Server
Utilizzo di SNMP per l'invio delle statistiche di Administration Server ad applicazioni di terzi
Diagnostica remota dei dispositivi client
Connessione remota al desktop di un dispositivo client
Gestione delle revisioni degli oggetti
Aggiornamento automatico delle applicazioni Kaspersky
Distribuzione di sistemi operativi nei dispositivi client
Server Web per la pubblicazione di pacchetti di installazione e altri file
Visualizzazione e utilizzo degli avvisi rilevati da Kaspersky Endpoint Detection and Response Optimum
Utilizzo di Administration Server come server WSUS
Integrazione con Kaspersky Managed Detection and Response
Supporto di Controllo adattivo delle anomalie
Supporto di cluster e array di server nei gruppi di amministrazione	(solo in Administration Console basata su MMC)
Gestione di licenze di terzi

Inizio pagina

[Topic 196993]

Informazioni di Kaspersky Security Center Cloud Console

Se utilizzato come applicazione locale, Kaspersky Security Center (comprensivo di Administration Server) viene installato in un dispositivo locale e il sistema di sicurezza di rete viene gestito tramite Administration Console basata su Microsoft Management Console (disponibile solo in Kaspersky Security Center Windows) o Kaspersky Security Center Web Console.

In alternativa, è tuttavia possibile utilizzare Kaspersky Security Center come servizio cloud. In questo caso Kaspersky Security Center viene automaticamente installato e gestito dagli esperti Kaspersky nell'ambiente cloud e Kaspersky fornisce l'accesso ad Administration Server come servizio. Il sistema di sicurezza di rete viene gestito tramite Administration Console basata su cloud, denominata Kaspersky Security Center Cloud Console. Questa console ha un'interfaccia simile all'interfaccia di Kaspersky Security Center Web Console.

L'interfaccia e la documentazione di Kaspersky Security Center Cloud Console sono disponibili nelle seguenti lingue:

Inglese
Francese
Tedesco
Italiano
Giapponese
Portoghese (Brasile)
Russo
Cinese semplificato
Spagnolo
Spagnolo (LATAM)
Cinese tradizionale

Ulteriori informazioni su Kaspersky Security Center Cloud Console e sulle relative funzionalità sono disponibili nella documentazione di Kaspersky Security Center Cloud Console e nella documentazione di Kaspersky Endpoint Security for Business.

Inizio pagina

[Topic 3302]

Concetti di base

In questa sezione sono illustrati i concetti di base relativi a Kaspersky Security Center.

In questa sezione

Administration Server

Administration Server virtuale

Server per dispositivi mobili

Server Web

Network Agent

Gruppi di amministrazione

Dispositivo gestito

Dispositivo non assegnato

Workstation dell'amministratore

Plug-in di gestione

Plug-in Web di gestione

Relazioni tra impostazioni locali delle applicazioni e criteri

Punto di distribuzione

Gateway di connessione

Inizio pagina

[Topic 3303]

Administration Server

I componenti di Kaspersky Security Center consentono la gestione remota delle applicazioni Kaspersky installate nei dispositivi client.

I dispositivi in cui è installato il componente Administration Server sono denominati Administration Server (o semplicemente server). Gli Administration Server devono essere protetti, anche da un punto di vista fisico, da qualsiasi accesso non autorizzato.

Administration Server viene installato nei dispositivi come un servizio con il seguente set di attributi:

Con il nome "Kaspersky Security Center Administration Server"
Impostato per l'avvio automatico all'avvio del sistema operativo
Con l'account LocalSystem o l'account utente selezionato durante l'installazione di Administration Server

Administration Server esegue le seguenti funzioni:

Memorizzazione della struttura dei gruppi di amministrazione
Archiviazione di informazioni sulla configurazione dei dispositivi client
Organizzazione degli archivi per i pacchetti di distribuzione dell'applicazione
Installazione remota delle applicazioni nei dispositivi client e rimozione delle applicazioni
Aggiornamento dei database e dei moduli software delle applicazioni Kaspersky
Gestione di criteri e attività nei dispositivi client
Archiviazione di informazioni sugli eventi che si sono verificati nei dispositivi client
Generazione di rapporti sull'esecuzione delle applicazioni Kaspersky
Distribuzione delle chiavi di licenza ai dispositivi client e archiviazione delle informazioni sulle chiavi di licenza
Invio di notifiche sullo stato di avanzamento delle attività (ad esempio, il rilevamento di virus in un dispositivo client)

Denominazione degli Administration Server nell'interfaccia dell'applicazione

Nell'interfaccia di Administration Console basata su MMC e di Kaspersky Security Center Web Console gli Administration Server possono avere i seguenti nomi:

Nome del dispositivo Administration Server, ad esempio: "nome_dispositivo" o "Administration Server: nome_dispositivo".
Indirizzo IP del dispositivo Administration Server, ad esempio: "Indirizzo_IP" o "Administration Server: Indirizzo_IP".
Gli Administration Server secondari e gli Administration Server virtuali hanno nomi personalizzati da specificare quando si connette un Administration Server virtuale o secondario all'Administration Server primario.
Se si utilizza Kaspersky Security Center Web Console installata in un dispositivo Linux, l'applicazione visualizza i nomi degli Administration Server specificati come attendibili nel file di risposta.

È possibile connettersi ad Administration Server tramite Administration Console o Kaspersky Security Center Web Console.

Vedere anche:

Installazione di Kaspersky Security Center

Interazione dei componenti di Kaspersky Security Center e delle applicazioni di protezione: ulteriori informazioni

Inizio pagina

[Topic 3304]

Gerarchia di Administration Server

Gli Administration Server possono essere organizzati in una gerarchia. Ogni Administration Server può disporre di diversi Administration Server secondari (denominati server secondari) a diversi livelli di nidificazione della gerarchia. Non vi sono limiti per il livello di nidificazione dei server secondari. I gruppi di amministrazione dell'Administration Server primario includeranno i dispositivi client di tutti gli Administration Server secondari. In tal modo, è possibile gestire sezioni isolate e indipendenti di reti tramite differenti Administration Server che vengono a loro volta gestiti dal server primario.

Gli Administration Server virtuali sono casi particolari di Administration Server secondari.

La gerarchia degli Administration Server può essere utilizzata per le seguenti operazioni:

Ridurre il carico su Administration Server (rispetto all'utilizzo di un singolo Administration Server installato per un'intera rete).
Ridurre il traffico nella rete Intranet e semplificare il lavoro con le filiali remote. Non è necessario stabilire connessioni tra l'Administration Server primario e tutti i dispositivi della rete, che possono ad esempio essere collocati in altre aree geografiche. È sufficiente installare un Administration Server secondario in ogni segmento della rete, distribuire i dispositivi tra i gruppi di amministrazione dei server secondari e stabilire connessioni tra i server secondari e il server primario tramite canali di comunicazione ad alta velocità.
Distribuire le responsabilità tra gli amministratori della protezione anti-virus. Tutte le capacità di monitoraggio e gestione centralizzati dello stato della protezione anti-virus nelle reti aziendali rimangono disponibili.
Modalità di utilizzo di Kaspersky Security Center da parte dei provider di servizi. Un provider di servizi deve installare soltanto Kaspersky Security Center e Kaspersky Security Center Web Console. Per gestire numerosi dispositivi client di varie organizzazioni, un provider di servizi può aggiungere Administration Server virtuali a una gerarchia di Administration Server.

Ogni dispositivo incluso nella gerarchia dei gruppi di amministrazione può essere connesso a un unico Administration Server. È necessario monitorare in modo indipendente la connessione dei dispositivi agli Administration Server. Utilizzare la funzionalità per la ricerca di dispositivi nei gruppi di amministrazione di differenti server in base agli attributi di rete.

Vedere anche:

Gerarchia di Administration Server: Administration Server primario e Administration Server secondario

Impostazioni del criterio di Network Agent

Inizio pagina

[Topic 30636]

Administration Server virtuale

Un Administration Server virtuale (denominato anche server virtuale) è un componente di Kaspersky Security Center progettato per la gestione della protezione anti-virus della rete di un'organizzazione client.

Un Administration Server virtuale è un particolare tipo di Administration Server secondario e presenta le seguenti limitazioni rispetto a un Administration Server fisico:

Un Administration Server virtuale può essere creato solo in un Administration Server primario.
L'Administration Server virtuale utilizza il database dell'Administration Server primario durante il relativo funzionamento. Le attività di backup e ripristino dei dati, nonché le attività di scansione e download degli aggiornamenti, non sono supportate in un Administration Server virtuale.
Un server virtuale non supporta la creazione di Administration Server secondari (inclusi server virtuali).

L'Administration Server virtuale presenta inoltre le seguenti restrizioni:

Nella finestra delle proprietà di Administration Server virtuale il numero delle sezioni è limitato.
Per eseguire l'installazione delle applicazioni Kaspersky in remoto nei dispositivi client gestiti dall'Administration Server virtuale, è necessario verificare che Network Agent sia installato in uno dei dispositivi client per assicurare la comunicazione con l'Administration Server virtuale. Alla prima connessione con l'Administration Server virtuale, il dispositivo verrà automaticamente designato come punto di distribuzione e opererà come un gateway di connessione tra i dispositivi client e l'Administration Server virtuale.
Un server virtuale può eseguire il polling della rete solo tramite i punti di distribuzione.
Per riavviare un server virtuale che presenta un malfunzionamento, Kaspersky Security Center riavvia l'Administration Server primario e tutti gli Administration Server virtuali.
Agli utenti creati in un server virtuale non può essere assegnato un ruolo in Administration Server.

L'amministratore di un Administration Server virtuale dispone di tutti i privilegi per lo specifico server virtuale.

Inizio pagina

[Topic 65383]

Server per dispositivi mobili

Server per dispositivi mobili è un componente di Kaspersky Security Center che fornisce l'accesso ai dispositivi mobili e consente di gestirli tramite Administration Console. Il server per dispositivi mobili riceve informazioni sui dispositivi mobili e archivia i relativi profili.

Esistono due tipi di server per dispositivi mobili:

Server per dispositivi mobili Exchange. È installato in un dispositivo in cui è stato installato un server Microsoft Exchange, consentendo di recuperare i dati dal server Microsoft Exchange e di inviarli ad Administration Server. Questo server per dispositivi mobili viene utilizzato per la gestione dei dispositivi mobili che supportano il protocollo Exchange ActiveSync.
Server per dispositivi mobili MDM iOS. Questo server per dispositivi mobili viene utilizzato per la gestione dei dispositivi mobili che supportano il servizio Apple Push Notification (APNs).

I server per dispositivi mobili di Kaspersky Security Center consentono di gestire i seguenti oggetti:

Un singolo dispositivo mobile.
Più dispositivi mobili.
Più dispositivi mobili connessi a un cluster di server simultaneamente. Dopo la connessione a un cluster di server, il server per dispositivi mobili installato in questo cluster viene visualizzato in Administration Console come un singolo server.

Inizio pagina

[Topic 74647]

Server Web

Il server Web di Kaspersky Security Center (di seguito denominato anche server Web) è un componente di Kaspersky Security Center installato insieme ad Administration Server. Il server Web è progettato per la trasmissione tramite una rete di pacchetti di installazione indipendenti, profili MDM iOS e file da una cartella condivisa.

Quando si crea un pacchetto di installazione indipendente, questo viene automaticamente pubblicato nel server Web. Il collegamento per il download del pacchetto indipendente viene visualizzato nell'elenco dei pacchetti di installazione indipendenti creati. Se necessario, è possibile annullare la pubblicazione del pacchetto indipendente o pubblicarlo nuovamente sul server Web.

Quando si crea un profilo MDM iOS per il dispositivo mobile dell'utente, anche questo viene pubblicato automaticamente nel server Web. Il profilo pubblicato viene automaticamente eliminato dal server Web subito dopo l'installazione nel dispositivo mobile dell'utente.

La cartella condivisa è progettata come un'area di archiviazione per le informazioni disponibile per tutti gli utenti dei dispositivi gestiti tramite Administration Server. Se un utente non ha accesso diretto alla cartella condivisa, è possibile fornirgli le informazioni contenute nella cartella utilizzando il server Web.

Per fornire agli utenti le informazioni nella cartella condivisa utilizzando il server Web, l'amministratore deve creare una sottocartella denominata public nella cartella condivisa e incollare le informazioni in tale sottocartella.

La sintassi del collegamento per il trasferimento delle informazioni è la seguente:

https://<nome server Web>:<porta HTTPS>/public/<oggetto>

dove:

<nome server Web> è il nome del server Web di Kaspersky Security Center.
<porta HTTPS> è una porta HTTPS del server Web definita dall'amministratore. La porta HTTPS può essere impostata nella sezione Server Web della finestra delle proprietà di Administration Server. Il numero di porta predefinito è 8061.
<oggetto> è la sottocartella o il file reso accessibile all'utente.

L'amministratore può inviare il nuovo collegamento all'utente con qualsiasi sistema (ad esempio, tramite e-mail).

Utilizzando questo collegamento, l'utente può scaricare le informazioni richieste in un dispositivo locale.

Inizio pagina

[Topic 3305]

Network Agent

L'interazione tra Administration Server e i dispositivi viene eseguita dal componente Network Agent di Kaspersky Security Center. Network Agent deve essere installato in tutti i dispositivi in cui viene utilizzato Kaspersky Security Center per gestire applicazioni Kaspersky.

Network Agent viene installato nei dispositivi come un servizio con il seguente set di attributi:

Con il nome "Kaspersky Security Center Network Agent"
Impostato per l'avvio automatico all'avvio del sistema operativo
Utilizzo dell'account LocalSystem

Un dispositivo con Network Agent installato è denominato dispositivo gestito o dispositivo.

È possibile installare Network Agent in un dispositivo Windows, Linux o Mac. È possibile ottenere il componente da una delle seguenti origini:

Pacchetto di installazione nell'archivio dell'Administration Server (è necessario avere installato Administration Server)
Pacchetto di installazione collocato nei server Web Kaspersky

Non è necessario installare Network Agent nel dispositivo in cui è installato Administration Server, perché la versione server di Network Agent viene installata automaticamente insieme ad Administration Server.

Il nome del processo avviato da Network Agent è klnagent.exe.

Network Agent sincronizza il dispositivo gestito con Administration Server. È consigliabile impostare l'intervallo di sincronizzazione (anche denominato heartbeat) su 15 minuti per 10.000 dispositivi gestiti.

Vedere anche:

Distribuzione di Network Agent e dell'applicazione di protezione

Inizio pagina

[Topic 165736]

Gruppi di amministrazione

Un gruppo di amministrazione (di seguito denominato anche gruppo) è un set logico di dispositivi gestiti combinati in base a una specifica caratteristica allo scopo di gestire i dispositivi raggruppati come una singola unità in Kaspersky Security Center.

Tutti i dispositivi gestiti all'interno di un gruppo di amministrazione sono configurati in modo da eseguire quanto segue:

Utilizzare le stesse impostazioni dell'applicazione (che possono essere specificate nei criteri di gruppo).
Utilizzare una modalità operativa comune per tutte le applicazioni grazie alla creazione di attività di gruppo con impostazioni specificate. Tramite le attività di gruppo è ad esempio possibile creare e installare un pacchetto di installazione comune, aggiornare i database e i moduli dell'applicazione, eseguire la scansione del dispositivo su richiesta e abilitare la protezione in tempo reale.

Un dispositivo gestito può appartenere a un solo gruppo di amministrazione.

È possibile creare gerarchie con qualsiasi livello di nidificazione per gli Administration Server e i gruppi. Un singolo livello della gerarchia può comprendere Administration Server secondari e virtuali, gruppi e dispositivi gestiti. È possibile spostare i dispositivi da un gruppo all'altro senza spostarli fisicamente. Ad esempio, se la posizione di un dipendente all'interno dell'azienda cambia da addetto alla contabilità a sviluppatore, è possibile spostare il dispositivo del dipendente dal gruppo di amministrazione Contabilità al gruppo di amministrazione Sviluppatori. Il dispositivo riceverà automaticamente le impostazioni dell'applicazione necessarie per gli sviluppatori.

Vedere anche:

Gestione dei gruppi di amministrazione

Inizio pagina

[Topic 162465]

Dispositivo gestito

Un dispositivo gestito è un dispositivo in cui viene eseguito Windows, Linux o macOS in cui è installato Network Agent o un dispositivo mobile in cui è installata un'applicazione di protezione Kaspersky. È possibile gestire tali dispositivi creando attività e criteri per le applicazioni installate nei dispositivi. È inoltre possibile ricevere rapporti dai dispositivi gestiti.

È possibile designare un dispositivo gestito non mobile come punto di distribuzione e come gateway di connessione.

Un dispositivo può essere gestito da un solo Administration Server. Un unico Administration Server può gestire fino a 100.000 dispositivi, compresi i dispositivi mobili.

Inizio pagina

[Topic 165744]

Dispositivo non assegnato

Un dispositivo non assegnato è un dispositivo della rete che non è stato incluso in alcun gruppo di amministrazione. È possibile eseguire alcune azioni sui dispositivi non assegnati, ad esempio spostarli nei gruppi di amministrazione o installarvi applicazioni.

Quando viene individuato un nuovo dispositivo nella rete, questo dispositivo viene inserito nel gruppo di amministrazione Dispositivi non assegnati. È possibile configurare regole per lo spostamento automatico dei dispositivi in altri gruppi di amministrazione dopo il rilevamento.

Inizio pagina

[Topic 3307]

Workstation dell'amministratore

La workstation dell'amministratore è un dispositivo in cui è installato Administration Console o utilizzato per aprire Kaspersky Security Center Web Console. Gli amministratori possono utilizzare tali dispositivi per la gestione remota centralizzata delle applicazioni Kaspersky installate nei dispositivi client.

In seguito all'installazione di Administration Console nel dispositivo, viene visualizzata la relativa icona, che consente di avviare Administration Console. È disponibile nel menu Start → Programmi → Kaspersky Security Center.

Non vi sono limitazioni per il numero di workstation dell'amministratore. Da qualsiasi workstation dell'amministratore è possibile gestire contemporaneamente i gruppi di amministrazione di diversi Administration Server in rete. Una workstation dell'amministratore può essere connessa a un Administration Server (fisico o virtuale) a qualsiasi livello di gerarchia.

È possibile includere una workstation dell'amministratore in un gruppo di amministrazione come dispositivo client.

All'interno dei gruppi di amministrazione di qualsiasi Administration Server, lo stesso dispositivo può operare come un client di Administration Server, un Administration Server o una workstation dell'amministratore.

Inizio pagina

[Topic 3308]

Plug-in di gestione

Le applicazioni Kaspersky sono gestite tramite Administration Console utilizzando un componente dedicato denominato plug-in di gestione. Ciascuna applicazione Kaspersky che può essere gestita tramite Kaspersky Security Center include un plug-in di gestione.

Utilizzando il plug-in di gestione dell'applicazione, è possibile eseguire le seguenti azioni in Administration Console:

Creare e modificare le impostazioni e i criteri dell'applicazione, nonché le impostazioni delle attività dell'applicazione.
Ottenere informazioni sulle attività dell'applicazione, sugli eventi che si verificano durante l'esecuzione, oltre che sulle statistiche di esecuzione dell'applicazione ricevute dai dispositivi client.

È possibile scaricare i plug-in di gestione dalla pagina Web del Servizio di assistenza tecnica di Kaspersky.

Vedere anche:

Utilizzo dei plug-in di gestione

Plug-in Web di gestione

Inizio pagina

[Topic 165761]

Plug-in Web di gestione

Un componente speciale (il plug-in Web di gestione) viene utilizzato per l'amministrazione remota del software Kaspersky tramite Kaspersky Security Center Web Console. Da questo momento il plug-in Web di gestione verrà denominato anche plug-in di gestione. Il plug-in di gestione è un'interfaccia tra Kaspersky Security Center Web Console e un'applicazione Kaspersky specifica. Con un plug-in di gestione è possibile configurare le attività e i criteri per l'applicazione.

È possibile scaricare i plug-in Web di gestione dalla pagina Web del Servizio di assistenza tecnica di Kaspersky.

Il plug-in di gestione offre i seguenti elementi:

Interfaccia per la creazione e la modifica di impostazioni e attività delle applicazioni
Interfaccia per la creazione e la modifica di criteri e profili criterio per la configurazione centralizzata e remota dei dispositivi e delle applicazioni Kaspersky
Trasmissione di eventi generati dall'applicazione
Kaspersky Security Center Web Console consente di visualizzare eventi e dati relativi al funzionamento dell'applicazione e le statistiche trasmesse dai dispositivi client

Vedere anche:

Plug-in di gestione

Informazioni di Kaspersky Security Center Web Console

Distribuzione delle applicazioni Kaspersky tramite Kaspersky Security Center Web Console

Inizio pagina

[Topic 3313]

Criteri

Un criterio è un set di impostazioni dell'applicazione Kaspersky che vengono applicate a un gruppo di amministrazione e ai relativi sottogruppi. È possibile installare diverse applicazioni Kaspersky nei dispositivi di un gruppo di amministrazione. Kaspersky Security Center fornisce un singolo criterio per ogni applicazione Kaspersky in un gruppo di amministrazione. Un criterio ha uno dei seguenti stati (vedere la seguente tabella):

Lo stato del criterio

Stato	Descrizione
Attivo	Il criterio corrente applicato al dispositivo. Può essere attivo un solo criterio per un'applicazione Kaspersky in ogni gruppo di amministrazione. I dispositivi applicano i valori delle impostazioni di un criterio attivo per un'applicazione Kaspersky.
Inattivo	Un criterio che non è attualmente applicato a un dispositivo.
Fuori sede	Se questa opzione è selezionata, il criterio diventa attivo quando il dispositivo lascia la rete aziendale.

I criteri funzionano secondo le seguenti regole:

È possibile configurare diversi criteri con differenti impostazioni per una singola applicazione.
Un solo criterio può essere attivo per l'applicazione corrente.
È possibile attivare un criterio inattivo quando si verifica un evento specifico. È ad esempio possibile applicare impostazioni di protezione anti-virus più rigide durante le epidemie di virus.
Un criterio può avere criteri secondari.

In generale è possibile utilizzare i criteri in preparazione a situazioni di emergenza, come un attacco virus. Ad esempio in caso di attacco tramite unità flash, è possibile attivare un criterio che blocca l'accesso alle unità flash. In questo caso il criterio attivo corrente diventa automaticamente inattivo.

Per evitare di dover gestire più criteri, ad esempio quando diverse occasioni presuppongono solo la modifica di più impostazioni, è possibile utilizzare i profili criterio.

Un profilo criterio è un sottoinsieme denominato di valori delle impostazioni dei criteri che sostituisce i valori delle impostazioni di un criterio. Un profilo criterio influisce sulla creazione delle impostazioni ottimizzate in un dispositivo gestito. Per impostazioni effettive si intende un insieme di impostazioni dei criteri, impostazioni dei profili criterio e impostazioni delle applicazioni locali attualmente applicate nel dispositivo.

I profili criterio funzionano secondo le seguenti regole:

Un profilo criterio assume validità quando si verifica una condizione di attivazione specifica.
I profili criterio contengono valori delle impostazioni che differiscono dalle impostazioni dei criteri.
L'attivazione di un profilo criterio modifica le impostazioni effettive del dispositivo gestito.
Un criterio può includere al massimo 100 profili criterio.

Vedere anche:

Creazione di un criterio

Inizio pagina

[Topic 165778]

Profili criterio

Talvolta può essere necessario creare più istanze di un singolo criterio per diversi gruppi di amministrazione; è inoltre possibile modificare le impostazioni di questi criteri in modo centralizzato. Le istanze potrebbero avere solo una o due impostazioni differenti. Ad esempio, a tutti gli addetti alla contabilità di un'azienda viene applicato lo stesso criterio, ma quelli di livello senior possono utilizzare unità flash, a differenza degli altri. In questo caso, l'applicazione dei criteri ai dispositivi solo tramite la gerarchia dei gruppi di amministrazione può essere poco pratica.

Per evitare di creare più istanze di un singolo criterio, Kaspersky Security Center consente di creare profili criterio. I profili criterio sono necessari per consentire l'esecuzione dei dispositivi all'interno di un unico gruppo di amministrazione con diverse impostazioni del criterio.

Un profilo criterio è un sottoinsieme denominato di impostazioni dei criteri. Questo sottoinsieme viene distribuito nei dispositivi di destinazione insieme al criterio, integrandolo in una condizione specifica definita condizione di attivazione del profilo. I profili contengono solo le impostazioni diverse dal criterio "di base" che è attivo nel dispositivo gestito. L'attivazione di un profilo modifica le impostazioni del criterio "di base" che erano inizialmente attive nel dispositivo. Le impostazioni modificate assumono i valori specificati nel profilo.

Vedere anche:

Creazione di un profilo criterio

Inizio pagina

[Topic 92435]

Attività

Kaspersky Security Center consente di gestire le applicazioni di protezione Kaspersky installate nei dispositivi creando ed eseguendo attività. Le attività sono necessarie per l'installazione, l'avvio e l'arresto delle applicazioni, la scansione dei file, l'aggiornamento dei database e dei moduli software, oltre che per eseguire altre azioni sulle applicazioni.

Le attività per un'applicazione specifica possono essere create solo se è installato il plug-in di gestione per tale applicazione.

Le attività possono essere eseguite nell'Administration Server e nei dispositivi.

Le seguenti attività vengono eseguite nell'Administration Server:

Distribuzione automatica dei rapporti
Download degli aggiornamenti nell'archivio di Administration Server
Backup dei dati di Administration Server
Manutenzione del database
Sincronizzazione di Windows Update
Creazione di un pacchetto di installazione basato su un'immagine del sistema operativo di un dispositivo di riferimento

I seguenti tipi di attività vengono eseguiti nei dispositivi:

Attività locali - Attività eseguite in un dispositivo specifico
Le attività locali possono essere modificate dall'amministratore utilizzando gli strumenti di Administration Console oppure dall'utente di un dispositivo remoto (ad esempio, attraverso l'interfaccia dell'applicazione di protezione). Se un'attività locale viene modificata contemporaneamente dall'amministratore e dall'utente di un dispositivo gestito, hanno effetto le modifiche apportate dall'amministratore perché hanno una priorità più alta.
Attività di gruppo - Attività eseguite su tutti i dispositivi di un gruppo specifico
A meno che non sia diversamente specificato nelle proprietà dell'attività, un'attività di gruppo si applica anche a tutti i sottogruppi del gruppo selezionato. Un'attività di gruppo influisce anche (facoltativamente) sui dispositivi connessi agli Administration Server secondari e virtuali distribuiti nel gruppo o in uno dei relativi sottogruppi.
Attività globali - Attività eseguite su un set di dispositivi, indipendentemente dalla loro appartenenza a un gruppo

Per ogni applicazione è possibile creare attività di gruppo, attività globali o attività locali.

È possibile apportare modifiche alle impostazioni delle attività, visualizzarne l'avanzamento, copiarle, esportarle, importarle ed eliminarle.

Le attività vengono avviate in un dispositivo solo se l'applicazione per cui l'attività è stata creata è in esecuzione.

I risultati delle attività sono salvati nel registro eventi di Microsoft Windows e nel registro eventi di Kaspersky Security Center, sia in modo centralizzato in Administration Server che localmente in ogni dispositivo.

Non includere dati privati nelle impostazioni dell'attività. Ad esempio, non specificare la password dell'amministratore del dominio.

Vedere anche:

Gestione di attività

Creazione di un'attività

Inizio pagina

[Topic 165863]

Ambito attività

L'ambito di un'attività è il set di dispositivi in cui viene eseguita l'attività. I tipi di ambito sono i seguenti:

Per un'attività locale, l'ambito è il dispositivo stesso.
Per un'attività di Administration Server, l'ambito è Administration Server.
Per un'attività di gruppo, l'ambito è l'elenco dei dispositivi inclusi nel gruppo.

Durante la creazione di un'attività globale, è possibile utilizzare i seguenti metodi per specificare l'ambito:

Specificare manualmente specifici dispositivi.
È possibile utilizzare un indirizzo IP (o un intervallo IP), un nome NetBIOS o un nome DNS come indirizzo del dispositivo.
Importare un elenco di dispositivi da un file TXT con gli indirizzi dei dispositivi da aggiungere (ogni indirizzo deve essere specificato su una riga distinta).
Se si importa un elenco di dispositivi da un file o se ne crea uno manualmente e i dispositivi vengono identificati con i rispettivi nomi, l'elenco deve contenere solo dispositivi per cui sono già state immesse le informazioni nel database di Administration Server. Inoltre, le informazioni devono essere state immesse al momento della connessione dei dispositivi o durante la device discovery.
Specificare una selezione dispositivi.
Nel corso del tempo, l'ambito un'attività si modifica, perché il set di dispositivi inclusi nella selezione cambia. Una selezione di dispositivi può essere creata sulla base degli attributi dei dispositivi, incluso il software installato in un dispositivo, e utilizzando i tag assegnati ai dispositivi. Una selezione dispositivi è il modo più flessibile per specificare l'ambito di un'attività.

Le attività per le selezioni dispositivi vengono sempre eseguite in base a una pianificazione da Administration Server. Queste attività non possono essere eseguite nei dispositivi che non dispongono di una connessione ad Administration Server. Le attività il cui ambito è specificato tramite altri metodi vengono eseguite direttamente nei dispositivi, pertanto non dipendono dalla connessione del dispositivo ad Administration Server.

Le attività per le selezioni dispositivi non vengono eseguite in base all'ora locale di un dispositivo, ma in base all'ora locale di Administration Server. Le attività il cui ambito è specificato tramite altri metodi vengono eseguite in base all'ora locale di un dispositivo.

Inizio pagina

[Topic 3316]

Relazioni tra impostazioni locali delle applicazioni e criteri

È possibile utilizzare i criteri per impostare valori identici delle impostazioni delle applicazioni per tutti i dispositivi nel gruppo.

I valori delle impostazioni specificati da un criterio possono essere ridefiniti per singoli dispositivi in un gruppo utilizzando le impostazioni locali delle applicazioni. È possibile impostare soltanto i valori delle impostazioni che il criterio consente di modificare, ovvero le impostazioni sbloccate.

Il valore di un'impostazione utilizzata da un'applicazione in un dispositivo client è determinato dalla posizione del lucchetto () per l'impostazione nel criterio:

Se la modifica di un'impostazione è bloccata, viene utilizzato lo stesso valore definito nel criterio in tutti i dispositivi client.
Se la modifica di un'impostazione è "sbloccata", l'applicazione utilizza in ogni dispositivo client il valore dell'impostazione locale invece di quello specificato nel criterio. Il valore del parametro può quindi essere modificato nelle impostazioni locali dell'applicazione.

In questo modo, quando l'attività viene eseguita in un dispositivo client, l'applicazione utilizza impostazioni definite in due modi diversi:

tramite le impostazioni delle attività e le impostazioni locali delle applicazioni, se la modifica dell'impostazione nel criterio non è bloccata.
tramite il criterio di gruppo, se la modifica dell'impostazione è bloccata.

Le impostazioni locali delle applicazioni vengono modificate dopo la prima applicazione del criterio in base alle relative impostazioni.

Vedere anche:

Regolazione di punti di distribuzione e gateway di connessione

Inizio pagina

[Topic 98876]

Punto di distribuzione

Per punto di distribuzione (prima noto come Update Agent) si intende un dispositivo in cui è installato Network Agent, utilizzato per la distribuzione degli aggiornamenti, l'installazione remota delle applicazioni e il recupero di informazioni sui dispositivi della rete. I punti di distribuzione accelerano la distribuzione degli aggiornamenti e riducono l'utilizzo di risorse di Administration Server.

Le funzionalità e i casi d'uso di Network Agent installato su un dispositivo utilizzato come punto di distribuzione variano a seconda del sistema operativo.

Un punto di distribuzione può eseguire le seguenti funzioni:

Distribuire i file ricevuti da Administration Server ai dispositivi client nel gruppo (inclusa la distribuzione mediante il multicasting tramite UDP).
L'elenco dei file che possono essere trasferiti dai punti di distribuzione include:
- Aggiornamenti dei moduli software e database Kaspersky
- Aggiornamenti software di terze parti
- Pacchetti di installazione
- Aggiornamenti di Windows quando si utilizza Administration Server come server WSUS
Gli aggiornamenti possono essere ricevuti da Administration Server o dai server di aggiornamento Kaspersky. Nel secondo caso è necessario creare un'attività di aggiornamento per il punto di distribuzione. I dispositivi dei punti di distribuzione che eseguono macOS non possono scaricare gli aggiornamenti dai server di aggiornamento Kaspersky.

Se uno o più dispositivi che eseguono macOS rientrano nell'ambito dell'attività Scarica aggiornamenti negli archivi dei punti di distribuzione, l'attività viene completata con lo stato Non riuscito, anche se è stata completata correttamente in tutti i dispositivi Windows.
Distribuire criteri e attività di gruppo attraverso il multicasting tramite UDP.
Operare come gateway per la connessione ad Administration Server per i dispositivi di un gruppo di amministrazione.
Se è impossibile stabilire una connessione diretta tra i dispositivi gestiti nel gruppo e Administration Server, il punto di distribuzione può essere utilizzato come gateway di connessione ad Administration Server per il gruppo. In questo caso, i dispositivi gestiti sono connessi al gateway di connessione, che a sua volta è connesso ad Administration Server.

La presenza di un punto di distribuzione che opera come gateway di connessione non esclude la possibilità di una connessione diretta tra i dispositivi gestiti e Administration Server. Se il gateway di connessione non è disponibile, ma è tecnicamente possibile la connessione diretta ad Administration Server, i dispositivi gestiti vengono connessi direttamente ad Administration Server.
Eseguire il polling della rete per rilevare nuovi dispositivi e aggiornare le informazioni sui dispositivi esistenti. Un punto di distribuzione può applicare gli stessi metodi di device discovery di Administration Server.
Eseguire l'installazione remota di software di terzi e applicazioni Kaspersky utilizzando gli strumenti del sistema operativo del punto di distribuzione. Si noti che il punto di distribuzione può eseguire l'installazione nei dispositivi client senza Network Agent.
Questa funzionalità consente di trasferire in remoto i pacchetti di installazione di Network Agent ai dispositivi client disponibili nelle reti a cui l'Administration Server non ha accesso diretto.
Fungere da server proxy che partecipa a Kaspersky Security Network (KSN).
È possibile abilitare il proxy KSN da parte del punto di distribuzione per fare in modo che il dispositivo abbia il ruolo di Proxy KSN. In questo caso, il servizio proxy KSN (ksnproxy) viene eseguito nel dispositivo.

I file vengono trasmessi da Administration Server a un punto di distribuzione tramite HTTP o, se la connessione SSL è abilitata, HTTPS. L'utilizzo di HTTP o HTTPS garantisce un livello di prestazioni superiore rispetto a SOAP, grazie alla riduzione del traffico.

Ai dispositivi in cui è installato Network Agent può essere assegnato il ruolo di punti di distribuzione manualmente (dall'amministratore) o automaticamente (da Administration Server). L'elenco completo dei punti di distribuzione per i gruppi di amministrazione specificati è visualizzato nel rapporto sull'elenco dei punti di distribuzione.

L'ambito di un punto di distribuzione è il gruppo di amministrazione a cui è stato assegnato dall'amministratore, nonché i relativi sottogruppi a tutti i livelli. Se sono stati assegnati più punti di distribuzione nella gerarchia dei gruppi di amministrazione, Network Agent nel dispositivo gestito si connette al punto di distribuzione più vicino nella gerarchia.

L'ambito dei punti di distribuzione può anche essere un percorso di rete. Il percorso di rete viene utilizzato per la creazione manuale di un set di dispositivi in cui il punto di distribuzione distribuirà gli aggiornamenti. È possibile determinare il percorso di rete solo per i dispositivi con sistema operativo Windows.

Se i punti di distribuzione sono assegnati automaticamente da Administration Server, vengono assegnati in base ai domini di trasmissione anziché in base ai gruppi di amministrazione. Questo si verifica quando tutti i domini di trasmissione sono noti. Network Agent scambia messaggi con altri Network Agent nella stessa subnet e invia ad Administration Server informazioni su se stesso e su altri Network Agent. Administration Server può utilizzare tali informazioni per raggruppare i Network Agent in base ai domini di trasmissione. I domini di trasmissione diventano noti ad Administration Server in seguito al polling di oltre il 70% dei Network Agent nei gruppi di amministrazione. Administration Server esegue il polling dei domini di trasmissione ogni due ore. In seguito all'assegnazione in base ai domini di trasmissione, i punti di distribuzione non possono essere riassegnati in base ai gruppi di amministrazione.

Se l'amministratore assegna manualmente i punti di distribuzione, questi possono essere assegnati a gruppi di amministrazione o posizioni di rete.

I Network Agent con un profilo di connessione attivo non partecipano al rilevamento dei domini di trasmissione.

Kaspersky Security Center assegna a ciascun Network Agent un indirizzo IP multicast univoco diverso da tutti gli altri indirizzi. Questo consente di evitare il sovraccarico della rete che potrebbe verificarsi a causa di sovrapposizioni IP.

Se due o più punti di distribuzione vengono assegnati in un'unica area di rete o in un singolo gruppo di amministrazione, uno di loro diventa il punto di distribuzione attivo, mentre gli altri diventano punti di distribuzione standby. Il punto di distribuzione attivo scarica gli aggiornamenti e i pacchetti di installazione direttamente da Administration Server, mentre i punti di distribuzione standby ricevono gli aggiornamenti solo dal punto di distribuzione attivo. In questo caso, i file vengono scaricati una sola volta da Administration Server e in seguito distribuiti tra i punti di distribuzione. Se il punto di distribuzione attivo diventa non disponibile per qualsiasi motivo, uno dei punti di distribuzione standby diventa attivo. Administration Server assegna automaticamente a un punto di distribuzione il ruolo di standby.

Lo stato di un punto di distribuzione (Attivo/Standby) è visualizzato con una casella di controllo nel rapporto di klnagchk.

Un punto di distribuzione richiede almeno 4 GB di spazio disponibile sul disco. Se lo spazio disponibile sul disco del punto di distribuzione è inferiore a 2 GB, Kaspersky Security Center crea un incidente con il livello di importanza Avviso. L'incidente sarà pubblicato nelle proprietà del dispositivo, nella sezione Incidenti.

L'esecuzione delle attività di installazione remota in un dispositivo assegnato come punto di distribuzione richiede ulteriore spazio libero su disco. Il volume di spazio disponibile sul disco deve essere superiore alle dimensioni totali di tutti i pacchetti di installazione da installare.

L'esecuzione di attività di aggiornamento (installazione delle patch) e di correzione vulnerabilità in un dispositivo con il ruolo di punto di distribuzione richiede ulteriore spazio libero su disco. Il volume di spazio disponibile sul disco deve essere almeno il doppio rispetto alle dimensioni totali di tutte le patch da installare.

I dispositivi che operano come punti di distribuzione devono essere protetti, anche da un punto di vista fisico, da qualsiasi accesso non autorizzato.

Vedere anche:

Scenario: Aggiornamento periodico di database e applicazioni Kaspersky

Inizio pagina

[Topic 204420]

Gateway di connessione

Un gateway di connessione è un Network Agent che funziona in modalità speciale. Un gateway di connessione accetta le connessioni da altri Network Agent e le trasmette ad Administration Server tramite la propria connessione con il server. A differenza di un normale Network Agent, un gateway di connessione attende le connessioni da Administration Server anziché stabilire connessioni ad Administration Server.

Un gateway di connessione può ricevere connessioni da un massimo di 10.000 dispositivi.

Sono disponibili due opzioni per utilizzare i gateway di connessione:

È consigliabile installare un gateway di connessione in una rete perimetrale. Per altri Network Agent installati in dispositivi fuori sede è necessario configurare appositamente una connessione ad Administration Server tramite il gateway di connessione.
Un gateway di connessione non modifica o elabora in alcun modo i dati trasmessi dai Network Agent ad Administration Server. Inoltre, non scrive questi dati in alcun buffer e non può quindi accettare dati da un Network Agent e in seguito inoltrarli ad Administration Server. Se Network Agent tenta di connettersi ad Administration Server tramite il gateway di connessione, ma il gateway di connessione non riesce a connettersi ad Administration Server, Network Agent percepisce Administration Server come inaccessibile. Tutti i dati rimangono in Network Agent (non nel gateway di connessione).

Un gateway di connessione non può connettersi ad Administration Server tramite un altro gateway di connessione. Network Agent non può quindi essere contemporaneamente un gateway di connessione e utilizzare un gateway di connessione per connettersi ad Administration Server.

Tutti i gateway di connessione sono inclusi nell'elenco dei punti di distribuzione nelle proprietà di Administration Server.
È inoltre possibile utilizzare gateway di connessione all'interno della rete. I punti di distribuzione assegnati automaticamente diventano ad esempio anche gateway di connessione nel proprio ambito. Tuttavia, all'interno di una rete interna, i gateway di connessione non offrono vantaggi considerevoli. Riducono il numero di connessioni di rete ricevute da Administration Server, ma non riducono il volume dei dati in entrata. Anche senza gateway di connessione tutti i dispositivi potrebbero comunque connettersi ad Administration Server.

Vedere anche:

Regolazione di punti di distribuzione e gateway di connessione

Informazioni sull'utilizzo di un punto di distribuzione come gateway di connessione

Inizio pagina

[Topic 4531]

Architettura

Questa sezione fornisce una descrizione dei componenti di Kaspersky Security Center e la relativa interazione.

Un amministratore può gestire Administration Server utilizzando Administration Console o Web Console.

Architettura di Kaspersky Security Center

Kaspersky Security Center include i seguenti componenti di base:

Administration Console (denominato anche console). Fornisce un'interfaccia utente per i servizi di amministrazione di Administration Server e Network Agent. Administration Console è implementato come uno snap-in di Microsoft Management Console (MMC). Administration Console consente una connessione remota ad Administration Server via Internet.
Kaspersky Security Center Web Console. Offre un'interfaccia Web per la creazione e la manutenzione del sistema di protezione di una rete di un'organizzazione client gestita tramite Kaspersky Security Center.
Kaspersky Security Center Administration Server (denominato anche Server). Centralizza l'archiviazione delle informazioni sulle applicazioni installate nella rete aziendale e sulla relativa gestione.
Server di aggiornamento Kaspersky. I server HTTP(S) di Kaspersky da cui le applicazioni Kaspersky scaricano gli aggiornamenti per i database e i moduli delle applicazioni.
Server KSN. Server che contengono un database Kaspersky con informazioni sempre aggiornate sulla reputazione di file, risorse Web e software. Kaspersky Security Network assicura una risposta più rapida da parte delle applicazioni Kaspersky alle minacce, migliora l'efficacia di alcuni componenti della protezione e riduce la probabilità di falsi positivi.
Dispositivi client. Dispositivi client dell'azienda protetti da Kaspersky Security Center. Ogni dispositivo che deve essere protetto deve avere una delle applicazioni di protezione Kaspersky installate.

Vedere anche:

Interazione dei componenti di Kaspersky Security Center e delle applicazioni di protezione: ulteriori informazioni

Inizio pagina

[Topic 153504]

Scenario di installazione principale

In base a questo scenario è possibile distribuire Administration Server, nonché installare Network Agent e le applicazioni di protezione nei dispositivi della rete. È possibile utilizzare questo scenario sia per un approfondimento sull'applicazione sia per l'installazione dell'applicazione per un ulteriore utilizzo.

L'installazione di Kaspersky Security Center consistono nei seguenti passaggi:

Operazioni preliminari
Installazione di Kaspersky Security Center e di un'applicazione di protezione Kaspersky nel dispositivo di Administration Server
Distribuzione centralizzata delle applicazioni di protezione Kaspersky nei dispositivi client

La distribuzione di Kaspersky Security Center negli ambienti cloud e la distribuzione di Kaspersky Security Center per i provider di servizi sono descritte in altre sezioni della Guida.

È consigliabile assegnare almeno un'ora per l'installazione di Administration Server e un minimo di un giorno lavorativo per il completamento dello scenario. È inoltre consigliabile installare un'applicazione di protezione, ad esempio Kaspersky Security for Windows Server o Kaspersky Endpoint Security, nel computer che opererà come Kaspersky Security Center Administration Server.

Al completamento dello scenario, la protezione verrà distribuita nella rete dell'organizzazione nel seguente modo:

Il DBMS verrà installato per l'Administration Server.
Kaspersky Security Center Administration Server verrà installato.
Tutte le attività e i criteri richiesti verranno creati e verranno specificate le impostazioni predefinite di criteri e attività.
Le applicazioni di protezione (ad esempio Kaspersky Endpoint Security for Windows) e Network Agent verranno installati nei dispositivi gestiti.
I gruppi di amministrazione verranno creati (possibilmente in combinazione con una gerarchia).
Se necessario, la protezione dei dispositivi mobili verrà distribuita.
Se necessario, i punti di distribuzione verranno assegnati.

L'installazione di Kaspersky Security Center comprende le seguenti fasi:

Operazioni preliminari

Acquisizione dei file necessari
Assicurarsi di disporre di una chiave di licenza (codice di attivazione) per Kaspersky Security Center o di chiavi di licenza (codici di attivazione) per le applicazioni di protezione Kaspersky.

Decomprimere l'archivio ricevuto dal produttore. Questo archivio contiene le chiavi di licenza (file chiave), i codici di attivazione e l'elenco delle applicazioni Kaspersky che possono essere attivate da ciascuna chiave di licenza.

Se si desidera provare prima Kaspersky Security Center è possibile ottenere una prova gratuita di 30 giorni nel sito Web di Kaspersky.

Per informazioni dettagliate sulle licenze delle applicazioni di protezione Kaspersky che non sono incluse in Kaspersky Security Center, fare riferimento alla documentazione di tali applicazioni.
Selezione di una struttura per la protezione di un'organizzazione
Ulteriori informazioni sui componenti di Kaspersky Security Center. Selezionare la struttura di protezione e la configurazione di rete più adatte all'organizzazione. In base alla configurazione di rete e al throughput dei canali di comunicazione, definire il numero di Administration Server da utilizzare e come devono essere distribuiti tra le varie sedi (se si esegue una rete distribuita).

Per ottenere e mantenere prestazioni ottimali in diverse condizioni operative, tenere conto del numero di dispositivi in rete, della topologia della rete e del set di funzionalità di Kaspersky Security Center richiesto (per informazioni dettagliate, consultare la Guida per il dimensionamento di Kaspersky Security Center).

Definire se utilizzare o meno una gerarchia di Administration Server nell'organizzazione. A tale scopo, è necessario valutare se è possibile e conveniente coprire tutti i dispositivi client con un singolo Administration Server o se è necessario creare una gerarchia di Administration Server. Può inoltre essere necessario creare una gerarchia di Administration Server che corrisponda perfettamente alla struttura organizzativa dell'organizzazione per cui si desidera proteggere la rete.

Se è necessario garantire la protezione dei dispositivi mobili, eseguire tutte le azioni preliminari necessarie per la configurazione di un server per dispositivi mobili Exchange e di un server per dispositivi mobili MDM iOS.

Verificare che i dispositivi selezionati come Administration server, nonché quelli per l'installazione di Administration Console, soddisfino tutti i requisiti hardware e software.
Preparazione per l'utilizzo dei certificati personalizzati
Se l'infrastruttura a chiave pubblica (PKI) dell'organizzazione richiede l'utilizzo di certificati personalizzati emessi da un'autorità di certificazione specifica, preparare tali certificati e assicurarsi che soddisfino tutti i requisiti.
Preparazione per la gestione delle licenze di Kaspersky Security Center
Se si prevede di utilizzare una versione di Kaspersky Security Center con il supporto per Mobile Device Management, Integrazione con i sistemi SIEM e/o Vulnerability e patch management, assicurarsi di disporre di un file chiave o di un codice di attivazione per la gestione delle licenze dell'applicazione.
Preparazione per la gestione delle licenze delle applicazioni di protezione gestite
Durante la distribuzione della protezione è necessario fornire a Kaspersky le chiavi di licenza attive per le applicazioni da gestire tramite Kaspersky Security Center (visualizzare l'elenco delle applicazioni di protezione gestibili). Per informazioni dettagliate sulla gestione delle licenze di una qualsiasi applicazione di protezione, è possibile fare riferimento alla documentazione di questa applicazione.
Selezione della configurazione hardware dell'Administration Server e del DBMS
Pianificare la configurazione hardware per il DBMS e Administration Server, tenendo conto del numero di dispositivi della rete.
Selezione di un DBMS
Durante la selezione di un DBMS, tenere conto del numero di dispositivi gestiti da coprire con questo Administration Server. Se la rete include meno di 10.000 dispositivi e non si prevede di incrementare questo numero, è possibile scegliere un DBMS gratuito, come SQL Express o MySQL, e installarlo nello stesso dispositivo di Administration Server. In alternativa, è possibile scegliere il DBMS MariaDB che consente di gestire fino a 20.000 dispositivi. Se la rete include più di 10.000 dispositivi (o se si prevede di espandere la rete fino a oltrepassare questo numero di dispositivi), è consigliabile scegliere un DBMS SQL a pagamento e installarlo in un dispositivo dedicato. Un DBMS a pagamento può essere utilizzato con più Administration Server, mentre un DBMS gratuito può supportarne uno solo.

Se si seleziona SQL Server DBMS, tenere presente che è possibile migrare i dati archiviati nel database nel DBMS di MySQL, MariaDB o Azure SQL. Per eseguire la migrazione, eseguire il backup dei dati e ripristinarli nel nuovo DBMS.
Installazione del DBMS e creazione del database
È possibile ottenere ulteriori informazioni sugli account per l'utilizzo con il DBMS e installare il DBMS.

Prima dell'installazione, scegliere un DBMS supportato. È possibile selezionare, ad esempio, PostgreSQL, Postgres Pro, Microsoft SQL Server, MySQL o MariaDB.

Per informazioni su come installare il DBMS selezionato, consultare la relativa documentazione.

Se si installa MariaDB, MySQL, PostgreSQL o PostgresPro, utilizzare le impostazioni consigliate per garantire il corretto funzionamento del DBMS.

Annotare e salvare le impostazioni del DBMS poiché saranno necessarie durante l'installazione di Administration Server. Queste impostazioni includono il nome SQL Server, il numero della porta utilizzata per la connessione a SQL Server, il nome dell'account e la password per l'accesso a SQL Server.

Se si decide di installare il DBMS di PostgreSQL o Postgres Pro, assicurarsi di aver specificato una password per il l'utente con privilegi avanzati. Se la password non viene specificata, Administration Server potrebbe non essere in grado di connettersi al database.

Per impostazione predefinita, il programma di installazione di Kaspersky Security Center crea il database per l'archiviazione delle informazioni di Administration Server, ma è possibile scegliere di non creare il database e utilizzare un database diverso. In questo caso verificare che il database sia stato creato, di conoscere il relativo nome e che l'account con cui Administration Server otterrà l'accesso a questo database disponga del ruolo db_owner attinente.

Se necessario, contattare l'amministratore del DBMS per ulteriori informazioni.
Configurazione delle porte
Verificare che tutte le porte necessarie siano aperte per l'interazione tra i componenti in base della struttura di protezione selezionata.

Se è necessario concedere ad Administration Server l'accesso a Internet, configurare le porte e specificare le impostazioni di connessione, a seconda della configurazione di rete.
Controllo degli account
Verificare di disporre di tutti i diritti di amministratore locale richiesti per l'installazione di Kaspersky Security Center Administration Server e per la conseguente distribuzione della protezione nei dispositivi. I diritti di amministratore locale nei dispositivi client sono richiesti per l'installazione di Network Agent in tali dispositivi. Dopo l'installazione di Network Agent, è possibile utilizzarlo per installare le applicazioni nei dispositivi in remoto, senza utilizzare l'account con i diritti di amministratore del dispositivo.

Per impostazione predefinita, nel dispositivo selezionato per l'installazione di Administration Server, il programma di installazione di Kaspersky Security Center crea tre account locali con cui verranno eseguiti Administration Server e i servizi di Administration Server:
- KL-AK-*: account del servizio di Administration Server
- NT Service/KSC*: account per altri servizi del pool di Administration Server
- KlPxeUser: account per la distribuzione dei sistemi operativi
È possibile scegliere di non creare account per i servizi di Administration Server e altri servizi. È possibile utilizzare gli account esistenti, ad esempio account di dominio, se si intende installare Administration Server in un cluster di failover o se per qualche motivo si intende utilizzare gli account di dominio anziché gli account locali. In questo caso, assicurarsi che gli account destinati all'esecuzione di Administration Server e dei servizi di Kaspersky Security Center siano stati creati, siano privi di privilegi e dispongano di tutte le autorizzazioni necessarie per l'accesso al DBMS. Se si pianifica una distribuzione successiva dei sistemi operativi nei dispositivi tramite Kaspersky Security Center, non rinunciare alla creazione degli account.

Installazione di Kaspersky Security Center e di un'applicazione di protezione Kaspersky nel dispositivo di Administration Server

Installazione di Administration Server, Administration Console, Kaspersky Security Center Web Console e plug-in di gestione per le applicazioni di protezione
Scaricare Kaspersky Security Center dal sito Web Kaspersky. È possibile scaricare il pacchetto completo, solo Web Console o solo Administration Console.

Installare Administration Server nel dispositivo selezionato (o più dispositivi se è necessario utilizzare più Administration Server). È possibile selezionare l'installazione standard o personalizzata di Administration Server. Administration Console verrà installato insieme ad Administration Server. È consigliabile installare Administration Server in un server dedicato anziché in un controller di dominio.

L'installazione standard è consigliabile se si desidera provare a utilizzare Kaspersky Security Center, ad esempio verificandone il funzionamento in un'area delimitata all'interno della rete. Durante l'installazione standard, è possibile esclusivamente configurare il database. È inoltre possibile installare solo il set predefinito di plug-in di gestione delle applicazioni Kaspersky. È inoltre possibile utilizzare l'installazione standard se si dispone già di una certa esperienza nell'utilizzo di Kaspersky Security Center in modo da poter specificare tutte le impostazioni pertinenti dopo l'installazione standard.

L'installazione personalizzata è consigliabile se si intende modificare le impostazioni di Kaspersky Security Center, ad esempio il percorso della cartella condivisa, gli account e le porte per la connessione ad Administration Server, nonché le impostazioni del database. L'installazione personalizzata consente di specificare quali plug-in di gestione di Kaspersky installare. Se necessario, è possibile avviare l'installazione personalizzata in modalità automatica.

Administration Console e la versione del server di Network Agent vengono installate insieme ad Administration Server. È anche possibile scegliere di installare Kaspersky Security Center Web Console durante l'installazione.

Se si desidera, è possibile installare Administration Console e/o Kaspersky Security Center Web Console nella workstation dell'amministratore separatamente per gestire Administration Server dalla rete.
Configurazione iniziale e licensing
Quando l'installazione di Administration Server è completa, alla prima connessione ad Administration Server viene avviato automaticamente l'Avvio rapido guidato. Eseguire la configurazione iniziale di Administration Server in base ai requisiti esistenti. Durante la fase di configurazione iniziale, la procedura guidata utilizza le impostazioni predefinite per creare i criteri e le attività necessari per la distribuzione della protezione. Le impostazioni predefinite potrebbero tuttavia non essere ottimali per le esigenze dell'organizzazione. Se necessario, è possibile modificare le impostazioni di criteri e attività (Configurazione della protezione nella rete di un'organizzazione client, Scenario: Configurazione della protezione di rete).

Se si prevede di utilizzare funzionalità esterne alla funzionalità di base, concedere la licenza all'applicazione. È possibile eseguire questa operazione in uno dei passaggi dell'Avvio rapido guidato.
Controllo della corretta installazione di Administration Server
Quando tutti i passaggi precedenti sono completi, Administration Server viene installato ed è pronto all'uso.

Accertarsi che Administration Console funzioni e che sia possibile connettersi ad Administration Server tramite Administration Console. Verificare inoltre che in Administration Server sia disponibile l'attività Scarica gli aggiornamenti nell'archivio dell'Administration Server (nella cartella Attività della struttura della console), nonché il criterio per Kaspersky Endpoint Security (nella cartella Criteri della struttura della console).

Dopo aver completato la verifica, procedere come segue.

Distribuzione centralizzata delle applicazioni di protezione Kaspersky nei dispositivi client

Individuazione dei dispositivi nella rete
Questo passaggio fa parte dell'Avvio rapido guidato. È inoltre possibile avviare manualmente la device discovery. Kaspersky Security Center riceve gli indirizzi e i nomi di tutti i dispositivi rilevati nella rete. È quindi possibile utilizzare Kaspersky Security Center per installare le applicazioni Kaspersky e software di altri produttori nei dispositivi rilevati. Kaspersky Security Center avvia periodicamente la device discovery, pertanto eventuali nuove istanze che compaiono nella rete verranno rilevate automaticamente.
Installazione di Network Agent e di applicazioni di protezione nei dispositivi in rete
La distribuzione della protezione (Configurazione della protezione nella rete di un'organizzazione client, Scenario: Configurazione della protezione di rete) della rete di un'organizzazione implica l'installazione di Network Agent e delle applicazioni di protezione (ad esempio Kaspersky Endpoint Security) nei dispositivi rilevati da Administration Server durante la device discovery.

Le applicazioni di protezione proteggono i dispositivi da virus e/o da altri programmi che costituiscono una minaccia. Network Agent garantisce la comunicazione tra il dispositivo e Administration Server. Le impostazioni di Network Agent vengono configurate automaticamente per impostazione predefinita.

È possibile installare Network Agent in modalità automatica con un file di risposta o senza un file di risposta.

Prima di iniziare a installare Network Agent e le applicazioni di protezione nei dispositivi nella rete, verificare che questi dispositivi siano accessibili (e quindi attivati). È possibile installare Network Agent in macchine virtuali e in dispositivi fisici.

Le applicazioni di protezione e Network Agent possono essere installati in locale o in remoto.

Installazione remota: utilizzando la Distribuzione guidata della protezione, è possibile installare in remoto l'applicazione di protezione (ad esempio Kaspersky Endpoint Security for Windows) e Network Agent nei dispositivi rilevati da Administration Server nella rete dell'organizzazione. In genere, l'attività Installazione remota distribuisce correttamente la protezione nella maggior parte dei dispositivi in rete. Tuttavia, l'attività può restituire un errore in alcuni dispositivi se, ad esempio, un dispositivo è spento o non è accessibile per qualche motivo. In tal caso, è consigliabile connettersi al dispositivo manualmente e utilizzare l'installazione locale.

L'installazione locale—Viene utilizzata nei dispositivi di rete in cui non è stato possibile distribuire la protezione tramite un'attività di installazione remota. Per installare la protezione in tali dispositivi, creare un pacchetto di installazione indipendente da eseguire localmente in tali dispositivi.

L'installazione di Network Agent nei dispositivi che eseguono sistemi operativi Linux e macOS è descritta nella documentazione per Kaspersky Endpoint Security for Linux e Kaspersky Endpoint Security for Mac, rispettivamente. Sebbene i dispositivi con sistemi operativi Linux e macOS siano considerati meno vulnerabili rispetto ai dispositivi che eseguono Windows, è comunque consigliabile installare applicazioni di protezione in tali dispositivi.

Dopo l'installazione, accertarsi che l'applicazione di protezione sia installata nei dispositivi gestiti. Eseguire un rapporto sulla versione del software Kaspersky e visualizzarne i risultati.
Distribuzione delle chiavi di licenza ai dispositivi client
Distribuire le chiavi di licenza ai dispositivi client per attivare applicazioni di protezione gestite in tali dispositivi.
Configurazione della protezione dei dispositivi mobili
Questo passaggio fa parte dell'Avvio rapido guidato.

Se si desidera gestire i dispositivi mobili aziendali, eseguire i passaggi necessari per la preparazione e la distribuzione di Mobile Device Management.
Creazione di una struttura di gruppi di amministrazione
In alcuni casi, la distribuzione della protezione nei dispositivi della rete nel modo più immediato può richiedere la suddivisione dell'intero pool di dispositivi in gruppi di amministrazione, tenendo conto della struttura dell'organizzazione. È possibile creare regole di spostamento al fine di distribuire i dispositivi tra i gruppi oppure distribuire manualmente i dispositivi. È possibile assegnare attività di gruppo per i gruppi di amministrazione, definire l'ambito dei criteri e assegnare i punti di distribuzione.

Verificare che tutti i dispositivi gestiti siano stati assegnati correttamente ai gruppi di amministrazione appropriati e che non siano più presenti dispositivi non assegnati nella rete.
Assegnazione dei punti di distribuzione
Kaspersky Security Center assegna automaticamente i punti di distribuzione ai gruppi di amministrazione ma è possibile assegnarli manualmente, se necessario. È consigliabile utilizzare i punti di distribuzione nelle reti su vasta scala per ridurre il carico su Administration Server e nelle reti con una struttura distribuita per consentire ad Administration Server di accedere ai dispositivi (o ai gruppi di dispositivi) tramite canali a basso throughput. È possibile utilizzare dispositivi che eseguono Linux come punti di distribuzione, nonché dispositivi che eseguono Windows.

Vedere anche:

Concetti di base

Schemi per traffico dati e utilizzo delle porte

Interazione dei componenti di Kaspersky Security Center e delle applicazioni di protezione: ulteriori informazioni

Architettura

Concessione dell'accesso via Internet all'Administration Server

Diritti richiesti per la distribuzione di un server per dispositivi mobili Exchange

Come distribuire un server per dispositivi mobili Exchange

Account per il servizio Exchange ActiveSync

Server per dispositivi mobili MDM iOS

Stabilire una connessione in background

Inizio pagina

[Topic 158830]

Porte utilizzate da Kaspersky Security Center

Le tabelle seguenti mostrano le porte predefinite utilizzate dagli Administration Server e dai dispositivi client. È possibile modificare i numeri di porta predefiniti.

Se si installa Administration Server e il database in diversi dispositivi, è necessario rendere disponibili le porte necessarie nel dispositivo in cui si trova il database (ad esempio la porta 3306 per il server MySQL, la porta 1433 per Microsoft SQL Server o la porta 5432 per PostgreSQL e Postgres Pro). Fare riferimento alla documentazione DBMS per le informazioni attinenti.

Porte utilizzate dall'Administration Server

Numero di porta	Nome del processo che apre la porta	Protocollo	Ambito della porta	Ambito
8060	klcsweb	TCP	Trasmissione dei pacchetti di installazione pubblicati ai dispositivi client	Pubblicazione dei pacchetti di installazione. È possibile modificare il numero di porta predefinito nella sezione Server Web della finestra delle proprietà di Administration Server in Administration Console o in Kaspersky Security Center Web Console. Questa porta è facoltativa. Per motivi di sicurezza, si consiglia di utilizzare la porta TCP 8061.
8061	klcsweb	TCP (TLS)	Trasmissione dei pacchetti di installazione pubblicati ai dispositivi client	Pubblicazione dei pacchetti di installazione. È possibile modificare il numero di porta predefinito nella sezione Server Web della finestra delle proprietà di Administration Server in Administration Console o in Kaspersky Security Center Web Console.
13000	klserver	TCP (TLS)	Ricezione delle connessioni dai Network Agent e dagli Administration Server secondari; utilizzata anche negli Administration Server secondari per la ricezione delle connessioni dall'Administration Server primario (ad esempio, se l'Administration Server secondario è nella rete perimetrale)	Gestione dei dispositivi client e degli Administration Server secondari. È possibile modificare il numero di porta predefinito per la ricezione delle connessioni dai Network Agent durante la configurazione delle porte di connessione; è possibile modificare il numero di porta predefinito per la ricezione delle connessioni dagli Administration Server secondari durante la creazione di una gerarchia di Administration Server in Administration Console o in Kaspersky Security Center Web Console.
13000	klserver	UDP	Ricezione di informazioni sui dispositivi che sono stati spenti dai Network Agent	Gestione dei dispositivi client. È possibile modificare il numero di porta predefinito nelle impostazioni del criterio di Network Agent in Administration Console o in Kaspersky Security Center Web Console.
13291	klserver	TCP (TLS)	Ricezione delle connessioni da Administration Console ad Administration Server	Gestione di Administration Server. È possibile modificare il numero di porta predefinito nella finestra delle proprietà di Administration Server in Administration Console.
13299	klserver	TCP (TLS)	Ricezione delle connessioni da Kaspersky Security Center Web Console ad Administration Server; ricezione delle connessioni ad Administration Server tramite OpenAPI	Kaspersky Security Center Web Console, OpenAPI. È possibile modificare il numero di porta predefinito nella finestra delle proprietà di Administration Server (nella sottosezione Porte di connessione della sezione Generale) in Administration Console o durante la creazione di una gerarchia di Administration Server in Administration Console o in Kaspersky Security Center Web Console.
14000	klserver	TCP	Ricezione delle connessioni dai Network Agent	Gestione dei dispositivi client. È possibile modificare il numero di porta predefinito durante la configurazione delle porte di connessione nel corso dell'installazione di Kaspersky Security Center o durante la connessione manuale di un dispositivo client ad Administration Server. Questa porta è facoltativa. Per motivi di sicurezza, si consiglia di utilizzare la porta TCP 1300.
13111 (solo se il servizio proxy KSN è in esecuzione nel dispositivo)	ksnproxy	TCP	Ricezione delle richieste dai dispositivi gestiti al server proxy KSN	Server proxy KSN. È possibile modificare il numero di porta predefinito nella finestra delle proprietà di Administration Server.
15111 (solo se il servizio proxy KSN è in esecuzione nel dispositivo)	ksnproxy	UDP	Ricezione delle richieste dai dispositivi gestiti al server proxy KSN	Server proxy KSN. È possibile modificare il numero di porta predefinito nella finestra delle proprietà di Administration Server.
17000	klactprx	TCP (TLS)	Ricezione delle connessioni per l'attivazione dell’applicazione dai dispositivi gestiti (ad eccezione dei dispositivi mobili)	Server proxy di attivazione utilizzato da dispositivi non mobili per attivare le applicazioni Kaspersky con codici di attivazione. È possibile modificare il numero di porta predefinito nella finestra delle proprietà di Administration Server.
17100 (solo se si gestiscono dispositivi mobili)	klactprx	TCP (TLS)	Ricezione delle connessioni per l'attivazione dell'applicazione dai dispositivi mobili	Server proxy di attivazione per i dispositivi mobili. È possibile modificare il numero di porta predefinito nella finestra delle proprietà di Administration Server.
19170	klserver	HTTPS (TLS)	Tunneling delle connessioni ai dispositivi gestiti tramite l'utilità klsctunnel	Connessione remota ai dispositivi gestiti tramite Kaspersky Security Center Web Console. È possibile modificare il numero di porta predefinito nella finestra delle proprietà di Administration Server (nella sottosezione Porte aggiuntive della sezione Generale) solo in Administration Console.
13292 (solo se si gestiscono dispositivi mobili)	klserver	TCP (TLS)	Ricezione delle connessioni dai dispositivi mobili	Mobile Device Management. È possibile modificare il numero di porta predefinito nella finestra delle proprietà di Administration Server in Administration Console o in Kaspersky Security Center Web Console.
13294 (solo se si gestiscono dispositivi mobili)	klserver	TCP (TLS)	Ricezione delle connessioni dai dispositivi di protezione UEFI	Gestione dei dispositivi client di protezione UEFI. È possibile modificare il numero di porta predefinito durante la connessione dei dispositivi mobili o in un secondo momento nella finestra delle proprietà di Administration Server (nella sottosezione Porte aggiuntive della sezione Generale) in Administration Console o in Kaspersky Security Center Web Console.
13296	klserver	TCP (TLS)	Pubblicazione delle metriche di Kaspersky Security Center per Prometheus	Pubblicazione delle metriche di Kaspersky Security Center che saranno ulteriormente ottenute da Prometheus. È possibile visualizzare le metriche tramite il seguente collegamento: https://< `indirizzo_server`>:13296/metrics. In <`indirizzo_server`>, specificare l'indirizzo IP o il nome di dominio dell'Administration Server. È possibile modificare il numero di porta predefinito nella finestra delle proprietà di Administration Server in Administration Console.
30522, 30523 (porte sull'interfaccia localhost)	klnagent	TCP	Ricezione degli aggiornamenti delle applicazioni Kaspersky da Administration Server tramite il componente FileTransferBridge	Il dispositivo Administration Server che riceve gli aggiornamenti delle applicazioni Kaspersky.

La tabella seguente mostra la porta utilizzata dal server per dispositivi mobili MDM iOS (solo se si gestiscono dispositivi mobili).

Porta utilizzata dal server per dispositivi mobili MDM iOS di Kaspersky Security Center

Numero di porta	Nome del processo che apre la porta	Protocollo	Ambito della porta	Ambito
443	kliosmdmservicesrv	TCP (TLS)	Ricezione delle connessioni dai dispositivi mobili iOS	Mobile Device Management. È possibile modificare il numero di porta predefinito durante l'installazione del server per dispositivi mobili MDM iOS.

Numero di porta

Nome del processo che apre la porta

Protocollo

Ambito della porta

Ambito

443

kliosmdmservicesrv

TCP (TLS)

Ricezione delle connessioni dai dispositivi mobili iOS

Mobile Device Management.

È possibile modificare il numero di porta predefinito durante l'installazione del server per dispositivi mobili MDM iOS.

Nella tabella seguente viene mostrata la porta utilizzata dal server Kaspersky Security Center Web Console. Può trattarsi dello stesso dispositivo in cui è installato Administration Server o di un dispositivo diverso.

Porta utilizzata da Kaspersky Security Center Web Console Server

Numero di porta	Nome del processo che apre la porta	Protocollo	Ambito della porta	Ambito
8080	Node.js: Server-side JavaScript	TCP (TLS)	Ricezione delle connessioni dal browser a Kaspersky Security Center Web Console	Kaspersky Security Center Web Console. È possibile modificare il numero di porta predefinito durante l'installazione di Kaspersky Security Center Web Console in un dispositivo che esegue Windows o su una piattaforma Linux. Se si installa Kaspersky Security Center Web Console nel sistema operativo Linux ALT, è necessario specificare un numero di porta diverso da 8080, poiché la porta 8080 è utilizzata dal sistema operativo.

Numero di porta

Nome del processo che apre la porta

Protocollo

Ambito della porta

Ambito

8080

Node.js: Server-side JavaScript

TCP (TLS)

Ricezione delle connessioni dal browser a Kaspersky Security Center Web Console

Kaspersky Security Center Web Console.

È possibile modificare il numero di porta predefinito durante l'installazione di Kaspersky Security Center Web Console in un dispositivo che esegue Windows o su una piattaforma Linux. Se si installa Kaspersky Security Center Web Console nel sistema operativo Linux ALT, è necessario specificare un numero di porta diverso da 8080, poiché la porta 8080 è utilizzata dal sistema operativo.

La tabella seguente mostra la porta utilizzata dai dispositivi gestiti in cui è installato Network Agent.

Porte utilizzate da Network Agent

Numero di porta	Nome del processo che apre la porta	Protocollo	Ambito della porta	Ambito
15000	klnagent	UDP	Segnali di gestione da Administration Server o dal punto di distribuzione ai Network Agent	Gestione dei dispositivi client. È possibile modificare il numero di porta predefinito nelle impostazioni del criterio di Network Agent in Administration Console o in Kaspersky Security Center Web Console.
15000	klnagent	Trasmissione UDP	Ottenimento dei dati su altri Network Agent all'interno dello stesso dominio di trasmissione (i dati vengono quindi inviati ad Administration Server)	Distribuzione degli aggiornamenti e dei pacchetti di installazione.
15001	klnagent	UDP	Ricezione di richieste multicast da un punto di distribuzione (se in uso)	Ricezione di aggiornamenti e pacchetti di installazione da un punto di distribuzione. È possibile modificare il numero di porta predefinito nella finestra delle proprietà del punto di distribuzione in Administration Console o in Kaspersky Security Center Web Console.
30522, 30523 (porte sull'interfaccia localhost)	klnagent	TCP	Ricezione degli aggiornamenti delle applicazioni Kaspersky da Administration Server tramite il componente FileTransferBridge	Dispositivi gestiti che ricevono gli aggiornamenti delle applicazioni Kaspersky dall'Administration Server specificato come sorgente degli aggiornamenti del database.
161	klnagent	SNMP	Monitoraggio e rilevamento dei dispositivi in rete.	Rilevabilità dei dispositivi.

Si noti che il processo klnagent può anche richiedere porte libere dall'intervallo di porte dinamiche del sistema operativo di un endpoint. Queste porte vengono assegnate automaticamente al processo klnagent dal sistema operativo, quindi il processo klnagent può utilizzare alcune porte usate da un altro software. Se il processo klnagent influisce sulle operazioni del software, modificare le impostazioni delle porte in questo software o modificare l'intervallo di porte dinamiche predefinito nel sistema operativo per escludere la porta utilizzata dal software interessato.

Tenere inoltre presente che i suggerimenti sulla compatibilità di Kaspersky Security Center con il software di terze parti sono descritti solo come riferimento e potrebbero non essere applicabili alle nuove versioni del software di terze parti. I suggerimenti descritti per la configurazione delle porte si basano sull'esperienza dell'Assistenza tecnica e sulle nostre best practice.

La tabella seguente mostra le porte utilizzato da un dispositivo gestito in cui è installato Network Agent con il ruolo di punto di distribuzione. Oltre alle porte utilizzate dai Network Agent, anche le porte elencate sono utilizzate dai dispositivi del punto di distribuzione (vedere la tabella sopra).

Porte utilizzate da Network Agent con il ruolo di punto di distribuzione

Numero di porta	Nome del processo che apre la porta	Protocollo	Ambito della porta	Ambito
13000	klnagent	TCP (TLS)	Ricezione di connessioni dai Network Agent e da Kaspersky Security Center quando il punto di distribuzione funge da gateway di connessione nella rete perimetrale. Se un dispositivo con Administration Server installato è specificato come punto di distribuzione, per impostazione predefinita viene utilizzata la porta 13001 per la connessione SSL anziché 13000.	Gestione dei dispositivi client, distribuzione degli aggiornamenti e dei pacchetti di installazione. Per informazioni dettagliate, vedere il seguente argomento: Administration Server, un gateway di connessione in un segmento di rete e un dispositivo client. È possibile modificare il numero di porta predefinito nella finestra delle proprietà del punto di distribuzione in Administration Console o in Kaspersky Security Center Web Console.
13111 (solo se il servizio proxy KSN è in esecuzione nel dispositivo)	ksnproxy	TCP	Ricezione delle richieste dai dispositivi gestiti al server proxy KSN	Server proxy KSN. È possibile modificare il numero di porta predefinito nella finestra delle proprietà del punto di distribuzione in Administration Console o in Kaspersky Security Center Web Console.
15111 (solo se il servizio proxy KSN è in esecuzione nel dispositivo)	ksnproxy	UDP	Ricezione delle richieste dai dispositivi gestiti al server proxy KSN	Server proxy KSN. È possibile modificare il numero di porta predefinito nella finestra delle proprietà del punto di distribuzione in Administration Console o in Kaspersky Security Center Web Console.
17111 (solo se il servizio proxy KSN è in esecuzione nel dispositivo)	ksnproxy	HTTPS	Ricezione delle richieste dai dispositivi gestiti al server proxy KSN	Server proxy KSN. È possibile modificare il numero di porta predefinito nella finestra delle proprietà del punto di distribuzione in Administration Console o in Kaspersky Security Center Web Console.
13295 (solo se si utilizza il punto di distribuzione come server push)	klnagent	TCP (TLS)	Ricezione delle connessioni dai dispositivi client	Server push. È possibile modificare il numero di porta predefinito nella finestra delle proprietà del punto di distribuzione in Administration Console o in Kaspersky Security Center Web Console.

Vedere anche:

Interazione dei componenti di Kaspersky Security Center e delle applicazioni di protezione: ulteriori informazioni

Porte utilizzate da Kaspersky Security Center Web Console

Scenario: Distribuzione di Mobile Device Management

Inizio pagina

[Topic 232137]

Certificati per l'utilizzo di Kaspersky Security Center

Questa sezione contiene le informazioni sui certificati Kaspersky Security Center e descrive come emettere un certificato personalizzato per Administration Server.

In questa sezione

Informazioni sui certificati di Kaspersky Security Center

Informazioni sul certificato di Administration Server

Requisiti per i certificati personalizzati utilizzati in Kaspersky Security Center

Scenario: Specificazione del certificato di Administration Server personalizzato

Sostituzione del certificato di Administration Server con l'utilità klsetsrvcert

Connessione dei Network Agent ad Administration Server con l'utilità klmover

Riemissione del certificato del server Web

Inizio pagina

[Topic 206479]

Informazioni sui certificati di Kaspersky Security Center

Kaspersky Security Center utilizza i seguenti tipi di certificati per consentire un'interazione sicura tra i componenti dell'applicazione:

Certificato di Administration Server
Certificato mobile
Certificato del server per dispositivi mobili MDM iOS
Certificato del server Web di Kaspersky Security Center
Certificato di Kaspersky Security Center Web Console

Per impostazione predefinita, Kaspersky Security Center utilizza certificati autofirmati (ovvero emessi da Kaspersky Security Center stesso), ma è possibile sostituirli con certificati personalizzati per soddisfare al meglio i requisiti della rete dell'organizzazione e rispettare gli standard di sicurezza. Quando Administration Server verifica che un certificato personalizzato soddisfa tutti i requisiti applicabili, il certificato assume lo stesso ambito funzionale di un certificato autofirmato. L'unica differenza è che un certificato personalizzato non viene riemesso automaticamente alla scadenza. È possibile sostituire i certificati con quelli personalizzati tramite l'utilità klsetsrvcert o la sezione delle proprietà di Administration Server in Administration Console, a seconda del tipo di certificato. Quando si utilizza l'utilità klsetsrvcert, è necessario specificare un tipo di certificato utilizzando uno dei seguenti valori:

C: certificato comune per le porte 13000 e 13291.
CR: certificato di riserva comune per le porte 13000 e 13291.
M: certificato mobile per la porta 13292.
MR: certificato di riserva mobile per la porta 13292.
MCA: autorità di certificazione mobile per certificati utente generati automaticamente.

Non è necessario scaricare l'utilità klsetsrvcert. È inclusa nel kit di distribuzione di Kaspersky Security Center. L'utilità non è compatibile con le versioni precedenti di Kaspersky Security Center.

Il periodo di validità massimo di qualsiasi certificato di Administration Server non deve superare i 397 giorni.

Certificati di Administration Server

È necessario un certificato di Administration Server per l'autenticazione di Administration Server, nonché per l'interazione sicura tra Administration Server e Network Agent nei dispositivi gestiti o tra l'Administration Server primario e gli Administration Server secondari. Quando si connette Administration Console ad Administration Server per la prima volta, viene richiesto di confermare l'utilizzo del certificato di Administration Server corrente. Tale conferma è richiesta anche ogni volta che il certificato di Administration Server viene sostituito, dopo ogni reinstallazione di Administration Server e quando si collega un Administration Server secondario all'Administration Server primario. Questo certificato è denominato comune ("C").

Il certificato comune ("C") viene creato automaticamente durante l'installazione del componente Administration Server. Il certificato si compone di due parti:

file klserver.cer; per impostazione predefinita, si trova nel dispositivo in cui è installato il componente Administration Server nella cartella C:\ProgramData\KasperskyLab\adminkit\1093\cert.
Chiave segreta situata nell'archivio protetto di Windows.

Esiste inoltre un certificato di riserva comune ("CR"). Kaspersky Security Center genera automaticamente questo certificato 90 giorni prima della scadenza del certificato comune. Il certificato di riserva comune viene successivamente utilizzato per la sostituzione immediata del certificato di Administration Server. Quando il certificato comune sta per scadere, il certificato di riserva comune viene utilizzato per gestire la connessione con le istanze di Network Agent installate nei dispositivi gestiti. A tale scopo, il certificato di riserva comune diventa automaticamente il nuovo certificato comune 24 ore prima della scadenza del certificato comune precedente.

È inoltre possibile eseguire il backup del certificato di Administration Server separatamente dalle altre impostazioni di Administration Server per spostare Administration Server da un dispositivo all'altro senza perdite di dati.

Certificati mobili

Per l'autenticazione di Administration Server nei dispositivi mobili è richiesto un certificato mobile ("M"). L'utilizzo del certificato mobile viene configurato nel passaggio dedicato dell'Avvio rapido guidato.

Esiste inoltre un certificato di riserva mobile ("MR"): viene utilizzato per la sostituzione immediata del certificato mobile. Quando il certificato mobile sta per scadere, il certificato di riserva mobile viene utilizzato per gestire la connessione con le istanze di Network Agent installate nei dispositivi mobili gestiti. A tale scopo, il certificato di riserva mobile diventa automaticamente il nuovo certificato mobile 24 ore prima della scadenza del certificato mobile precedente.

La riemissione automatica dei certificati mobili non è supportata. Si consiglia di specificare un nuovo certificato mobile quando quello esistente sta per scadere. Se il certificato mobile scade e il certificato di riserva mobile non è specificato, la connessione tra le istanze di Administration Server e Network Agent installate nei dispositivi mobili gestiti andrà persa. In questo caso, per riconnettere i dispositivi mobili gestiti, è necessario specificare un nuovo certificato mobile e reinstallare Kaspersky Security for Mobile in ciascun dispositivo mobile gestito.

Se lo scenario di connessione richiede l'utilizzo di un certificato client nei dispositivi mobili (connessione che implica l'autenticazione SSL bidirezionale), è necessario generare tali certificati tramite l'autorità di certificazione per i certificati utente generati automaticamente ("MCA"). L'Avvio rapido guidato consente inoltre di iniziare a utilizzare certificati client personalizzati emessi da un'autorità di certificazione diversa, mentre l'integrazione con l'infrastruttura a chiave pubblica (PKI) del dominio dell'organizzazione consente di emettere certificati client tramite l'autorità di certificazione del dominio.

Certificato del server per dispositivi mobili MDM iOS

È necessario un certificato del server per dispositivi mobili MDM iOS per l'autenticazione di Administration Server nei dispositivi mobili che eseguono il sistema operativo iOS. L'interazione con questi dispositivi viene eseguita tramite il protocollo MDM (Mobile Device Management) di Apple che non coinvolge Network Agent. È invece necessario installare uno speciale profilo MDM iOS contenente un certificato client in ogni dispositivo, per garantire l'autenticazione SSL bidirezionale.

L'Avvio rapido guidato consente inoltre di iniziare a utilizzare certificati client personalizzati emessi da un'autorità di certificazione diversa, mentre l'integrazione con l'infrastruttura a chiave pubblica (PKI) del dominio dell'organizzazione consente di emettere certificati client tramite l'autorità di certificazione del dominio.

I certificati client vengono trasmessi ai dispositivi iOS quando si scaricano i profili MDM iOS. Un certificato client del server per dispositivi mobili MDM iOS è univoco per ogni dispositivo iOS gestito. Tutti i certificati client del server per dispositivi mobili MDM iOS vengono generati tramite l'autorità di certificazione per i certificati utente generati automaticamente ("MCA").

Certificato del server Web di Kaspersky Security Center

Server Web di Kaspersky Security Center (di seguito denominato server Web), un componente di Kaspersky Security Center Administration Server, utilizza un tipo speciale di certificato. Questo certificato è necessario per pubblicare i pacchetti di installazione di Network Agent scaricati successivamente nei dispositivi gestiti, nonché per pubblicare profili MDM iOS, app iOS e pacchetti di installazione di Kaspersky Security for Mobile. A tale scopo, Server Web può utilizzare diversi certificati.

Se il supporto dei dispositivi mobili è disabilitato, Server Web utilizza uno dei seguenti certificati, in ordine di priorità:

Certificato Server Web personalizzato specificato manualmente tramite Administration Console
Certificato di Administration Server comune ("C")

Se il supporto dei dispositivi mobili è abilitato, Server Web utilizza uno dei seguenti certificati, in ordine di priorità:

Certificato Server Web personalizzato specificato manualmente tramite Administration Console
Certificato mobile personalizzato
Certificato mobile autofirmato ("M")
Certificato di Administration Server comune ("C")

Certificato di Kaspersky Security Center Web Console

Il server di Kaspersky Security Center Web Console (di seguito denominato Web Console) dispone di un proprio certificato. Quando si apre un sito Web, un browser verifica se la connessione è attendibile. Il certificato di Web Console consente di autenticare Web Console e viene utilizzato per criptare il traffico tra un browser e Web Console.

Quando si apre Web Console, il browser potrebbe informare che la connessione a Web Console non è privata e il certificato Web Console non è valido. Questo avviso viene visualizzato perché il certificato di Web Console è autofirmato e generato automaticamente da Kaspersky Security Center. Per rimuovere questo avviso è possibile eseguire una delle seguenti operazioni:

Sostituire il certificato di Web Console con uno personalizzato (opzione consigliata). Creare un certificato attendibile nella propria infrastruttura e che soddisfi i requisiti per i certificati personalizzati.
Aggiungere il certificato di Web Console all'elenco dei certificati del browser attendibili. È consigliabile utilizzare questa opzione solo se non è possibile creare un certificato personalizzato.

Vedere anche:

Requisiti per i certificati personalizzati utilizzati in Kaspersky Security Center

Scenario: Specificazione del certificato di Administration Server personalizzato

Autenticazione di Administration Server durante la connessione di Administration Console

Gerarchia di Administration Server: Administration Server primario e Administration Server secondario

Backup e ripristino dei dati in modalità interattiva

Utilizzo dei certificati dei dispositivi mobili

Avvio rapido guidato di Administration Server

Aggiunta dei dispositivi mobili iOS all'elenco dei dispositivi gestiti

Firma di un profilo MDM iOS tramite un certificato

Server Web

Inizio pagina

[Topic 3322]

Informazioni sul certificato di Administration Server

Vengono eseguite due operazioni in base al certificato di Administration Server: l'autenticazione di Administration Server durante la connessione di Administration Console e lo scambio dei dati con i dispositivi. Il certificato è inoltre utilizzato per l'autenticazione durante la connessione degli Administration Server primari agli Administration Server secondari.

Certificato rilasciato da Kaspersky

Il certificato di Administration Server viene creato automaticamente durante l'installazione del componente Administration Server e viene archiviato nella cartella %ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit\1093\cert.

Il certificato di Administration Server è valido per cinque anni, se è stato generato da Administration Server versione 12.2 o precedente. In caso contrario il periodo di validità del certificato è limitato a 397 giorni. Un nuovo certificato viene generato da Administration Server come certificato di riserva 90 giorni prima della data di scadenza del certificato corrente. Successivamente, il nuovo certificato sostituisce automaticamente il certificato corrente un giorno prima della data di scadenza. Tutti i Network Agent nei dispositivi client vengono riconfigurati automaticamente per l'autenticazione di Administration Server con il nuovo certificato.

Certificati personalizzati

Se necessario, è possibile assegnare un certificato personalizzato per Administration Server. Questo può ad esempio essere necessario per una migliore integrazione con l'infrastruttura PKI esistente dell'azienda o per la configurazione personalizzata dei campi dei certificati.

Il periodo di validità massimo di qualsiasi certificato di Administration Server non deve superare i 397 giorni.

Quando si sostituisce il certificato, tutti i Network Agent che sono stati precedentemente connessi ad Administration Server tramite SSL perderanno la connessione e restituiranno un errore di autenticazione di Administration Server. Per eliminare l'errore, sarà necessario ripristinare la connessione dopo la sostituzione del certificato.

In caso di smarrimento del certificato di Administration Server, è necessario reinstallare il componente Administration Server e ripristinare i dati per recuperarlo.

Se si apre Kaspersky Security Center Web Console in browser diversi e si scarica il file del certificato dell'Administration Server nella finestra delle proprietà dell'Administration Server, i file scaricati hanno nomi diversi.

Inizio pagina

[Topic 191451]

Requisiti per i certificati personalizzati utilizzati in Kaspersky Security Center

La seguente tabella visualizza i requisiti per i certificati personalizzati specificati per i diversi componenti di Kaspersky Security Center.

Requisiti per i certificati di Kaspersky Security Center

Tipo di certificato	Requisiti	Commenti
Certificato comune, certificato di riserva comune ("C", "CR")	Lunghezza minima della chiave: 2048. Vincoli di base: Vincolo lunghezza percorso: nessuno Utilizzo chiave: Firma digitale Firma del certificato Criptaggio chiavi Firma CRL Utilizzo chiavi esteso (opzionale): autenticazione del server, autenticazione del client.	Il parametro Utilizzo chiavi esteso è facoltativo. Il valore Vincolo lunghezza percorso può essere un valore intero diverso da "Nessuno", ma non inferiore a 1.
Certificato mobile, certificato di riserva mobile ("M", "MR")	Lunghezza minima della chiave: 2048. Vincoli di base: CA: true Vincolo lunghezza percorso: nessuno Utilizzo chiave: Firma digitale Firma del certificato Criptaggio chiavi Firma CRL Utilizzo chiavi esteso (opzionale): autenticazione del server.	Il parametro Utilizzo chiavi esteso è facoltativo. Il valore Vincolo lunghezza percorso può essere un valore intero diverso da "Nessuno" se il certificato comune ha un valore Vincolo lunghezza percorso non inferiore a 1.
CA certificato per certificati utente generati automaticamente ("MCA")	Lunghezza minima della chiave: 2048. Vincoli di base: CA: true Vincolo lunghezza percorso: nessuno Utilizzo chiave: Firma digitale Firma del certificato Criptaggio chiavi Firma CRL Utilizzo chiavi esteso (opzionale): autenticazione del server, autenticazione del client.	Il parametro Utilizzo chiavi esteso è facoltativo. Il valore Vincolo lunghezza percorso può essere un valore intero diverso da "Nessuno" se il certificato comune ha un valore Vincolo lunghezza percorso non inferiore a 1.
Certificato Server Web	Utilizzo chiavi esteso: autenticazione del server. Il contenitore PKCS #12 / PEM da cui viene specificato il certificato include l'intera catena di chiavi pubbliche. È presente il Nome alternativo soggetto del certificato; quindi il valore del campo `subjectAltName` è valido. Il certificato soddisfa i requisiti effettivi dei browser imposti ai certificati del server, nonché gli attuali requisiti di base del CA/Browser Forum.
Certificato di Kaspersky Security Center Web Console	Il contenitore PEM da cui viene specificato il certificato include l'intera catena di chiavi pubbliche. È presente il Nome alternativo soggetto del certificato; quindi il valore del campo `subjectAltName` è valido. Il certificato soddisfa i requisiti effettivi dei browser per i certificati del server, nonché gli attuali requisiti di base del CA/Browser Forum.	I certificati criptati non sono supportati da Kaspersky Security Center Web Console.

Vedere anche:

Informazioni sul certificato di Administration Server

Scenario: Specificazione del certificato di Administration Server personalizzato

Informazioni sui certificati di Kaspersky Security Center

Inizio pagina

[Topic 155201]

Scenario: Specificazione del certificato di Administration Server personalizzato

È possibile assegnare il certificato di Administration Server personalizzato, ad esempio per una migliore integrazione con l'infrastruttura a chiave pubblica (PKI) esistente dell'azienda o per la configurazione personalizzata dei campi del certificato. È consigliabile sostituire il certificato subito dopo l'installazione di Administration Server e prima del completamento dell'Avvio rapido guidato.

Il periodo di validità massimo di qualsiasi certificato di Administration Server non deve superare i 397 giorni.

Prerequisiti

Devono essere soddisfatte le seguenti condizioni:

Il nuovo certificato deve essere creato nel formato PKCS#12 (ad esempio tramite il PKI dell'organizzazione).
Per il nuovo certificato devono essere soddisfatti i requisiti elencati nella tabella di seguito.

Nella tabella seguente, prestare attenzione al requisito "CA: true", che significa che il nuovo certificato deve essere emesso da un'autorità di certificazione (CA) attendibile. Il nuovo certificato con il requisito "CA: true" deve includere l'intera catena di attendibilità e una chiave privata, che deve essere archiviata nel file con estensione pfx o p12.

Requisiti per i certificati di Administration Server

Tipo di certificato	Requisiti
Certificato comune, certificato di riserva comune ("C", "CR")	Lunghezza minima della chiave: 2048. Vincoli di base: Vincolo lunghezza percorso: nessuno Il valore Vincolo lunghezza percorso può essere un valore intero diverso da "Nessuno", ma non inferiore a 1. Utilizzo chiave: Firma digitale Firma del certificato Criptaggio chiavi Firma CRL EKU (Extended Key Usage): autenticazione del server e autenticazione del client. Il parametro EKU è facoltativo, ma se il certificato lo contiene, i dati di autenticazione del server e del client devono essere specificati nell'EKU.
Certificato mobile, certificato di riserva mobile ("M", "MR")	Lunghezza minima della chiave: 2048. Vincoli di base: CA: true Vincolo lunghezza percorso: nessuno Il valore Vincolo lunghezza percorso può essere un valore intero diverso da "Nessuno" se il certificato comune ha un valore Vincolo lunghezza percorso non inferiore a 1. Utilizzo chiave: Firma digitale Firma del certificato Criptaggio chiavi Firma CRL EKU (Extended Key Usage): autenticazione del server. L'EKU è facoltativo, ma se il certificato lo contiene, i dati di autenticazione del server devono essere specificati nell'EKU.
CA certificato per certificati utente generati automaticamente ("MCA")	Lunghezza minima della chiave: 2048. Vincoli di base: CA: true Vincolo lunghezza percorso: nessuno Il valore Vincolo lunghezza percorso può essere un valore intero diverso da "Nessuno" se il certificato comune ha un valore Vincolo lunghezza percorso non inferiore a 1. Utilizzo chiave: Firma digitale Firma del certificato Criptaggio chiavi Firma CRL EKU (Extended Key Usage): autenticazione del client. L'EKU è facoltativo, ma se il certificato lo contiene, i dati di autenticazione del client devono essere specificati nell'EKU.

Tipo di certificato

Requisiti

Certificato comune, certificato di riserva comune ("C", "CR")

Lunghezza minima della chiave: 2048.

Vincoli di base:

Vincolo lunghezza percorso: nessuno
Il valore Vincolo lunghezza percorso può essere un valore intero diverso da "Nessuno", ma non inferiore a 1.

Utilizzo chiave:

Firma digitale
Firma del certificato
Criptaggio chiavi
Firma CRL

EKU (Extended Key Usage): autenticazione del server e autenticazione del client. Il parametro EKU è facoltativo, ma se il certificato lo contiene, i dati di autenticazione del server e del client devono essere specificati nell'EKU.

Certificato mobile, certificato di riserva mobile ("M", "MR")

Lunghezza minima della chiave: 2048.

Vincoli di base:

CA: true
Vincolo lunghezza percorso: nessuno
Il valore Vincolo lunghezza percorso può essere un valore intero diverso da "Nessuno" se il certificato comune ha un valore Vincolo lunghezza percorso non inferiore a 1.

Utilizzo chiave:

Firma digitale
Firma del certificato
Criptaggio chiavi
Firma CRL

EKU (Extended Key Usage): autenticazione del server. L'EKU è facoltativo, ma se il certificato lo contiene, i dati di autenticazione del server devono essere specificati nell'EKU.

CA certificato per certificati utente generati automaticamente ("MCA")

Lunghezza minima della chiave: 2048.

Vincoli di base:

CA: true
Vincolo lunghezza percorso: nessuno
Il valore Vincolo lunghezza percorso può essere un valore intero diverso da "Nessuno" se il certificato comune ha un valore Vincolo lunghezza percorso non inferiore a 1.

Utilizzo chiave:

Firma digitale
Firma del certificato
Criptaggio chiavi
Firma CRL

EKU (Extended Key Usage): autenticazione del client. L'EKU è facoltativo, ma se il certificato lo contiene, i dati di autenticazione del client devono essere specificati nell'EKU.

I certificati rilasciati da un'autorità di certificazione pubblica non dispongono dell'autorizzazione di firma del certificato. Per utilizzare tali certificati, assicurarsi di aver installato Network Agent versione 13 o successiva nei punti di distribuzione o nei gateway di connessione della rete. In caso contrario, non sarà possibile utilizzare i certificati senza l'autorizzazione di firma.

Passaggi

Sono necessari alcuni passaggi per specificare il certificato di Administration Server:

Sostituzione del certificato di Administration Server
A tale scopo, utilizzare la riga di comando utilità klsetsrvcert.
Specificazione di un nuovo certificato e ripristino della connessione dei Network Agent ad Administration Server
Quando il certificato viene sostituito, tutti i Network Agent precedentemente connessi ad Administration Server tramite SSL perdono la connessione e restituiscono un errore di autenticazione di Administration Server. Per specificare il nuovo certificato e ripristinare la connessione, utilizzare l'utilità klmover della riga di comando.
Specifica di un nuovo certificato nelle impostazioni di Kaspersky Security Center Web Console
Dopo aver sostituito il certificato, specificarlo nelle impostazioni di Kaspersky Security Center Web Console. In caso contrario, Kaspersky Security Center Web Console non sarà in grado di connettersi all'Administration Server.

Risultati

Al termine dello scenario, il certificato di Administration Server viene sostituito e il server viene autenticato dai Network Agent nei dispositivi gestiti.

Vedere anche:

Informazioni sul certificato di Administration Server

Requisiti per i certificati personalizzati utilizzati in Kaspersky Security Center

Scenario: Specificazione del certificato di Administration Server personalizzato

Inizio pagina

[Topic 227838]

Sostituzione del certificato di Administration Server con l'utilità klsetsrvcert

Per sostituire il certificato di Administration Server:

Dalla riga di comando eseguire la seguente utilità:

klsetsrvcert [-t <type> {-i <inputfile> [-p <password>] [-o <chkopt>] | -g <dnsname>}][-f <time>][-r <calistfile>][-l <logfile>]

Non è necessario scaricare l'utilità klsetsrvcert. È inclusa nel kit di distribuzione di Kaspersky Security Center. Non è compatibile con le versioni precedenti di Kaspersky Security Center.

La descrizione dei parametri dell'utilità klsetsrvcert è contenuta nella seguente tabella.

Valori dei parametri dell'utilità klsetsrvcert

Parametro	Valore
`-t <type>`	Tipo del certificato da sostituire. Possibili valori del parametro `<type>`: `C`– Sostituire il certificato comune per le porte 13000 e 13291. `CR`– Sostituire il certificato di riserva comune per le porte 13000 e 13291. `M`– Sostituire il certificato per i dispositivi mobili sulla porta 13292. `MR`– Sostituire il certificato di riserva mobile per la porta 13292. `MCA`– Mobile Client CA per certificati utente generati automaticamente.
`-f <time>`	Pianificazione per la modifica del certificato, utilizzando il formato "GG-MM-AAAA hh:mm" (per le porte 13000 e 13291). Utilizzare questo parametro se si desidera sostituire il certificato comune con il certificato di riserva comune prima della scadenza del certificato comune. Specificare l'ora in cui i dispositivi gestiti devono sincronizzarsi con Administration Server in un nuovo certificato.
`-i <inputfile>`	Contenitore con il certificato e una chiave privata nel formato PKCS#12 (file con estensione p12 o pfx).
`-p <password>`	Password utilizzata per la protezione del contenitore p12. Il certificato e una chiave privata vengono archiviati nel contenitore, pertanto è necessaria la password per decriptare il file con il contenitore.
`-o <chkopt>`	Parametri di convalida del certificato (separati da punto e virgola). Per utilizzare un certificato personalizzato senza l'autorizzazione di firma, specificare `-o NoCA` nell'utilità klsetsrvcert. Questo è utile per i certificati rilasciati da un'autorità di certificazione pubblica. Per modificare la lunghezza della chiave di criptaggio per i tipi di certificato C o CR, specificare `-o RsaKeyLen:<lunghezza della chiave>` nell'utilità klsetsrvcert, dove il parametro `<lunghezza della chiave>` è il valore della lunghezza della chiave richiesto. In caso contrario, viene utilizzata la lunghezza della chiave del certificato corrente.
`-g <dnsname>`	Verrà creato un nuovo certificato per il nome DNS specificato.
`-r <calistfile>`	Elenco delle autorità di certificazione radice attendibili, formato PEM.
`-l <logfile>`	File di output dei risultati. Per impostazione predefinita, l'output viene reindirizzato nel flusso di output standard.

Per specificare il certificato personalizzato di Administration Server, utilizzare ad esempio il seguente comando:

klsetsrvcert -t C -i <inputfile> -p <password> -o NoCA

Dopo la sostituzione del certificato, tutti i Network Agent connessi ad Administration Server tramite SSL perdono la connessione. Per ripristinarla, utilizzare l'utilità klmover della riga di comando.

Per evitare di perdere le connessioni di Network Agent, utilizzare i seguenti comandi:

Per installare il nuovo certificato,
klsetsrvcert.exe -t CR -i <inputfile> -p <password> -o NoCA
Per specificare la data in cui verrà applicato il nuovo certificato,
klsetsrvcert.exe -f "DD-MM-YYYY hh:mm"

dove "DD-MM-YYYY hh:mm" è la data di 3-4 settimane successive alla data attuale. Lo slittamento temporale per la modifica del certificato in uno nuovo consentirà la distribuzione del nuovo certificato a tutti i Network Agent.

Vedere anche:

Inizio pagina

[Topic 227839]

Connessione dei Network Agent ad Administration Server con l'utilità klmover

Dopo aver sostituito il certificato di Administration Server utilizzando l'utilità klsetsrvcert della riga di comando, è necessario stabilire la connessione SSL tra Network Agent e Administration Server in quanto la connessione è interrotta.

Per specificare il nuovo certificato di Administration Server e ripristinare la connessione:

Dalla riga di comando eseguire la seguente utilità:

klmover [-address <indirizzo server>] [-pn <numero porta>] [-ps <numero porta SSL>] [-nossl] [-cert <percorso del file di certificato>]

I diritti di amministratore sono necessari per eseguire l'utilità.

Questa utilità viene copiata automaticamente nella cartella di installazione di Network Agent, quando Network Agent viene installato in un dispositivo client.

Se l'opzione Usa password di disinstallazione è abilitata nelle impostazioni dei criteri di Network Agent e viene utilizzata la versione 15 di Network Agent, l'utilità klmover richiede la password corrispondente. È possibile utilizzare l'utilità klcsngtgui ubicata nella cartella di installazione di Network Agent per verificare la versione di Network Agent.

Non è possibile utilizzare l'utilità klmover per i dispositivi client connessi ad Administration Server tramite gateway di connessione. Per tali dispositivi è necessario riconfigurare Network Agent o reinstallarlo e specificare il gateway di connessione.

La descrizione dei parametri dell'utilità klmover è contenuta nella seguente tabella.

Valori dei parametri dell'utilità klmover

Parametro	Valore
`-address <indirizzo server>`	Indirizzo di Administration Server per la connessione. È possibile specificare un indirizzo IP, il nome NetBIOS o il nome DNS.
`-pn <numero di porta>`	Numero della porta tramite la quale viene stabilita la connessione non criptata ad Administration Server. Il numero di porta predefinito è 14000.
`-ps <numero di porta SSL>`	Numero della porta SSL tramite la quale viene stabilita la connessione criptata ad Administration Server utilizzando il protocollo SSL. Il numero di porta predefinito è 13000.
`-nossl`	Utilizza la connessione non criptata ad Administration Server. Se la chiave non è in uso, Network Agent è connesso ad Administration Server tramite il protocollo SSL criptato.
`-cert <percorso del file di certificato>`	Utilizzare il file di certificato specificato per l'autenticazione dell'accesso ad Administration Server.
`-virtserv`	Nome dell'Administration Server virtuale.
`-cloningmode`	Modalità di clonazione del disco di Network Agent Utilizzare uno dei seguenti parametri per configurare la modalità di clonazione del disco: `-cloningmode`: richiede lo stato della modalità di clonazione del disco. `-cloningmode 1`: abilita la modalità di clonazione del disco. `-cloningmode 0`: disabilita la modalità di clonazione del disco.

Ad esempio, per connettere Network Agent ad Administration Server, eseguire il seguente comando:

klmover -address kscserver.mycompany.com -logfile klmover.log

Vedere anche:

Scenario: Specificazione del certificato di Administration Server personalizzato

Connessione manuale di un dispositivo client ad Administration Server. Utilità Klmover

Spostamento dei dispositivi connessi ad Administration Server tramite gateway di connessione a un altro Administration Server

Inizio pagina

[Topic 208265]

Riemissione del certificato del server Web

Il certificato Server Web utilizzato in Kaspersky Security Center è necessario per pubblicare i pacchetti di installazione di Network Agent scaricati successivamente nei dispositivi gestiti, nonché per pubblicare profili MDM iOS, app iOS e pacchetti di installazione di Kaspersky Endpoint Security for Mobile. A seconda della configurazione dell'applicazione corrente, vari certificati possono funzionare come certificato del Server Web (per ulteriori dettagli, vedere Informazioni sui certificati di Kaspersky Security Center).

Potrebbe essere necessario riemettere il certificato del Server Web per soddisfare i requisiti di sicurezza specifici della propria organizzazione o per mantenere la connessione continua dei dispositivi gestiti prima di avviare l'aggiornamento dell'applicazione. Kaspersky Security Center offre due modi per riemettere il certificato del Server Web; la scelta tra i due metodi dipende dal fatto che si disponga di dispositivi mobili connessi e gestiti tramite protocollo mobile (ovvero utilizzando il certificato mobile).

Se non è stato mai specificato il certificato personalizzato come certificato del Server Web nella sezione Server Web della finestra delle proprietà di Administration Server, il certificato mobile funge da certificato del Server Web. In questo caso, la riemissione del certificato del Server Web viene eseguita attraverso la riemissione del protocollo mobile stesso.

Per riemettere il certificato del Server Web quando non si dispone di dispositivi mobili gestiti tramite il protocollo mobile:

Nella struttura della console fare clic con il pulsante destro del mouse sul nome dell'Administration Server pertinente e nel menu di scelta rapida selezionare Proprietà.
Nella finestra delle proprietà di Administration Server visualizzata, nel riquadro a sinistra selezionare la sezione Impostazioni di connessione di Administration Server.
Nell'elenco delle sottosezioni selezionare la sottosezione Certificati.
Se si prevede di continuare a utilizzare il certificato emesso da Kaspersky Security Center, procedere come segue:
1. Nel riquadro di destra, nel gruppo di impostazioni Autenticazione Administration Server da parte dei dispositivi mobili, selezionare l'opzione Certificato emesso tramite Administration Server e fare clic sul pulsante Riemetti.
2. Nella finestra Riemetti certificato visualizzata, nel gruppo di impostazioni Indirizzo di connessione e Termine di attivazione, selezionare le opzioni pertinenti e fare clic su OK.
3. Nella finestra di conferma fare clic su Sì.
In alternativa, se si prevede di utilizzare il proprio certificato personalizzato, procedere come segue:
1. Verificare se il certificato personalizzato soddisfa i requisiti di Kaspersky Security Center e i requisiti per i certificati attendibili di Apple. Se necessario, modificare il certificato.
2. Selezionare l'opzione Altro certificato e fare clic sul pulsante Sfoglia.
3. Nella finestra Certificato visualizzata, nel campo Tipo di certificato, selezionare il tipo di certificato, quindi specificare le impostazioni e la posizione del certificato:
  - Se è stato selezionato Contenitore PKCS #12, fare clic sul pulsante Sfoglia accanto al campo File di certificato e specificare il file del certificato nel disco rigido. Se il file del certificato è protetto da password, immettere la password nel campo Password (se presente).
  - Se è stato selezionato Certificato X.509, fare clic sul pulsante Sfoglia accanto al campo Chiave privata (.prk, .pem) e specificare la chiave privata nel disco rigido. Se la chiave privata è protetta da password, immettere la password nel campo Password (se presente). Quindi fare clic sul pulsante Sfoglia accanto al campo Chiave pubblica (.cer) e specificare la chiave privata nel disco rigido.
4. Nella finestra Certificato fare clic su OK.
5. Nella finestra di conferma fare clic su Sì.
Il certificato mobile viene riemesso per essere utilizzato come certificato del Server Web.

Per riemettere il certificato del Server Web quando si dispone di dispositivi mobili gestiti tramite il protocollo mobile:

Generare il certificato personalizzato e preparalo per l'utilizzo in Kaspersky Security Center. Verificare se il certificato personalizzato soddisfa i requisiti di Kaspersky Security Center e i requisiti per i certificati attendibili di Apple. Se necessario, modificare il certificato.
È possibile utilizzare l'utilità kliossrvcertgen.exe per la generazione del certificato.
Nella struttura della console fare clic con il pulsante destro del mouse sul nome dell'Administration Server pertinente e nel menu di scelta rapida selezionare Proprietà.
Nel riquadro a sinistra della finestra delle proprietà di Administration Server visualizzata selezionare la sezione Server Web.
Nel menu Tramite HTTPS selezionare l'opzione Specifica un altro certificato.
Nel menu Tramite HTTPS fare clic sul pulsante Cambia.
Nella finestra Certificato visualizzata, nel campo Tipo di certificato selezionare il tipo di certificato:
- Se è stato selezionato Contenitore PKCS #12, fare clic sul pulsante Sfoglia accanto al campo File di certificato e specificare il file del certificato nel disco rigido. Se il file del certificato è protetto da password, immettere la password nel campo Password (se presente).
- Se è stato selezionato Certificato X.509, fare clic sul pulsante Sfoglia accanto al campo Chiave privata (.prk, .pem) e specificare la chiave privata nel disco rigido. Se la chiave privata è protetta da password, immettere la password nel campo Password (se presente). Quindi fare clic sul pulsante Sfoglia accanto al campo Chiave pubblica (.cer) e specificare la chiave privata nel disco rigido.
Nella finestra Certificato fare clic su OK.
Se necessario, nella finestra delle proprietà di Administration Server, nel campo Porta HTTPS del server Web modificare il numero della porta HTTPS per il Server Web. Fare clic su OK.
Il certificato del Server Web viene riemesso.

Inizio pagina

[Topic 183039]

Schemi per traffico dati e utilizzo delle porte

Questa sezione fornisce schemi per il traffico dati tra i componenti di Kaspersky Security Center, le applicazioni di protezione gestite e i server esterni in varie configurazioni. Gli schemi vengono forniti con i numeri delle porte che devono essere disponibili nei dispositivi locali.

In questa sezione

Administration Server e dispositivi gestiti nella LAN

Administration Server primario nella LAN e due Administration Server secondari

Administration Server nella LAN, dispositivi gestiti in Internet, proxy inverso in uso

Administration Server nella LAN, dispositivi gestiti in Internet, gateway di connessione in uso

Administration Server all'interno della rete perimetrale, dispositivi gestiti in Internet

Interazione dei componenti di Kaspersky Security Center e delle applicazioni di protezione: ulteriori informazioni

Vedere anche:

Configurazione standard: singola sede

Inizio pagina

[Topic 183040]

Administration Server e dispositivi gestiti nella LAN

La figura di seguito mostra il traffico dati se Kaspersky Security Center è distribuito solo in una LAN (Local Area Network).

Il Server e i dispositivi gestiti sono su una rete locale. I dispositivi gestiti si collegano al Server tramite punti di distribuzione.

Administration Server e i dispositivi gestiti in una LAN (Local Area Network)

La figura illustra come diversi dispositivi gestiti si connettono all'Administration Server in modi differenti: direttamente o tramite un punto di distribuzione. I punti di distribuzione riducono il carico sull'Administration Server durante la distribuzione degli aggiornamenti e ottimizzano il traffico di rete. Tuttavia, i punti di distribuzione sono necessari solo se il numero di dispositivi gestiti è sufficientemente elevato. Se il numero di dispositivi gestiti è limitato, i dispositivi gestiti possono ricevere gli aggiornamenti direttamente dall'Administration Server.

Le frecce indicano l'origine del traffico: ogni freccia punta da un dispositivo che avvia la connessione al dispositivo che "risponde" alla chiamata. Vengono forniti il numero della porta e il nome del protocollo utilizzato per il trasferimento dei dati. Ogni freccia ha un'etichetta numerica e i dettagli sul traffico dati corrispondente sono i seguenti:

Administration Server invia i dati al database. Se si installa l'Administration Server e il database in diversi dispositivi, è necessario rendere disponibili le porte necessarie nel dispositivo in cui si trova il database (ad esempio la porta 3306 per il server MySQL o la porta 1433 per Microsoft SQL Server). Fare riferimento alla documentazione DBMS per le informazioni attinenti.
Le richieste di comunicazione provenienti da Administration Server vengono trasferite a tutti i dispositivi gestiti non mobili tramite la porta UDP 15000.
I Network Agent inviano richieste reciproche con un solo dominio di trasmissione. I dati vengono quindi inviati ad Administration Server e utilizzati per definire i limiti del dominio di trasmissione e per l'assegnazione automatica dei punti di distribuzione (se questa opzione è abilitata).

Se Administration Server non ha accesso diretto ai dispositivi gestiti, le richieste di comunicazione da Administration Server a questi dispositivi non vengono inviate direttamente.
Le informazioni sull'arresto dei dispositivi gestiti vengono trasferite dal Network Agent all'Administration Server tramite la porta UDP 13000.
Administration Server riceve la connessione dai Network Agent e dagli Administration Server secondari tramite la porta TLS 13000.
Se è stata utilizzata una versione precedente di Kaspersky Security Center, l'Administration Server nella rete può ricevere la connessione dai Network Agent tramite la porta non TLS 14000. Kaspersky Security Center supporta la connessione dei Network Agent anche tramite la porta 14000, ma è consigliabile utilizzare la porta TLS 13000.

Il punto di distribuzione era denominato "Update Agent" nelle versioni precedenti di Kaspersky Security Center.
I dispositivi gestiti (ad eccezione dei dispositivi mobili) richiedono l'attivazione tramite la porta TCP 17000. Ciò non è necessario se il dispositivo dispone già dell'accesso a Internet; in tal caso il dispositivo invia i dati ai server Kaspersky direttamente via Internet.
I dati dell'Administration Console basata su MMC vengono trasferiti ad Administration Server tramite la porta 13291. L'Administration Console può essere installata nello stesso dispositivo o in un altro dispositivo.
Nelle applicazioni presenti in un singolo dispositivo avviene lo scambio di traffico locale (nell'Administration Server o in un dispositivo gestito). Non è necessaria l'apertura di porte esterne.
Il dati inviati dall'Administration Server ai server Kaspersky (ad esempio, i dati KSN o le informazioni sulle licenze) e i dati inviati dai server Kaspersky all'Administration Server (ad esempio, gli aggiornamenti delle applicazioni e dei database anti-virus) vengono trasferiti tramite il protocollo HTTPS.
Se non si desidera concedere all'Administration Server l'accesso a Internet, è necessario gestire questi dati manualmente.
Kaspersky Security Center Web Console Server invia i dati ad Administration Server, che può essere installato nello stesso dispositivo o in un altro dispositivo, tramite la porta TLS 13299.

Vedere anche:

Inizio pagina

[Topic 183051]

Administration Server primario nella LAN e due Administration Server secondari

La figura di seguito mostra la gerarchia degli Administration Server: l'Administration Server primario si trova in una LAN. Un Administration Server secondario si trova in una rete perimetrale; un altro Administration Server secondario si trova in Internet.

Il Server primario e i dispositivi gestiti da esso sono sulla LAN, quelli secondari sono nella DMZ, gli altri server e dispositivi sono su Internet.

Gerarchia degli Administration Server: Administration Server primario e due Administration Server secondari

Administration Server invia i dati al database. Se si installa l'Administration Server e il database in diversi dispositivi, è necessario rendere disponibili le porte necessarie nel dispositivo in cui si trova il database (ad esempio la porta 3306 per il server MySQL o la porta 1433 per Microsoft SQL Server). Fare riferimento alla documentazione DBMS per le informazioni attinenti.
Le richieste di comunicazione provenienti da Administration Server vengono trasferite a tutti i dispositivi gestiti non mobili tramite la porta UDP 15000.
I Network Agent inviano richieste reciproche con un solo dominio di trasmissione. I dati vengono quindi inviati ad Administration Server e utilizzati per definire i limiti del dominio di trasmissione e per l'assegnazione automatica dei punti di distribuzione (se questa opzione è abilitata).

Se Administration Server non ha accesso diretto ai dispositivi gestiti, le richieste di comunicazione da Administration Server a questi dispositivi non vengono inviate direttamente.
Le informazioni sull'arresto dei dispositivi gestiti vengono trasferite dal Network Agent all'Administration Server tramite la porta UDP 13000.
Administration Server riceve la connessione dai Network Agent e dagli Administration Server secondari tramite la porta TLS 13000.
Se è stata utilizzata una versione precedente di Kaspersky Security Center, l'Administration Server nella rete può ricevere la connessione dai Network Agent tramite la porta non TLS 14000. Kaspersky Security Center supporta la connessione dei Network Agent anche tramite la porta 14000, ma è consigliabile utilizzare la porta TLS 13000.

Il punto di distribuzione era denominato "Update Agent" nelle versioni precedenti di Kaspersky Security Center.
I dispositivi gestiti (ad eccezione dei dispositivi mobili) richiedono l'attivazione tramite la porta TCP 17000. Ciò non è necessario se il dispositivo dispone già dell'accesso a Internet; in tal caso il dispositivo invia i dati ai server Kaspersky direttamente via Internet.
I dati dell'Administration Console basata su MMC vengono trasferiti ad Administration Server tramite la porta 13291. L'Administration Console può essere installata nello stesso dispositivo o in un altro dispositivo.
Nelle applicazioni presenti in un singolo dispositivo avviene lo scambio di traffico locale (nell'Administration Server o in un dispositivo gestito). Non è necessaria l'apertura di porte esterne.
Il dati inviati dall'Administration Server ai server Kaspersky (ad esempio, i dati KSN o le informazioni sulle licenze) e i dati inviati dai server Kaspersky all'Administration Server (ad esempio, gli aggiornamenti delle applicazioni e dei database anti-virus) vengono trasferiti tramite il protocollo HTTPS.
Se non si desidera concedere all'Administration Server l'accesso a Internet, è necessario gestire questi dati manualmente.
Kaspersky Security Center Web Console Server invia i dati all'Administration Server, che può essere installato nello stesso dispositivo o in un altro dispositivo, tramite la porta TLS 13299.
9a. I dati provenienti dal browser, installato in un altro dispositivo dell'amministratore, vengono trasferiti a Kaspersky Security Center Web Console Server tramite la porta TLS 8080. Kaspersky Security Center Web Console Server può essere installato in Administration Server o in un altro dispositivo.

Vedere anche:

Inizio pagina

[Topic 183056]

Administration Server nella LAN, dispositivi gestiti in Internet, proxy inverso in uso

La figura di seguito mostra il traffico dati se Administration Server si trova all'interno di una LAN e i dispositivi gestiti, inclusi i dispositivi mobili, sono in Internet. In questa figura, è in uso un proxy inverso a scelta. Per informazioni dettagliate, fare riferimento alla documentazione dell'applicazione.

L'Administration Server è sulla LAN, i dispositivi gestiti sono su Internet, Microsoft Forefront Threat Management Gateway è in uso.

Administration Server in una LAN; i dispositivi gestiti si connettono all'Administration Server tramite un proxy inverso

Questo schema di distribuzione è consigliabile se non si desidera che i dispositivi mobili si connettano direttamente all'Administration Server e non si desidera assegnare un gateway di connessione nella rete perimetrale.

Administration Server invia i dati al database. Se si installa l'Administration Server e il database in diversi dispositivi, è necessario rendere disponibili le porte necessarie nel dispositivo in cui si trova il database (ad esempio la porta 3306 per il server MySQL o la porta 1433 per Microsoft SQL Server). Fare riferimento alla documentazione DBMS per le informazioni attinenti.
Le richieste di comunicazione provenienti da Administration Server vengono trasferite a tutti i dispositivi gestiti non mobili tramite la porta UDP 15000.
I Network Agent inviano richieste reciproche con un solo dominio di trasmissione. I dati vengono quindi inviati ad Administration Server e utilizzati per definire i limiti del dominio di trasmissione e per l'assegnazione automatica dei punti di distribuzione (se questa opzione è abilitata).

Se Administration Server non ha accesso diretto ai dispositivi gestiti, le richieste di comunicazione da Administration Server a questi dispositivi non vengono inviate direttamente.
Le informazioni sull'arresto dei dispositivi gestiti vengono trasferite dal Network Agent all'Administration Server tramite la porta UDP 13000.
Administration Server riceve la connessione dai Network Agent e dagli Administration Server secondari tramite la porta TLS 13000.
Se è stata utilizzata una versione precedente di Kaspersky Security Center, l'Administration Server nella rete può ricevere la connessione dai Network Agent tramite la porta non TLS 14000. Kaspersky Security Center supporta la connessione dei Network Agent anche tramite la porta 14000, ma è consigliabile utilizzare la porta TLS 13000.

Il punto di distribuzione era denominato "Update Agent" nelle versioni precedenti di Kaspersky Security Center.
I dispositivi gestiti (ad eccezione dei dispositivi mobili) richiedono l'attivazione tramite la porta TCP 17000. Ciò non è necessario se il dispositivo dispone già dell'accesso a Internet; in tal caso il dispositivo invia i dati ai server Kaspersky direttamente via Internet.
I dati dell'Administration Console basata su MMC vengono trasferiti ad Administration Server tramite la porta 13291. L'Administration Console può essere installata nello stesso dispositivo o in un altro dispositivo.
Nelle applicazioni presenti in un singolo dispositivo avviene lo scambio di traffico locale (nell'Administration Server o in un dispositivo gestito). Non è necessaria l'apertura di porte esterne.
Il dati inviati dall'Administration Server ai server Kaspersky (ad esempio, i dati KSN o le informazioni sulle licenze) e i dati inviati dai server Kaspersky all'Administration Server (ad esempio, gli aggiornamenti delle applicazioni e dei database anti-virus) vengono trasferiti tramite il protocollo HTTPS.
Se non si desidera concedere all'Administration Server l'accesso a Internet, è necessario gestire questi dati manualmente.
Kaspersky Security Center Web Console Server invia i dati all'Administration Server, che può essere installato nello stesso dispositivo o in un altro dispositivo, tramite la porta TLS 13299.
9a. I dati provenienti dal browser, installato in un altro dispositivo dell'amministratore, vengono trasferiti a Kaspersky Security Center Web Console Server tramite la porta TLS 8080. Kaspersky Security Center Web Console Server può essere installato in Administration Server o in un altro dispositivo.
Solo per i dispositivi mobili Android: i dati provenienti dall'Administration Server vengono trasferiti ai server Google. Questa connessione viene utilizzata per segnalare ai dispositivi mobili Android che è necessaria la connessione all'Administration Server. Successivamente vengono inviate le notifiche push ai dispositivi mobili.
Solo per i dispositivi mobili Android: le notifiche push provenienti dai server Google vengono inviate al dispositivo mobile. Questa connessione viene utilizzata per segnalare ai dispositivi mobili che è necessaria la connessione all'Administration Server.
Solo per i dispositivi mobili iOS: i dati provenienti dal server per dispositivi mobili MDM iOS vengono trasferiti ai server per le notifiche push Apple. Successivamente vengono inviate le notifiche push ai dispositivi mobili.
Solo per i dispositivi mobili iOS: le notifiche push vengono inviate dai server Apple al dispositivo mobile. Questa connessione viene utilizzata per segnalare ai dispositivi mobili iOS che è necessaria la connessione all'Administration Server.
Solo per i dispositivi mobili: i dati provenienti dall'applicazione gestita vengono trasferiti ad Administration Server (o al gateway di connessione) tramite la porta TLS 13292 / 13293, direttamente o tramite un proxy inverso.
Solo per i dispositivi mobili: i dati provenienti dal dispositivo mobile vengono trasferiti all'infrastruttura Kaspersky.
Se un dispositivo mobile non ha accesso a Internet, i dati vengono trasferiti all'Administration Server tramite la porta 17100 e l'Administration Server invia tali dati all'infrastruttura Kaspersky; tuttavia, questo scenario viene applicato molto raramente.
Le richieste di pacchetti provenienti dai dispositivi gestiti, inclusi i dispositivi mobili, vengono trasferite al server Web, che si trova nello stesso dispositivo in cui si trova Administration Server.
Solo per i dispositivi mobili iOS: i dati dal dispositivo mobile vengono trasferiti tramite la porta TLS 443 al server MDM iOS, che si trova sullo stesso dispositivo dell'Administration Server o sul gateway di connessione.

Vedere anche:

Inizio pagina

[Topic 183058]

Administration Server nella LAN, dispositivi gestiti in Internet, gateway di connessione in uso

La figura di seguito mostra il traffico dati se Administration Server si trova all'interno di una LAN e i dispositivi gestiti, inclusi i dispositivi mobili, sono in Internet. È in uso un gateway di connessione.

Questo schema di distribuzione è consigliabile se non si desidera che i dispositivi mobili si connettano direttamente all'Administration Server e non si desidera utilizzare un proxy inverso o un firewall aziendale.

L'Administration Server è sulla LAN, i dispositivi gestiti sono su Internet. È in uso un gateway di connessione.

Dispositivi mobili gestiti connessi all'Administration Server tramite un gateway di connessione

In questa figura i dispositivi gestiti sono connessi all'Administration Server tramite un gateway di connessione che si trova nella rete perimetrale. Non è in uso alcun proxy inverso o firewall aziendale.

Administration Server invia i dati al database. Se si installa l'Administration Server e il database in diversi dispositivi, è necessario rendere disponibili le porte necessarie nel dispositivo in cui si trova il database (ad esempio la porta 3306 per il server MySQL o la porta 1433 per Microsoft SQL Server). Fare riferimento alla documentazione DBMS per le informazioni attinenti.
Le richieste di comunicazione provenienti da Administration Server vengono trasferite a tutti i dispositivi gestiti non mobili tramite la porta UDP 15000.
I Network Agent inviano richieste reciproche con un solo dominio di trasmissione. I dati vengono quindi inviati ad Administration Server e utilizzati per definire i limiti del dominio di trasmissione e per l'assegnazione automatica dei punti di distribuzione (se questa opzione è abilitata).

Se Administration Server non ha accesso diretto ai dispositivi gestiti, le richieste di comunicazione da Administration Server a questi dispositivi non vengono inviate direttamente.
Le informazioni sull'arresto dei dispositivi gestiti vengono trasferite dal Network Agent all'Administration Server tramite la porta UDP 13000.
Administration Server riceve la connessione dai Network Agent e dagli Administration Server secondari tramite la porta TLS 13000.
Se è stata utilizzata una versione precedente di Kaspersky Security Center, l'Administration Server nella rete può ricevere la connessione dai Network Agent tramite la porta non TLS 14000. Kaspersky Security Center supporta la connessione dei Network Agent anche tramite la porta 14000, ma è consigliabile utilizzare la porta TLS 13000.

Il punto di distribuzione era denominato "Update Agent" nelle versioni precedenti di Kaspersky Security Center.

4a. Anche un gateway di connessione nella rete perimetrale riceve la connessione da Administration Server tramite la porta TLS 13000. Dal momento che un gateway di connessione nella rete perimetrale non può raggiungere le porte di Administration Server, Administration Server crea e mantiene una connessione di segnale permanente con un gateway di connessione. La connessione di segnale non viene utilizzata per il trasferimento dei dati; viene utilizzata solo per inviare un invito all'interazione di rete. Quando deve connettersi al server, il gateway di connessione invia una notifica al server attraverso questa connessione di segnale, quindi il server crea la connessione richiesta per il trasferimento dei dati.

Anche i dispositivi fuori sede si connettono al gateway di connessione tramite la porta TLS 13000.
I dispositivi gestiti (ad eccezione dei dispositivi mobili) richiedono l'attivazione tramite la porta TCP 17000. Ciò non è necessario se il dispositivo dispone già dell'accesso a Internet; in tal caso il dispositivo invia i dati ai server Kaspersky direttamente via Internet.
I dati dell'Administration Console basata su MMC vengono trasferiti ad Administration Server tramite la porta 13291. L'Administration Console può essere installata nello stesso dispositivo o in un altro dispositivo.
Nelle applicazioni presenti in un singolo dispositivo avviene lo scambio di traffico locale (nell'Administration Server o in un dispositivo gestito). Non è necessaria l'apertura di porte esterne.
Il dati inviati dall'Administration Server ai server Kaspersky (ad esempio, i dati KSN o le informazioni sulle licenze) e i dati inviati dai server Kaspersky all'Administration Server (ad esempio, gli aggiornamenti delle applicazioni e dei database anti-virus) vengono trasferiti tramite il protocollo HTTPS.
Se non si desidera concedere all'Administration Server l'accesso a Internet, è necessario gestire questi dati manualmente.
Kaspersky Security Center Web Console Server invia i dati all'Administration Server, che può essere installato nello stesso dispositivo o in un altro dispositivo, tramite la porta TLS 13299.
9a. I dati provenienti dal browser, installato in un altro dispositivo dell'amministratore, vengono trasferiti a Kaspersky Security Center Web Console Server tramite la porta TLS 8080. Kaspersky Security Center Web Console Server può essere installato in Administration Server o in un altro dispositivo.
Solo per i dispositivi mobili Android: i dati provenienti dall'Administration Server vengono trasferiti ai server Google. Questa connessione viene utilizzata per segnalare ai dispositivi mobili Android che è necessaria la connessione all'Administration Server. Successivamente vengono inviate le notifiche push ai dispositivi mobili.
Solo per i dispositivi mobili Android: le notifiche push provenienti dai server Google vengono inviate al dispositivo mobile. Questa connessione viene utilizzata per segnalare ai dispositivi mobili che è necessaria la connessione all'Administration Server.
Solo per i dispositivi mobili iOS: i dati provenienti dal server per dispositivi mobili MDM iOS vengono trasferiti ai server per le notifiche push Apple. Successivamente vengono inviate le notifiche push ai dispositivi mobili.
Solo per i dispositivi mobili iOS: le notifiche push vengono inviate dai server Apple al dispositivo mobile. Questa connessione viene utilizzata per segnalare ai dispositivi mobili iOS che è necessaria la connessione all'Administration Server.
Solo per i dispositivi mobili: i dati provenienti dall'applicazione gestita vengono trasferiti ad Administration Server (o al gateway di connessione) tramite la porta TLS 13292 / 13293, direttamente o tramite un proxy inverso.
Solo per i dispositivi mobili: i dati provenienti dal dispositivo mobile vengono trasferiti all'infrastruttura Kaspersky.
Se un dispositivo mobile non ha accesso a Internet, i dati vengono trasferiti all'Administration Server tramite la porta 17100 e l'Administration Server invia tali dati all'infrastruttura Kaspersky; tuttavia, questo scenario viene applicato molto raramente.
Le richieste di pacchetti provenienti dai dispositivi gestiti, inclusi i dispositivi mobili, vengono trasferite al server Web, che si trova nello stesso dispositivo in cui si trova Administration Server.
Solo per i dispositivi mobili iOS: i dati dal dispositivo mobile vengono trasferiti tramite la porta TLS 443 al server MDM iOS, che si trova sullo stesso dispositivo dell'Administration Server o sul gateway di connessione.

Vedere anche:

Informazioni sull'utilizzo di un punto di distribuzione come gateway di connessione

Inizio pagina

[Topic 183041]

Administration Server all'interno della rete perimetrale, dispositivi gestiti in Internet

La figura di seguito mostra il traffico dati se l'Administration Server si trova nella rete perimetrale (DMZ) e i dispositivi gestiti, inclusi i dispositivi mobili, sono in Internet.

Il traffico dati del server si trova nella rete perimetrale. I dispositivi Android e iOS, un laptop e il dispositivo dell'amministratore sono connessi a Internet.

Administration Server nella rete perimetrale, dispositivi mobili gestiti in Internet

In questa figura non è in uso alcun gateway di connessione: i dispositivi mobili si connettono direttamente all'Administration Server.

Administration Server invia i dati al database. Se si installa l'Administration Server e il database in diversi dispositivi, è necessario rendere disponibili le porte necessarie nel dispositivo in cui si trova il database (ad esempio la porta 3306 per il server MySQL o la porta 1433 per Microsoft SQL Server). Fare riferimento alla documentazione DBMS per le informazioni attinenti.
Le richieste di comunicazione provenienti da Administration Server vengono trasferite a tutti i dispositivi gestiti non mobili tramite la porta UDP 15000.
I Network Agent inviano richieste reciproche con un solo dominio di trasmissione. I dati vengono quindi inviati ad Administration Server e utilizzati per definire i limiti del dominio di trasmissione e per l'assegnazione automatica dei punti di distribuzione (se questa opzione è abilitata).

Se Administration Server non ha accesso diretto ai dispositivi gestiti, le richieste di comunicazione da Administration Server a questi dispositivi non vengono inviate direttamente.
Le informazioni sull'arresto dei dispositivi gestiti vengono trasferite dal Network Agent all'Administration Server tramite la porta UDP 13000.
Administration Server riceve la connessione dai Network Agent e dagli Administration Server secondari tramite la porta TLS 13000.
Se è stata utilizzata una versione precedente di Kaspersky Security Center, l'Administration Server nella rete può ricevere la connessione dai Network Agent tramite la porta non TLS 14000. Kaspersky Security Center supporta la connessione dei Network Agent anche tramite la porta 14000, ma è consigliabile utilizzare la porta TLS 13000.

Il punto di distribuzione era denominato "Update Agent" nelle versioni precedenti di Kaspersky Security Center.
I dispositivi gestiti (ad eccezione dei dispositivi mobili) richiedono l'attivazione tramite la porta TCP 17000. Ciò non è necessario se il dispositivo dispone già dell'accesso a Internet; in tal caso il dispositivo invia i dati ai server Kaspersky direttamente via Internet.
I dati dell'Administration Console basata su MMC vengono trasferiti ad Administration Server tramite la porta 13291. L'Administration Console può essere installata nello stesso dispositivo o in un altro dispositivo.
Nelle applicazioni presenti in un singolo dispositivo avviene lo scambio di traffico locale (nell'Administration Server o in un dispositivo gestito). Non è necessaria l'apertura di porte esterne.
Il dati inviati dall'Administration Server ai server Kaspersky (ad esempio, i dati KSN o le informazioni sulle licenze) e i dati inviati dai server Kaspersky all'Administration Server (ad esempio, gli aggiornamenti delle applicazioni e dei database anti-virus) vengono trasferiti tramite il protocollo HTTPS.
Se non si desidera concedere all'Administration Server l'accesso a Internet, è necessario gestire questi dati manualmente.
Kaspersky Security Center Web Console Server invia i dati all'Administration Server, che può essere installato nello stesso dispositivo o in un altro dispositivo, tramite la porta TLS 13299.
9a. I dati provenienti dal browser, installato in un altro dispositivo dell'amministratore, vengono trasferiti a Kaspersky Security Center Web Console Server tramite la porta TLS 8080. Kaspersky Security Center Web Console Server può essere installato in Administration Server o in un altro dispositivo.
Solo per i dispositivi mobili Android: i dati provenienti dall'Administration Server vengono trasferiti ai server Google. Questa connessione viene utilizzata per segnalare ai dispositivi mobili Android che è necessaria la connessione all'Administration Server. Successivamente vengono inviate le notifiche push ai dispositivi mobili.
Solo per i dispositivi mobili Android: le notifiche push provenienti dai server Google vengono inviate al dispositivo mobile. Questa connessione viene utilizzata per segnalare ai dispositivi mobili che è necessaria la connessione all'Administration Server.
Solo per i dispositivi mobili iOS: i dati provenienti dal server per dispositivi mobili MDM iOS vengono trasferiti ai server per le notifiche push Apple. Successivamente vengono inviate le notifiche push ai dispositivi mobili.
Solo per i dispositivi mobili iOS: le notifiche push vengono inviate dai server Apple al dispositivo mobile. Questa connessione viene utilizzata per segnalare ai dispositivi mobili iOS che è necessaria la connessione all'Administration Server.
Solo per i dispositivi mobili: i dati provenienti dall'applicazione gestita vengono trasferiti ad Administration Server (o al gateway di connessione) tramite la porta TLS 13292 / 13293, direttamente o tramite un proxy inverso.
Solo per i dispositivi mobili: i dati provenienti dal dispositivo mobile vengono trasferiti all'infrastruttura Kaspersky.
Se un dispositivo mobile non ha accesso a Internet, i dati vengono trasferiti all'Administration Server tramite la porta 17100 e l'Administration Server invia tali dati all'infrastruttura Kaspersky; tuttavia, questo scenario viene applicato molto raramente.
Le richieste di pacchetti provenienti dai dispositivi gestiti, inclusi i dispositivi mobili, vengono trasferite al server Web, che si trova nello stesso dispositivo in cui si trova Administration Server.
Solo per i dispositivi mobili iOS: i dati dal dispositivo mobile vengono trasferiti tramite la porta TLS 443 al server MDM iOS, che si trova sullo stesso dispositivo dell'Administration Server o sul gateway di connessione.

Vedere anche:

Accesso a Internet: Administration Server in una rete perimetrale

Inizio pagina

[Topic 158520]

Interazione dei componenti di Kaspersky Security Center e delle applicazioni di protezione: ulteriori informazioni

In questa sezione vengono forniti gli schemi per l'interazione dei componenti di Kaspersky Security Center e delle applicazioni di protezione gestite. Gli schemi forniscono i numeri delle porte che devono essere disponibili e i nomi dei processi che aprono tali porte.

In questa sezione

Administration Server e DBMS

Administration Server e Administration Console

Administration Server e dispositivo client: gestione dell'applicazione di protezione

Upgrade del software in un dispositivo client tramite un punto di distribuzione

Gerarchia di Administration Server: Administration Server primario e Administration Server secondario

Gerarchia di Administration server con un Administration Server secondario nella rete perimetrale

Administration Server, un gateway di connessione in un segmento di rete e un dispositivo client

Administration Server e due dispositivi nella rete perimetrale: un gateway di connessione e un dispositivo client

Administration Server e Kaspersky Security Center Web Console

Attivazione e gestione dell'applicazione di protezione in un dispositivo mobile

Vedere anche:

Inizio pagina

[Topic 158522]

Convenzioni utilizzate negli schemi di interazione

Nella seguente tabella sono fornite le convenzioni utilizzate negli schemi.

Convenzioni utilizzate nella documentazione

Icona	Significato
	Administration Server
	Administration Server secondario
	DBMS
	Dispositivo client (in cui sono installati Network Agent e un'applicazione della famiglia Kaspersky Endpoint Security o un'altra applicazione di protezione che può essere gestita da Kaspersky Security Center)
	Gateway di connessione
	Punto di distribuzione
	Dispositivo client mobile con Kaspersky Security for Mobile
	Browser nel dispositivo dell'utente
	Processo in esecuzione nel dispositivo e apertura di una porta
	Porta e relativo numero
	Traffico TCP (la direzione della freccia indica la direzione del flusso di traffico)
	Traffico UDP (la direzione della freccia indica la direzione del flusso di traffico)
	COM invoke
	Trasporto DBMS
	Limite della rete perimetrale

Inizio pagina

[Topic 158523]

Administration Server e DBMS

I dati di Administration Server vengono inseriti nel database SQL Server, MySQL o MariaDB.

Flusso di dati dall'Administration Server.

Administration Server e DBMS

Se si installa l'Administration Server e il database in diversi dispositivi, è necessario rendere disponibili le porte necessarie nel dispositivo in cui si trova il database (ad esempio la porta 3306 per il server MySQL o la porta 1433 per Microsoft SQL Server). Fare riferimento alla documentazione DBMS per le informazioni attinenti.

Vedere anche:

Interazione dei componenti di Kaspersky Security Center e delle applicazioni di protezione: ulteriori informazioni

Inizio pagina

[Topic 158545]

Administration Server e Administration Console

Administration Console si connette all'Administration Server tramite la porta TLS TCP 13291.

Administration Server e Administration Console

Per dettagli sullo schema, vedere la tabella di seguito.

Administration Server e Administration Console (traffico)

Dispositivo	Numero di porta	Nome del processo che apre la porta	Protocollo	TLS	Ambito della porta
Administration Server	13291	klserver	TCP	Sì	Ricezione delle connessioni da Administration Console

Vedere anche:

Interazione dei componenti di Kaspersky Security Center e delle applicazioni di protezione: ulteriori informazioni

Inizio pagina

[Topic 158525]

Administration Server e dispositivo client: gestione dell'applicazione di protezione

L'Administration Server riceve la connessione dai Network Agent tramite la porta SSL 13000 (vedere la figura seguente).

La porta e il suo numero si trovano sopra la linea che indica la connessione tra un componente KSC e un'applicazione gestita.

Administration Server e dispositivo client: gestione dell'applicazione di protezione, connessione tramite la porta 13000 (consigliata)

Se è stata utilizzata una versione precedente di Kaspersky Security Center, Administration Server nella rete può ricevere connessioni dai Network Agent tramite la porta non SSL 14000 (vedere la figura seguente). Anche Kaspersky Security Center 14.2 supporta la connessione dei Network Agent tramite la porta 14000, anche se è consigliabile utilizzare la porta SSL 13000.

Il dispositivo client si connette al Server tramite la porta TLS TCP 14000. Il Server si connette a un dispositivo client tramite la porta UDP 15000.

Administration Server e dispositivo client: gestione dell'applicazione di protezione, connessione tramite la porta 14000 (protezione inferiore)

Per le spiegazioni degli schemi, vedere la tabella seguente.

Administration Server e dispositivo client: gestione dell'applicazione di protezione (traffico)

Dispositivo	Numero di porta	Nome del processo che apre la porta	Protocollo	TLS (solo per TCP)	Ambito della porta
Network Agent	15000	klnagent	UDP	Null	Multicasting per Network Agent
Administration Server	13000	klserver	TCP	Sì	Ricezione delle connessioni dai Network Agent
Administration Server	14000	klserver	TCP	No	Ricezione delle connessioni dai Network Agent

Vedere anche:

Interazione dei componenti di Kaspersky Security Center e delle applicazioni di protezione: ulteriori informazioni

Inizio pagina

[Topic 158532]

Upgrade del software in un dispositivo client tramite un punto di distribuzione

Il dispositivo client si connette al punto di distribuzione tramite la porta 13000 e, se si utilizza il punto di distribuzione come server push, anche tramite la porta 13295; il punto di distribuzione esegue la distribuzione multicast ai Network Agent tramite la porta 15000 (vedere la figura seguente). Gli aggiornamenti e i pacchetti di installazione vengono ricevuti da un punto di distribuzione tramite la porta 15001.

Upgrade del software tramite un punto di distribuzione.

Upgrade del software in un dispositivo client tramite un punto di distribuzione

Per dettagli sullo schema, vedere la tabella di seguito.

Upgrade del software tramite un punto di distribuzione (traffico)

Dispositivo	Numero di porta	Nome del processo che apre la porta	Protocollo	TLS (solo per TCP)	Ambito della porta
Network Agent	15000	klnagent	UDP	Null	Multicasting per Network Agent
Network Agent	15001	klnagent	UDP	Null	Ricezione di aggiornamenti e pacchetti di installazione da un punto di distribuzione
Punto di distribuzione	13000	klnagent	TCP	Sì	Ricezione delle connessioni dai Network Agent
Punto di distribuzione	13295	klnagent	TCP	Sì	Ricezione di connessioni dai dispositivi client (server push)

Vedere anche:

Interazione dei componenti di Kaspersky Security Center e delle applicazioni di protezione: ulteriori informazioni

Inizio pagina

[Topic 158529]

Gerarchia di Administration Server: Administration Server primario e Administration Server secondario

Lo schema (vedere la figura seguente) illustra come utilizzare la porta 13000 per garantire l'interazione tra più Administration Server combinati in una gerarchia.

Quando si combinano due Administration Server in una gerarchia, verificare che la porta 13291 sia accessibile in entrambi gli Administration Server. Administration Console si connette ad Administration Server tramite la porta 13291.

Successivamente, una volta che gli Administration Server sono combinati in una gerarchia, sarà possibile amministrarli entrambi utilizzando Administration Console connesso all'Administration Server primario. Di conseguenza, l'unico prerequisito è l'accessibilità della porta 13291 dell'Administration Server primario.

Un Administration Server primario riceve una connessione da un Administration Server secondario tramite la porta TLS TCP 13000.

Gerarchia di Administration Server: Administration Server primario e Administration Server secondario

Per dettagli sullo schema, vedere la tabella di seguito.

Gerarchia di Administration Server (traffico)

Dispositivo	Numero di porta	Nome del processo che apre la porta	Protocollo	TLS	Ambito della porta
Administration Server primario	13000	klserver	TCP	Sì	Ricezione delle connessioni dagli Administration Server secondari

Vedere anche:

Interazione dei componenti di Kaspersky Security Center e delle applicazioni di protezione: ulteriori informazioni

Creazione di una gerarchia di Administration Server: l'aggiunta un Administration Server secondario

Inizio pagina

[Topic 158530]

Gerarchia di Administration server con un Administration Server secondario nella rete perimetrale

Server secondario nella rete perimetrale riceve una connessione da un server primario tramite la porta TLS TCP 13000.

Gerarchia di Administration server con un Administration Server secondario nella rete perimetrale

Lo schema illustra una gerarchia di Administration Server in cui l'Administration Server secondario disponibile nella rete perimetrale riceve una connessione dall'Administration Server primario (vedere la tabella seguente per le spiegazioni dello schema). Quando si combinano due Administration Server in una gerarchia, verificare che la porta 13291 sia accessibile in entrambi gli Administration Server. Administration Console si connette ad Administration Server tramite la porta 13291.

Gerarchia di Administration Server con un Administration Server secondario nella rete perimetrale (traffico)

Dispositivo	Numero di porta	Nome del processo che apre la porta	Protocollo	TLS	Ambito della porta
Administration Server secondario	13000	klserver	TCP	Sì	Ricezione delle connessioni dall'Administration Server primario

Vedere anche:

Interazione dei componenti di Kaspersky Security Center e delle applicazioni di protezione: ulteriori informazioni

Configurazione della connessione di Administration Console ad Administration Server

Creazione di una gerarchia di Administration Server: l'aggiunta un Administration Server secondario

Inizio pagina

[Topic 158533]

Administration Server, un gateway di connessione in un segmento di rete e un dispositivo client

Un gateway accetta una connessione da Network Agent su un dispositivo client e la inoltra al Server tramite la porta TLS TCP 13000.

Administration Server, un gateway di connessione in un segmento di rete e un dispositivo client

Per dettagli sullo schema, vedere la tabella di seguito.

Administration Server, un gateway di connessione in un segmento di rete e un dispositivo client (traffico)

Dispositivo	Numero di porta	Nome del processo che apre la porta	Protocollo	TLS	Ambito della porta
Administration Server	13000	klserver	TCP	Sì	Ricezione delle connessioni dai Network Agent
Network Agent	13000	klnagent	TCP	Sì	Ricezione delle connessioni dai Network Agent

Vedere anche:

Interazione dei componenti di Kaspersky Security Center e delle applicazioni di protezione: ulteriori informazioni

Inizio pagina

[Topic 158534]

Administration Server e due dispositivi nella rete perimetrale: un gateway di connessione e un dispositivo client

Un gateway nella DMZ accetta una connessione da Network Agent sul dispositivo client e dal Server tramite la porta TLS TCP 13000.

Administration Server con un gateway di connessione e un dispositivo client nella rete perimetrale

Per dettagli sullo schema, vedere la tabella di seguito.

Administration Server con un gateway di connessione in un segmento di rete e un dispositivo client (traffico)

Dispositivo	Numero di porta	Nome del processo che apre la porta	Protocollo	TLS	Ambito della porta
Network Agent	13000	klnagent	TCP	Sì	Ricezione delle connessioni dai Network Agent

Vedere anche:

Interazione dei componenti di Kaspersky Security Center e delle applicazioni di protezione: ulteriori informazioni

Inizio pagina

[Topic 178949]

Administration Server e Kaspersky Security Center Web Console

Il server di Web Console si connette a OpenAPI tramite la porta TLS TCP 8080. Il Server è raggiungibile tramite OpenAPI mediante la porta TLS TCP 13299.

Administration Server e Kaspersky Security Center Web Console

Per dettagli sullo schema, vedere la tabella di seguito.

Administration Server e Kaspersky Security Center Web Console (traffico)

Dispositivo	Numero di porta	Nome del processo che apre la porta	Protocollo	TLS	Ambito della porta
Administration Server	13299	klserver	TCP	Sì	Ricezione delle connessioni da Kaspersky Security Center Web Console ad Administration Server tramite OpenAPI
Kaspersky Security Center Web Console Server o Administration Server	8080	Node.js: Server-side JavaScript	TCP	Sì	Ricezione delle connessioni da Kaspersky Security Center Web Console

Kaspersky Security Center Web Console può essere installato in Administration Server o in un altro dispositivo.

Vedere anche:

Interazione dei componenti di Kaspersky Security Center e delle applicazioni di protezione: ulteriori informazioni

Inizio pagina

[Topic 158535]

Attivazione e gestione dell'applicazione di protezione in un dispositivo mobile

Per la gestione di un'applicazione, il Server è connesso tramite la porta TLS TCP 13292. Per l'attivazione viene utilizzata la porta TLS TCP 17100.

Attivazione e gestione dell'applicazione di protezione in un dispositivo mobile

Per dettagli sullo schema, vedere la tabella di seguito.

Attivazione e gestione dell'applicazione di protezione in un dispositivo mobile (traffico)

Dispositivo	Numero di porta	Nome del processo che apre la porta	Protocollo	TLS	Ambito della porta
Administration Server	13292	klserver	TCP	Sì	Ricezione delle connessioni da Administration Console ad Administration Server
Administration Server	17100	klactprx	TCP	Sì	Ricezione delle connessioni per l'attivazione dell’applicazione dai dispositivi mobili

Vedere anche:

Interazione dei componenti di Kaspersky Security Center e delle applicazioni di protezione: ulteriori informazioni

Distribuzione di un sistema per la gestione tramite il protocollo Exchange ActiveSync

Inizio pagina

[Topic 171268]

Best practice per la distribuzione

Kaspersky Security Center è un'applicazione distribuita. Kaspersky Security Center include le seguenti applicazioni:

Administration Server - Il componente principale, progettato per la gestione dei dispositivi di un'organizzazione e l'archiviazione dei dati in un sistema DBMS.
Administration Console - Lo strumento di base per l'amministratore. Administration Console è distribuito insieme ad Administration Server, ma può anche essere installato singolarmente in uno o più dispositivi eseguiti dall'amministratore.
Network Agent – Utilizzato per gestire l'applicazione di protezione installata in un dispositivo, nonché per ottenere informazioni sul dispositivo e per trasferire queste informazioni ad Administration Server. I Network Agent vengono installati nei dispositivi di un'organizzazione.

La distribuzione di Kaspersky Security Center nella rete di un'organizzazione viene eseguita come segue:

Installazione di Administration Server
Installazione di Administration Console nel dispositivo dell'amministratore
Installazione di Network Agent e dell'applicazione di protezione nei dispositivi dell'organizzazione

In questa sezione

Guida all'hardening

Preparazione per la distribuzione

Distribuzione di Network Agent e dell'applicazione di protezione

Distribuzione di sistemi per la gestione dei dispositivi mobili

Inizio pagina

[Topic 245736]

Guida all'hardening

Kaspersky Security Center è progettato per l'esecuzione centralizzata delle attività di base di amministrazione e manutenzione nella rete di un'organizzazione. L'applicazione fornisce all'amministratore l'accesso a informazioni dettagliate sul livello di sicurezza della rete dell'organizzazione. Kaspersky Security Center consente di configurare tutti i componenti della protezione creati utilizzando le applicazioni Kaspersky.

Kaspersky Security Center Administration Server ha accesso completo alla gestione della protezione dei dispositivi client ed è il componente più importante del sistema di sicurezza dell'organizzazione. Pertanto, per Administration Server sono necessari metodi di protezione avanzati.

Prima della configurazione, creare una copia di backup di Kaspersky Security Center Administration Server utilizzando l'attività Backup dei dati di Administration Server o l'utilità klbackup e salvarla in una posizione sicura.

Nella Guida all'hardening, sono descritti i suggerimenti e le caratteristiche della configurazione di Kaspersky Security Center e dei suoi componenti, intesi a ridurre i rischi di compromissione.

La Guida all'hardening contiene le seguenti informazioni:

Selezione dell'architettura di Administration Server
Configurazione di una connessione sicura ad Administration Server
Configurazione degli account per l'accesso ad Administration Server
Gestione della protezione di Administration Server
Gestione della protezione dei dispositivi client
Configurazione della protezione per le applicazioni gestite
Manutenzione di Administration Server
Trasferimento di informazioni ad applicazioni di terzi
Suggerimenti sulla sicurezza per i sistemi informativi di terze parti

In questa sezione

Distribuzione di Administration Server

Sicurezza della connessione

Account e autenticazione

Gestione della protezione di Administration Server

Gestione della protezione dei dispositivi client

Configurazione della protezione per le applicazioni gestite

Manutenzione di Administration Server

Trasferimento di eventi a sistemi di terzi

Inizio pagina

[Topic 245772]

Distribuzione di Administration Server

Architettura di Administration Server

In generale, la scelta di un'architettura di gestione centralizzata dipende dalla posizione dei dispositivi protetti, dall'accesso da reti adiacenti, dagli schemi di distribuzione degli aggiornamenti del database e così via.

Nella fase iniziale dello sviluppo dell'architettura, si consiglia di familiarizzare con i componenti di Kaspersky Security Center e con le modalità di interazione tra essi, così come con gli schemi per il traffico dati e l'utilizzo delle porte.

Sulla base di queste informazioni, è possibile formare un'architettura che specifichi:

La posizione di Administration Server e le connessioni di rete
L'organizzazione delle aree di lavoro dell'amministratore e i metodi di connessione ad Administration Server
I metodi di distribuzione per Network Agent e il software di protezione
L'utilizzo dei punti di distribuzione
L'utilizzo di Administration Server virtuali
L'utilizzo di una gerarchia di Administration Server
Lo schema di aggiornamento del database anti-virus
Altri flussi informativi

Selezione di un dispositivo per l'installazione di Administration Server

Si consiglia di installare Administration Server in un server dedicato nell'infrastruttura dell'organizzazione. Se nel server non è installato altro software di terzi, è possibile configurare le impostazioni di sicurezza in base ai requisiti di Kaspersky Security Center, senza dipendere dai requisiti del software di terzi.

È possibile distribuire Administration Server in un server fisico o in un server virtuale. Verificare che il dispositivo selezionato soddisfi i requisiti hardware e software.

Posizione dell'Administration Server

I dispositivi gestiti da Administration Server possono essere posizionati come segue:

Su una rete locale (LAN)
Su internet
Nella zona perimetrale (DMZ)

Al contempo, Administration Server può trovarsi anche in diversi segmenti: industriale, aziendale e DMZ.

Se si utilizza Kaspersky Security Center per gestire la protezione di un segmento di rete isolato, si consiglia di distribuire Administration Server in un segmento della zona perimetrale (DMZ). In questo modo, è possibile organizzare una corretta segmentazione della rete e ridurre al minimo il flusso di traffico verso il segmento protetto, mantenendo al contempo le funzionalità di gestione completa e la distribuzione degli aggiornamenti.

Limitazione della distribuzione di Administration Server in un controller di dominio, un server terminal o un dispositivo utente

Si sconsiglia vivamente di installare Administration Server in un controller di dominio, un server terminal o un dispositivo utente.

Si consiglia di fornire la separazione funzionale dei nodi chiave di rete. Questo approccio consente di mantenere l'operatività di diversi sistemi quando un nodo si guasta o è compromesso. Al contempo, è possibile creare diversi criteri di sicurezza per ciascun nodo.

Ad esempio, le limitazioni di sicurezza generalmente applicate a un controller di dominio possono ridurre significativamente le prestazioni di Administration Server e rendere impossibile l'utilizzo di alcune funzionalità di Administration Server. Se un intruso ottiene l'accesso privilegiato al controller di dominio, il database di AD DS (Active Directory Domain Services) può essere modificato, danneggiato o distrutto. Inoltre, tutti i sistemi e gli account gestiti da Active Directory possono essere compromessi.

Account per l'installazione e l'esecuzione di Administration Server

Si consiglia di eseguire l'installazione di Administration Server con un account amministratore locale per evitare di utilizzare account di dominio per accedere al database di Administration Server. Un set di account richiesti e i loro diritti dipende dal tipo di DBMS selezionato, dalla posizione del DBMS e dal metodo di creazione del database di Administration Server.

Durante l'installazione di Kaspersky Security Center vengono creati automaticamente i gruppi KLAdmins e KLOperators. A questi gruppi vengono concesse le autorizzazioni per la connessione ad Administration Server e per l'elaborazione dei relativi oggetti.

A seconda del tipo di account utilizzato per l'installazione di Kaspersky Security Center, i gruppi KLAdmins e KLOperators vengono creati come segue:

Se l'applicazione è installata tramite un account utente incluso in un dominio, i gruppi vengono creati sia nel dispositivo Administration Server che nel dominio che include l'Administration Server.
Se l'applicazione è installata tramite un account di sistema, i gruppi vengono creati soltanto nel dispositivo Administration Server.

Per evitare di creare i gruppi KLAdmins e KLOperators nel dominio e, di conseguenza, fornire i privilegi per gestire Administration Server a un account esterno al dispositivo Administration Server, si consiglia di installare Kaspersky Security Center con un account locale.

Durante l'installazione di Administration Server, selezionare l'account che verrà utilizzato per avviare Administration Server come servizio. Per impostazione predefinita, l'applicazione crea un account locale denominato KL-AK-*, con il quale verrà eseguito il servizio Administration Server (il servizio klserver).

Se necessario, il servizio Administration Server può essere eseguito con l'account selezionato. A questo account devono essere concessi i diritti richiesti per accedere al DBMS. Per motivi di sicurezza, utilizzare un account senza privilegi per eseguire il servizio Administration Server.

Per evitare l'uso di impostazioni dell'account errate, si consiglia di generare l'account automaticamente.

Esclusione di Administration Server da un dominio

Se si utilizza Administration Server per proteggere gruppi di dispositivi di importanza critica, si sconsiglia di includere il dispositivo Administration Server nel dominio. In questo modo, è possibile differenziare i diritti di gestione di Kaspersky Security Center e impedire l'accesso ad Administration Server nel caso in cui l'account di dominio venga compromesso.

Tenere presente che se si installa Administration Server in un dispositivo incluso nel gruppo di lavoro, i seguenti scenari di utilizzo di Administration Server non saranno disponibili:

Utilizzo di un cluster di failover Kaspersky Security Center
Utilizzo di un cluster di failover di Windows Server
Utilizzo di SQL Server in un dispositivo separato
È possibile utilizzare SQL Server in un dispositivo separato solo se Administration Server e SQL Server sono inclusi nel dominio.
Installazione remota con gli strumenti di Administration Server tramite i criteri di gruppo di Active Directory

Se è necessario disconnettere Administration Server dal dominio Active Directory, attenersi alla procedura descritta nell'argomento: Come modificare il nome di Kaspersky Security Center.

Se è necessario installare Administration Server in un dispositivo incluso nel gruppo di lavoro, è possibile utilizzare anche Kaspersky Security Center Linux anziché Kaspersky Security Center Windows.

Inizio pagina

[Topic 245773]

Sicurezza della connessione

Utilizzo di TLS

Si consiglia di vietare le connessioni non sicure ad Administration Server. Ad esempio, è possibile vietare le connessioni che utilizzano HTTP nelle impostazioni di Administration Server.

Si noti che, per impostazione predefinita, diverse porte HTTP di Administration Server sono chiuse. La porta rimanente viene utilizzata per il server Web di Administration Server (8060). Questa porta può essere limitata dalle impostazioni del firewall del dispositivo Administration Server.

Impostazioni TLS rigorose

Si consiglia di utilizzare il protocollo TLS versione 1.2 e successive e di limitare o vietare gli algoritmi di criptaggio non sicuri.

È possibile configurare i protocolli di criptaggio (TLS) utilizzati da Administration Server. Si noti che al momento del rilascio di una versione di Administration Server, le impostazioni del protocollo di criptaggio sono configurate per impostazione predefinita per garantire un trasferimento sicuro dei dati.

Limitazione dell'accesso al database di Administration Server

Si consiglia di limitare l'accesso al database di Administration Server. Ad esempio, concedere l'accesso solo dal dispositivo Administration Server. In questo modo, si riduce la probabilità che il database di Administration Server venga compromesso a causa di vulnerabilità note.

È possibile configurare i parametri in base alle istruzioni operative del database utilizzato, nonché fornire porte chiuse sui firewall.

Divieto di autenticazione remota tramite account Windows

È possibile utilizzare il contrassegno LP_RestrictRemoteOsAuth per vietare le connessioni SSPI da indirizzi remoti. Questo contrassegno consente di vietare l'autenticazione remota in Administration Server utilizzando account Windows locali o di dominio.

Per commutare il contrassegno LP_RestrictRemoteOsAuth nella modalità di divieto delle connessioni dagli indirizzi remoti:

Eseguire il prompt dei comandi di Windows con diritti di amministratore, quindi modificare la directory corrente nella directory con l'utilità klscflag. L'utilità klscflag si trova nella cartella in cui è installato Administration Server. Il percorso di installazione predefinito è <Disco>:\Programmi (x86)\ Kaspersky Lab\ Kaspersky Security Center.
Eseguire il comando riportato di seguito nella riga di comando per specificare il valore del contrassegno LP_RestrictRemoteOsAuth:
klscflag.exe -fset -pv .core/.independent -s KLLIM -n LP_RestrictRemoteOsAuth -t d -v 1
Riavviare il servizio Administration Server.

Il contrassegno LP_RestrictRemoteOsAuth non funziona se l'autenticazione remota viene eseguita tramite Kaspersky Security Center Web Console o Administration Console installato nel dispositivo Administration Server.

Autenticazione di Microsoft SQL Server

Se Kaspersky Security Center utilizza Microsoft SQL Server come DBMS, è necessario proteggere i dati di Kaspersky Security Center trasferiti da o verso il database e i dati archiviati nel database da accessi non autorizzati. A tale scopo, è necessario proteggere la comunicazione tra Kaspersky Security Center e SQL Server. Il modo più affidabile per garantire comunicazioni sicure è installare Kaspersky Security Center e SQL Server nello stesso dispositivo e utilizzare il meccanismo di memoria condivisa per entrambe le applicazioni. In tutti gli altri casi, è consigliabile utilizzare un certificato SSL/TLS per autenticare l'istanza di SQL Server.

Configurazione di una lista di indirizzi IP consentiti per la connessione ad Administration Server

Per impostazione predefinita, gli utenti possono accedere a Kaspersky Security Center da qualsiasi dispositivo in cui possono aprire Kaspersky Security Center Web Console o in cui è installata Administration Console basata su MMC. Tuttavia, è possibile configurare Administration Server in modo che gli utenti possano connettersi ad esso solo da dispositivi con indirizzi IP consentiti. In questo caso, anche se un utente malintenzionato sottrae un account Kaspersky Security Center, sarà in grado di accedere a Kaspersky Security Center solo dagli indirizzi IP presenti nella lista consentiti.

Inizio pagina

[Topic 245774]

Account e autenticazione

Prima di eseguire i seguenti passaggi, creare una copia di backup di Kaspersky Security Center Administration Server utilizzando Backup dei dati di Administration Server o l'utilità klbackup e salvarla in una posizione sicura.

Utilizzo della verifica in due passaggi con Administration Server

Kaspersky Security Center fornisce la verifica in due passaggi per gli utenti di Kaspersky Security Center Web Console e Administration Console, basata sullo standard RFC 6238 (algoritmo TOTP, Time-based One-time Password).

Quando la verifica in due passaggi è abilitata per il proprio account, ogni volta che si accede a Kaspersky Security Center Web Console o Administration Console è necessario immettere il nome utente, la password e un codice di sicurezza monouso aggiuntivo. Se si utilizza l'autenticazione del dominio per il proprio account, è sufficiente immettere un codice di sicurezza monouso aggiuntivo. Per ricevere un codice di sicurezza monouso è necessario installare un'app di autenticazione nel computer o nel dispositivo mobile.

Esistono autenticatori software e hardware (token) che supportano lo standard RFC 6238. Ad esempio, gli autenticatori software includono Google Authenticator, Microsoft Authenticator, FreeOTP.

Si sconsiglia vivamente di installare l'app di autenticazione nello stesso dispositivo da cui viene stabilita la connessione ad Administration Server. È possibile installare un'app di autenticazione nel dispositivo mobile.

Utilizzo dell'autenticazione a due fattori per un sistema operativo

Si consiglia di utilizzare l'autenticazione a più fattori (MFA) per l'autenticazione nel dispositivo Administration Server utilizzando un token, una smart card o un altro metodo (se possibile).

Divieto di salvare la password amministratore

Se si utilizza Administration Console, si sconsiglia di salvare la password dell'amministratore nella finestra di dialogo di connessione di Administration Server.

Se si utilizza Kaspersky Security Center Web Console, si sconsiglia di salvare la password amministratore nel browser installato nel dispositivo dell'utente.

Autenticazione di un account utente interno

Per impostazione predefinita, la password di un account utente interno di Administration Server deve rispettare le seguenti regole:

La password deve avere una lunghezza compresa tra 8 e 16 caratteri.
La password deve contenere caratteri da almeno tre dei gruppi elencati di seguito:
- Lettere maiuscole (A-Z)
- Lettere minuscole (a-z)
- Numeri (0-9)
- Caratteri speciali (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;)
La password non deve contenere spazi, caratteri Unicode o la combinazione di "." e "@", quando "." si trova prima di "@".

Per impostazione predefinita, il numero massimo di tentativi di immissione della password consentiti è 10. È possibile modificare il numero di tentativi di immissione della password consentiti.

L'utente di Kaspersky Security Center può immettere una password non valida un numero limitato di volte. Una volta raggiunto il limite, l'account utente viene bloccato per un'ora.

Gruppo di amministrazione dedicato per Administration Server

Si consiglia di creare un gruppo di amministrazione dedicato per Administration Server. Concedere a questo gruppo diritti di accesso speciali e creare un criterio di sicurezza speciale per lo stesso.

Per evitare di abbassare intenzionalmente il livello di sicurezza di Administration Server, si consiglia di limitare l'elenco degli account che possono gestire il gruppo di amministrazione dedicato.

I gruppi KLAdmins e KLOperators

Durante l'installazione di Kaspersky Security Center vengono creati automaticamente i gruppi KLAdmins e KLOperators. Al gruppo KLAdmins vengono concessi tutti i diritti di accesso. Al gruppo KLOperators sono concessi solo i diritti di lettura ed esecuzione. I diritti concessi al gruppo KLAdmins sono bloccati.

È possibile visualizzare i gruppi KLAdmins e KLOperators e apportare modifiche a questi utilizzando gli strumenti di amministrazione standard del sistema operativo.

Quando si sviluppano i regolamenti per l'utilizzo di Administration Server, è necessario determinare se lo specialista della sicurezza delle informazioni richiede l'accesso completo (e l'inclusione nel gruppo KLAdmins) per eseguire le attività standard.

La maggior parte delle attività amministrative di base può essere distribuita tra reparti aziendali (o diversi dipendenti dello stesso reparto) e di conseguenza tra diversi account. In Kaspersky Security Center, è inoltre possibile impostare la differenziazione dell'accesso ai gruppi di amministrazione. Di conseguenza, è possibile implementare uno scenario in cui l'autorizzazione per gli account del gruppo KLAdmins sarà anomala e potrebbe essere considerata un incidente.

Se Kaspersky Security Center è stato installato con un account di sistema, i gruppi vengono creati solo nel dispositivo Administration Server. In questo caso, si consiglia di verificare che nel gruppo siano incluse solo le voci create durante l'installazione di Kaspersky Security Center. Si sconsiglia di aggiungere gli eventuali gruppi al gruppo KLAdmins (locale e/o di dominio) creato automaticamente durante l'installazione di Kaspersky Security Center. È inoltre necessario limitare i diritti per modificare questo gruppo. Il gruppo KLAdmins deve includere solo singoli account senza privilegi.

Se l'installazione è stata eseguita con un account utente di dominio, i gruppi KLAdmins e KLOperators vengono creati sia in Administration Server che nel dominio che include Administration Server. Si consiglia un approccio simile come l'installazione di un account locale.

Limitazione dell'appartenenza al ruolo di amministratore principale

Si consiglia di limitare l'appartenenza al ruolo di amministratore principale.

Per impostazione predefinita, dopo l'installazione di Administration Server, il ruolo di amministratore principale viene assegnato al gruppo di amministratori locali e al gruppo KLAdmins creato. È utile per la gestione, ma è fondamentale dal punto di vista della sicurezza, poiché il ruolo di amministratore principale ha una vasta gamma di privilegi. L'assegnazione di questo ruolo agli utenti dovrebbe essere strettamente regolamentata.

Gli amministratori locali possono essere esclusi dall'elenco di utenti con privilegi di amministratore di Kaspersky Security Center. Il ruolo di amministratore principale non può essere rimosso dal gruppo KLAdmins. È possibile includere nel gruppo KLAdmins gli account che verranno utilizzati per gestire Administration Server.

Se si utilizza l'autenticazione del dominio, si consiglia di limitare i privilegi degli account amministratore di dominio in Kaspersky Security Center. Per impostazione predefinita, questi account hanno il ruolo di amministratore principale. Inoltre, un amministratore di dominio può includere il proprio account nel gruppo KLAdmins per ottenere il ruolo di amministratore principale. Per evitare questo, nelle impostazioni di sicurezza di Kaspersky Security Center è possibile aggiungere il gruppo Domain Users e quindi definire le relative regole di divieto. Queste regole devono avere la precedenza su quelle di autorizzazione.

È inoltre possibile utilizzare i ruoli utente predefiniti con un set di diritti già configurato.

Configurazione dei diritti di accesso alle funzionalità dell'applicazione

Si consiglia di utilizzare una configurazione flessibile dei diritti di accesso alle funzionalità di Kaspersky Security Center per ciascun utente o gruppo di utenti.

Il controllo degli accessi in base al ruolo consente la creazione di ruoli utente standard con un set di diritti predefinito e l'assegnazione di tali ruoli agli utenti sulla base dell'ambito delle relative mansioni lavorative.

Principali vantaggi del modello di controllo degli accessi in base al ruolo:

Amministrazione semplificata
Gerarchia dei ruoli
Approccio con privilegio minimo
Separazione dei compiti

È possibile assegnare ruoli predefiniti a determinati dipendenti in base alle loro posizioni o creare ruoli completamente nuovi.

Durante la configurazione dei ruoli, prestare attenzione ai privilegi associati alla modifica dello stato della protezione del dispositivo Administration Server e all'installazione remota di software di terzi:

Gestione dei gruppi di amministrazione.
Operazioni con Administration Server.
Installazione remota.
Modifica dei parametri per l’archiviazione di eventi e l’invio delle notifiche.
Questo privilegio consente di impostare notifiche che eseguono uno script o un modulo eseguibile nel dispositivo Administration Server quando si verifica un evento.

Account separato per l'installazione remota delle applicazioni

Oltre alla differenziazione di base dei diritti di accesso, si consiglia di limitare l'installazione remota delle applicazioni per tutti gli account (ad eccezione dell'amministratore principale o di un altro account specializzato).

Si consiglia di utilizzare un account separato per l'installazione remota delle applicazioni. È possibile assegnare un ruolo o autorizzazioni all'account separato.

Protezione degli accessi privilegiati di Windows

Si consiglia di consultare i suggerimenti di Microsoft per garantire la sicurezza degli accessi privilegiati. Per visualizzare questi suggerimenti, consultare l'articolo Protezione degli accessi privilegiati.

Uno dei punti chiave dei suggerimenti è l'implementazione di workstation ad accesso privilegiato (PAW, Privileged Access Workstation).

Utilizzo di un account MSA (Managed Service Account) o di account gMSA (group Managed Service Account) per eseguire il servizio Administration Server

Active Directory dispone di un tipo speciale di account per l'esecuzione sicura dei servizi, denominati MSA/gMSA. Kaspersky Security Center supporta gli account MSA e gli account gMSA. Se nel dominio vengono utilizzati questi tipi di account, è possibile selezionarne uno come account del servizio Administration Server.

Controllo periodico di tutti gli utenti

Si consiglia di eseguire un controllo periodico di tutti gli utenti sul dispositivo Administration Server. In questo modo, è possibile rispondere a determinati tipi di minacce alla sicurezza associate alla possibile compromissione del dispositivo.

Inizio pagina

[Topic 245776]

Gestione della protezione di Administration Server

Selezione di un software di protezione di Administration Server

A seconda del tipo di distribuzione di Administration Server e della strategia di protezione generale, selezionare l'applicazione per proteggere il dispositivo Administration Server.

Se si distribuisce Administration Server in un dispositivo dedicato, si consiglia di selezionare l'applicazione Kaspersky Endpoint Security per proteggere il dispositivo Administration Server. In questo modo, è possibile applicare tutte le tecnologie disponibili per proteggere il dispositivo Administration Server, inclusi i moduli di analisi del comportamento.

Se Administration Server è installato in un dispositivo esistente nell'infrastruttura ed è stato utilizzato in precedenza per altre attività, si consiglia di prendere in considerazione il seguente software di protezione:

Kaspersky Industrial CyberSecurity for Nodes. Si consiglia di installare questa applicazione nei dispositivi inclusi in una rete industriale. Kaspersky Industrial CyberSecurity for Nodes è un'applicazione che dispone di certificati di compatibilità con vari produttori di software industriale.
Prodotti di sicurezza suggeriti. Se Administration Server è installato in un dispositivo con altro software, si consiglia di consultare i suggerimenti del fornitore del software sulla compatibilità delle soluzioni di sicurezza (potrebbero già essere disponibili suggerimenti per la selezione di una soluzione di sicurezza e potrebbe essere necessario configurare l'area attendibile).

Creazione di un criterio di sicurezza separato per l'applicazione di protezione

Si consiglia di creare un criterio di sicurezza separato per l'applicazione che protegge il dispositivo Administration Server. Questo criterio deve essere diverso dal criterio di sicurezza per i dispositivi client. In questo modo, è possibile specificare le impostazioni di sicurezza più appropriate per Administration Server, senza influire sul livello di protezione di altri dispositivi.

Si consiglia di dividere i dispositivi in gruppi e quindi di inserire il dispositivo Administration Server in un gruppo separato per il quale è possibile creare criteri di sicurezza speciali.

Moduli di protezione

In assenza di suggerimenti speciali da parte del fornitore del software di terzi installato nello stesso dispositivo di Administration Server, si consiglia di attivare e configurare tutti i moduli di protezione disponibili (dopo aver verificato il funzionamento di tali moduli di protezione per un certo periodo di tempo).

Configurazione del firewall del dispositivo Administration Server

Nel dispositivo Administration Server, si consiglia di configurare il firewall in modo da limitare il numero di dispositivi da cui gli amministratori possono connettersi ad Administration Server tramite Administration Console o Kaspersky Security Center Web Console.

Per impostazione predefinita, Administration Server utilizza la porta 13291 per ricevere connessioni da Administration Console e la porta 13299 per ricevere connessioni da Kaspersky Security Center Web Console. Si consiglia di limitare il numero di dispositivi da cui è possibile gestire Administration Server utilizzando queste porte.

Divieto di avviare il pannello di controllo

Se Administration Server viene installato in un dispositivo in cui viene eseguito Microsoft Windows e l'applicazione di protezione viene utilizzata con il modulo Application Launch Control, è possibile impedire l'avvio del pannello di controllo (control.exe) per gli utenti senza privilegi, ad esempio il gruppo di amministratori.

Dopo aver creato le regole di controllo di divieto specificate per l'avvio dell'applicazione, gli utenti con i privilegi del ruolo di amministratore predefinito perdono la possibilità di controllare altri account di rete, inclusa la modifica dei loro accessi e password.

Inizio pagina

[Topic 245787]

Gestione della protezione dei dispositivi client

Limitazione dell'aggiunta di chiavi di licenza ai pacchetti di installazione

I pacchetti di installazione sono archiviati nella cartella condivisa di Administration Server, nella sottocartella Pacchetti. Se si aggiunge una chiave di licenza a un pacchetto di installazione, la chiave di licenza potrebbe essere compromessa poiché i diritti di accesso in lettura condivisi sono abilitati per l'archivio dei pacchetti di installazione.

Per evitare di compromettere la chiave di licenza, si sconsiglia di aggiungere chiavi di licenza ai pacchetti di installazione.

Si consiglia di utilizzare la distribuzione automatica delle chiavi di licenza ai dispositivi gestiti, la distribuzione tramite l'attività Aggiungi chiave di licenza per un'applicazione gestita e aggiungere manualmente un codice di attivazione o un file chiave ai dispositivi.

Regole automatiche per lo spostamento dei dispositivi tra i gruppi di amministrazione

Si consiglia di limitare l'uso delle regole automatiche per lo spostamento dei dispositivi tra i gruppi di amministrazione.

Se si utilizzano regole automatiche per lo spostamento dei dispositivi, ciò potrebbe comportare la propagazione di criteri che forniscono più privilegi al dispositivo spostato rispetto a quelli di cui disponeva prima del riposizionamento.

Inoltre, lo spostamento di un dispositivo client in un altro gruppo di amministrazione può comportare la propagazione delle impostazioni dei criteri. Queste impostazioni dei criteri potrebbero non essere appropriate per la distribuzione a dispositivi guest e non attendibili.

Questo suggerimento non si applica all'allocazione iniziale una tantum dei dispositivi ai gruppi di amministrazione.

Requisiti di sicurezza per i punti di distribuzione e i gateway di connessione

I dispositivi con Network Agent installato possono fungere da punto di distribuzione ed eseguire le seguenti funzioni:

Distribuire gli aggiornamenti e i pacchetti di installazione ricevuti da Administration Server ai dispositivi client all'interno del gruppo.
Eseguire l'installazione remota di software di terzi e applicazioni Kaspersky nei dispositivi client.
Eseguire il polling della rete per rilevare nuovi dispositivi e aggiornare le informazioni sui dispositivi esistenti. Il punto di distribuzione può utilizzare gli stessi metodi di rilevamento dei dispositivi di Administration Server.

Posizionamento dei punti di distribuzione sulla rete dell'organizzazione utilizzati per:

Riduzione del carico su Administration Server
Ottimizzazione del traffico
Concessione all'Administration Server dell'accesso ai dispositivi in parti difficili da raggiungere della rete

Tenendo conto delle capacità disponibili, si consiglia di proteggere i dispositivi che fungono da punti di distribuzione da qualsiasi tipo di accesso non autorizzato (anche fisico).

Limitazione dell'assegnazione automatica dei punti di distribuzione

Per semplificare l'amministrazione e assicurare l'operatività della rete, si consiglia di utilizzare l'assegnazione automatica dei punti di distribuzione. Tuttavia, per le reti industriali e le reti di piccole dimensioni, si consiglia di evitare l'assegnazione automatica dei punti di distribuzione, poiché, ad esempio, le informazioni private degli account utilizzati per il push delle attività di installazione remota possono essere trasferite ai punti di distribuzione tramite il sistema operativo.

Per le reti industriali e le reti di piccole dimensioni, è possibile assegnare manualmente i dispositivi in modo che fungano da punti di distribuzione.

È inoltre possibile visualizzare il Rapporto sull'attività dei punti di distribuzione.

Inizio pagina

[Topic 246284]

Configurazione della protezione per le applicazioni gestite

Criteri delle applicazioni gestite

Si consiglia di creare un criterio per ogni tipo di applicazione utilizzata e componente di Kaspersky Security Center (Network Agent, Kaspersky Endpoint Security for Windows, Kaspersky Endpoint Agent e altri). Questo criterio deve essere applicato a tutti i dispositivi gestiti (il gruppo di amministrazione principale) o a un gruppo separato in cui i nuovi dispositivi gestiti vengono automaticamente spostati in base alle regole di spostamento configurate.

Indicazione della password per disabilitare la protezione e disinstallare l'applicazione

Per impedire agli intrusi di disabilitare le applicazioni di protezione Kaspersky, si consiglia vivamente di abilitare la protezione tramite password per disabilitare la protezione e disinstallare le applicazioni di protezione Kaspersky. È possibile impostare la password, ad esempio, per Kaspersky Endpoint Security for Windows, Kaspersky Security for Windows Server, Network Agent e altre applicazioni Kaspersky. Dopo aver abilitato la protezione tramite password, si consiglia di bloccare queste impostazioni chiudendo il "lucchetto".

Specificazione della password per la connessione manuale di un dispositivo client ad Administration Server (utilità klmover)

L'utilità klmover consente di connettere manualmente un dispositivo client ad Administration Server. Quando si installa Network Agent su un dispositivo client, l'utilità viene automaticamente copiata nella cartella di installazione di Network Agent.

Per impedire agli intrusi di spostare i dispositivi fuori dal controllo di Administration Server, si consiglia di abilitare la protezione tramite password per l'esecuzione dell'utilità klmover. Per abilitare la protezione con password, selezionare l'opzione Usa password di disinstallazione nelle impostazioni dei criteri di Network Agent.

L'utilità klmover richiede i diritti di amministratore locale. La protezione tramite password per l'esecuzione dell'utilità klmover può essere omessa per i dispositivi utilizzati senza diritti di amministratore locale.

L'abilitazione dell'opzione Usa password di disinstallazione abilita anche la protezione con password per lo strumento Cleaner (cleaner.exe).

Utilizzo di Kaspersky Security Network

In tutti i criteri delle applicazioni gestite e nelle proprietà di Administration Server, si consiglia di abilitare l'uso di Kaspersky Security Network (KSN) e di accettare l'Informativa KSN. Quando si aggiorna o si effettua l'upgrade di Administration Server, è possibile accettare l'Informativa KSN aggiornata. In alcuni casi, quando l'uso dei servizi cloud è vietato dalla legge o da altri regolamenti, è possibile disabilitare KSN.

Scansione regolare dei dispositivi gestiti

Per tutti i gruppi di dispositivi, si consiglia di creare un'attività che esegua periodicamente una scansione completa dei dispositivi.

Individuazione di nuovi dispositivi

Si consiglia di configurare correttamente le impostazioni di rilevamento dei dispositivi: impostare l'integrazione con Active Directory e specificare gli intervalli di indirizzi IP per il rilevamento di nuovi dispositivi.

Per motivi di sicurezza, è possibile utilizzare il gruppo di amministrazione predefinito che include tutti i nuovi dispositivi e i criteri predefiniti che interessano questo gruppo.

Selezione di una cartella condivisa

Se si distribuisce Administration Server nel dispositivo in cui viene eseguito Windows con la selezione di una cartella condivisa esistente (utilizzata, ad esempio, per l'inserimento dei pacchetti di installazione e l'archiviazione dei database aggiornati), si consiglia di verificare che i diritti di lettura siano concessi al gruppo Everyone, e i diritti di scrittura sono concessi al gruppo KLAdmins.

Inizio pagina

[Topic 245777]

Manutenzione di Administration Server

Copia di backup dei dati di Administration Server

Backup dei dati consente di ripristinare i dati di Administration Server senza perdita di dati.

Per impostazione predefinita, un'attività di backup dei dati viene creata automaticamente dopo l'installazione di Administration Server e viene eseguita periodicamente, salvando i backup nella directory appropriata.

Le impostazioni dell'attività di backup dei dati possono essere modificate come segue:

La frequenza di backup aumenta
Viene specificata una directory speciale per il salvataggio delle copie
Le password per le copie di backup sono state modificate

Se si archiviano copie di backup in una directory speciale, diversa dalla directory predefinita, si consiglia di limitare l'elenco di controllo di accesso (ACL, Access Control List) per questa directory. Gli account di Administration Server e gli account del database di Administration Server devono disporre dell'accesso in scrittura per questa directory.

Manutenzione di Administration Server

La manutenzione di Administration Server consente di ridurre il volume del database e migliorare le prestazioni e l'affidabilità delle operazioni dell'applicazione. È consigliabile eseguire la manutenzione di Administration Server almeno ogni settimana.

La manutenzione di Administration Server viene eseguita tramite un'attività specializzata. Durante la manutenzione di Administration Server, l'applicazione esegue le azioni seguenti:

Verifica se sono presenti errori nel database
Riorganizza gli indici del database
Aggiorna le statistiche del database
Riduce le dimensioni del database (se necessario)

Installazione degli aggiornamenti del sistema operativo e degli aggiornamenti software di terzi

Si consiglia vivamente di installare periodicamente gli aggiornamenti software per il sistema operativo e il software di terzi nel dispositivo Administration Server.

I dispositivi client non richiedono una connessione continua ad Administration Server, quindi è possibile riavviare il dispositivo Administration Server in modo sicuro dopo aver installato gli aggiornamenti. Tutti gli eventi registrati nei dispositivi client durante il periodo di inattività di Administration Server vengono inviati ad esso dopo il ripristino della connessione.

Inizio pagina

[Topic 245779]

Trasferimento di eventi a sistemi di terzi

Monitoraggio e generazione dei rapporti

Per una risposta tempestiva agli incidenti di sicurezza, si consiglia di configurare le funzionalità di monitoraggio e generazione dei rapporti.

Esportazione di eventi nei sistemi SIEM

Per il rilevamento rapido degli incidenti prima che si verifichino danni significativi, si consiglia di utilizzare l'esportazione degli eventi in un sistema SIEM.

Notifiche e-mail degli eventi di controllo

Kaspersky Security Center consente di ricevere informazioni sugli eventi che si verificano durante l'esecuzione di Administration Server e delle applicazioni Kaspersky installate nei dispositivi gestiti. Per una risposta tempestiva alle emergenze, si consiglia di configurare Administration Server in modo che invii notifiche sugli eventi di controllo, gli eventi critici, gli eventi di errore e gli avvisi pubblicati.

Poiché questi eventi sono eventi interni al sistema, è prevedibile che se ne verifichino pochi; si tratta di una situazione abbastanza normale per la posta.

Inizio pagina

[Topic 171265]

Preparazione per la distribuzione

Questa sezione descrive le operazioni che è necessario eseguire prima della distribuzione di Kaspersky Security Center.

In questa sezione

Pianificazione della distribuzione di Kaspersky Security Center

Preparazione per Mobile Device Management

Informazioni sulle prestazioni di Administration Server

Impostazioni di rete per l'interazione con servizi esterni

Inizio pagina

[Topic 92395]

Pianificazione della distribuzione di Kaspersky Security Center

Questa sezione contiene informazioni sulle opzioni più convenienti per la distribuzione dei componenti di Kaspersky Security Center nella rete di un'organizzazione a seconda dei seguenti criteri:

Numero totale di dispositivi
Unità (sedi locali, filiali) separate a livello organizzativo o geografico
Reti distinte connesse tramite canali con larghezza di banda ridotta
Necessità dell'accesso via Internet all'Administration Server

In questa sezione

Schemi tipici di distribuzione di un sistema di protezione

Informazioni sulla pianificazione della distribuzione di Kaspersky Security Center nella rete di un'organizzazione

Selezione di una struttura per la protezione di un'azienda

Configurazioni standard di Kaspersky Security Center

Selezione di un DBMS

Configurazione del server MariaDB x64 per l'utilizzo con Kaspersky Security Center 14.2

Configurazione del server MySQL x64 per l'utilizzo con Kaspersky Security Center 14.2

Configurazione del server PostgreSQL o Postgres per l'utilizzo con Kaspersky Security Center 14.2

Gestione dei dispositivi mobili con Kaspersky Endpoint Security for Android

Concessione dell'accesso via Internet all'Administration Server

Aumento del limite dei descrittori di file per il servizio klnagent

Calcolo del numero e configurazione dei punti di distribuzione

Administration Server virtuali

Informazioni sulle limitazioni di Kaspersky Security Center

Carico di rete

Vedere anche:

Configurazione standard dei punti di distribuzione: singola sede

Inizio pagina

[Topic 54318]

Schemi tipici di distribuzione di un sistema di protezione

In questa sezione vengono descritti gli schemi standard per la distribuzione di un sistema di protezione anti-virus in una rete aziendale tramite Kaspersky Security Center.

Il sistema deve essere protetto contro qualsiasi tipo di accesso non autorizzato. È consigliabile installare tutti gli aggiornamenti della protezione disponibili per il sistema operativo prima di installare l'applicazione nel dispositivo e proteggere fisicamente Administration Server e punti di distribuzione.

È possibile utilizzare Kaspersky Security Center per distribuire un sistema di protezione in una rete aziendale tramite i seguenti schemi di distribuzione:

Distribuzione di un sistema di protezione tramite Kaspersky Security Center, mediante uno dei seguenti modi:
- Tramite Administration Console
- Tramite Kaspersky Security Center Web Console
Le applicazioni Kaspersky vengono installate automaticamente nei dispositivi client che, a loro volta, vengono connessi automaticamente ad Administration Server utilizzando Kaspersky Security Center.

Lo schema di distribuzione di base prevede la distribuzione di un sistema di protezione tramite Administration Console. L'utilizzo di Kaspersky Security Center Web Console consente di avviare l'installazione delle applicazioni Kaspersky da un browser.
Distribuzione manuale di un sistema di protezione utilizzando pacchetti di installazione indipendenti generati da Kaspersky Security Center.
L'installazione delle applicazioni Kaspersky nei dispositivi client e nella workstation dell'amministratore viene eseguita manualmente; le impostazioni per la connessione dei dispositivi client ad Administration Server vengono specificate durante l'installazione di Network Agent.

Questo metodo di distribuzione è consigliato nei casi in cui l'installazione remota non è possibile.

Kaspersky Security Center consente inoltre di distribuire il sistema di protezione utilizzando i criteri di gruppo di Microsoft Active Directory.

Inizio pagina

[Topic 159344]

Informazioni sulla pianificazione della distribuzione di Kaspersky Security Center nella rete di un'organizzazione

Un solo Administration Server può supportare un massimo di 100.000 dispositivi. Se il numero totale di dispositivi nella rete di un'organizzazione è superiore a 100.000, è necessario distribuire più Administration Server nella rete e combinarli in una gerarchia per gestirli comodamente in modo centralizzato.

Se un'organizzazione include sedi locali remote su larga scala (filiali) con amministratori distinti, è consigliabile distribuire gli Administration Server in tali sedi. In caso contrario, tali filiali devono essere considerate reti distinte connesse tramite canali a basso throughput; vedere la sezione "Configurazione standard: poche sedi su larga scala gestite da amministratori distinti".

Quando si utilizzano reti distinte connesse tramite canali con larghezza di banda ridotta, è possibile ridurre il traffico assegnando a uno o più Network Agent il ruolo di punto di distribuzione (vedere la tabella per il calcolo del numero di punti di distribuzione). In questo caso, tutti i dispositivi in una rete distinta recupereranno gli aggiornamenti da tali centri di aggiornamento locali. I punti di distribuzione effettivi possono scaricare gli aggiornamenti sia da Administration Server (scenario predefinito) sia dai server Kaspersky in Internet (vedere la sezione "Configurazione standard: più sedi remote di piccole dimensioni").

La sezione "Configurazioni standard di Kaspersky Security Center" fornisce descrizioni dettagliate delle configurazioni standard di Kaspersky Security Center. Durante la pianificazione della distribuzione, scegliere la configurazione standard più adatta, in base alla struttura dell'organizzazione.

In fase di pianificazione della distribuzione, deve essere valutata l'assegnazione di uno speciale certificato X.509 all'Administration Server. L'assegnazione del certificato X.509 all'Administration Server può essere utile nei seguenti casi (elenco parziale):

Ispezione del traffico SSL (Secure Sockets Layer) per mezzo di un proxy con terminazione SSL o per l'utilizzo di un proxy inverso
Integrazione con l'infrastruttura PKI (Public Key Infrastructure) di un'organizzazione
Specificazione dei valori richiesti nei campi del certificato
Specificazione del livello di criptaggio richiesto di un certificato

Inizio pagina

[Topic 61818]

Selezione di una struttura per la protezione di un'azienda

La selezione di una struttura per la protezione di un'organizzazione viene definita dai seguenti fattori:

Topologia della rete dell'organizzazione.
Struttura dell'organizzazione.
Numero di dipendenti responsabili della protezione della rete e allocazione delle relative responsabilità.
Risorse hardware che possono essere allocate nei componenti di gestione della protezione.
Throughput dei canali di comunicazione che è possibile allocare per la manutenzione dei componenti della protezione nella rete dell'organizzazione.
Limiti di tempo per l'esecuzione di operazioni amministrative critiche nella rete dell'organizzazione. Le operazioni amministrative critiche includono, ad esempio, la distribuzione dei database anti-virus e la modifica dei criteri per i dispositivi client.

Quando si seleziona una struttura di protezione, è innanzitutto consigliabile effettuare una stima delle risorse hardware e di rete disponibili che è possibile utilizzare per l'esecuzione di un sistema di protezione centralizzato.

Per analizzare l'infrastruttura di rete e hardware, è consigliabile attenersi alla seguente procedura:

Definire le seguenti impostazioni della rete per cui verrà distribuita la protezione:
- Numero di segmenti di rete.
- Velocità dei canali di comunicazione tra i singoli segmenti di rete.
- Numero di dispositivi gestiti in ciascun segmento di rete.
- Throughput di ciascun canale di comunicazione che è possibile allocare per garantire il funzionamento della protezione.
Determinare il tempo massimo consentito per l'esecuzione delle operazioni di amministrazione chiave per tutti i dispositivi gestiti.
Analizzare le informazioni dei passaggi 1 e 2, oltre ai dati dai test di carico del sistema di amministrazione. In base all'analisi, rispondere alle seguenti domande:
- È possibile servire tutti i client con un solo Administration Server o è necessaria una gerarchia di Administration Server?
- Quale configurazione hardware di Administration Server è necessaria per gestire tutti i client nel rispetto dei limiti di tempo specificati al passaggio 2?
- È necessario utilizzare i punti di distribuzione per ridurre il carico sui canali di comunicazione?

Dopo aver ottenuto le risposte alle domande indicate nel passaggio 3, è possibile compilare un set di strutture consentite per la protezione dell'organizzazione.

Nella rete dell'organizzazione è possibile utilizzare una delle seguenti strutture di protezione standard:

Un solo Administration Server. Tutti i dispositivi client sono connessi a un solo Administration Server. Administration Server opera come punto di distribuzione.
Un solo Administration Server con punti di distribuzione. Tutti i dispositivi client sono connessi a un solo Administration Server. Alcuni dispositivi client della rete operano come punti di distribuzione.
Gerarchia di Administration server. Per ciascun segmento di rete viene allocato un singolo Administration Server, che entra a far parte di una gerarchia generale di Administration Server. L'Administration Server primario opera come punto di distribuzione.
Gerarchia di Administration Server con punti di distribuzione. Per ciascun segmento di rete viene allocato un singolo Administration Server, che entra a far parte di una gerarchia generale di Administration Server. Alcuni dispositivi client della rete operano come punti di distribuzione.

Vedere anche:

Configurazione standard: poche sedi su larga scala gestite da amministratori distinti

Configurazione standard: più sedi remote di piccole dimensioni

Configurazione standard: singola sede

Inizio pagina

[Topic 92240]

Configurazioni standard di Kaspersky Security Center

Questa sezione descrive le seguenti configurazioni standard utilizzate per la distribuzione dei componenti di Kaspersky Security Center nella rete di un'organizzazione:

Singola sede
Poche sedi su larga scala, separate a livello geografico e gestite da amministratori distinti
Più sedi di piccole dimensioni, separate a livello geografico

In questa sezione

Configurazione standard: poche sedi su larga scala gestite da amministratori distinti

Configurazione standard: più sedi remote di piccole dimensioni

Vedere anche:

Inizio pagina

[Topic 92241]

Configurazione standard: singola sede

È possibile distribuire uno o più Administration Server nella rete dell'organizzazione. Il numero di Administration Server che è possibile selezionare può essere basato sull'hardware disponibile o sul numero totale di dispositivi gestiti.

Un solo Administration Server può supportare fino a 100.000 dispositivi. È necessario tenere conto della possibilità di aumentare il numero di dispositivi gestiti in futuro: può essere utile connettere un numero più limitato di dispositivi a un singolo Administration Server.

Gli Administration Server possono essere distribuiti nella rete interna o nella rete perimetrale, a seconda del fatto che sia necessario o meno l'accesso via Internet agli Administration Server.

Se vengono utilizzati più server, è consigliabile combinarli in una gerarchia. L'utilizzo di una gerarchia di Administration Server consente di evitare la duplicazione di criteri e attività e di amministrare l'intero set di dispositivi gestiti come se fossero gestiti da un singolo Administration Server (ricerca di dispositivi, creazione di selezioni di dispositivi e generazione di rapporti).

Vedere anche:

Requisiti per un punto di distribuzione

Informazioni sui profili di connessione per gli utenti fuori sede

Inizio pagina

[Topic 92242]

Configurazione standard: poche sedi su larga scala gestite da amministratori distinti

Se un'organizzazione ha diverse sedi su larga scala e geograficamente distanti, è necessario prendere in considerazione l'opzione di distribuire Administration Server in ciascuna sede. Per ogni sede possono essere distribuiti uno o più server di amministrazione, a seconda del numero di dispositivi client e dell'hardware disponibile. In questo caso, ciascuna sede avrà le caratteristiche descritte nello scenario "Configurazione standard: singola sede". Per semplificare l'amministrazione è consigliabile combinare tutti gli Administration Server in una gerarchia (possibilmente multi-livello).

Se alcuni dipendenti si spostano da un ufficio all'altro con i propri dispositivi (laptop), creare profili di connessione di Network Agent nel criterio di Network Agent. I profili di connessione di Network Agent sono supportati solo per i dispositivi Windows e macOS.

Vedere anche:

Configurazione standard: singola sede

Inizio pagina

[Topic 92243]

Configurazione standard: più sedi remote di piccole dimensioni

Questa configurazione standard prevede una sede centrale e diverse sedi remote di piccole dimensioni che possono comunicare con la sede centrale tramite Internet. Ogni sede remota può essere posizionata dietro un NAT (Network Address Translation), quindi non è possibile stabilire alcuna connessione tra due sedi remote poiché sono isolate.

È necessario distribuire un Administration Server nella sede centrale e assegnare uno o più punti di distribuzione a tutte le altre sedi. Se le sedi sono collegate via Internet, può essere utile creare un'attività Scarica aggiornamenti negli archivi dei punti di distribuzione per i punti di distribuzione, in modo gli aggiornamenti vengano scaricati direttamente dai server di Kaspersky, dalla cartella locale o di rete, invece che da Administration Server.

Se alcuni dispositivi in una sede remota non hanno accesso diretto all'Administration Server (ad esempio, l'accesso all'Administration Server viene fornito via Internet ma alcuni dispositivi non hanno accesso a Internet), i punti di distribuzione devono essere impostati in modalità gateway di connessione. In questo caso, i Network Agent nei dispositivi della sede remota saranno connessi per l'ulteriore sincronizzazione all'Administration Server, ma attraverso il gateway, non direttamente.

Poiché in genere l'Administration Server non è in grado di eseguire il polling della rete della sede remota, può essere utile assegnare questa funzione a un punto di distribuzione.

L'Administration Server non potrà inviare notifiche tramite la porta UDP 15000 ai dispositivi gestiti posizionati dietro il NAT nella sede remota. Per risolvere questo problema, è possibile abilitare la modalità di connessione continua ad Administration Server nelle proprietà dei dispositivi che operano come punti di distribuzione (casella di controllo Non eseguire la disconnessione da Administration Server). Questa modalità è disponibile se il numero totale di punti di distribuzione non è superiore a 300. Utilizzare i server push per assicurarsi che vi sia una connettività costante tra un dispositivo gestito e l'Administration Server. Per ulteriori dettagli, fare riferimento al seguente argomento: Utilizzo di un punto di distribuzione come server push.

Vedere anche:

Concessione dell'accesso via Internet all'Administration Server

Inizio pagina

[Topic 92403]

Selezione di un DBMS

Durante la selezione del sistema di gestione database (DBMS) che deve essere utilizzato da un Administration Server, è necessario tenere conto del numero di dispositivi coperti dall'Administration Server.

Nella seguente tabella, sono elencate le opzioni DBMS valide, nonché i suggerimenti e le limitazioni per il relativo utilizzo.

Suggerimenti e limitazioni su DBMS

DBMS	Suggerimenti e limitazioni
SQL Server Express Edition 2012 o versione successiva	Utilizzare questo DBMS se si intende eseguire un singolo Administration Server per meno di 10.000 dispositivi. Si consiglia di disabilitare l'attività Inventario software e disabilitare (nelle impostazioni del criterio di Kaspersky Endpoint Security) le notifiche di Administration Server nelle applicazioni avviate. È possibile limitare il numero massimo di eventi nell'archivio eventi per evitare l'overflow del database. Fare riferimento al seguente argomento per i dettagli: Calcolo dello spazio del database. L'utilizzo simultaneo del DBMS SQL Server Express Edition da parte di Administration Server e di un'altra applicazione non è consentito. Il database Microsoft SQL Express non è supportato per l'attività Esegui sincronizzazione di Windows Update.
Edizione di SQL Server in locale diversa da Express, 2014 o versione successiva	Nessuna limitazione.
Edizione di SQL Server in remoto diversa da Express, 2014 o successiva	Valida solo se entrambi i dispositivi si trovano nello stesso dominio Windows. Se i domini sono differenti, è necessario stabilire una relazione di trust bidirezionale tra di essi.
MySQL 5.5, 5.6 o 5.7 in locale o in remoto (le versioni 5.5.1, 5.5.2, 5.5.3, 5.5.4 e 5.5.5 di MySQL non sono più supportate)	Utilizzare questo DBMS se si intende eseguire un singolo Administration Server per meno di 10.000 dispositivi. Si consiglia di disabilitare l'attività Inventario software e disabilitare (nelle impostazioni del criterio di Kaspersky Endpoint Security) le notifiche di Administration Server nelle applicazioni avviate. Fare riferimento al seguente argomento per i dettagli: Calcolo dello spazio del database.
MySQL 8.0.20 locale o remoto o versioni successive	Utilizzare questo DBMS se si intende eseguire un singolo Administration Server per meno di 50.000 dispositivi. Si consiglia di disabilitare l'attività Inventario software e disabilitare (nelle impostazioni del criterio di Kaspersky Endpoint Security) le notifiche di Administration Server nelle applicazioni avviate. Fare riferimento al seguente argomento per i dettagli: Calcolo dello spazio del database.
MariaDB locale o remoto (vedere le versioni supportate)	Utilizzare questo DBMS se si intende eseguire un singolo Administration Server per meno di 20.000 dispositivi. Si consiglia di disabilitare l'attività Inventario software e disabilitare (nelle impostazioni del criterio di Kaspersky Endpoint Security) le notifiche di Administration Server nelle applicazioni avviate. Fare riferimento al seguente argomento per i dettagli: Calcolo dello spazio del database.
PostgreSQL, Postgres Pro (vedere le versioni supportate)	Come cartella locale, è necessario specificare una cartella nel dispositivo in cui è installato Administration Server. Si consiglia di disabilitare l'attività Inventario software e disabilitare (nelle impostazioni del criterio di Kaspersky Endpoint Security) le notifiche di Administration Server nelle applicazioni avviate. Fare riferimento al seguente argomento per i dettagli: Calcolo dello spazio del database.

Se si utilizza un DBMS PostgreSQL, MariaDB o MySQL, la scheda Eventi potrebbe mostrare un elenco incompleto di eventi per il dispositivo client selezionato. Questo si verifica quando il DBMS archivia una quantità molto elevata di eventi. È possibile aumentare il numero di eventi visualizzati effettuando una delle seguenti operazioni:

Rimozione degli eventi non necessari.
Riduzione del periodo di archiviazione per gli eventi non necessari.

Per visualizzare un elenco completo degli eventi registrati in Administration Server per il dispositivo, utilizzare Rapporti.

Se si utilizza SQL Server 2019 come DBMS e non si dispone della patch cumulativa CU12 o versione successiva, è necessario eseguire le seguenti operazioni dopo l'installazione di Kaspersky Security Center:

Stabilire la connessione a SQL Server utilizzando SQL Management Studio.
Eseguire il seguente comando (se è stato selezionato un nome diverso per il database, utilizza quel nome invece di KAV):
USE KAV

GO

ALTER DATABASE SCOPED CONFIGURATION SET TSQL_SCALAR_UDF_INLINING = OFF

GO
Riavviare il servizio SQL Server 2019.

In alternativa, l'utilizzo di SQL Server 2019 può generare errori, ad esempio "Memoria di sistema insufficiente nel pool di risorse 'interno' per l'esecuzione di questa query".

Vedere anche:

Concessione dell'accesso via Internet all'Administration Server

Inizio pagina

[Topic 210277]

Configurazione del server MariaDB x64 per l'utilizzo con Kaspersky Security Center 14.2

Kaspersky Security Center 14.2 supporta il DBMS MariaDB. Per ulteriori informazioni sulle versioni supportate di MariaDB, vedere la sezione Requisiti hardware e software.

Se si utilizza il DBMS MariaDB per Kaspersky Security Center, abilitare il supporto per InnoDB e l'archiviazione MEMORY, nonché per le codifiche UTF-8 e UCS-2.

Impostazioni consigliate per il file my.ini

Per configurare il file my.ini:

Aprire il file my.ini in un editor di testo.
Aggiungere le seguenti righe nella sezione [mysqld] del file my.ini:
sort_buffer_size=10M

join_buffer_size=100M

join_buffer_space_limit=300M

join_cache_level=8

tmp_table_size=512M

max_heap_table_size=512M

key_buffer_size=200M

innodb_buffer_pool_size=<valore>

innodb_thread_concurrency=20

innodb_flush_log_at_trx_commit=0

innodb_lock_wait_timeout=300

max_allowed_packet=32M

max_connections=151

max_prepared_stmt_count=12800

table_open_cache=60000

table_open_cache_instances=4

table_definition_cache=60000

Il valore di "innodb_buffer_pool_size non deve essere inferiore all'80% della dimensione del database KAV prevista. Si noti che la memoria specificata viene allocata all'avvio del server. Se la dimensione del database è inferiore alla dimensione del buffer specificata, viene allocata solo la memoria richiesta. Se si utilizza MariaDB 10.4.3 o versione precedente, la dimensione effettiva della memoria allocata è di circa il 10% maggiore rispetto alla dimensione del buffer specificata.

È consigliabile utilizzare il valore del parametro innodb_flush_log_at_trx_commit=0, perché i valori "1" o "2" influiscono negativamente sulla velocità di esecuzione di MariaDB. Assicurarsi che il parametro innodb_file_per_table sia impostato su 1.

Per MariaDB 10.6, immettere inoltre le seguenti righe nella sezione [mysqld]:

optimizer_prune_level=0

optimizer_search_depth=8

Per impostazione predefinita, i componenti aggiuntivi dell'ottimizzatore join_cache_incremental, join_cache_hashed e join_cache_bka sono abilitati. Se questi componenti aggiuntivi non sono abilitati, è necessario abilitarli.

Per verificare se i componenti aggiuntivi dell'ottimizzatore sono abilitati:

Nella console del client MariaDB eseguire il comando:
SELECT @@optimizer_switch;
Verificare che l'output del comando contenga le seguenti righe:
join_cache_incremental=on

join_cache_hashed=on

join_cache_bka=on

Se queste righe sono presenti e hanno il valore on, i componenti aggiuntivi dell'ottimizzatore sono abilitati.

Se queste righe non sono presenti o hanno il valore off, eseguire le seguenti operazioni:
1. Aprire il file my.ini in un editor di testo.
2. Aggiungere le seguenti righe nella sezione [mysqld] del file my.ini:
  optimizer_switch='join_cache_incremental=on'
  
  optimizer_switch='join_cache_hashed=on'
  
  optimizer_switch='join_cache_bka=on'

I componenti aggiuntivi join_cache_incremental, join_cache_hash e join_cache_bka vengono abilitati.

Inizio pagina

[Topic 220593]

Configurazione del server MySQL x64 per l'utilizzo con Kaspersky Security Center 14.2

Se si utilizza il DBMS MySQL per Kaspersky Security Center, abilitare il supporto per InnoDB e l'archiviazione MEMORY, nonché per le codifiche UTF-8 e UCS-2.

Impostazioni consigliate per il file my.ini

Per configurare il file my.ini:

Aprire il file my.ini in un editor di testo.
Aggiungere le seguenti righe nella sezione [mysqld] del file my.ini:
sort_buffer_size=10M

join_buffer_size=20M

tmp_table_size=600M

max_heap_table_size=600M

key_buffer_size=200M

innodb_buffer_pool_size=il valore reale non deve essere inferiore all'80% delle dimensioni previste del database KAV

innodb_thread_concurrency=20

innodb_flush_log_at_trx_commit=0 (nella maggior parte dei casi il server utilizza piccole transazioni)

innodb_lock_wait_timeout=300

max_allowed_packet=32M

max_connections=151

max_prepared_stmt_count=12800

table_open_cache=60000

table_open_cache_instances=4

table_definition_cache=60000

Si noti che la memoria specificata nel valore innodb_buffer_pool_size viene allocato all'avvio del server. Se la dimensione del database è inferiore alla dimensione del buffer specificata, viene allocata solo la memoria richiesta. La dimensione effettiva della memoria allocata è di circa il 10% maggiore rispetto alla dimensione del buffer specificata. Per ulteriori dettagli, consultare la documentazione di MySQL.

È consigliabile utilizzare il valore del parametro innodb_flush_log_at_trx_commit = 0, perché i valori "1" o "2" influiscono negativamente sulla velocità di esecuzione di MySQL. Assicurarsi che il parametro innodb_file_per_table sia impostato su 1.

Inizio pagina

[Topic 241223]

Configurazione del server PostgreSQL o Postgres per l'utilizzo con Kaspersky Security Center 14.2

Kaspersky Security Center 14.2 supporta i DBMS PostgreSQL e Postgres Pro. Se si utilizza uno di questi DBMS, prendere in considerazione la configurazione dei parametri del server DBMS per ottimizzare il funzionamento del DBMS con Kaspersky Security Center.

Il percorso predefinito del file di configurazione è: C:\Program Files\PostgreSQL\<VERSIONE>\data\postgresql.conf

Parametri consigliati per PostgreSQL e Postgres Pro:

shared_buffers = 25% del valore della RAM del dispositivo in cui è installato il DBMS
Se la RAM è inferiore a 1 GB, lasciare il valore predefinito.
max_stack_depth = 2MB
temp_buffers = 24MB
work_mem = 16MB
max_connections = 151
max_parallel_workers_per_gather = 0
maintenance_work_mem = 128MB

Assicurarsi che il parametro standard_conforming_strings sia impostato sul valore predefinito on. Ricaricare la configurazione o riavviare il server dopo aver aggiornato il file postgresql.conf. Per ulteriori dettagli, consultare la documentazione di PostgreSQL.

Per informazioni dettagliate sui parametri dei server PostgreSQL e Postgres Pro e su come specificarli, fare riferimento alla documentazione del DBMS corrispondente.

Per ulteriori dettagli sulla creazione e la configurazione degli account per PostgreSQL e Postgres Pro, consultare il seguente argomento: Configurazione degli account per l'utilizzo di PostgreSQL e Postgres Pro.

Inizio pagina

[Topic 92393]

Gestione dei dispositivi mobili con Kaspersky Endpoint Security for Android

I dispositivi mobili in cui è installato Kaspersky Endpoint Security for Android (di seguito denominati dispositivi KES) sono gestiti tramite l'Administration Server. Kaspersky Security Center supporta le seguenti funzionalità per la gestione dei dispositivi KES:

Gestione dei dispositivi mobili come dispositivi client:
- Appartenenza ai gruppi di amministrazione
- Monitoraggio, ad esempio la visualizzazione di stati, eventi e rapporti
- Modifica delle impostazioni locali e assegnazione di criteri per Kaspersky Endpoint Security for Android
Invio di comandi in modalità centralizzata
Installazione remota di pacchetti app mobili

Administration Server gestisce i dispositivi KES tramite TLS, porta TCP 13292.

Vedere anche:

Inizio pagina

[Topic 92236]

Concessione dell'accesso via Internet all'Administration Server

L'accesso via Internet all'Administration Server è necessario nei seguenti casi:

Aggiornamento periodico dei database, dei moduli software e delle applicazioni Kaspersky
Aggiornamento di software di terze parti
Per impostazione predefinita, non è richiesta la connessione Internet per l'installazione degli aggiornamenti software Microsoft nei dispositivi gestiti da parte di Administration Server. I dispositivi gestiti possono ad esempio scaricare gli aggiornamenti software Microsoft direttamente dai server Microsoft Update o da Windows Server con Microsoft Windows Server Update Services (WSUS) distribuito nella rete dell'organizzazione. Administration Server deve essere connesso a Internet nei seguenti casi:
- Quando si usa Administration Server come server WSUS
- Per installare gli aggiornamenti di software di terze parti diverso dal software Microsoft
Correzione delle vulnerabilità del software di terze parti
È necessaria una connessione Internet affinché Administration Server esegua le seguenti attività:
- Per creare un elenco di correzioni consigliate per le vulnerabilità del software Microsoft. L'elenco viene creato e aggiornato regolarmente dagli specialisti Kaspersky.
- Per correggere le vulnerabilità in software di terze parti diverso dal software Microsoft.
Gestione dei dispositivi (portatili) degli utenti fuori sede
Gestione dei dispositivi nelle sedi remote
Interazione con gli Administration Server primari o secondari situati nelle sedi remote
Gestione dei dispositivi mobili

Questa sezione descrive i modi tipici per fornire l'accesso via Internet all'Administration Server. Ciascuno dei casi che prevedono l'accesso via Internet ad Administration Server può richiedere un certificato dedicato per Administration Server.

In questa sezione

Accesso a Internet: Administration Server in una rete locale

Accesso a Internet: Administration Server in una rete perimetrale

Accesso a Internet: Network Agent come gateway di connessione nella rete perimetrale

Vedere anche:

Inizio pagina

[Topic 92237]

Accesso a Internet: Administration Server in una rete locale

Se l'Administration Server è posizionato nella rete interna di un'organizzazione, è consigliabile rendere la porta TCP 13000 dell'Administration Server accessibile dall'esterno per mezzo del port forwarding. Se è necessaria la gestione dei dispositivi mobili, è consigliabile rendere accessibile la porta TCP 13292.

Vedere anche:

Scenario: Distribuzione di Mobile Device Management

Schemi per traffico dati e utilizzo delle porte

Inizio pagina

[Topic 92238]

Accesso a Internet: Administration Server in una rete perimetrale

Se l'Administration Server è posizionato nella rete perimetrale dell'organizzazione, non ha accesso alla rete interna dell'organizzazione. Si applicano pertanto le seguenti limitazioni:

L'Administration Server non può rilevare nuovi dispositivi.
Administration Server non può eseguire la distribuzione iniziale di Network Agent tramite l'installazione forzata sui dispositivi nella rete interna dell'organizzazione.

Questo vale solo per l'installazione iniziale di Network Agent. Qualsiasi ulteriore upgrade di Network Agent o l'installazione dell'applicazione di protezione potranno comunque essere eseguiti dall'Administration Server. Allo stesso tempo, la distribuzione iniziale dei Network Agent può essere eseguita con altri sistemi, ad esempio tramite i criteri di gruppo di Microsoft Active Directory.

L'Administration Server non può inviare notifiche ai dispositivi gestiti tramite la porta UDP 15000, che non è critica per il funzionamento di Kaspersky Security Center.
L'Administration Server non può eseguire il polling di Active Directory. Tuttavia, i risultati del polling di Active Directory non sono richiesti nella maggior parte degli scenari.

Se le limitazioni precedenti sono considerate di importanza critica, possono essere rimosse utilizzando punti di distribuzione posizionati nella rete dell'organizzazione:

Per eseguire la distribuzione iniziale nei dispositivi senza Network Agent, installare Network Agent in uno dei dispositivi e quindi assegnargli lo stato di punto di distribuzione. L'installazione iniziale di Network Agent negli altri dispositivi sarà eseguita da Administration Server tramite questo punto di distribuzione.
Per rilevare i nuovi dispositivi nella rete interna dell'organizzazione ed eseguire il polling di Active Directory, è necessario abilitare i metodi di device discovery appropriati in uno dei punti di distribuzione.

Per assicurare il corretto invio delle notifiche alla porta UDP 15000 sui dispositivi gestiti nella rete interna dell'organizzazione, è necessario coprire l'intera rete con punti di distribuzione. Nelle proprietà dei punti di distribuzione assegnati selezionare la casella di controllo Non eseguire la disconnessione da Administration Server. Administration Server stabilirà una connessione continua ai punti di distribuzione e questi potranno inviare notifiche alla porta UDP 15000 nei dispositivi che si trovano nella rete interna dell'organizzazione (può trattarsi di una rete IPv4 o IPv6).

Vedere anche:

Administration Server all'interno della rete perimetrale, dispositivi gestiti in Internet

Inizio pagina

[Topic 92239]

Accesso a Internet: Network Agent come gateway di connessione nella rete perimetrale

Administration Server può essere posizionato nella rete interna dell'organizzazione: in una rete perimetrale (DMZ) di tale rete può essere presente un dispositivo con Network Agent eseguito come gateway di connessione con connettività inversa (Administration Server stabilisce una connessione a Network Agent). In questo caso, devono essere soddisfatte le seguenti condizioni per garantire l'accesso a Internet:

Nel dispositivo posizionato nella rete perimetrale deve essere installato Network Agent. Quando si installa Network Agent, nella finestra Gateway di connessione dell'Installazione guidata selezionare Utilizzare Network Agent come gateway di connessione nella rete perimetrale.
Il dispositivo con il gateway di connessione installato deve essere aggiunto come punto di distribuzione. Quando si aggiunge il gateway di connessione, nella finestra Aggiungi punto di distribuzione selezionare l'opzione Seleziona → Aggiungi gateway di connessione nella rete perimetrale in base all'indirizzo.
Per utilizzare una connessione Internet per connettere dispositivi desktop esterni ad Administration Server, è necessario correggere il pacchetto di installazione per Network Agent. Nelle proprietà del pacchetto di installazione creato selezionare l'opzione Avanzate →Esegui la connessione ad Administration Server utilizzando un gateway di connessione, quindi specificare il nuovo gateway di connessione creato.

Per il gateway di connessione nella rete perimetrale, Administration Server crea un certificato firmato con il certificato di Administration Server. Se l'amministratore decide di assegnare un certificato personalizzato ad Administration Server, questa operazione deve essere eseguita prima di creare un gateway di connessione nella rete perimetrale.

Se alcuni dipendenti utilizzano computer portatili che possono connettersi ad Administration Server sia dalla rete locale che via Internet, può essere utile creare una regola per il passaggio di Network Agent nel criterio di Network Agent.

Vedere anche:

Connessione dei dispositivi fuori sede

Inizio pagina

[Topic 92244]

Informazioni sui punti di distribuzione

Un dispositivo in cui è installato Network Agent può essere utilizzato come punto di distribuzione. In questa modalità, Network Agent può eseguire le seguenti funzioni:

Distribuire gli aggiornamenti (recuperati dall'Administration Server o dai server di Kaspersky). Nel secondo caso, è necessario creare l'attività Scarica aggiornamenti negli archivi dei punti di distribuzione per il dispositivo che opera come punto di distribuzione:
- Installare il software (inclusa la distribuzione iniziale dei Network Agent) in altri dispositivi.
- Eseguire il polling della rete per rilevare nuovi dispositivi e aggiornare le informazioni sui dispositivi esistenti. Un punto di distribuzione può applicare gli stessi metodi di device discovery di Administration Server.

La distribuzione dei punti di distribuzione nella rete di un'organizzazione ha i seguenti obiettivi:

Riduzione del carico sull'Administration Server.
Ottimizzazione del traffico.
Concessione all'Administration Server dell'accesso ai dispositivi in posizioni difficili da raggiungere della rete dell'organizzazione. La disponibilità di un punto di distribuzione nella rete dietro un NAT (in relazione all'Administration Server) consente all'Administration Server di eseguire le seguenti azioni:
- Inviare notifiche ai dispositivi tramite UDP nella rete IPv4 o IPv6
- Eseguire il polling della rete IPv4 o IPv6
- Eseguire la distribuzione iniziale
- Fungere da server push

Un punto di distribuzione viene assegnato a un gruppo di amministrazione. In questo caso, l'ambito del punto di distribuzione include tutti i dispositivi all'interno del gruppo di amministrazione e di tutti i relativi sottogruppi. Tuttavia, il dispositivo che opera come punto di distribuzione può non essere incluso nel gruppo di amministrazione a cui è stato assegnato.

È possibile far funzionare un punto di distribuzione come gateway di connessione. In questo caso, i dispositivi nell'ambito del punto di distribuzione saranno connessi all'Administration Server tramite il gateway, non direttamente. Questa modalità può essere utile negli scenari che non consentono di stabilire una connessione diretta tra Administration Server e dispositivi gestiti.

Se si utilizza un dispositivo basato su Linux come punto di distribuzione, si consiglia vivamente di aumentare il limite dei descrittori di file per il servizio klnagent, poiché se l'ambito del punto di distribuzione include molti dispositivi, il numero massimo predefinito di file che è possibile aprire potrebbe non essere sufficiente.

Vedere anche:

Regolazione di punti di distribuzione e gateway di connessione

Scenario: Aggiornamento periodico di database e applicazioni Kaspersky

Inizio pagina

[Topic 275856]

Aumento del limite dei descrittori di file per il servizio klnagent

Se l'ambito di un punto di distribuzione basato su Linux include molti dispositivi, il limite predefinito di file che è possibile aprire (descrittori di file) potrebbe non essere sufficiente. Per evitare questo, è possibile aumentare il limite dei descrittori di file per il servizio klnagent.

Per aumentare il limite dei descrittori di file per il servizio klnagent:

Nel dispositivo basato su Linux che funge da punto di distribuzione, aprire il file /lib/systemd/system/klnagent64.service, quindi specificare i limiti hard e soft dei descrittori di file nel parametro LimitNOFILE della sezione [Service]:
LimitNOFILE=<soft_resource_limit>:<hard_resource_limit>

Ad esempio, LimitNOFILE=32768:131072. Si noti che il limite soft dei descrittori di file deve essere inferiore o uguale al limite hard.
Eseguire il seguente comando per assicurarsi che i parametri siano specificati correttamente:
systemd-analyze verify klnagent64.service

Se i parametri sono specificati in modo errato, questo comando può generare uno dei seguenti errori:
- /lib/systemd/system/klnagent64.service:11: Failed to parse resource value, ignoring: 32768:13107
  Se si verifica questo errore, i simboli nella riga LimitNOFILE sono stati specificati in modo errato. È necessario controllare e correggere la riga immessa.
- /lib/systemd/system/klnagent64.service:11: Soft resource limit chosen higher than hard limit, ignoring: 32768:13107
  Se si verifica questo errore, il limite soft dei descrittori di file immessi è maggiore del limite hard. È necessario controllare la riga immessa e assicurarsi che il limite soft dei descrittori di file sia uguale o inferiore al limite hard.
Eseguire il seguente comando per ricaricare il processo systemd:
systemctl daemon-reload
Eseguire il seguente comando per riavviare il servizio Network Agent:
systemctl restart klnagent
Eseguire il seguente comando per assicurarsi che i parametri specificati vengano applicati correttamente:
less /proc/<nagent_proc_id>/limits

dove il parametro <nagent_proc_id> è l'identificatore del processo di Network Agent. È possibile eseguire il seguente comando per ottenere l'identificatore:

ps -ax | grep klnagent

Per il punto di distribuzione basato su Linux, il limite di file che è possibile aprire è stato aumentato.

Inizio pagina

[Topic 154282]

Calcolo del numero e configurazione dei punti di distribuzione

Più dispositivi client contiene una rete, maggiore è il numero dei punti di distribuzione richiesti. È consigliabile non disabilitare l'assegnazione automatica dei punti di distribuzione. Quando è abilitata l'assegnazione automatica dei punti di distribuzione, Administration Server assegna i punti di distribuzione se il numero dei dispositivi client è ampio e definisce la configurazione.

Utilizzo di punti di distribuzione assegnati in modo esclusivo

Se si prevede di utilizzare alcuni dispositivi specifici come punti di distribuzione (ovvero, server assegnati in modo esclusivo), è possibile scegliere di non utilizzare l'assegnazione automatica dei punti di distribuzione. In questo caso, verificare che i dispositivi a cui assegnare il ruolo di punti di distribuzione dispongano di un volume sufficiente di spazio libero su disco, che non vengano arrestati regolarmente e che la modalità di sospensione sia disabilitata.

Numero di punti di distribuzione assegnati in modo esclusivo in una rete che contiene un solo segmento di rete, in base al numero di dispositivi di rete

Numero di dispositivi client nel segmento di rete	Numero di punti di distribuzione
Minore di 300	0 (non assegnare punti di distribuzione)
Più di 300	Accettabile: (N/10.000 + 1), consigliato: (N/5.000 + 2), dove N è il numero di dispositivi nella rete

Numero di punti di distribuzione assegnati in modo esclusivo in una rete che contiene più segmenti di rete, in base al numero di dispositivi di rete

Numero di dispositivi client per segmento di rete	Numero di punti di distribuzione
Minore di 10	0 (non assegnare punti di distribuzione)
10–100	1
Più di 100	Accettabile: (N/10.000 + 1), consigliato: (N/5.000 + 2), dove N è il numero di dispositivi nella rete

Utilizzo di dispositivi client standard (workstation) come punti di distribuzione

Se si prevede di utilizzare dispositivi client standard (ovvero, workstation) come punti di distribuzione, è consigliabile assegnare i punti di distribuzione come indicato nelle tabelle seguenti per evitare un carico eccessivo sui canali di comunicazione e su Administration Server:

Numero di workstation che operano come punti di distribuzione in una rete che contiene un solo segmento di rete, in base al numero di dispositivi di rete

Numero di dispositivi client nel segmento di rete	Numero di punti di distribuzione
Minore di 300	0 (non assegnare punti di distribuzione)
Più di 300	(N/300 + 1), dove N è il numero dei dispositivi nella rete; devono essere presenti almeno 3 punti di distribuzione

Numero di workstation che operano come punti di distribuzione in una rete che contiene più segmenti di rete, in base al numero di dispositivi di rete

Numero di dispositivi client per segmento di rete	Numero di punti di distribuzione
Minore di 10	0 (non assegnare punti di distribuzione)
10–30	1
31–300	2
Più di 300	(N/300 + 1), dove N è il numero dei dispositivi nella rete; devono essere presenti almeno 3 punti di distribuzione

Se un punto di distribuzione viene arrestato (o non è disponibile per altri motivi), i dispositivi gestiti nel relativo ambito possono accedere ad Administration Server per gli aggiornamenti.

Vedere anche:

Configurazione standard: più sedi remote di piccole dimensioni

Inizio pagina

[Topic 155205]

Gerarchia di Administration Server

Un MSP può eseguire diversi Administration Server. Poiché può essere scomodo amministrare più Administration Server distinti, è possibile applicare una gerarchia. Una configurazione "primario/secondario" per due Administration Server fornisce le seguenti opzioni:

Un Administration Server secondario eredita i criteri e le attività dall'Administration Server primario, evitando così la duplicazione delle impostazioni.
Le selezioni di dispositivi nell'Administration Server primario possono includere i dispositivi degli Administration Server secondari.
I rapporti nell'Administration Server primario possono contenere dati (incluse informazioni dettagliate) ottenuti dagli Administration Server secondari.

L'Administration Server primario riceve i dati solo dagli Administration Server secondari non virtuali nell'ambito delle opzioni elencate sopra. Questa limitazione non si applica agli Administration Server virtuali, che condividono il database con l'Administration Server primario.

Inizio pagina

[Topic 92246]

Administration Server virtuali

Sulla base di un Administration Server fisico, è possibile creare più Administration Server virtuali, simili agli Administration Server secondari. Rispetto al modello di accesso discrezionale, che è basato su elenchi di controllo di accesso (ACL), il modello degli Administration Server virtuali è più funzionale e fornisce un maggior livello di isolamento. Oltre a una struttura dedicata di gruppi di amministrazione per i dispositivi assegnati con criteri e attività, ogni Administration Server virtuale dispone di un proprio gruppo di dispositivi non assegnati, di insiemi di rapporti, dispositivi ed eventi selezionati, pacchetti di installazione, regole di spostamento e così via. L'ambito funzionale degli Administration Server virtuali può essere utilizzato sia dai provider di servizi (xSP) per massimizzare l'isolamento dei clienti, sia da organizzazioni su vasta scala con flussi di lavoro sofisticati e numerosi amministratori.

Gli Administration Server virtuali sono molto simili agli Administration Server secondari, ma con le seguenti distinzioni:

Un Administration Server virtuale non dispone della maggior parte delle impostazioni globali e di specifiche porte TCP.
Un Administration Server virtuale non dispone di Administration Server secondari.
Un Administration Server virtuale non include altri Administration Server virtuali.
Un Administration Server fisico visualizza i dispositivi, i gruppi, gli eventi e gli oggetti nei dispositivi gestiti (elementi in Quarantena, registro delle applicazioni e così via) di tutti i relativi Administration Server virtuali.
Un Administration Server virtuale può eseguire solo la scansione della rete a cui sono connessi punti di distribuzione.

Inizio pagina

[Topic 159736]

Informazioni sulle limitazioni di Kaspersky Security Center

Nella seguente tabella sono riportate le limitazioni della versione corrente di Kaspersky Security Center.

Limitazioni di Kaspersky Security Center

Tipo di limitazione	Valore
Numero massimo di dispositivi gestiti per ogni Administration Server	100.000
Numero massimo di dispositivi con l'opzione Non eseguire la disconnessione da Administration Server selezionata	300
Numero massimo di gruppi di amministrazione	10.000
Numero massimo di eventi che è possibile memorizzare	45.000.000
Numero massimo di criteri	2000
Numero massimo di attività	2000
Numero massimo di oggetti Active Directory (unità organizzative, account utente, dispositivi e gruppi di protezione)	1.000.000
Numero massimo di profili in un criterio	100
Numero massimo di Administration Server secondari in un singolo Administration Server primario	500
Numero massimo di Administration Server virtuali	500
Numero massimo di dispositivi a cui può essere applicato un singolo punto di distribuzione (i punti di distribuzione sono applicabili solo ai dispositivi non mobili)	10.000
Numero massimo di dispositivi che possono utilizzare un singolo gateway di connessione	10.000, inclusi i dispositivi mobili
Numero massimo di dispositivi mobili per ogni Administration Server	100000 meno il numero di dispositivi gestiti fissi

Inizio pagina

[Topic 11961]

Carico di rete

Questa sezione contiene informazioni sul volume del traffico di rete scambiato tra i dispositivi client e Administration Server durante gli scenari di amministrazione chiave.

Il carico principale sulla rete è causato dai seguenti scenari di amministrazione:

Distribuzione iniziale della protezione anti-virus
Aggiornamento iniziale dei database anti-virus
Sincronizzazione di un dispositivo client con Administration Server
Aggiornamenti periodici dei database anti-virus
Elaborazione di eventi nei dispositivi client da parte di Administration Server

In questa sezione

Distribuzione iniziale della protezione anti-virus

Aggiornamento iniziale dei database anti-virus

Sincronizzazione di un client con Administration Server

Aggiornamento aggiuntivo dei database anti-virus

Elaborazione di eventi nei client da parte di Administration Server

Traffico nell'arco di 24 ore

Inizio pagina

[Topic 11962]

Distribuzione iniziale della protezione anti-virus

In questa sezione, vengono fornite informazioni sui valori del volume del traffico registrati dopo l'installazione di Network Agent e Kaspersky Endpoint Security for Windows nel dispositivo client (vedere la tabella seguente).

Network Agent viene installato utilizzando l'installazione forzata, in cui i file necessari per l'installazione vengono copiati da Administration Server in una cartella condivisa nel dispositivo client. Al termine dell'installazione, Network Agent recupera il pacchetto di distribuzione di Kaspersky Endpoint Security for Windows utilizzando la connessione ad Administration Server.

Traffico

Scenario	Installazione di Network Agent per un singolo dispositivo client	Installazione di Kaspersky Endpoint Security for Windows in un dispositivo client (con database aggiornati)	Installazione simultanea di Network Agent e Kaspersky Endpoint Security for Windows
Traffico da un dispositivo client ad Administration Server, KB	1638,4	7843,84	9707,52
Traffico da Administration Server a un dispositivo client, KB	69.990,4	259.317,76	329.318,4
Traffico totale (per un singolo dispositivo client), KB	71.628,8	267.161,6	339.025,92

Dopo l'installazione di Network Agent nei dispositivi client, a uno dei dispositivi nel gruppo di amministrazione può essere assegnato il ruolo di punto di distribuzione. Questo viene utilizzato per la distribuzione dei pacchetti di installazione. In questo caso, il volume di traffico trasferito durante la distribuzione iniziale della protezione anti-virus varia in modo significativo a seconda del fatto che si utilizzi o meno la modalità IP multicast.

Se viene utilizzata la modalità IP multicast, i pacchetti di installazione vengono inviati una sola volta a tutti i dispositivi in esecuzione nel gruppo di amministrazione. Il traffico totale si riduce quindi di N volte, dove N è il numero totale di dispositivi in esecuzione nel gruppo di amministrazione. Se non si utilizza la modalità IP multicast, il traffico totale è identico al traffico calcolato quando i pacchetti di distribuzione vengono scaricati da Administration Server. Tuttavia, l'origine dei pacchetti è il punto di distribuzione anziché Administration Server.

Inizio pagina

[Topic 11979]

Aggiornamento iniziale dei database anti-virus

I valori del traffico durante l'aggiornamento iniziale dei database anti-virus (al primo avvio dell'attività di aggiornamento del database in un dispositivo client) sono i seguenti:

Traffico da un dispositivo client ad Administration Server: 1,8 MB.
Traffico da Administration Server a un dispositivo client: 113 MB.
Traffico totale (per un singolo dispositivo client): 114 MB.

I dati possono variare leggermente a seconda della versione corrente del database anti-virus.

Inizio pagina

[Topic 11982]

Sincronizzazione di un client con Administration Server

Questo scenario descrive lo stato del sistema di amministrazione nei casi in cui si verifica una sincronizzazione intensiva dei dati tra un dispositivo client e Administration Server. I dispositivi client si connettono ad Administration Server in base all'intervallo definito dall'amministratore. Administration Server confronta lo stato dei dati in un dispositivo client con quello sul server, registra le informazioni nel database sull'ultima connessione del dispositivo client e sincronizza i dati.

Questa sezione contiene informazioni sui valori del traffico per scenari di amministrazione di base durante la connessione di un client ad Administration Server (vedere la tabella seguente). I dati nella tabella possono variare leggermente a seconda della versione corrente del database anti-virus.

Traffico

Scenario	Traffico dai dispositivi client ad Administration Server, KB	Traffico da Administration Server ai dispositivi client, KB	Traffico totale (per un singolo dispositivo client), KB
Sincronizzazione iniziale prima dell'aggiornamento dei database in un dispositivo client	699,44	568,42	1267,86
Sincronizzazione iniziale dopo l'aggiornamento dei database in un dispositivo client	735,8	4474,88	5210,68
Sincronizzazione senza modifiche in un dispositivo client e Administration Server	11,99	6,73	18,72
Sincronizzazione dopo la modifica del valore di un'impostazione in un criterio di gruppo	9,79	11,39	21,18
Sincronizzazione dopo la modifica del valore di un'impostazione in un'attività di gruppo	11,27	11,72	22,99
Sincronizzazione forzata senza modifiche in un dispositivo client	77,59	99,45	177,04

Il volume del traffico complessivo varia considerevolmente a seconda dell'utilizzo della modalità IP multicast nei gruppi di amministrazione. Se si utilizza la modalità IP multicast, il volume di traffico totale diminuisce approssimativamente di N volte per il gruppo, dove N sta per il numero totale di dispositivi inclusi nel gruppo di amministrazione.

Il volume di traffico al momento della sincronizzazione iniziale prima e dopo un aggiornamento dei database è specificato per i seguenti casi:

Installazione di Network Agent e di un'applicazione di protezione in un dispositivo client
Trasferimento di un dispositivo client in un gruppo di amministrazione
Applicazione in un dispositivo client di un criterio e delle attività che sono state create per il gruppo per impostazione predefinita

Questa tabella specifica i valori del traffico in caso di modifiche di una delle impostazioni di protezione incluse nelle impostazioni del criterio di Kaspersky Endpoint Security. I dati per le altre impostazioni dei criteri possono risultare diversi da quelli riportati nella tabella.

Inizio pagina

[Topic 11984]

Aggiornamento aggiuntivo dei database anti-virus

I valori del traffico in caso di aggiornamento incrementale dei database anti-virus 20 ore dopo l'aggiornamento precedente sono i seguenti:

Traffico da un dispositivo client ad Administration Server: 169 KB.
Traffico da Administration Server a un dispositivo client: 16 MB.
Traffico totale (per un singolo dispositivo client): 16,3 MB.

I dati nella tabella possono variare leggermente a seconda della versione corrente del database anti-virus.

Il volume del traffico varia considerevolmente a seconda dell'utilizzo della modalità IP multicast nei gruppi di amministrazione. Se si utilizza la modalità IP multicast, il volume di traffico totale diminuisce approssimativamente di N volte per il gruppo, dove N sta per il numero totale di dispositivi inclusi nel gruppo di amministrazione.

Inizio pagina

[Topic 11986]

Elaborazione di eventi nei client da parte di Administration Server

In questa sezione vengono fornite informazioni sui valori del traffico quando in un dispositivo client si verifica un evento di rilevamento di virus, che viene quindi inviato ad Administration Server e registrato nel database (vedere la tabella seguente).

Traffico

Scenario	Trasferimento di dati ad Administration Server quando si verifica un evento "Individuato virus"	Trasferimento di dati ad Administration Server quando si verificano nove eventi "Individuato virus"
Traffico da un dispositivo client ad Administration Server, KB	49,66	64,05
Traffico da Administration Server a un dispositivo client, KB	28,64	31,97
Traffico totale (per un singolo dispositivo client), KB	78,3	96,02

I dati nella tabella possono variare leggermente a seconda della versione corrente dell'applicazione anti-virus e degli eventi definiti nel relativo criterio per la registrazione nel database di Administration Server.

Inizio pagina

[Topic 11981]

Traffico nell'arco di 24 ore

Questa sezione contiene informazioni sui valori del traffico per 24 ore di attività del sistema di amministrazione in condizione di "inattività", quando non vengono apportate modifiche ai dati né dai dispositivi client né da Administration Server (vedere la tabella seguente).

I dati presentati nella tabella descrivono la condizione della rete dopo l'installazione standard di Kaspersky Security Center e il completamento dell'Avvio rapido guidato. La frequenza di sincronizzazione del dispositivo client con Administration Server era di 20 minuti; gli aggiornamenti venivano scaricati nell'archivio di Administration Server ogni ora.

Valori del traffico per 24 ore nello stato inattivo

Flusso di traffico	Valore
Traffico da un dispositivo client ad Administration Server, KB	3235,84
Traffico da Administration Server a un dispositivo client, KB	64.378,88
Traffico totale (per un singolo dispositivo client), KB	67.614,72

Inizio pagina

[Topic 92542]

Preparazione per Mobile Device Management

Questa scheda fornisce le seguenti informazioni:

Informazioni sul server per dispositivi mobili Exchange utilizzato per la gestione dei dispositivi mobili tramite il protocollo Exchange ActiveSync
Informazioni sul server MDM iOS utilizzato per la gestione dei dispositivi iOS installando profili MDM iOS dedicati in tali dispositivi
Informazioni sulla gestione dei dispositivi mobili in cui è installato Kaspersky Endpoint Security for Android

In questa sezione

Server per dispositivi mobili Exchange

Server per dispositivi mobili MDM iOS

Gestione dei dispositivi mobili con Kaspersky Endpoint Security for Android

Vedere anche:

Mobile Device Management

Scenario: Distribuzione di Mobile Device Management

Come distribuire un server per dispositivi mobili Exchange

Inizio pagina

[Topic 92258]

Server per dispositivi mobili Exchange

Un server per dispositivi mobili Exchange consente di gestire i dispositivi mobili connessi a un Administration Server utilizzando il protocollo Exchange ActiveSync (dispositivi EAS).

In questa sezione

Diritti richiesti per la distribuzione di un server per dispositivi mobili Exchange

Account per il servizio Exchange ActiveSync

Vedere anche:

Inizio pagina

[Topic 92259]

Come distribuire un server per dispositivi mobili Exchange

Se nell'organizzazione sono stati distribuiti più server Microsoft Exchange in un array del server Accesso client, è necessario installare un server per dispositivi mobili Exchange in ognuno dei server nell'array. L'opzione Modalità cluster deve essere abilitata nell'Installazione guidata del server per dispositivi mobili Exchange. In questo caso, il set di istanze del server per dispositivi mobili Exchange installato nei server dell'array è denominato cluster di server per dispositivi mobili Exchange.

Se nell'organizzazione non è stato distribuito alcun array del server Accesso client di server Microsoft Exchange, è necessario installare un server per dispositivi mobili Exchange in un server Microsoft Exchange che disponga di Accesso client. In questo caso, è necessario abilitare l'opzione Modalità standard nell'Installazione guidata del server per dispositivi mobili Exchange.

Insieme con il server per dispositivi mobili Exchange, è necessario installare nel dispositivo Network Agent, che consente di integrare il server per dispositivi mobili Exchange con Kaspersky Security Center.

L'ambito della scansione predefinito del server per dispositivi mobili Exchange è il dominio Active Directory corrente in cui è stato installato. La distribuzione di un server per dispositivi mobili Exchange in un server in cui è installato Microsoft Exchange Server (versioni 2010 e 2013) consente di espandere l'ambito della scansione, in modo da includere l'intera foresta di dominio nel server per dispositivi mobili Exchange (vedere la sezione "Configurazione dell'ambito della scansione"). Le informazioni richieste durante una scansione includono gli account degli utenti del server Microsoft Exchange, i criteri Exchange ActiveSync e i dispositivi mobili degli utenti connessi al server Microsoft Exchange tramite il protocollo Exchange ActiveSync.

Non è possibile installare più istanze di un server per dispositivi mobili Exchange in un singolo dominio se sono in esecuzione in Modalità standard e sono gestite da un unico Administration Server. Anche all'interno di una singola foresta di dominio Active Directory non è possibile installare più istanze di un server per dispositivi mobili Exchange (o più cluster di server per dispositivi mobili Exchange), se sono in esecuzione in Modalità standard con un ambito della scansione espanso che include l'intera foresta di dominio e sono connesse a un singolo Administration Server.

Vedere anche:

Configurazione dell'ambito della scansione

Inizio pagina

[Topic 92339]

Diritti richiesti per la distribuzione di un server per dispositivi mobili Exchange

La distribuzione di un server per dispositivi mobili Exchange in Microsoft Exchange Server 2010 o 2013 richiede diritti di amministratore di dominio e il ruolo Gestione organizzazione. La distribuzione di un server per dispositivi mobili Exchange in Microsoft Exchange Server 2007 richiede diritti di amministratore di dominio e l'appartenenza al gruppo di sicurezza Exchange Organization Administrators.

Vedere anche:

Account per il servizio Exchange ActiveSync

Inizio pagina

[Topic 92340]

Account per il servizio Exchange ActiveSync

Durante l'installazione di un server per dispositivi mobili Exchange, viene automaticamente creato un account in Active Directory:

In Microsoft Exchange Server 2010 o 2013: l'account KLMDM4ExchAdmin***** con il ruolo KLMDM Role Group.
In Microsoft Exchange Server 2007: l'account KLMDM4ExchAdmin*****, un membro del gruppo di sicurezza KLMDM Secure Group.

Il servizio Server per dispositivi mobili Exchange viene eseguito con questo account.

Se si desidera annullare la generazione automatica di un account, è necessario crearne uno personalizzato con i seguenti diritti:

Se si utilizza Microsoft Exchange Server (2010 o 2013), all'account deve essere assegnato un ruolo che consenta di eseguire i seguenti cmdlet:
- Get-CASMailbox
- Set-CASMailbox
- Remove-ActiveSyncDevice
- Clear-ActiveSyncDevice
- Get-ActiveSyncDeviceStatistics
- Get-AcceptedDomain
- Set-AdServerSettings
- Get-ActiveSyncMailboxPolicy
- New-ActiveSyncMailboxPolicy
- Set-ActiveSyncMailboxPolicy
- Remove-ActiveSyncMailboxPolicy

Se si utilizza Microsoft Exchange Server 2007, all'account devono essere concessi i diritti di accesso per gli oggetti di Active Directory (vedere la seguente tabella).

Diritti di accesso per gli oggetti di Active Directory

Accesso	Oggetto	Cmdlet
Completo	Thread "CN=Mobile Mailbox Policies,CN=<`Nome organizzazione`>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<`Nome dominio`>"	`Add-ADPermission -User <Nome utente o gruppo> -Identity "CN=Mobile Mailbox Policies,CN=<Nome organizzazione>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Nome dominio>" -InheritanceType All -AccessRight GenericAll`
Lettura	Thread "CN=<`Nome organizzazione`>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<`Nome dominio`>"	`Add-ADPermission -User <Nome utente o gruppo> -Identity "CN=<Nome organizzazione>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Nome dominio>" -InheritanceType All -AccessRight GenericRead`
Lettura/scrittura	Proprietà msExchMobileMailboxPolicyLink e msExchOmaAdminWirelessEnable per gli oggetti in Active Directory	`Add-ADPermission -User <Nome utente o gruppo> -Identity "DC=<Nome dominio>" -InheritanceType All -AccessRight ReadProperty,WriteProperty -Properties msExchMobileMailboxPolicyLink, msExchOmaAdminWirelessEnable`
Diritto esteso ms-Exch-Store-Active	Archivi di cassette postali del server Exchange, thread "CN=Databases,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=<`Nome organizzazione`>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<`Nome dominio`>"	`Get-MailboxDatabase \| Add-ADPermission -User <Nome utente o gruppo> -ExtendedRights ms-Exch-Store-Admin`

Vedere anche:

Diritti richiesti per la distribuzione di un server per dispositivi mobili Exchange

Inizio pagina

[Topic 92389]

Server per dispositivi mobili MDM iOS

Il server MDM iOS consente di gestire i dispositivi iOS installando profili MDM iOS dedicati in tali dispositivi. Sono supportate le seguenti funzionalità:

Blocco del dispositivo
Reimpostazione della password
Cancellazione dei dati
Installazione o rimozione di app
Utilizzo di un profilo MDM iOS con impostazioni avanzate (ad esempio per VPN, e-mail, Wi-Fi, fotocamera, certificati e così via)

Il server MDM iOS è un servizio Web che riceve le connessioni in entrata dai dispositivi mobili tramite la porta TLS (per impostazione predefinita, la porta 443), che è gestita da Kaspersky Security Center mediante Network Agent. Network Agent è installato in locale in un dispositivo in cui è distribuito un server MDM iOS.

Durante la distribuzione di un server MDM iOS, l'amministratore deve eseguire le seguenti operazioni:

Fornire a Network Agent l'accesso all'Administration Server
Fornire ai dispositivi mobili l'accesso alla porta TCP del server MDM iOS

In questa sezione sono descritte due configurazioni standard di un server MDM iOS.

In questa sezione

Configurazione standard: gestione di Kaspersky Device Management for iOS nella rete perimetrale

Configurazione standard: server per dispositivi mobili MDM iOS nella rete locale di un'organizzazione

Vedere anche:

Schema di distribuzione semplificato

Inizio pagina

[Topic 92391]

Configurazione standard: gestione di Kaspersky Device Management for iOS nella rete perimetrale

Un server MDM iOS è posizionato nella rete perimetrale della rete locale di un'organizzazione con accesso a Internet. Una caratteristica speciale di questo approccio è l'assenza di qualsiasi problema quando i dispositivi accedono al servizio Web MDM iOS via Internet.

Poiché la gestione di un server MDM iOS richiede l'installazione di Network Agent in locale, è necessario garantire l'interazione di Network Agent con l'Administration Server. A tale scopo, è possibile utilizzare uno dei seguenti metodi:

Spostamento di Administration Server nella rete perimetrale.
Utilizzo di un gateway di connessione:
1. Nel dispositivo in cui è distribuito il server MDM iOS connettere Network Agent all'Administration Server tramite un gateway di connessione.
2. Nel dispositivo in cui è distribuito il server MDM iOS assegnare a Network Agent il ruolo di gateway di connessione.

Vedere anche:

Inizio pagina

[Topic 92392]

Configurazione standard: server per dispositivi mobili MDM iOS nella rete locale di un'organizzazione

Un server per dispositivi mobili MDM iOS è posizionato nella rete interna di un'organizzazione. La porta 443 (porta predefinita) deve essere abilitata per l'accesso esterno, ad esempio pubblicando il servizio Web MDM iOS nel proxy inverso che supporta la delega vincolata Kerberos.

Qualsiasi configurazione standard richiede l'accesso ai servizi Web di Apple per il server MDM iOS (intervallo 17.0.0.0/8) tramite la porta TCP 2197. La porta viene utilizzata per informare i dispositivi dei nuovi comandi tramite un servizio dedicato denominato APNs.

Inizio pagina

[Topic 92393_1]

Gestione dei dispositivi mobili con Kaspersky Endpoint Security for Android

Gestione dei dispositivi mobili come dispositivi client:
- Appartenenza ai gruppi di amministrazione
- Monitoraggio, ad esempio la visualizzazione di stati, eventi e rapporti
- Modifica delle impostazioni locali e assegnazione di criteri per Kaspersky Endpoint Security for Android
Invio di comandi in modalità centralizzata
Installazione remota di pacchetti app mobili

Administration Server gestisce i dispositivi KES tramite TLS, porta TCP 13292.

Vedere anche:

Concessione dell'accesso via Internet all'Administration Server

Inizio pagina

[Topic 28253]

Informazioni sulle prestazioni di Administration Server

Questa sezione presenta i risultati dei test sulle prestazioni di Administration Server per differenti configurazioni hardware e le limitazioni per la connessione dei dispositivi gestiti all'Administration Server.

In questa sezione

Limitazioni relative alla connessione a un Administration Server

Risultati dei test sulle prestazioni di Administration Server

Risultati dei test sulle prestazioni del server proxy KSN

Inizio pagina

[Topic 152283]

Limitazioni relative alla connessione a un Administration Server

Un Administration Server supporta la gestione di un massimo di 100000 dispositivi senza compromettere le prestazioni.

Limitazioni per le connessioni a un Administration Server senza compromettere le prestazioni:

Un solo Administration Server può supportare fino a 500 Administration Server virtuali.
L'Administration Server primario supporta non più di 1000 sessioni contemporaneamente.
Gli Administration Server virtuali supportano non più di 1000 sessioni contemporaneamente.

Vedere anche:

Risultati dei test sulle prestazioni di Administration Server

Inizio pagina

[Topic 152284]

Risultati dei test sulle prestazioni di Administration Server

I risultati dei test sulle prestazioni di Administration Server hanno consentito di determinare il numero massimo di dispositivi client con cui Administration Server può essere sincronizzato per gli intervalli di tempo specificati. È possibile utilizzare queste informazioni per selezionare lo schema ottimale per la distribuzione della protezione anti-virus nelle reti di computer.

I dispositivi con le seguenti configurazioni hardware (vedere le seguenti tabelle) sono stati utilizzati per i test:

Configurazione hardware di Administration Server

Parametro	Valore
CPU	Intel Xeon CPU E5630, velocità di clock di 2,53 GHz, 2 socket, 8 core, 16 processori logici
RAM	26 GB
Disco rigido	Dispositivo disco IBM ServeRAID M5014, 487 GB
Sistema operativo	Microsoft Windows Server 2019 Standard, versione 10.0.17763, build 17763
Rete	QLogic BCM5709C Gigabit Ethernet (client NDIS VBD)

Configurazione hardware del dispositivo SQL Server

Parametro	Valore
CPU	Intel Xeon CPU X5570, velocità di clock di 2,93 GHz, 2 socket, 8 core, 16 processori logici
RAM	32 GB
Disco rigido	Adaptec Array SCSI Disk Device, 2047 GB
Sistema operativo	Microsoft Windows Server 2019 Standard, versione 10.0.17763, build 17763
Rete	Intel 82576 Gigabit

Administration Server supportava la creazione di 500 Administration Server virtuali.

L'intervallo di sincronizzazione era di 15 minuti per ogni 10.000 dispositivi gestiti (vedere la tabella di seguito).

Riepilogo dei risultati dei test di carico di Administration Server

Intervallo di sincronizzazione (min.)	Numero di dispositivi gestiti
15	10.000
30	20.000
45	30.000
60	40.000
75	50.000
90	60.000
105	70.000
120	80.000
135	90.000
150	100.000

Se si connette Administration Server a un server database MySQL o SQL Express, è consigliabile evitare di utilizzare l'applicazione per gestire più di 10000 dispositivi. Per il sistema di gestione database MariaDB, il numero massimo di dispositivi gestiti consigliato è 20.000.

Inizio pagina

[Topic 178552]

Risultati dei test sulle prestazioni del server proxy KSN

Se la rete aziendale include una grande quantità di dispositivi client che utilizzano Administration Server come server proxy KSN, l'hardware di Administration Server deve soddisfare requisiti specifici per essere in grado di elaborare le richieste provenienti dai dispositivi client. È possibile utilizzare i risultati dei test di seguito per valutare il carico di Administration Server nella rete e pianificare le risorse hardware per garantire il corretto funzionamento del servizio proxy KSN.

Le seguenti tabelle mostrano la configurazione hardware di Administration Server e SQL Server. Questa configurazione è stata utilizzata per i test.

Configurazione hardware di Administration Server

Parametro	Valore
CPU	Intel Xeon CPU E5450, velocità di clock di 3 GHz, 2 socket, 8 core, 16 processori logici
RAM	32 GB
Sistema operativo	Microsoft Windows Server 2016 Standard

Configurazione hardware di SQL Server

Parametro	Valore
CPU	Intel Xeon CPU E5450, velocità di clock di 3 GHz, 2 socket, 8 core, 16 processori logici
RAM	32 GB
Sistema operativo	Microsoft Windows Server 2019 Standard

La tabella seguente consente di visualizzare i risultati del test.

Riepilogo dei risultati dei test sulle prestazioni del server proxy KSN

Parametro	Valore
Numero massimo di richieste elaborate al secondo	4914
Utilizzo massimo della CPU	36%

Inizio pagina

[Topic 255242]

Impostazioni di rete per l'interazione con servizi esterni

Kaspersky Security Center utilizza le seguenti impostazioni di rete per l'interazione con i servizi esterni.

Impostazioni di rete

Impostazioni di rete	Indirizzo	Descrizione
Porta: 443 Protocollo: HTTPS	activation-v2.kaspersky.com/activationservice/activationservice.svc	Attivazione dell'applicazione.
Porta: 443 Protocollo: HTTPS	https://s00.upd.kaspersky.com https://s01.upd.kaspersky.com https://s02.upd.kaspersky.com https://s03.upd.kaspersky.com https://s04.upd.kaspersky.com https://s05.upd.kaspersky.com https://s06.upd.kaspersky.com https://s07.upd.kaspersky.com https://s08.upd.kaspersky.com https://s09.upd.kaspersky.com https://s10.upd.kaspersky.com https://s11.upd.kaspersky.com https://s12.upd.kaspersky.com https://s13.upd.kaspersky.com https://s14.upd.kaspersky.com https://s15.upd.kaspersky.com https://s16.upd.kaspersky.com https://s17.upd.kaspersky.com https://s18.upd.kaspersky.com https://s19.upd.kaspersky.com https://cm.k.kaspersky-labs.com	Aggiornamento dei database, dei moduli software e delle applicazioni Kaspersky.
Porta: 443 Protocollo: HTTPS	https://downloads.upd.kaspersky.com	Aggiornamento dei database, dei moduli software e delle applicazioni Kaspersky. Verifica dell'accessibilità dei server Kaspersky. Prima di scaricare i database e i moduli software di Kaspersky, Kaspersky Security Center verifica se i server Kaspersky sono accessibili. Se non è possibile accedere ai server utilizzando il DNS di sistema, l'applicazione utilizza i server DNS pubblici.
Porta: 80 Protocollo: HTTP	http://p00.upd.kaspersky.com http://p01.upd.kaspersky.com http://p02.upd.kaspersky.com http://p03.upd.kaspersky.com http://p04.upd.kaspersky.com http://p05.upd.kaspersky.com http://p06.upd.kaspersky.com http://p07.upd.kaspersky.com http://p08.upd.kaspersky.com http://p09.upd.kaspersky.com http://p10.upd.kaspersky.com http://p11.upd.kaspersky.com http://p12.upd.kaspersky.com http://p13.upd.kaspersky.com http://p14.upd.kaspersky.com http://p15.upd.kaspersky.com http://p16.upd.kaspersky.com http://p17.upd.kaspersky.com http://p18.upd.kaspersky.com http://p19.upd.kaspersky.com http://downloads0.kaspersky-labs.com http://downloads1.kaspersky-labs.com http://downloads2.kaspersky-labs.com http://downloads3.kaspersky-labs.com http://downloads4.kaspersky-labs.com http://downloads5.kaspersky-labs.com http://downloads6.kaspersky-labs.com http://downloads7.kaspersky-labs.com http://downloads8.kaspersky-labs.com http://downloads9.kaspersky-labs.com http://downloads.kaspersky-labs.com http://cm.k.kaspersky-labs.com	Aggiornamento dei database, dei moduli software e delle applicazioni Kaspersky.
Porta: 443 Protocollo: HTTPS	ds.kaspersky.com	Utilizzo di Kaspersky Security Network.
Porto: 443, 1443 Protocollo: HTTPS	ksn-a-stat-geo.kaspersky-labs.com ksn-file-geo.kaspersky-labs.com ksn-verdict-geo.kaspersky-labs.com ksn-url-geo.kaspersky-labs.com ksn-a-p2p-geo.kaspersky-labs.com ksn-info-geo.kaspersky-labs.com ksn-cinfo-geo.kaspersky-labs.com	Utilizzo di Kaspersky Security Network.
Protocollo: HTTPS	click.kaspersky.com redirect.kaspersky.com	Visita dei collegamenti sull'interfaccia.
Porta: 80 Protocollo: HTTP	http://crl.kaspersky.com http://ocsp.kaspersky.com	Questi server fanno parte della Public Key Infrastructure (PKI) e sono necessari per verificare lo stato di validità dei certificati di firma digitale Kaspersky. Il CRL è un elenco di certificati revocati. L'OCSP consente di richiedere lo stato di uno specifico certificato in tempo reale. Questi server aiutano a garantire la sicurezza dell'interazione con i certificati digitali e a proteggersi da possibili attacchi.
Porta: 443 Protocollo: HTTPS	https://ipm-klca.kaspersky.com	Annunci di marketing.

Per una corretta interazione di Kaspersky Security Center con i servizi esterni, tenere conto dei seguenti suggerimenti:
- Il traffico di rete non criptato deve essere consentito sulle porte 443 e 1443 dell'apparecchiatura di rete e del server proxy dell'organizzazione.
- Quando Administration Server interagisce con i server di aggiornamento Kaspersky e con i server di Kaspersky Security Network, è necessario evitare di dirottare il traffico di rete con la sostituzione del certificato (

attacchi MITM

Per scaricare gli aggiornamenti tramite il protocollo HTTP o HTTPS utilizzando l'utilità klscflag:

Eseguire il prompt dei comandi di Windows con diritti di amministratore, quindi modificare la directory corrente nella directory con l'utilità klscflag. L'utilità klscflag si trova nella cartella in cui è installato Administration Server. Il percorso di installazione predefinito è <Disco>:\Programmi (x86)\ Kaspersky Lab\ Kaspersky Security Center.
Se si desidera scaricare gli aggiornamenti tramite il protocollo HTTP, eseguire uno dei seguenti comandi:
- Nel dispositivo in cui è installato Administration Server:
  klscflag.exe -fset -pv klserver -s Updater -n DisableKLHttps -t d -v 1
- Su un punto di distribuzione;
  klscflag.exe -fset -pv klnagent -s Updater -n DisableKLHttps -t d -v 1
Se si desidera scaricare gli aggiornamenti tramite il protocollo HTTPS, eseguire uno dei seguenti comandi:
- Nel dispositivo in cui è installato Administration Server:
  klscflag.exe -fset -pv klserver -s Updater -n DisableKLHttps -t d -v 0
- Su un punto di distribuzione;
  klscflag.exe -fset -pv klnagent -s Updater -n DisableKLHttps -t d -v 0

Inizio pagina

[Topic 92444]

Distribuzione di Network Agent e dell'applicazione di protezione

Per gestire i dispositivi in un'organizzazione, è necessario installare Network Agent su ciascuno di essi. La distribuzione di Kaspersky Security Center nei dispositivi di un'organizzazione in genere ha inizio con l'installazione di Network Agent nei dispositivi.

In Microsoft Windows XP Network Agent potrebbe non eseguire correttamente le seguenti operazioni: download degli aggiornamenti direttamente dai server di Kaspersky (come punto di distribuzione); funzionamento come un server proxy KSN (come punto di distribuzione); e rilevamento di vulnerabilità di terze parti (se è in uso Vulnerability e patch management).

In questa sezione

Distribuzione iniziale

Installazione remota delle applicazioni nei dispositivi in cui è installato Network Agent

Gestione dei riavvii dei dispositivi nell'attività di installazione remota

Aggiornamento dei database in un pacchetto di installazione di un'applicazione di protezione

Utilizzo di strumenti per l'installazione remota di applicazioni in Kaspersky Security Center per l'esecuzione di file eseguibili nei dispositivi gestiti

Monitoraggio della distribuzione

Configurazione dei programmi di installazione

Infrastruttura virtuale

Supporto del rollback del file system per i dispositivi con Network Agent

Installazione locale delle applicazioni

Inizio pagina

[Topic 92445]

Distribuzione iniziale

Se Network Agent è già stato installato in un dispositivo, l'installazione remota delle applicazioni nel dispositivo viene eseguita tramite Network Agent. Il pacchetto di distribuzione di un'applicazione da installare viene trasferito mediante i canali di comunicazione tra i Network Agent e Administration Server, insieme alle impostazioni di installazione definite dall'amministratore. Per trasferire il pacchetto di distribuzione, è possibile utilizzare nodi di distribuzione per il trasferimento, cioè punti di distribuzione, recapito multicast e così via. Ulteriori dettagli su come installare le applicazioni nei dispositivi gestiti in cui è già installato Network Agent sono disponibili di seguito in questa sezione.

È possibile eseguire l'installazione iniziale di Network Agent nei dispositivi Windows utilizzando uno dei seguenti metodi:

Con strumenti di terze parti per l'installazione remota delle applicazioni.
Clonando un'immagine del disco rigido dell'amministratore con il sistema operativo e Network Agent, utilizzando gli strumenti forniti da Kaspersky Security Center per la gestione delle immagini disco o con strumenti di terze parti.
Con i criteri di gruppo di Windows, utilizzando gli strumenti di gestione standard di Windows per i criteri di gruppo o in modalità automatica, attraverso l'apposita opzione corrispondente nell'attività di installazione remota di Kaspersky Security Center.
In modalità forzata, utilizzando speciali opzioni nell'attività di installazione remota di Kaspersky Security Center.
Inviando agli utenti dei dispositivi collegamenti ai pacchetti indipendenti generati da Kaspersky Security Center. I pacchetti indipendenti sono moduli eseguibili che contengono i pacchetti di distribuzione delle applicazioni selezionate con le relative impostazioni definite.
Manualmente, eseguendo i programmi di installazione delle applicazioni nei dispositivi.

Per l'installazione iniziale di Network Agent su un dispositivo in cui viene eseguito Linux è possibile utilizzare i seguenti metodi:

Collegandosi al dispositivo gestito tramite SSH ed eseguendo l'attività di installazione remota.
Eseguendo l'installazione del pacchetto nel dispositivo gestito.

Per l'installazione iniziale di Network Agent su un dispositivo in cui viene eseguito macOS è possibile utilizzare i seguenti metodi:

Eseguendo l'attività di installazione remota nel punto di distribuzione macOS.
Inviando agli utenti dei dispositivi collegamenti ai pacchetti indipendenti generati da Kaspersky Security Center. I pacchetti indipendenti sono moduli eseguibili che contengono i pacchetti di distribuzione delle applicazioni selezionate, con le impostazioni predefinite.

Al momento della scelta di un metodo e di una strategia per la distribuzione delle applicazioni in una rete gestita, è necessario considerare diversi fattori (elenco parziale):

Configurazione della rete dell'organizzazione.
Numero totale di dispositivi.
Presenza nella rete dell'organizzazione di dispositivi che non appartengono ad alcun dominio Active Directory e presenza di account uniformi con diritti di amministratore su tali dispositivi.
Capacità del canale tra l'Administration Server e i dispositivi.
Tipo di comunicazione tra Administration Server e le subnet remote e capacità dei canali di rete in tali subnet.
Impostazioni di sicurezza applicate ai dispositivi remoti all'inizio della distribuzione (ad esempio, utilizzo di Controllo dell'account utente e modalità Simple File Sharing).

In questa sezione

Configurazione dei programmi di installazione

Pacchetti di installazione

Proprietà e file di trasformazione MSI

Distribuzione con strumenti di terze parti per l'installazione remota delle applicazioni

Informazioni sulle attività di installazione remota in Kaspersky Security Center

Distribuzione tramite l'acquisizione e la copia dell'immagine di un dispositivo

Errori di copia di un'immagine del disco rigido

Distribuzione tramite i criteri di gruppo di Microsoft Windows

Distribuzione forzata tramite l'attività di installazione remota di Kaspersky Security Center

Esecuzione di pacchetti indipendenti creati tramite Kaspersky Security Center

Opzioni per l'installazione manuale delle applicazioni

Creazione di un file MST

Inizio pagina

[Topic 92446]

Configurazione dei programmi di installazione

Questo metodo per definire le impostazioni non è appropriato per l'installazione automatica delle applicazioni in gruppi di dispositivi. In generale, l'amministratore deve specificare i valori per le impostazioni in modalità centralizzata. Tali valori possono successivamente essere utilizzati per l'installazione automatica nei dispositivi della rete selezionati.

Inizio pagina

[Topic 92447]

Pacchetti di installazione

Il metodo principale per definire le impostazioni di installazione delle applicazioni è adatto per tutti i metodi di installazione, sia con gli strumenti di Kaspersky Security Center che con la maggior parte strumenti di terze parti. Questo metodo consiste nella creazione di pacchetti di installazione delle applicazioni in Kaspersky Security Center.

I pacchetti di installazione sono generati utilizzando i seguenti metodi:

Automaticamente, dai pacchetti di distribuzione specificati, in base ai descrittori inclusi (file con estensione kud che contengono regole per l'installazione e l'analisi dei risultati e altre informazioni)
Dai file eseguibili dei programmi di installazione o dai programmi di installazione in formato nativo (.msi, .deb, .rpm) per le applicazioni standard o supportate

I pacchetti di installazione generati sono organizzati gerarchicamente come cartelle con sottocartelle e file. Oltre al pacchetto di distribuzione originale, un pacchetto di installazione contiene impostazioni modificabili (incluse le impostazioni del programma di installazione e le regole per elaborare casi come la necessità di riavviare il sistema operativo per completare l'installazione), nonché moduli ausiliari minori.

I valori delle impostazioni di installazione specifici per una singola applicazione supportata possono essere definiti nell'interfaccia utente di Administration Console al momento della creazione del pacchetto di installazione. Durante l'esecuzione dell'installazione remota delle applicazioni tramite gli strumenti di Kaspersky Security Center, i pacchetti di installazione vengono inviati ai dispositivi. L'esecuzione del programma di installazione di un'applicazione rende disponibili tutte le impostazioni definite dall'amministratore per tale applicazione. Quando si utilizzano strumenti di terze parti per l'installazione delle applicazioni Kaspersky, è sufficiente garantire la disponibilità dell'intero pacchetto di installazione nel dispositivo, ovvero la disponibilità del pacchetto di distribuzione e delle relative impostazioni. I pacchetti di installazione vengono creati e archiviati da Kaspersky Security Center in un'apposita sottocartella della cartella condivisa.

Non specificare dettagli degli account privilegiati nei parametri dei pacchetti di installazione.

Per istruzioni sull'utilizzo di questo metodo di configurazione per le applicazioni Kaspersky prima della distribuzione mediante strumenti di terze parti, vedere la sezione "Distribuzione tramite i criteri di gruppo di Microsoft Windows".

Subito dopo l'installazione di Kaspersky Security Center, alcuni pacchetti di installazione vengono generati automaticamente: sono pronti per l'installazione e includono i pacchetti di Network Agent e i pacchetti delle applicazioni di protezione per Microsoft Windows.

Anche se è possibile impostare la chiave di licenza per un'applicazione nelle proprietà di un pacchetto di installazione, è consigliabile evitare questo metodo di distribuzione della licenza, perché è semplice ottenere l'accesso in lettura ai pacchetti di installazione. È necessario utilizzare chiavi di licenza distribuite automaticamente o le attività di installazione per le chiavi di licenza.

Inizio pagina

[Topic 92448]

Proprietà e file di trasformazione MSI

Un altro modo per configurare l'installazione nella piattaforma Windows è definire le proprietà e i file di trasformazione MSI. Questo metodo può essere applicato nei seguenti casi:

Durante l'installazione tramite i criteri di gruppo di Windows, utilizzando gli strumenti standard di Microsoft o altri strumenti di terze parti per la gestione dei criteri di gruppo di Windows.
Durante l'installazione delle applicazioni tramite strumenti di terze parti per la gestione dei programmi di installazione in formato Microsoft Installer.

Inizio pagina

[Topic 92458]

Distribuzione con strumenti di terze parti per l'installazione remota delle applicazioni

Se nell'organizzazione sono disponibili strumenti per l'installazione remota delle applicazioni (ad esempio, Microsoft System Center), è possibile eseguire la distribuzione iniziale utilizzando tali strumenti.

È necessario eseguire le seguenti operazioni:

Selezionare il metodo per la configurazione dell'installazione più adatto per lo strumento di distribuzione da utilizzare.
Definire il meccanismo per la sincronizzazione tra la modifica delle impostazioni dei pacchetti di installazione (attraverso l'interfaccia di Administration Console) e l'esecuzione degli strumenti di terze parti selezionati utilizzati per la distribuzione delle applicazioni dai dati dei pacchetti di installazione.
Durante l'esecuzione dell'installazione da una cartella condivisa, è necessario assicurarsi che tale risorsa file abbia una capacità sufficiente.

Vedere anche:

Definizione di una cartella condivisa

Configurazione dei programmi di installazione

Inizio pagina

[Topic 92459]

Informazioni sulle attività di installazione remota in Kaspersky Security Center

Kaspersky Security Center fornisce diversi meccanismi per l'installazione remota delle applicazioni, che sono implementati come attività di installazione remota (installazione forzata, installazione tramite copia di un'immagine del disco rigido, installazione tramite i criteri di gruppo di Microsoft Windows). È possibile creare un'attività di installazione remota sia per un gruppo di amministrazione specificato che per dispositivi specifici o per una selezione di dispositivi (tali attività sono visualizzate in Administration Console, nella cartella Attività). Durante la creazione di un'attività, è possibile selezionare i pacchetti di installazione (quelli di Network Agent e/o di un'altra applicazione) per l'installazione con questa attività, nonché specificare determinate impostazioni che definiscono il metodo di installazione remota. È inoltre possibile utilizzare l'Installazione remota guidata, che è basata sulla creazione di un'attività di installazione remota e sul monitoraggio dei risultati.

Le attività per i gruppi di amministrazione influiscono sia sui dispositivi inclusi in un gruppo specificato che su tutti i dispositivi in tutti i sottogruppi compresi in tale gruppo di amministrazione. Un'attività copre i dispositivi degli Administration Server secondari inclusi in un gruppo o in qualsiasi dei relativi sottogruppi se l'impostazione corrispondente è abilitata nell'attività.

Le attività per dispositivi specifici aggiornano l'elenco dei dispositivi client a ogni esecuzione, in conformità con i contenuti della selezione al momento dell'avvio dell'attività. Se una selezione include dispositivi che sono stati connessi ad Administration Server secondari, l'attività verrà eseguita anche in tali dispositivi. Per informazioni dettagliate sulle impostazioni e i metodi di installazione, vedere più avanti in questa sezione.

Per garantire la corretta esecuzione di un'attività di installazione remota nei dispositivi connessi agli Administration Server secondari, è necessario utilizzare l'attività di trasmissione per trasferire anticipatamente i pacchetti di installazione utilizzati dall'attività agli Administration Server secondari corrispondenti.

Inizio pagina

[Topic 92460]

Distribuzione tramite l'acquisizione e la copia dell'immagine di un dispositivo

Se Network Agent deve essere installato in dispositivi in cui è necessario installare (o reinstallare) anche un sistema operativo e altro software, è possibile utilizzare il meccanismo di acquisizione e copia dell'immagine del dispositivo.

Per eseguire la distribuzione acquisendo e copiando un disco rigido:

Creare un dispositivo "di riferimento" con un sistema operativo e il software appropriato installato, incluso Network Agent e un'applicazione di protezione.
Acquisire l'immagine di riferimento nel dispositivo e distribuire tale immagine nei nuovi dispositivi tramite l'attività dedicata di Kaspersky Security Center.
Per acquisire e installare le immagini disco, è possibile utilizzare gli strumenti di terze parti disponibili nell'organizzazione o la funzionalità fornita (con la licenza Vulnerability e patch management) da Kaspersky Security Center.

Se si utilizza uno strumento di terze parti per elaborare le immagini disco, è necessario eliminare le informazioni utilizzate da Kaspersky Security Center per identificare il dispositivo gestito, al momento della distribuzione in un dispositivo da un'immagine di riferimento. In caso contrario, Administration Server non sarà in grado di distinguere correttamente i dispositivi che sono stati creati copiando la stessa immagine.

In caso di acquisizione di un'immagine disco con gli strumenti di Kaspersky Security Center, questo problema viene risolto automaticamente.

Copia di un'immagine disco con strumenti di terze parti

Quando si applicano strumenti di terze parti per l'acquisizione dell'immagine di un dispositivo con Network Agent installato, utilizzare uno dei seguenti metodi:

Metodo consigliato. Durante l'installazione di Network Agent in un dispositivo di riferimento acquisire l'immagine del dispositivo prima della prima esecuzione del servizio Network Agent (perché le informazioni univoche che identificano il dispositivo vengono create alla prima connessione di Network Agent ad Administration Server). È quindi consigliabile evitare di eseguire il servizio Network Agent fino al completamento dell'operazione di acquisizione dell'immagine.
Sul dispositivo di riferimento, interrompere il servizio Network Agent ed eseguire l'utilità klmover con l'opzione -dupfix. L'utilità klmover è inclusa nel pacchetto di installazione di Network Agent. Evitare qualsiasi successiva esecuzione del servizio Network Agent finché l'operazione di acquisizione dell'immagine non viene completata.
Verificare che l'utilità klmover venga eseguita con l'opzione -dupfix prima (requisito obbligatorio) della prima esecuzione del servizio Network Agent nei dispositivi di destinazione, al primo avvio del sistema operativo dopo la distribuzione dell'immagine. L'utilità klmover è inclusa nel pacchetto di installazione di Network Agent.
Utilizzare la modalità di clonazione del disco di Network Agent.

Se l'immagine del disco rigido è stata copiata in modo errato, è possibile risolvere il problema.

È inoltre possibile acquisire l'immagine di un dispositivo senza Network Agent installato. A tale scopo, eseguire la distribuzione dell'immagine nei dispositivi di destinazione, quindi distribuire Network Agent. Se si utilizza questo metodo, fornire l'accesso alla cartella di rete con i pacchetti di installazione indipendenti da un dispositivo.

Vedere anche:

Modalità di clonazione del disco di Network Agent

Inizio pagina

[Topic 92573]

Errori di copia di un'immagine del disco rigido

Se è stata copiata un'immagine del disco rigido in cui è installato Network Agent senza seguire le regole di distribuzione, alcuni dispositivi possono essere visualizzati insieme in Administration Console con un'unica icona e con un nome che subisce continue variazioni.

È possibile risolvere il problema utilizzando uno dei seguenti metodi:

Rimozione di Network Agent
Questo metodo è il più affidabile. È necessario rimuovere Network Agent dai dispositivi che sono stati copiati in modo errato dall'immagine, utilizzando strumenti di terze parti, e quindi installarlo di nuovo. Network Agent non può essere rimosso tramite gli strumenti di Kaspersky Security Center, perché Administration Server non può distinguere fra i dispositivi in errore (tutti condividono la stessa icona in Administration Console).
Esecuzione dell'utilità klmover con l'opzione "-dupfix"
Utilizzare strumenti di terze parti per eseguire una volta l'utilità klmover, disponibile nella cartella di installazione di Network Agent, con l'opzione "-dupfix" (klmover-dupfix) nei dispositivi in errore (quelli copiati in modo errato dall'immagine). Non è possibile eseguire l'utilità tramite gli strumenti di Kaspersky Security Center, perché Administration Server non può distinguere fra i dispositivi in errore (tutti condividono la stessa icona in Administration Console).

Eliminare quindi l'icona con cui erano visualizzati i dispositivi in errore prima dell'esecuzione dell'utilità.
Modifica della regola per il rilevamento dei dispositivi copiati in modo errato.
Questo metodo è applicabile solo se sono installati Administration Server e Network Agent versione 10 Service Pack 1 o successiva.

La regola per il rilevamento dei Network Agent copiati in modo errato deve essere modificata in modo che la modifica del nome NetBIOS di un dispositivo determini una "correzione" automatica di tali Network Agent (presupponendo che tutti i dispositivi copiati abbiano nomi NetBIOS univoci).

Nel dispositivo con Administration Server è necessario importare nel Registro di sistema il file reg indicato di seguito e quindi riavviare il servizio Administration Server.
- Se nel dispositivo con Administration Server è installato un sistema operativo a 32 bit:
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\1093\1.0.0.0\ServerFlags]

"KLSRV_CheckClones"=dword:00000003
- Se nel dispositivo con Administration Server è installato un sistema operativo a 64 bit:
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\1093\1.0.0.0\ServerFlags]

"KLSRV_CheckClones"=dword:00000003

Inizio pagina

[Topic 92461]

Distribuzione tramite i criteri di gruppo di Microsoft Windows

È consigliabile eseguire la distribuzione iniziale dei Network Agent tramite i criteri di gruppo di Microsoft Windows se sono soddisfatte le seguenti condizioni:

Il dispositivo fa parte di un dominio Active Directory.
Lo schema di distribuzione consente di attendere il successivo riavvio abituale dei dispositivi di destinazione prima di avviare la distribuzione nei Network Agent su di essi (oppure è possibile forzare l'applicazione di un criterio di gruppo di Windows in tali dispositivi).

Questo schema di distribuzione comprende quanto segue:

Il pacchetto di distribuzione dell'applicazione in formato Microsoft Installer (pacchetto MSI) è disponibile in una cartella condivisa (una cartella per cui gli account LocalSystem dei dispositivi di destinazione dispongono di autorizzazioni di lettura).
Nel criterio di gruppo di Active Directory, viene creato un oggetto di installazione per il pacchetto di distribuzione.
L'ambito di installazione è impostato specificando l'unità organizzativa (UO) e / o il gruppo di protezione che include i dispositivi di destinazione.
Al successivo accesso al dominio di un dispositivo di destinazione (prima che gli utenti del dispositivo accedano al sistema), tutte le applicazioni installate vengono esaminate per verificare che sia presente l'applicazione richiesta. Se l'applicazione non viene trovata, il pacchetto di distribuzione viene scaricato dalla risorsa specificata nel criterio e quindi viene installato.

Un vantaggio di questo schema di distribuzione è il fatto che le applicazioni assegnate sono installate nei dispositivi di destinazione durante il caricamento del sistema operativo, prima che l'utente acceda al sistema. Anche se un utente con diritti sufficienti rimuove l'applicazione, questa sarà reinstallata al successivo avvio del sistema operativo. Lo svantaggio di questo schema di distribuzione è che le modifiche apportate dall'amministratore al criterio di gruppo non hanno effetto finché i dispositivi non vengono riavviati (se non vengono utilizzati strumenti aggiuntivi).

È possibile utilizzare i criteri di gruppo per installare sia Network Agent che altre applicazioni se i relativi programmi di installazione sono in formato Windows Installer.

Quando si seleziona questo schema di distribuzione, è anche necessario valutare il carico sulla risorsa file da cui saranno copiati i file nei dispositivi dopo l'applicazione del criterio di gruppo di Windows.

Gestione dei criteri di Microsoft Windows tramite l'attività di installazione remota di Kaspersky Security Center

Il modo più semplice per installare le applicazioni tramite i criteri di gruppo di Microsoft Windows è selezionare l'opzione Assegna l'installazione del pacchetto in Criteri di gruppo di Active Directory nelle proprietà dell'attività di installazione remota di Kaspersky Security Center. In questo caso, Administration Server esegue automaticamente le azioni seguenti durante l'esecuzione dell'attività:

Crea gli oggetti richiesti nel criterio di gruppo di Microsoft Windows.
Crea gruppi di protezione dedicati, include i dispositivi di destinazione in tali gruppi e assegna l'installazione delle applicazioni selezionate per i dispositivi. Il set di gruppi di protezione sarà aggiornato a ogni esecuzione dell'attività, in base al pool di dispositivi al momento dell'esecuzione.

Per rendere disponibile questa funzionalità, nelle proprietà dell'attività specificare un account con autorizzazioni di scrittura nei criteri di gruppo di Active Directory.

Se si prevede di installare sia Network Agent che un'altra applicazione tramite la stessa attività, la selezione dell'opzione Assegna l'installazione del pacchetto in Criteri di gruppo di Active Directory determina la creazione di un oggetto di installazione nel criterio di Active Directory solo per Network Agent. La seconda applicazione selezionata nell'attività sarà installata tramite gli strumenti di Network Agent non appena quest'ultimo viene installato nel dispositivo. Se si desidera installare un'applicazione diversa da Network Agent tramite i criteri di gruppo di Windows, è necessario creare un'attività di installazione solo per tale pacchetto di installazione (senza il pacchetto di Network Agent). Non tutte le applicazioni possono essere installate utilizzando i criteri di gruppo Microsoft Windows. Per ottenere informazioni su questa funzionalità, è possibile fare riferimento alle informazioni sui possibili metodi per installare l'applicazione.

Se gli oggetti richiesti sono creati nel criterio di gruppo utilizzando gli strumenti di Kaspersky Security Center, verrà utilizzata la cartella condivisa di Kaspersky Security Center come origine del pacchetto di installazione. Durante la pianificazione della distribuzione, è necessario correlare la velocità di lettura per questa cartella con il numero di dispositivi e le dimensioni del pacchetto di distribuzione da installare. Può essere utile posizionare la cartella condivisa di Kaspersky Security Center in un archivio di file dedicato a elevate prestazioni.

Oltre alla sua facilità di utilizzo, la creazione automatica dei criteri di gruppo di Windows tramite Kaspersky Security Center offre un particolare vantaggio: durante la pianificazione dell'installazione di Network Agent, è possibile specificare facilmente il gruppo di amministrazione di Kaspersky Security Center in cui i dispositivi saranno spostati automaticamente al termine dell'installazione. È possibile specificare questo gruppo nella Creazione guidata nuova attività o nella finestra delle impostazioni dell'attività di installazione remota.

Quando si gestiscono i criteri di gruppo di Windows tramite Kaspersky Security Center, è possibile specificare i dispositivi per un oggetto criteri di gruppo creando un gruppo di protezione. Kaspersky Security Center sincronizza i contenuti del gruppo di protezione con il set corrente di dispositivi nell'attività. Utilizzando altri strumenti per gestire i criteri di gruppo, è possibile associare direttamente gli oggetti criteri di gruppo alle unità organizzative di Active Directory selezionate.

Installazione non assistita delle applicazioni tramite i criteri di Microsoft Windows

L'amministratore può creare autonomamente gli oggetti richiesti per l'installazione in un criterio di gruppo di Windows. In questo caso, può fornire collegamenti ai pacchetti archiviati nella cartella condivisa di Kaspersky Security Center oppure caricare i pacchetti su un file server dedicato e fornire collegamenti a tali pacchetti.

Sono possibili i seguenti scenari di installazione:

L'amministratore crea un pacchetto di installazione e ne imposta le proprietà in Administration Console. L'oggetto criteri di gruppo fornisce un collegamento al file MSI di questo pacchetto archiviato nella cartella condivisa di Kaspersky Security Center.
L'amministratore crea un pacchetto di installazione e ne imposta le proprietà in Administration Console. L'amministratore copia quindi l'intera sottocartella EXEC di questo pacchetto dalla cartella condivisa di Kaspersky Security Center in una cartella su una risorsa file dedicata dell'organizzazione. L'oggetto criteri di gruppo fornisce un collegamento al file MSI di questo pacchetto archiviato in una sottocartella sulla risorsa file dedicata dell'organizzazione.
L'amministratore scarica da Internet il pacchetto di distribuzione dell'applicazione (incluso quello di Network Agent) e lo carica nella risorsa file dedicata dell'organizzazione. L'oggetto criteri di gruppo fornisce un collegamento al file MSI di questo pacchetto archiviato in una sottocartella sulla risorsa file dedicata dell'organizzazione. Le impostazioni di installazione sono definite configurando le proprietà MSI o configurando i file di trasformazione MST.

Vedere anche:

Installazione di un'applicazione utilizzando i criteri di gruppo di Active Directory

Creazione di un file MST

Inizio pagina

[Topic 92462]

Distribuzione forzata tramite l'attività di installazione remota di Kaspersky Security Center

Per eseguire la distribuzione iniziale di Network Agent o di altre applicazioni, è possibile forzare l'installazione dei pacchetti di installazione selezionati utilizzando l'attività di installazione remota di Kaspersky Security Center, a condizione che ogni dispositivo disponga di uno o più account utente con diritti di amministratore locali.

L'installazione forzata può anche essere applicata se i dispositivi non sono direttamente accessibili da Administration Server, ad esempio se i dispositivi sono in rete isolata o se si trovano in una rete locale mentre Administration Server è in una rete perimetrale.

In caso di distribuzione iniziale, Network Agent non è installato. Pertanto, nelle impostazioni dell'attività di installazione remota, non è possibile selezionare la distribuzione dei file richiesti per l'installazione dell'applicazione utilizzando Network Agent. È possibile scegliere di distribuire i file solo utilizzando le risorse del sistema operativo tramite Administration Server o i punti di distribuzione.

Il servizio Administration Server deve essere eseguito con un account con privilegi di amministratore nei dispositivi di destinazione. In alternativa, è possibile specificare un account che ha accesso alla condivisione admin$ nelle impostazioni dell'attività di installazione remota.

Per impostazione predefinita, l'attività di installazione remota si connette ai dispositivi utilizzando le credenziali dell'account con cui è in esecuzione Administration Server. È importante chiarire che questo è l'account utilizzato per accedere alla condivisione admin$, anziché l'account con cui viene eseguita l'attività di installazione remota. L'installazione viene eseguita con l'account LocalSystem.

È possibile specificare i dispositivi di destinazione esplicitamente (con un elenco), selezionando il gruppo di amministrazione di Kaspersky Security Center a cui appartengono o creando una selezione di dispositivi in base a un criterio specifico. L'ora di inizio dell'installazione è definita dalla pianificazione dell'attività. Se l'impostazione Esegui attività non effettuate è abilitata nelle proprietà dell'attività, l'attività può essere eseguita subito dopo l'accensione dei dispositivi di destinazione o quando vengono spostati nel gruppo di amministrazione di destinazione.

L'installazione forzata consiste nella distribuzione dei pacchetti di installazione ai dispositivi di destinazione, nella successiva copia dei file nella risorsa admin$ in ciascuno dei dispositivi di destinazione e nella registrazione remota dei servizi di supporto in tali dispositivi. L'invio dei pacchetti di installazione ai dispositivi di destinazione viene eseguito tramite una funzionalità di Kaspersky Security Center che garantisce l'interazione di rete. In questo caso, devono essere soddisfatte le seguenti condizioni:

I dispositivi di destinazione sono accessibili dal lato di Administration Server o dal lato del punto di distribuzione.
La risoluzione dei nomi per i dispositivi di destinazione funziona correttamente nella rete.
Le condivisioni amministrative (admin$) rimangono abilitate nei dispositivi di destinazione.
I seguenti servizi di sistema sono in esecuzione nei dispositivi di destinazione:
- Server (LanmanServer)
  Per impostazione predefinita, questo servizio è in esecuzione.
- DCOM Server Process Launcher (DcomLaunch)
- RPC Endpoint Mapper (RpcEptMapper)
- Remote Procedure Call (RpcSs)
La porta TCP 445 è aperta nei dispositivi di destinazione per abilitare l'accesso remoto tramite gli strumenti di Windows.
TCP 139, UDP 137 e UDP 138 vengono utilizzati dai protocolli precedenti e non sono più necessari per le applicazioni correnti.

Le porte di accesso dinamiche in uscita devono essere consentite nel firewall per le connessioni da Administration Server e dai punti di distribuzione ai dispositivi di destinazione.
Le impostazioni di protezione del criterio di dominio di Active Directory possono fornire il funzionamento del protocollo NTLM durante la distribuzione di Network Agent.
Nei dispositivi di destinazione che eseguono Microsoft Windows XP, la modalità Simple File Sharing è disabilitata.
Nei dispositivi di destinazione, il modello di protezione e condivisione dell'accesso è impostato su Classico: gli utenti locali eseguono l'autenticazione come se stessi. Non può in alcun modo essere Solo Guest: gli utenti locali si autenticano come Guest.
I dispositivi di destinazione sono utenti del dominio o vengono creati anticipatamente account uniformi con diritti di amministratore nei dispositivi di destinazione.

Per distribuire correttamente Network Agent o altre applicazioni in un dispositivo che non fa parte di un dominio Active Directory di Windows Server 2003 o versione successiva, è necessario disabilitare Controllo dell'account utente remoto in tale dispositivo. Controllo dell'account utente remoto è uno dei motivi che impedisce agli account amministrativi locali di accedere ad admin$, necessario per la distribuzione forzata di Network Agent o di altre applicazioni. La disabilitazione di Controllo dell'account utente remoto non influisce su Controllo dell'account utente locale.

Durante l'installazione in nuovi dispositivi che non sono stati ancora assegnati ad alcun gruppo di amministrazione di Kaspersky Security Center, è possibile aprire le proprietà dell'attività di installazione remota e specificare il gruppo di amministrazione in cui spostare i dispositivi dopo l'installazione di Network Agent.

Al momento della creazione di un'attività di gruppo, tenere presente che ogni attività di gruppo influisce su tutti i dispositivi in tutti i gruppi nidificati all'interno un gruppo selezionato. È pertanto necessario evitare di duplicare le attività di installazione nei sottogruppi.

Un modo semplificato per creare attività per l'installazione forzata delle applicazioni è l'installazione automatica. A tale scopo, è necessario aprire le proprietà del gruppo di amministrazione, aprire l'elenco dei pacchetti di installazione e selezionare quelli da installare nei dispositivi di questo gruppo. I pacchetti di installazione selezionati saranno installati automaticamente in tutti i dispositivi di questo gruppo e di tutti i relativi sottogruppi. L'intervallo di tempo richiesto per l'installazione dei pacchetti dipende dalla velocità effettiva della rete e dal numero totale di dispositivi in rete.

Per ridurre il carico su Administration Server durante la distribuzione dei pacchetti di installazione ai dispositivi di destinazione, è possibile selezionare l'installazione tramite i punti di distribuzione nell'attività di installazione. Tenere presente che questo metodo di installazione comporta un carico significativo per i dispositivi che operano come punti di distribuzione. Pertanto, si consiglia di selezionare i dispositivi che soddisfano i requisiti per i punti di distribuzione. Se si utilizzano punti di distribuzione, è necessario assicurarsi che siano presenti in ciascuna delle subnet isolate che ospitano i dispositivi di destinazione.

L'utilizzo dei punti di distribuzione come centri di installazione locali può anche essere utile durante l'installazione nei dispositivi in subnet che comunicano con Administration Server tramite un canale con una capacità limitata, mentre è disponibile un canale con una maggiore capacità tra i dispositivi nella stessa subnet.

Lo spazio libero su disco nella partizione con la cartella %ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit deve superare, di diverse volte, le dimensioni totali dei pacchetti di distribuzione delle applicazioni installate.

Inizio pagina

[Topic 92463]

Esecuzione di pacchetti indipendenti creati tramite Kaspersky Security Center

È possibile utilizzare Kaspersky Security Center per inviare agli utenti selezionati un messaggio e-mail che contiene un collegamento a questo file nella cartella condivisa, richiedendo loro di eseguire il file (in modalità interattiva o con l'opzione "-s" per l'installazione automatica). È possibile allegare il pacchetto di installazione indipendente a un messaggio e-mail e quindi inviarlo agli utenti dei dispositivi che non hanno accesso alla cartella condivisa di Kaspersky Security Center. L'amministratore può anche copiare il pacchetto indipendente in un'unità rimovibile, trasferirlo in un dispositivo appropriato e quindi eseguirlo in un secondo momento.

È possibile creare un pacchetto indipendente da un pacchetto di Network Agent, un pacchetto di un'altra applicazione (ad esempio, l'applicazione di protezione) o entrambi. Se il pacchetto indipendente è stato creato da Network Agent e un'altra applicazione, l'installazione inizia da Network Agent.

Durante la creazione di un pacchetto indipendente con Network Agent, è possibile specificare il gruppo di amministrazione nel quale verranno automaticamente spostati i nuovi dispositivi (quelli che non sono stati allocati ad alcun gruppo di amministrazione) al termine dell'installazione di Network Agent.

I pacchetti indipendenti possono essere eseguiti in modalità interattiva (per impostazione predefinita), visualizzando il risultato dell'installazione delle applicazioni che contengono, o possono essere eseguiti in modalità automatica (con l'opzione "-s"). La modalità automatica può essere utilizzata per l'installazione tramite script, ad esempio script configurati per l'esecuzione dopo la distribuzione dell'immagine di un sistema operativo. Il risultato dell'installazione in modalità automatica è determinato dal codice restituito del processo.

Vedere anche:

Installazione delle applicazioni tramite pacchetti indipendenti

Inizio pagina

[Topic 92464]

Opzioni per l'installazione manuale delle applicazioni

Gli amministratori o gli utenti esperti possono installare manualmente le applicazioni in modalità interattiva. Possono utilizzare i pacchetti di distribuzione originali o pacchetti di installazione generati da questi ultimi e archiviati nella cartella condivisa di Kaspersky Security Center. Per impostazione predefinita, i programmi di installazione vengono eseguiti in modalità interattiva e richiedono agli utenti tutti i valori richiesti. Tuttavia, eseguendo il processo setup.exe dalla radice di un pacchetto di installazione con l'opzione "-s", il programma di installazione verrà eseguito in modalità automatica e con le impostazioni che sono state definite durante la configurazione del pacchetto di installazione.

Quando si esegue setup.exe dalla radice di un pacchetto di installazione archiviato nella cartella condivisa di Kaspersky Security Center, il pacchetto sarà prima copiato in una cartella locale temporanea e quindi sarà eseguito il programma di installazione dell'applicazione dalla cartella locale.

Inizio pagina

[Topic 273674]

Creazione di un file MST

Per trasformare il contenuto di un pacchetto MSI e applicare le impostazioni personalizzate a un file MSI esistente, è necessario creare un file di trasformazione in formato MST. A tale scopo, utilizzare l'editor Orca.exe, incluso in Windows SDK.

Per creare un file MST:

Eseguire l'editor Orca.exe.
Passare alla scheda File e nel menu fare clic su Apri.
Selezionare il file Kaspersky Network Agent.msi.
Passare alla scheda Trasformazione e nel menu selezionare Nuova trasformazione.
Nella colonna Tabelle selezionare Proprietà e scrivere i seguenti valori:
- EULA=1
- SERVERADDRESS=<Indirizzo di Administration Server>
Fare clic sul pulsante Salva.
Passare alla scheda Trasforma e nel menu selezionare Genera trasformazione.
Nella finestra visualizzata, specificare un nome per il file di trasformazione creato, quindi fare clic sul pulsante Salva.

Il file MST viene salvato.

Inizio pagina

[Topic 92465]

Installazione remota delle applicazioni nei dispositivi in cui è installato Network Agent

Se un Network Agent connesso all'Administration Server primario (o a uno dei relativi Server secondari) è installato in un dispositivo, è possibile eseguire l'upgrade di Network Agent in tale dispositivo, nonché installare, aggiornare o rimuovere qualsiasi applicazione supportata tramite Network Agent.

È possibile abilitare l'opzione Utilizzando Network Agent nelle proprietà dell'attività di installazione remota.

Se questa opzione è selezionata, i pacchetti di installazione con le impostazioni di installazione definite dall'amministratore saranno trasferiti ai dispositivi di destinazione tramite i canali di comunicazione tra Network Agent e Administration Server.

Per ottimizzare il carico su Administration Server e ridurre al minimo il traffico tra Administration Server e i dispositivi, è consigliabile assegnare punti di distribuzione in ogni rete remota o in ogni dominio di trasmissione (vedere le sezioni "Informazioni sui punti di distribuzione" e "Creazione di una struttura di gruppi di amministrazione e assegnazione dei punti di distribuzione". In questo caso, i pacchetti di installazione e le impostazioni del programma di installazione sono distribuiti dall'Administration Server ai dispositivi di destinazione tramite i punti di distribuzione.

È inoltre possibile utilizzare i punti di distribuzione per l'invio (multicast) dei pacchetti di installazione, che consente di ridurre considerevolmente il traffico di rete durante la distribuzione delle applicazioni.

Durante il trasferimento dei pacchetti di installazione ai dispositivi di destinazione tramite i canali di comunicazione tra i Network Agent e l'Administration Server, tutti i pacchetti di installazione che sono stati preparati per il trasferimento saranno anche memorizzati nella cache nella cartella %ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit\1093\.working\FTServer. Quando si utilizzano diversi pacchetti di installazione di grandi dimensioni, di vari tipi e che coinvolgono numerosi punti di distribuzione, le dimensioni di questa cartella possono aumentare notevolmente.

I file non possono essere eliminati manualmente della cartella FTServer. Quando i pacchetti di installazione originali vengono eliminati, i dati corrispondenti sono eliminati automaticamente della cartella FTServer.

I dati ricevuti dai punti di distribuzione vengono salvati nella cartella %ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit\1103\$FTClTmp.

I file non possono essere eliminati manualmente della cartella $FTClTmp. Al termine delle attività che utilizzano i dati in questa cartella, i contenuti della cartella saranno eliminati automaticamente.

Poiché i pacchetti di installazione sono distribuiti tramite i canali di comunicazione tra Administration Server e i Network Agent da un archivio intermedio in un formato ottimizzato per i trasferimenti in rete, non sono consentite modifiche ai pacchetti di installazione archiviati nella cartella originale di ogni pacchetto di installazione. Tali modifiche non saranno registrate automaticamente da Administration Server. Se è necessario modificare manualmente i file dei pacchetti di installazione (sebbene sia consigliabile evitare questo scenario), è necessario modificare qualsiasi impostazione di un pacchetto di installazione in Administration Console. La modifica delle impostazioni di un pacchetto di installazione in Administration Console fa sì che Administration Server aggiorni l'immagine del pacchetto nella cache che è stato preparato per il trasferimento nei dispositivi di destinazione.

Inizio pagina

[Topic 92466]

Gestione dei riavvii dei dispositivi nell'attività di installazione remota

I dispositivi spesso richiedono un riavvio per completare l'installazione remota delle applicazioni (in particolare in Windows).

Se si utilizza l'attività Installazione remota di Kaspersky Security Center, nella Creazione guidata nuova attività o nella finestra delle proprietà dell'attività che è stata creata (sezione Riavvio del sistema operativo), è possibile selezionare l'azione da eseguire quando il dispositivo Windows richiede un riavvio:

Non riavviare il dispositivo. In questo caso, non sarà eseguito alcun riavvio automatico. Per completare l'installazione, è necessario riavviare il dispositivo (ad esempio, manualmente o tramite l'attività di gestione del dispositivo). Le informazioni sul riavvio richiesto saranno salvate nei risultati dell'attività e nello stato del dispositivo. Questa opzione è adatta per le attività di installazione nei server e negli altri dispositivi per cui il funzionamento continuo è di importanza critica.
Riavvia il dispositivo. In questo caso, il dispositivo viene sempre riavviato automaticamente quando è richiesto un riavvio per il completamento dell'installazione. Questa opzione è utile per le attività di installazione nei dispositivi per cui sono previste pause periodiche durante la relativa esecuzione (chiusura o riavvio).
Richiedi l'intervento dell'utente. In questo caso, sarà visualizzata una notifica del riavvio sullo schermo del dispositivo client e verrà richiesto all'utente di riavviare il dispositivo manualmente. Per questa opzione è possibile definire alcune impostazioni avanzate: il testo del messaggio per l'utente, la frequenza di visualizzazione del messaggio e l'intervallo di tempo al termine del quale sarà forzato il riavvio (senza la conferma dell'utente). L'opzione Richiedi l'intervento dell'utente è la più adatta per le workstation, in cui gli utenti devono avere la possibilità di selezionare l'orario che preferiscono per un riavvio del sistema.

Inizio pagina

[Topic 92467]

Aggiornamento dei database in un pacchetto di installazione di un'applicazione di protezione

Inizio pagina

[Topic 92470]

Utilizzo di strumenti per l'installazione remota di applicazioni in Kaspersky Security Center per l'esecuzione di file eseguibili nei dispositivi gestiti

Utilizzando la Creazione guidata nuovo pacchetto, è possibile selezionare qualsiasi file eseguibile e definire le impostazioni della riga di comando per tale file. È possibile aggiungere al pacchetto di installazione il file selezionato o l'intera cartella che lo contiene. È quindi necessario creare l'attività di installazione remota e selezionare il pacchetto di installazione che è stato creato.

Durante l'esecuzione dell'attività, il file eseguibile specificato con le impostazioni definite del prompt dei comandi verrà eseguito nei dispositivi di destinazione.

Se si utilizzano programmi di installazione in formato Microsoft Windows Installer (MSI), Kaspersky Security Center analizza i risultati dell'installazione per mezzo di strumenti standard.

Se è disponibile una licenza per Vulnerability e patch management, Kaspersky Security Center (durante la creazione di un pacchetto di installazione per qualsiasi applicazione supportata nell'ambiente aziendale) utilizza anche regole per l'installazione e l'analisi dei risultati dell'installazione presenti nel proprio database aggiornabile.

In caso contrario, l'attività predefinita per i file eseguibili attende il completamento del processo in esecuzione e di tutti i relativi processi secondari. Dopo completamento di tutti i processi in esecuzione, l'attività verrà completata correttamente, indipendentemente dal codice restituito del processo iniziale. Per modificare il comportamento di questa attività, prima di creare l'attività, è necessario modificare manualmente i file .kpd che sono stati generati da Kaspersky Security Center nella cartella del pacchetto di installazione appena creato e nelle relative sottocartelle.

I file .kpd utilizzano la codifica ASCII. I file .kud utilizzano la codifica Unicode.

Per fare in modo che l'attività non attenda il completamento del processo in esecuzione, impostare il valore dell'impostazione Wait su 0 nella sezione [SetupProcessResult]:

Esempio:

[SetupProcessResult]

Wait=0

Per fare in modo che l'attività attenda solo il completamento del processo in esecuzione in Windows, e non quello di tutti i processi secondari, impostare il valore dell'impostazione WaitJob su 0 nella sezione [SetupProcessResult], ad esempio:

Esempio:

[SetupProcessResult]

WaitJob=0

Affinché l'attività venga completata correttamente o restituisca un errore a seconda del codice di ritorno del processo in esecuzione, creare un file .bat eseguibile che salvi il codice di errore in un file, ad esempio:

Esempio:

echo [ResponseResult] > setup.log

echo ResultCode=2 >> setup.log

exit 0

Quindi modificare i file .kud generati da Kaspersky Security Center nella cartella del pacchetto di installazione appena creato:

Esempio:

[SetupMainResult]

File=setup.log

Section=ResponseResult

Value=ResultCode

[SetupMainResult_SuccessCodes]

0=Installation completed successfully.

[SetupMainResult_ErrorCodes]

1=Installation script error

2=Custom error

In questo caso, qualsiasi codice diverso da quelli elencati determinerà la restituzione di un errore.

Per visualizzare nei risultati dell'attività una stringa con un commento relativo al completamento dell'attività o un errore, immettere brevi descrizioni degli errori che corrispondono ai codici restituiti del processo nelle sezioni [SetupProcessResult_SuccessCodes] e [SetupProcessResult_ErrorCodes], ad esempio:

Esempio:

[SetupProcessResult_SuccessCodes]

0=Installazione completata

3010=È necessario un riavvio per completare l'installazione

[SetupProcessResult_ErrorCodes]

1602=Installazione annullata dall'utente

1603=Errore irreversibile durante l'installazione

Per utilizzare gli strumenti di Kaspersky Security Center per gestire il riavvio del dispositivo (se è necessario un riavvio per completare un'operazione), elencare i codici restituiti del processo che indicano che deve essere eseguito un riavvio nella sezione [SetupProcessResult_NeedReboot]:

Esempio:

[SetupProcessResult_NeedReboot]

3010=

Inizio pagina

[Topic 92471]

Monitoraggio della distribuzione

Per monitorare la distribuzione di Kaspersky Security Center e verificare che un'applicazione di protezione e Network Agent siano installati nei dispositivi gestiti, è necessario controllare l'indicatore a semaforo nella sezione Distribuzione. Questo indicatore a semaforo è disponibile nell'area di lavoro del nodo Administration Server nella finestra principale di Administration Console. L'indicatore a semaforo riflette lo stato corrente della distribuzione. Il numero di dispositivi con Network Agent e applicazioni di protezione installate è visualizzato accanto all'indicatore. Quando qualsiasi attività di installazione è in esecuzione, qui è possibile monitorarne lo stato di avanzamento. Se si verificano errori, il numero di errori viene visualizzato qui. È possibile visualizzare i dettagli di qualsiasi errore facendo clic sul collegamento.

È anche possibile utilizzare lo schema della distribuzione nell'area di lavoro della cartella Dispositivi gestiti nella scheda Gruppi. Il grafico riflette il processo di distribuzione, visualizzando il numero di dispositivi senza Network Agent, con Network Agent o con Network Agent e un'applicazione di protezione.

Per ulteriori informazioni sullo stato di avanzamento della distribuzione (o sull'esecuzione di una specifica attività di installazione), aprire la finestra dei risultati dell'attività di installazione remota appropriata: fare clic con il pulsante destro del mouse sull'attività, quindi selezionare Risultati nel menu di scelta rapida. La finestra visualizza due elenchi: quello superiore contiene gli stati dell'attività nei dispositivi, mentre quello inferiore contiene gli eventi dell'attività sul dispositivo attualmente selezionato nell'elenco superiore.

Le informazioni sugli errori di distribuzione vengono aggiunte al registro eventi Kaspersky su Administration Server. Le informazioni sugli errori sono anche disponibili tramite la selezione eventi corrispondente nel nodo Administration Server della scheda Eventi.

Inizio pagina

[Topic 92472]

Configurazione dei programmi di installazione

Questa sezione fornisce informazioni sui file dei programmi di installazione di Kaspersky Security Center e sulle impostazioni di installazione, oltre a raccomandazioni su come installare Administration Server e Network Agent in modalità automatica.

In questa sezione

Installazione in modalità automatica (con un file di risposta)

Installazione di Network Agent in modalità automatica (senza un file di risposta)

Configurazione parziale dell'installazione tramite setup.exe

Parametri di installazione di Administration Server

Installazione in modalità automatica (con un file di risposta)

Inizio pagina

[Topic 92473]

Informazioni generali

I programmi di installazione di Kaspersky Security Center 14.2 (Administration Server, Network Agent e Administration Console) sono basati sulla tecnologia Windows Installer. L'elemento fondamentale di un programma di installazione è un pacchetto MSI. Questo formato dei pacchetti consente di sfruttare tutti i vantaggi offerti da Windows Installer: la scalabilità, la disponibilità di un sistema di applicazione delle patch, il sistema di trasformazione, l'installazione centralizzata tramite soluzioni di terze parti e la registrazione trasparente con il sistema operativo.

Vedere anche:

Installazione di Network Agent in modalità automatica (senza un file di risposta)

Configurazione parziale dell'installazione tramite setup.exe

Parametri di installazione di Administration Server

Inizio pagina

[Topic 92474]

Installazione in modalità automatica (con un file di risposta)

I programmi di installazione di Administration Server e Network Agent supportano l'utilizzo di un file di risposta (ss_install.xml), in cui sono integrate le parametri per l'installazione in modalità automatica senza la partecipazione dell'utente. Il file ss_install.xml è disponibile nella stessa cartella del pacchetto MSI e viene utilizzato automaticamente durante l'installazione in modalità automatica. È possibile abilitare la modalità di installazione automatica con il tasto della riga di comando "/s".

Un esempio di esecuzione del comando è il seguente:

setup.exe /s

Prima di avviare il programma di installazione in modalità automatica, leggere il Contratto di licenza con l'utente finale (EULA). Se il kit di distribuzione di Kaspersky Security Center non include un file TXT con il testo dell'EULA, è possibile scaricare il file dal sito Web di Kaspersky.

Il file ss_install.xml è un'istanza del formato interno dei parametri del programma di installazione di Kaspersky Security Center. I pacchetti di distribuzione contengono il file ss_install.xml con i parametri predefiniti.

Non modificare il file ss_install.xml manualmente. Questo file può essere modificato mediante gli strumenti di Kaspersky Security Center durante la modifica dei parametri dei pacchetti di installazione in Administration Console.

Per modificare il file di risposta per l'installazione di Administration Server:

Aprire il pacchetto di distribuzione di Kaspersky Security Center. Se si utilizza un file EXE del pacchetto completo, decomprimerlo.
Nella cartella Server, aprire la riga di comando e quindi eseguire il seguente comando:

setup.exe /r ss_install.xml

Viene avviato il programma di installazione di Kaspersky Security Center.
Seguire i passaggi della procedura guidata per configurare l'installazione di Kaspersky Security Center.

Una volta completata la procedura guidata, il file di risposta viene modificato automaticamente in base alle nuove impostazioni specificate.

Vedere anche:

Installazione di Network Agent in modalità automatica (senza un file di risposta)

Configurazione parziale dell'installazione tramite setup.exe

Parametri di installazione di Administration Server

Installazione di Network Agent in modalità automatica

Inizio pagina

[Topic 92475]

Installazione di Network Agent in modalità automatica (senza un file di risposta)

È possibile installare Network Agent con un singolo pacchetto .msi, specificando i valori delle proprietà MSI nella modalità standard. Questo scenario consente l'installazione di Network Agent tramite i criteri di gruppo.

Non rinominare il pacchetto di installazione Kaspersky Network Agent.msi. La ridenominazione del pacchetto potrebbe causare errori di installazione durante gli aggiornamenti futuri di Network Agent.

Per evitare conflitti tra i parametri definiti attraverso le proprietà MSI e i parametri definiti nel file di risposta, è possibile disabilitare il file di risposta impostando la proprietà DONT_USE_ANSWER_FILE=1. Il file MSI è disponibile nel pacchetto di distribuzione di Kaspersky Security Center, nella cartella Packages\NetAgent\exec. Un esempio di esecuzione del programma di installazione di Network Agent con un pacchetto .msi è il seguente.

L'installazione di Network Agent in modalità automatica richiede l'accettazione delle condizioni del Contratto di licenza con l'utente finale. Utilizzare il parametro EULA=1 solo se l'utente ha letto, compreso e accettato i termini del Contratto di licenza con l'utente finale.

Esempio:

msiexec /i "Kaspersky Network Agent.msi" /qn DONT_USE_ANSWER_FILE=1 SERVERADDRESS=kscserver.mycompany.com EULA=1

È anche possibile definire i parametri di installazione per un pacchetto msi preparando in anticipo il file di risposta (con estensione mst). Questo comando si presenta come segue:

Esempio:

msiexec /i "Kaspersky Network Agent.msi" /qn TRANSFORMS=test.mst;test2.mst

È possibile specificare diversi file di risposta in un singolo comando.

Vedere anche:

Installazione in modalità automatica (con un file di risposta)

Configurazione parziale dell'installazione tramite setup.exe

Parametri di installazione di Administration Server

Inizio pagina

[Topic 92476]

Configurazione parziale dell'installazione tramite setup.exe

Durante l'esecuzione dell'installazione delle applicazioni tramite setup.exe, è possibile aggiungere i valori di qualsiasi proprietà MSI al pacchetto MSI.

Questo comando si presenta come segue:

Esempio:

/v"NOME_PROPRIETÀ1=VALORE_PROPRIETÀ1 NOME_PROPRIETÀ2=VALORE_PROPRIETÀ2"

Vedere anche:

Installazione in modalità automatica (con un file di risposta)

Installazione di Network Agent in modalità automatica (senza un file di risposta)

Parametri di installazione di Administration Server

Inizio pagina

[Topic 92477]

Parametri di installazione di Administration Server

Nella tabella seguente sono descritte le proprietà MSI che è possibile configurare durante l'installazione di Administration Server. Tutti i parametri sono facoltativi, ad eccezione di EULA e PRIVACYPOLICY.

Parametri dell'installazione di Administration Server in modalità automatica

Proprietà MSI	Descrizione	Valori disponibili
EULA	Accettazione dei termini del Contratto di licenza (obbligatorio)	1 - Ho letto, compreso e accettato i termini del Contratto di licenza con l'utente finale. Altri valori o nessun valore- Non accetto i termini del Contratto di licenza (l'installazione non viene eseguita).
PRIVACYPOLICY	Accettazione dei termini dell'Informativa sulla privacy (obbligatorio)	1 - Sono consapevole e accetto che i miei dati vengano gestiti e trasmessi (anche a paesi terzi) come descritto nell'Informativa sulla privacy. Confermo di aver letto e compreso l'Informativa sulla privacy. Altro valore o nessun valore- Non accetto i termini dell'Informativa sulla privacy (l'installazione non viene eseguita).
INSTALLATIONMODETYPE	Tipo di installazione di Administration Server	Standard. Personalizzato.
INSTALLDIR	Cartella di installazione dell'applicazione	Valore stringa.
ADDLOCAL	Elenco dei componenti da installare (separati da virgole)	CSAdminKitServer, NAgent, CSAdminKitConsole, NSAC, MobileSupport, KSNProxy, SNMPAgent, GdiPlusRedist, Microsoft_VC90_CRT_x86, Microsoft_VC100_CRT_x86. Elenco minimo di componenti sufficienti per la corretta installazione di Administration Server: `ADDLOCAL=CSAdminKitServer, CSAdminKitConsole, KSNProxy, Microsoft_VC90_CRT_x86, Microsoft_VC100_CRT_x86`
NETRANGETYPE	Dimensione della rete	NRT_1_100 – Da 1 a 100 dispositivi. NRT_100_1000 – Da 101 a 1000 dispositivi. NRT_GREATER_1000 – Oltre 1000 dispositivi.
SRV_ACCOUNT_TYPE	Consente di specificare l'utente per l'esecuzione del servizio Administration Server	SrvAccountDefault - L'account utente sarà creato automaticamente. SrvAccountUser- L'account utente è definito manualmente.
SERVERACCOUNTNAME	Nome utente per il servizio	Valore stringa.
SERVERACCOUNTPWD	Password dell'utente per il servizio	Valore stringa.
DBTYPE	Tipo di database	MySQL - Verrà utilizzato un database MySQL o MariaDB. MSSQL - Verrà utilizzato il database Microsoft SQL Server (SQL Express).
MYSQLSERVERNAME	Nome completo del server MySQL o MariaDB	Valore stringa.
MYSQLSERVERPORT	Numero di porta per la connessione al server MySQL o MariaDB	Valore numerico.
MYSQLDBNAME	Nome del database del server MySQL o MariaDB	Valore stringa.
MYSQLACCOUNTNAME	Nome utente per la connessione al database del server MySQL o MariaDB	Valore stringa.
MYSQLACCOUNTPWD	Password utente per la connessione al database del server MySQL o MariaDB	Valore stringa.
MSSQLCONNECTIONTYPE	Tipo di utilizzo del database MSSQL	InstallMSSEE - Installazione da un pacchetto. ChooseExisting - Utilizzo del server installato.
MSSQLSERVERNAME	Nome completo dell'istanza di SQL Server	Valore stringa.
MSSQLDBNAME	Nome del database del server SQL	Valore stringa.
MSSQLAUTHTYPE	Metodo di autenticazione per la connessione a SQL Server	Windows. SQLServer.
MSSQLACCOUNTNAME	Nome utente per la connessione a SQL Server in modalità SQLServer	Valore stringa.
MSSQLACCOUNTPWD	Password dell'utente per la connessione a SQL Server in modalità SQLServer	Valore stringa.
CREATE_SHARE_TYPE	Metodo per la specificazione della cartella condivisa	Create - Creare una nuova cartella condivisa. In questo caso, è necessario definire le seguenti proprietà: SHARELOCALPATH - Percorso di una cartella locale. SHAREFOLDERNAME - Nome di rete di una cartella. Null - Deve essere specificata la proprietà EXISTSHAREFOLDERNAME.
EXISTSHAREFOLDERNAME	Percorso completo di una cartella condivisa esistente	Valore stringa.
SERVERPORT	Numero di porta per la connessione ad Administration Server	Valore numerico.
SERVERSSLPORT	Numero di porta per la creazione di una connessione ad Administration Server	Valore numerico.
SERVERADDRESS	Indirizzo di Administration Server	Valore stringa.
SERVERCERT2048BITS	Dimensione della chiave per il certificato di Administration Server (in bit)	1 - La dimensione della chiave per il certificato di Administration Server è di 2048 bit. 0 - La dimensione della chiave per il certificato di Administration Server è di 1024 bit. Se non viene specificato alcun valore, la dimensione della chiave per il certificato di Administration Server è di 2048 bit.
MOBILESERVERADDRESS	Indirizzo dell'Administration Server per la connessione dei dispositivi mobili; ignorato se il componente MobileSupport non è stato selezionato	Valore stringa.

Vedere anche:

Installazione in modalità automatica (con un file di risposta)

Installazione di Network Agent in modalità automatica (senza un file di risposta)

Installazione di Network Agent in modalità automatica

Configurazione parziale dell'installazione tramite setup.exe

Inizio pagina

[Topic 92478]

Parametri di installazione di Network Agent

Nella tabella seguente sono descritte le proprietà MSI che è possibile configurare durante l'installazione di Network Agent. Tutti i parametri sono facoltativi, ad eccezione di EULA e SERVERADDRESS.

Parametri dell'installazione di Network Agent in modalità automatica

Proprietà MSI	Descrizione	Valori disponibili
EULA	Accettazione del Contratto di licenza	1 - Confermo di aver letto, compreso e accettato i termini e le condizioni del presente Contratto di licenza con l'utente finale. 0—Non accetto i termini del Contratto di licenza (l'installazione non viene eseguita). Nessun valore—Non accetto i termini del Contratto di licenza (l'installazione non viene eseguita).
DONT_USE_ANSWER_FILE	Leggere le impostazioni di installazione dal file di risposta	1—Non utilizzare. Altri valori o nessun valore—Lettura.
INSTALLDIR	Percorso della cartella di installazione di Network Agent	Valore stringa.
SERVERADDRESS	Indirizzo di Administration Server (obbligatorio)	Valore stringa.
SERVERPORT	Numero di porta per la connessione ad Administration Server	Valore numerico.
SERVERSSLPORT	Numero di porta per la connessione criptata ad Administration Server tramite il protocollo SSL	Valore numerico.
USESSL	Specifica se utilizzare connessione SSL	1 - Utilizzare. Altri valori o nessun valore - Non utilizzare.
OPENUDPPORT	Specifica se aprire una porta UDP	1 - Aprire. Altri valori o nessun valore - Non aprire.
UDPPORT	Numero di porta UDP	Valore numerico.
USEPROXY	Specifica se utilizzare un server proxy: Per motivi di compatibilità, non è consigliabile specificare le impostazioni di connessione proxy nelle impostazioni del pacchetto di installazione di Network Agent.	1 - Utilizzare. Altri valori o nessun valore - Non utilizzare.
PROXYLOCATION (PROXYADDRESS:PROXYPORT)	Indirizzo del proxy e numero di porta per la connessione al server proxy	Valore stringa.
PROXYLOGIN	Account per la connessione a un server proxy	Valore stringa.
PROXYPASSWORD	Password dell'account per la connessione al server proxy (non specificare i dettagli degli account con privilegi nei parametri dei pacchetti di installazione.)	Valore stringa.
GATEWAYMODE	Modalità di utilizzo del gateway di connessione	0 - Non utilizzare il gateway di connessione. 1 - Utilizza questo Network Agent come gateway di connessione. 2 - Connetti ad Administration Server utilizzando il gateway di connessione.
GATEWAYADDRESS	Indirizzo gateway connessione	Valore stringa.
CERTSELECTION	Metodo di ricezione di un certificato	GetOnFirstConnection - Ricevere un certificato da Administration Server. GetExistent - Selezionare un certificato esistente. Se questa opzione è selezionata, è necessario specificare la proprietà CERTFILE.
CERTFILE	Percorso del file di certificato	Valore stringa.
VMVDI	Abilitare la modalità dinamica per Virtual Desktop Infrastructure (VDI)	1 - Abilitare. 0 - Non abilitare. Nessun valore - Non abilitare.
VMOPTIMIZE	Se le impostazioni di Network Agent sono ottimali per l'hypervisor	1 - Abilitare. 0 - Non abilitare. Nessun valore - Non abilitare.
LAUNCHPROGRAM	Specifica se avviare il servizio Network Agent dopo l'installazione. Il parametro viene ignorato se VMVDI=1	1 - Avviare. Altri valori o nessun valore - Non avviare.
NAGENTTAGS	Tag per Network Agent (ha la priorità sul tag assegnato nel file di risposta)	Valore stringa.

Vedere anche:

Installazione in modalità automatica (con un file di risposta)

Installazione di Network Agent in modalità automatica

Installazione di Network Agent in modalità automatica (senza un file di risposta)

Configurazione parziale dell'installazione tramite setup.exe

Parametri di installazione di Administration Server

Inizio pagina

[Topic 92479]

Infrastruttura virtuale

Kaspersky Security Center supporta l'utilizzo di macchine virtuali. È possibile installare Network Agent e l'applicazione di protezione in ogni macchina virtuale, nonché proteggere le macchine virtuali a livello di hypervisor. Nel primo caso è possibile utilizzare un'applicazione di protezione standard o Kaspersky Security for Virtualization Light Agent per proteggere le macchine virtuali. Nel secondo caso è possibile utilizzare Kaspersky Security for Virtualization Agentless.

Kaspersky Security Center supporta i rollback delle macchine virtuali allo stato precedente.

In questa sezione

Suggerimenti per la riduzione del carico sulle macchine virtuali

Supporto delle macchine virtuali dinamiche

Supporto della copia delle macchine virtuali

Vedere anche:

Inizio pagina

[Topic 92480]

Suggerimenti per la riduzione del carico sulle macchine virtuali

Durante l'installazione di Network Agent in una macchina virtuale, è consigliabile valutare se disabilitare alcune funzionalità di Kaspersky Security Center che risultano di scarsa utilità per le macchine virtuali.

Quando si installa Network Agent in una macchina virtuale o in un modello utilizzato per la generazione di macchine virtuali, è consigliabile eseguire le seguenti azioni:

Se si esegue un'installazione remota, nella finestra delle proprietà del pacchetto di installazione di Network Agent, nella sezione Avanzate selezionare l'opzione Ottimizza le impostazioni per VDI.
Se si esegue un'installazione interattiva tramite una procedura guidata, nella finestra della procedura guidata selezionare l'opzione Ottimizza le impostazioni di Network Agent per l'infrastruttura virtuale.

La selezione di queste opzioni modifica le impostazioni di Network Agent in modo da mantenere disabilitate le seguenti funzionalità per impostazione predefinita (prima dell'applicazione di un criterio):

Recupero delle informazioni sul software installato
Recupero delle informazioni sull'hardware
Recupero delle informazioni sulle vulnerabilità rilevate
Recupero delle informazioni sugli aggiornamenti richiesti

In genere, queste funzionalità non sono necessarie nelle macchine virtuali perché utilizzano software uniforme e hardware virtuale.

La disabilitazione delle funzionalità è reversibile. Se è richiesta una delle funzionalità disabilitate, è possibile abilitarla tramite il criterio di Network Agent o mediante le impostazioni locali di Network Agent. Le impostazioni locali di Network Agent sono disponibili tramite il menu di scelta rapida del dispositivo appropriato in Administration Console.

Vedere anche:

Inizio pagina

[Topic 92481]

Supporto delle macchine virtuali dinamiche

Kaspersky Security Center supporta le macchine virtuali dinamiche. Se nella rete dell'organizzazione è stata distribuita un'infrastruttura virtuale, in alcuni casi è possibile utilizzare macchine virtuali (temporanee) dinamiche. Le macchine virtuali dinamiche vengono create con nomi univoci in base a un modello che è stato preparato dall'amministratore. L'utente lavora su una macchina virtuale per un certo periodo e, dopo lo spegnimento, questa macchina virtuale sarà rimossa dall'infrastruttura virtuale. Se Kaspersky Security Center è stato distribuito nella rete dell'organizzazione, una macchina virtuale con Network Agent installato verrà aggiunta al database di Administration Server. Dopo lo spegnimento di una macchina virtuale, anche la voce corrispondente deve essere rimossa dal database di Administration Server.

Per rendere disponibile la funzionalità di rimozione automatica delle voci nelle macchine virtuali, durante l'installazione di Network Agent in un modello per le macchine virtuali dinamiche, selezionare l'opzione Abilita modalità dinamica per VDI:

Per l'installazione remota - Nella finestra delle proprietà del pacchetto di installazione di Network Agent (sezione Avanzate)
Per l'installazione interattiva - Nell'Installazione guidata di Network Agent

Evitare di selezionare l'opzione Abilita modalità dinamica per VDI durante l'installazione di Network Agent nei dispositivi fisici.

Se si desidera archiviare gli eventi generati dalle macchine virtuali dinamiche in Administration Server per un certo periodo dopo la rimozione delle macchine virtuali, nella finestra delle proprietà di Administration Server, nella sezione Archivio eventi, selezionare l'opzione Archivia eventi dopo l'eliminazione dei dispositivi e specificare il periodo di archiviazione massimo degli eventi (in giorni).

Vedere anche:

Inizio pagina

[Topic 92482]

Supporto della copia delle macchine virtuali

La copia di una macchina virtuale con Network Agent installato o la creazione di una macchina virtuale da un modello con Network Agent installato sono identiche alla distribuzione dei Network Agent tramite l'acquisizione e la copia di un'immagine del disco rigido. In generale, durante la copia delle macchine virtuali è necessario eseguire le stesse azioni previste durante la distribuzione di Network Agent tramite la copia un'immagine del disco.

Tuttavia, nei due casi descritti di seguito viene illustrato Network Agent, che rileva automaticamente la copia. Per i motivi indicati in precedenza, non è necessario eseguire le operazioni sofisticate descritte in "Distribuzione tramite l'acquisizione e la copia dell'immagine del disco rigido di un dispositivo":

L'opzione Abilita modalità dinamica per VDI era selezionata durante l'installazione di Network Agent: dopo ogni riavvio del sistema operativo, questa macchina virtuale sarà riconosciuta come un nuovo dispositivo, indipendentemente dal fatto che sia stata copiata.
È in uso uno dei seguenti hypervisor: VMware, HyperV o Xen: Network Agent rileva la copia della macchina virtuale in base agli ID modificati dell'hardware virtuale.

L'analisi delle modifiche nell'hardware virtuale non è assolutamente affidabile. Prima di applicare questo metodo su larga scala, è necessario testarlo su un piccolo gruppo di macchine virtuali per la versione dell'hypervisor attualmente in uso nell'organizzazione.

Vedere anche:

Installazione locale di Network Agent

Inizio pagina

[Topic 92483]

Supporto del rollback del file system per i dispositivi con Network Agent

Kaspersky Security Center è un'applicazione distribuita. Il rollback del file system uno stato precedente in un dispositivo con Network Agent installato determinerà la mancata sincronizzazione dei dati e impedirà il corretto funzionamento di Kaspersky Security Center.

È possibile eseguire il rollback del file system (o di una sua parte) nei seguenti casi:

Durante la copia di un'immagine del disco rigido.
Durante il ripristino di uno stato della macchina virtuale tramite l'infrastruttura virtuale.
Durante il ripristino dei dati da una copia di backup o da un punto di ripristino.

Gli scenari in cui software di terze parti nei dispositivi con Network Agent installato influisce sulla cartella %ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit\ sono solo scenari critici per Kaspersky Security Center. Pertanto, è necessario escludere sempre questa cartella dalla procedura di ripristino, se possibile.

Dal momento che le regole per l'ambiente di lavoro di alcune organizzazioni consentono i rollback del file system nei dispositivi, il supporto per il rollback del file system nei dispositivi con Network Agent installato è stato aggiunto a Kaspersky Security Center a partire dalla versione 10 Maintenance Release 1 (Administration Server e i Network Agent devono essere della versione 10 Maintenance Release 1 o successiva). Quando sono rilevati, tali dispositivi vengono riconnessi automaticamente all'Administration Server con una cancellazione completa dei dati e una sincronizzazione completa.

Per impostazione predefinita, il supporto per il rilevamento del rollback del file system è abilitato in Kaspersky Security Center 14.2.

Per quanto possibile, evitare di eseguire il rollback della cartella %ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit\ nei dispositivi con Network Agent installato, perché la risincronizzazione completa dei dati richiede una notevole quantità di risorse.

Non è assolutamente consentito un rollback dello stato del sistema in un dispositivo con Administration Server installato, né un rollback del database utilizzato da Administration Server.

È possibile ripristinare uno stato di Administration Server da una copia di backup solo con l'utilità klbackup standard.

Inizio pagina

[Topic 6391]

Installazione locale delle applicazioni

In questa sezione viene descritta una procedura di installazione per le applicazioni che possono essere installate solo nei dispositivi in locale.

Per eseguire l'installazione locale delle applicazioni in un dispositivo client specifico, è necessario disporre di diritti di amministratore per il dispositivo.

Per installare le applicazioni in locale in un dispositivo client specifico:

Installare Network Agent nel dispositivo client e configurare la connessione tra il dispositivo client e Administration Server.
Installare le applicazioni richieste nel dispositivo, come descritto nei manuali delle applicazioni.
Installare un plug-in di gestione per ognuna delle applicazioni installate nella workstation dell'amministratore.

Kaspersky Security Center supporta inoltre l'opzione per l'installazione locale delle applicazioni utilizzando un pacchetto di installazione indipendente. Kaspersky Security Center non supporta l'installazione di tutte le applicazioni Kaspersky.

In questa sezione

Installazione di Network Agent in modalità automatica

Installazione di Network Agent per Linux in modalità automatica (con un file di risposte)

Installazione di Network Agent per Linux in modalità interattiva

Preparazione di un dispositivo in cui viene eseguito Astra Linux in modalità ambiente software chiuso per l'installazione di Network Agent

Installazione locale del plug-in di gestione dell'applicazione

Installazione di applicazioni in modalità automatica

Installazione delle applicazioni tramite pacchetti indipendenti

Impostazioni del pacchetto di installazione di Network Agent

Applicazioni e soluzioni Kaspersky compatibili

Vedere anche:

Inizio pagina

[Topic 6392]

Installazione locale di Network Agent

Supporto delle macchine virtuali dinamiche

Per installare Network Agent in locale in un dispositivo:

Nel dispositivo eseguire il file setup.exe dal pacchetto di distribuzione scaricato da Internet. Per informazioni dettagliate, fare riferimento al seguente argomento: Acquisizione del pacchetto di installazione di Network Agent dal kit di distribuzione di Kaspersky Security Center.
Verrà visualizzata una finestra che richiede di selezionare le applicazioni Kaspersky da installare.
Nella finestra di selezione dell'applicazione fare clic sul collegamento Installa solo Kaspersky Security Center 14.2 Network Agent per avviare l'Installazione guidata di Network Agent. Seguire le istruzioni della procedura guidata.
1. Administration Server
  Porta
  
  Specifica la porta non SSL utilizzata da Administration Server per ricevere le connessioni dai Network Agent.
  
  Per impostazione predefinita, questa opzione è impostata su 14000.
  
  Porta SSL
  
  Specifica la porta SSL utilizzata da Administration Server per ricevere le connessioni dai Network Agent.
  
  Per impostazione predefinita, questa opzione è impostata su 13000.
  
  Usa SSL per la connessione ad Administration Server
  
  Se questa opzione è abilitata, la connessione ad Administration Server viene stabilita attraverso una porta sicura tramite SSL.
  
  Per impostazione predefinita, questa opzione è abilitata.
  
  Consenti a Network Agent di aprire la porta UDP
  
  Se questa opzione è abilitata, il programma di installazione apre automaticamente la porta utilizzata da Administration Server per gestire il dispositivo client e ricevere informazioni al riguardo.
  
  Per impostazione predefinita, questa opzione è abilitata.
  
  Porta UDP
  
  Consente di configurare la porta utilizzata da Administration Server per gestire il dispositivo client e ricevere informazioni su di esso.
  
  Per impostazione predefinita, questa opzione è impostata su 15000.
2. Configurazione del server proxy
  Usa server proxy
  
  Se questa opzione è abilitata, è possibile specificare le credenziali per l'autenticazione del server proxy.
  
  È consigliabile specificare le credenziali di un account con i privilegi minimi richiesti solo per l'autenticazione del server proxy.
  
  Per impostazione predefinita, questa opzione è disabilitata.
  
  Indirizzo
  
  Porta
  
  Account
  
  Nome utente dell'account con cui viene stabilita la connessione al server proxy.
  
  È consigliabile specificare le credenziali di un account con i privilegi minimi richiesti solo per l'autenticazione del server proxy.
  
  Password
  
  Password dell'account con cui viene stabilita la connessione al server proxy.
  
  È consigliabile specificare le credenziali di un account con i privilegi minimi richiesti solo per l'autenticazione del server proxy.
3. Gateway di connessione
  Non utilizzare gateway di connessione
  
  Utilizzare Network Agent come gateway di connessione nella rete perimetrale
  
  Selezionare questa opzione per utilizzare Network Agent come gateway di connessione nella rete perimetrale per connettersi ad Administration Server, comunicare con esso e assicurare la protezione dei dati in Network Agent durante la trasmissione dei dati.
  
  Esegui la connessione ad Administration Server utilizzando un gateway di connessione
  
  Selezionare questa opzione e quindi specificare il dispositivo che fungerà da gateway di connessione.
4. Certificato di Administration Server
5. Tag agente
6. Impostazioni avanzate
  Installa automaticamente le patch e gli aggiornamenti applicabili per i componenti con lo stato Indefinito
  
  Si consiglia di mantenere questa opzione abilitata. È possibile deselezionare questa opzione per disabilitare l'aggiornamento automatico e l'applicazione di patch per i componenti di Kaspersky Security Center. L'amministratore può riabilitare l'installazione automatica di aggiornamenti e patch in un secondo momento utilizzando un criterio.
  
  Per impostazione predefinita, questa opzione è disabilitata.
  
  Abilita la protezione del servizio Network Agent
  
  Quando questa opzione è abilitata, dopo l'installazione di Network Agent in un dispositivo gestito, il componente non può essere rimosso o riconfigurato senza i privilegi richiesti. Il servizio Network Agent non può essere arrestato. Questa opzione non ha effetto sui controller di dominio.
  
  Abilitare questa opzione per proteggere Network Agent sulle workstation gestite con diritti di amministratore locale.
  
  Per impostazione predefinita, questa opzione è disabilitata.
  
  Abilita modalità dinamica per VDI
  
  Se questa opzione è abilitata, la modalità dinamica per Virtual Desktop Infrastructure (VDI) sarà abilitata per Network Agent installato in una macchina virtuale.
  
  Per impostazione predefinita, questa opzione è disabilitata.
  
  Ottimizzare le impostazioni di Kaspersky Security Center Network Agent per l'infrastruttura virtuale. Disabilitare la scansione delle vulnerabilità e l'inventario di applicazioni e hardware. È possibile modificare le impostazioni correnti tramite i criteri di Network Agent.
  
  Se questa opzione è abilitata, le seguenti funzionalità sono disabilitate nelle impostazioni di Network Agent:
  - Recupero delle informazioni sul software installato
  - Recupero delle informazioni sull'hardware
  - Recupero delle informazioni sulle vulnerabilità rilevate
  - Recupero delle informazioni sugli aggiornamenti richiesti
  Per impostazione predefinita, questa opzione è disabilitata.
7. Avvia applicazione

Al termine dell'Installazione guidata, Network Agent viene installato nel dispositivo.

È possibile visualizzare le proprietà del servizio Kaspersky Security Center Network Agent; è inoltre possibile avviare, arrestare e monitorare l'esecuzione di Network Agent utilizzando gli strumenti standard di Microsoft Windows: Gestione computer\Servizi.

Vedere anche:

Inizio pagina

[Topic 73101]

Installazione di Network Agent in modalità automatica

Network Agent può essere installato in modalità automatica, ovvero senza l'input dei parametri di installazione. L'installazione automatica utilizza un pacchetto di installazione di Windows (MSI) per Network Agent. Il file MSI è disponibile nel pacchetto di distribuzione di Kaspersky Security Center, nella cartella Packages\NetAgent\exec.

Non rinominare il pacchetto di installazione Kaspersky Network Agent.msi. La ridenominazione del pacchetto potrebbe causare errori di installazione durante gli aggiornamenti futuri di Network Agent.

L'installazione di Network Agent dal pacchetto MSI è possibile solo in modalità automatica, l'installazione interattiva dal pacchetto MSI non è supportata.

Per installare Network Agent in un dispositivo locale in modalità automatica:

Leggere il Contratto di licenza con l'utente finale. Utilizzare il comando di seguito solo se sono stati compresi e accettati i termini del Contratto di licenza con l'utente finale.
Eseguire il comando
msiexec /i "Kaspersky Network Agent.msi" /qn <parametri_installazione>

dove parametri_installazione è un elenco di parametri e dei valori corrispondenti separati da uno spazio (PROP1=PROP1VAL PROP2=PROP2VAL).

Nell'elenco dei parametri è necessario includere EULA=1. In caso contrario Network Agent non verrà installato.

Se si utilizzano le impostazioni di connessione standard per Kaspersky Security Center e Network Agent nei dispositivi remoti, eseguire il comando:

msiexec /i "Kaspersky Network Agent.msi" /qn /l*vx c:\windows\temp\nag_inst.log SERVERADDRESS=kscserver.mycompany.com EULA=1

/l*vx è la chiave per la scrittura dei log. Il log viene creato durante l'installazione di Network Agent e salvato in C:\windows\temp\nag_inst.log.

Oltre a nag_inst.log, l'applicazione crea il file $klssinstlib.log, che contiene il log di installazione. Questo file è archiviato nella cartella %windir%\temp or %temp%. Per la risoluzione dei problemi, l'utente o un esperto del Servizio di assistenza tecnica Kaspersky potrebbe aver bisogno di entrambi i file di log: nag_inst.log e $klssinstlib.log.

Se è necessario specificare la porta per la connessione ad Administration Server, eseguire il comando:

msiexec /i "Kaspersky Network Agent.msi" /qn /l*vx c:\windows\temp\nag_inst.log SERVERADDRESS=kscserver.mycompany.com EULA=1 SERVERPORT=14000

Il parametro SERVERPORT corrisponde al numero di porta per la connessione ad Administration Server.

I nomi e i possibili valori per i parametri che è possibile utilizzare durante l'installazione di Network Agent in modalità automatica sono elencati nella sezione Parametri di installazione di Network Agent.

Vedere anche:

Parametri di installazione di Administration Server

Installazione di Network Agent in modalità automatica (senza un file di risposta)

Variabili del file di risposte utilizzate come parametri dell'installazione di Network Agent per Linux in modalità automatica

Inizio pagina

[Topic 199693]

Installazione di Network Agent per Linux in modalità automatica (con un file di risposte)

È possibile installare Network Agent nei dispositivi Linux utilizzando un file di risposte, vale a dire un file di testo contenente un set personalizzato di parametri di installazione: variabili e rispettivi valori. L'uso di questo file di risposte consente di eseguire un'installazione in modalità automatica, ovvero senza la partecipazione dell'utente.

Per eseguire l'installazione di Network Agent per Linux in modalità automatica:

Preparare il dispositivo Linux attinente per l'installazione remota. Scaricare e creare il pacchetto di installazione remota, utilizzando un pacchetto .deb o .rpm di Network Agent, tramite qualsiasi sistema di gestione dei pacchetti idoneo.
Se si desidera installare Network Agent nei dispositivi con sistema operativo SUSE Linux Enterprise Server 15, installare il pacchetto insserv-compat prima di configurare Network Agent.
Leggere il Contratto di licenza con l'utente finale. Seguire i passaggi di seguito solo se sono stati compresi e accettati i termini del Contratto di licenza con l'utente finale.
Impostare il valore della variabile di ambiente KLAUTOANSWERS inserendo il nome completo del file di risposte (incluso il percorso), ad esempio come segue:
export KLAUTOANSWERS=/tmp/nagent_install/answers.txt

Creare il file di risposte (in formato TXT) nella directory specificata nella variabile di ambiente. Aggiungere al file di risposte un elenco di variabili nel formato NOME_VARIABILE=valore_variabile, ognuna su una riga separata.

Per il corretto utilizzo del file di risposte, è necessario includere un set minimo delle tre variabili richieste:

KLNAGENT_SERVER
KLNAGENT_AUTOINSTALL
EULA_ACCEPTED

È inoltre possibile aggiungere eventuali variabili opzionali per utilizzare parametri più specifici dell'installazione remota. La tabella seguente elenca tutte le variabili che possono essere incluse nel file di risposte:

Nome della variabile	Richiesto	Descrizione	Valori possibili
KLNAGENT_SERVER	Sì	Contiene il nome di Administration Server sotto forma di nome di dominio completo (FQDN) o indirizzo IP.	Nome DNS o indirizzo IP.
KLNAGENT_AUTOINSTALL	Sì	Indica se la modalità di installazione automatica è abilitata.	1—La modalità automatica è abilitata; l'utente non deve eseguire alcuna operazione durante l'installazione. Altro—La modalità automatica è disabilitata; all'utente può essere richiesto di eseguire operazioni durante l'installazione.
EULA_ACCEPTED	Sì	Indica se l'utente accetta il Contratto di licenza con l'utente finale (EULA) di Network Agent; se non disponibile, può essere interpretato come la mancata accettazione dell'EULA.	1 - Confermo di aver letto, compreso e accettato i termini e le condizioni del presente Contratto di licenza con l'utente finale Altro o non specificato—Non accetto i termini del Contratto di licenza (l'installazione non viene eseguita).
KLNAGENT_PROXY_USE	No	Indica se la connessione con Administration Server utilizzerà le impostazioni del proxy. Il valore predefinito è 0.	1—Le impostazioni del proxy vengono utilizzate. Altro—Le impostazioni del proxy non vengono utilizzate.
KLNAGENT_PROXY_ADDR	No	Indica l'indirizzo del server proxy utilizzato per la connessione con Administration Server.	Nome DNS o indirizzo IP.
KLNAGENT_PROXY_LOGIN	No	Indica il nome utente utilizzato per l'accesso al server proxy.	Qualsiasi nome utente esistente.
KLNAGENT_PROXY_PASSWORD	No	Indica la password utente utilizzata per l'accesso al server proxy.	Qualsiasi set di caratteri alfanumerici consentiti dal formato password nel sistema operativo.
KLNAGENT_VM_VDI	No	Indica se Network Agent è installato in un'immagine per la creazione di macchine virtuali dinamiche.	1—Network Agent è installato in un'immagine, che verrà successivamente utilizzata per la creazione di macchine virtuali dinamiche. Altro—Non viene utilizzata alcuna immagina durante l'installazione.
KLNAGENT_VM_OPTIMIZE	No	Indica se le impostazioni di Network Agent sono ottimali per l'hypervisor.	1—Le impostazioni locali predefinite di Network Agent vengono modificate per consentire l'utilizzo ottimizzato nell'hypervisor.
KLNAGENT_TAGS	No	Elenca i tag assegnati all'istanza di Network Agent.	Uno o più nomi di tag separati da un punto e virgola.
KLNAGENT_UDP_PORT	No	Indica la porta UDP utilizzata da Network Agent. Il valore predefinito è 15000.	Qualsiasi numero di porta esistente.
KLNAGENT_PORT	No	Definisce la porta non TLS utilizzata da Network Agent. Il valore predefinito è 14000.	Qualsiasi numero di porta esistente.
KLNAGENT_SSLPORT	No	Definisce la porta TLS utilizzata da Network Agent. Il valore predefinito è 13000.	Qualsiasi numero di porta esistente.
KLNAGENT_USESSL	No	Indica se per la connessione viene utilizzato Transport Layer Security (TLS).	1 (predefinito)—TLS viene utilizzato. Altro—TLS non viene utilizzato.
KLNAGENT_GW_MODE	No	Indica se viene utilizzato il gateway di connessione.	1 (predefinito)—Le impostazioni correnti non vengono modificate (alla prima chiamata non viene specificato alcun gateway di connessione). 2—Non viene utilizzato alcun gateway di connessione. 3—Il gateway di connessione viene utilizzato. 4—L'istanza di Network Agent viene utilizzata come gateway di connessione nella rete perimetrale (DMZ).
KLNAGENT_GW_ADDRESS	No	Indica l'indirizzo del gateway di connessione. Il valore è applicabile solo se KLNAGENT_GW_MODE=3.	Nome DNS o indirizzo IP.

Installazione di Network Agent:
- Per installare Network Agent da un pacchetto RPM in un sistema operativo a 32 bit, eseguire il comando seguente:
  # rpm -i klnagent-<numero build>.i386.rpm
- Per installare Network Agent da un pacchetto RPM in un sistema operativo a 64 bit, eseguire il comando seguente:
  # rpm -i klnagent64-<numero build>.x86_64.rpm
- Per installare Network Agent da un pacchetto RPM in un sistema operativo a 64 bit per l’architettura Arm, eseguire il comando seguente:
  # rpm -i klnagent64-<numero build>.aarch64.rpm
- Per installare Network Agent da un pacchetto DEB in un sistema operativo a 32 bit, eseguire il comando seguente:
  # apt-get install ./klnagent_<numero build>_i386.deb
- Per installare Network Agent da un pacchetto DEB in un sistema operativo a 64 bit, eseguire il comando seguente:
  # apt-get install ./klnagent64_<numero build>_amd64.deb
- Per installare Network Agent da un pacchetto DEB in un sistema operativo a 64 bit per l’architettura Arm, eseguire il comando seguente:
  # apt-get install ./klnagent64_<numero build>_arm64.deb

L'installazione di Network Agent per Linux viene avviata in modalità automatica; all'utente non viene richiesto di eseguire alcuna operazione durante il processo.

Inizio pagina

[Topic 279662]

Installazione di Network Agent per Linux in modalità interattiva

Questo articolo descrive come installare Network Agent nei dispositivi Linux in modalità interattiva, specificando passo dopo passo i parametri di installazione. In alternativa, è possibile utilizzare un file di risposte: un file di testo contenente un set personalizzato di parametri di installazione: variabili e rispettivi valori. L'uso di questo file di risposte consente di eseguire un'installazione in modalità automatica, ovvero senza la partecipazione dell'utente.

Per installare Network Agent in modalità interattiva:

Eseguire l'installazione di Network Agent. A seconda della distribuzione Linux, eseguire uno dei seguenti comandi:
- Per installare Network Agent da un pacchetto RPM in un sistema operativo a 32 bit:
  # yum -i klnagent-<numero build>.i386.rpm
- Per installare Network Agent da un pacchetto RPM in un sistema operativo a 64 bit:
  # yum -i klnagent64-<numero build>.x86_64.rpm
- Per installare Network Agent da un pacchetto RPM in un sistema operativo a 64 bit per l'architettura Arm:
  # yum -i klnagent64-<numero build>.aarch64.rpm
- Per installare Network Agent da un pacchetto DEB in un sistema operativo a 32 bit:
  # apt install ./klnagent_<numero build>_i386.deb
- Per installare Network Agent da un pacchetto DEB in un sistema operativo a 64 bit:
  # apt install ./klnagent64_<numero build>_amd64.deb
- Per installare Network Agent da un pacchetto DEB in un sistema operativo a 64 bit per l'architettura Arm:
  # apt install ./klnagent64_<numero build>_arm64.deb
Eseguire la configurazione di Network Agent:
# /opt/kaspersky/klnagent64/bin/setup/postinstall.pl
Leggere il Contratto di licenza con l'utente finale (EULA). Il testo viene visualizzato nella finestra della riga di comando. Premere la barra spaziatrice per visualizzare il segmento di testo successivo. Quando richiesto inserire uno dei seguenti valori:
- Immettere y se i termini del Contratto di licenza con l'utente finale sono stati compresi e accettati.
- Immettere n se non si accettano i termini del Contratto di licenza con l'utente finale. Per utilizzare Network Agent, è necessario accettare i termini del Contratto di licenza con l'utente finale.
- Immettere r per mostrare nuovamente il Contratto di licenza con l'utente finale.
Immettere l'indirizzo IP o il nome DNS di Administration Server.
Immettere il numero di porta di Administration Server. Per impostazione predefinita, viene utilizzata la porta 14000.
Immettere il numero di porta SSL di Administration Server. Per impostazione predefinita, viene utilizzata la porta 13000.
Immettere y se si desidera utilizzare il criptaggio SSL per il traffico tra Network Agent e Administration Server. In caso contrario, immettere n.
Selezionare una delle seguenti opzioni per configurare Network Agent:
- [1]: non configurare un gateway di connessione.
  Il dispositivo non fungerà da gateway di connessione e non si connetterà ad Administration Server tramite un gateway di connessione.
- [2]: non utilizzare un gateway di connessione.
  Il dispositivo non si connetterà ad Administration Server tramite un gateway di connessione.
- [3]: eseguire la connessione al server utilizzando un gateway di connessione.
  Il dispositivo si connetterà ad Administration Server tramite un gateway di connessione.
- [4]: utilizzare come gateway di connessione.
  Il dispositivo fungerà da gateway di connessione.

Network Agent viene installato in un dispositivo Linux.

Vedere anche:

Supporto delle macchine virtuali dinamiche

Inizio pagina

[Topic 251798]

Preparazione di un dispositivo in cui viene eseguito Astra Linux in modalità ambiente software chiuso per l'installazione di Network Agent

Prima di installare Network Agent in un dispositivo in cui viene esegue Astrito Linux in modalità ambiente software chiuso, è necessario eseguire due procedure di preparazione: quella nelle istruzioni riportate di seguito e i passaggi generali di preparazione per qualsiasi dispositivo Linux.

Prima di iniziare:

Verificare che il dispositivo in cui si desidera installare Network Agent for Linux esegua una delle distribuzioni Linux supportate.
Scaricare il file di installazione di Network Agent necessario dal sito Web di Kaspersky.

Eseguire i comandi presenti in questa istruzione con un account con privilegi di root.

Per preparare un dispositivo in cui viene eseguito Astra Linux in modalità ambiente software chiuso per l'installazione di Network Agent:

Aprire il file /etc/digsig/digsig_initramfs.conf, quindi specificare la seguente impostazione:
DIGSIG_ELF_MODE=1
Nella riga di comando, eseguire il seguente comando per installare il pacchetto di compatibilità:
apt install astra-digsig-oldkeys
Creare una directory per la chiave dell'applicazione:
mkdir -p /etc/digsig/keys/legacy/kaspersky/
Posizionare la chiave dell'applicazione /opt/kaspersky/ksc64/share/kaspersky_astra_pub_key.gpg nella directory creata nel passaggio precedente:
cp kaspersky_astra_pub_key.gpg /etc/digsig/keys/legacy/kaspersky/

Se il kit di distribuzione di Kaspersky Security Center non include la chiave dell'applicazione kaspersky_astra_pub_key.gpg, è possibile scaricarla facendo clic sul collegamento: https://media.kaspersky.com/utilities/CorporateUtilities/kaspersky_astra_pub_key.gpg.
Aggiornare i dischi RAM:
update-initramfs -u -k all

Riavviare il sistema.
Eseguire i passaggi di preparazione comuni per qualsiasi dispositivo Linux.

Il dispositivo è preparato. È ora possibile procedere all'installazione di Network Agent.

Inizio pagina

[Topic 6393]

Installazione locale del plug-in di gestione dell'applicazione

Per installare il plug-in di gestione dell'applicazione:

In un dispositivo in cui è installato Administration Console, eseguire il file eseguibile klcfginst.exe, incluso nel pacchetto di distribuzione dell'applicazione.

Il file klcfginst.exe è incluso in tutte le applicazioni che possono essere gestite tramite Kaspersky Security Center. L'installazione è agevolata dalla procedura guidata e non richiede la configurazione manuale delle impostazioni.

Inizio pagina

[Topic 6394]

Installazione di applicazioni in modalità automatica

Per installare un'applicazione in modalità automatica:

Aprire la finestra principale dell'applicazione di Kaspersky Security Center.
Nella cartella Installazione remota della struttura della console, nella sottocartella Pacchetti di installazione, selezionare il pacchetto di installazione dell'applicazione desiderata o creare un nuovo pacchetto di installazione per l'applicazione.
Il pacchetto di installazione verrà memorizzato in Administration Server, nella sottocartella Packages della cartella condivisa. A ogni pacchetto di installazione corrisponde una sottocartella distinta.
Aprire la cartella che contiene il pacchetto di installazione richiesto in uno dei seguenti modi:
- Copiando la cartella che corrisponde al pacchetto di installazione appropriato dall'Administration Server nel dispositivo client e aprendo la cartella copiata nel dispositivo client.
- Aprendo dal dispositivo client la cartella condivisa che corrisponde al pacchetto di installazione desiderato in Administration Server.
Se la cartella condivisa si trova in un dispositivo con sistema operativo Microsoft Windows Vista, selezionare il valore Disabilitato per l'impostazione Controllo dell'account utente: esegui tutti gli amministratori in modalità Approvazione amministratore (Start → Pannello di controllo → Amministrazione → Criteri di protezione locali → Impostazioni di protezione).
A seconda dell'applicazione selezionata, eseguire le seguenti operazioni:
- Per Kaspersky Anti-Virus for Windows Workstations, Kaspersky Anti-Virus for Windows Servers e Kaspersky Security Center, aprire la sottocartella exec, quindi eseguire il file eseguibile (con estensione .exe) con la chiave /s.
- Per le altre applicazioni Kaspersky, eseguire il file eseguibile (con estensione .exe) con l'opzione /s dalla cartella aperta.
L'esecuzione del file eseguibile con le chiavi EULA=1 e PRIVACYPOLICY=1 comporta la lettura, la comprensione e l'accettazione dei termini del Contratto di licenza con l'utente finale e dell'Informativa sulla privacy. L'utente è inoltre consapevole che i dati verranno gestiti e trasmessi (anche a paesi terzi) come descritto nell'Informativa sulla privacy. Il testo del Contratto di licenza e dell'Informativa sulla privacy è incluso nel kit di distribuzione di Kaspersky Security Center. È necessario accettare le condizioni del Contratto di licenza e dell'Informativa sulla privacy per installare l'applicazione o per eseguire l'upgrade da una versione precedente dell'applicazione.

Inizio pagina

[Topic 13020]

Installazione delle applicazioni tramite pacchetti indipendenti

Kaspersky Security Center consente di creare pacchetti di installazione indipendenti per le applicazioni. Un pacchetto di installazione indipendente è un file eseguibile che può essere posizionato su un server Web, inviato per e-mail o trasferito in altro modo a un dispositivo client. Il file ricevuto può essere eseguito in locale nel dispositivo client per installare un'applicazione senza utilizzare Kaspersky Security Center.

Per installare un'applicazione utilizzando un pacchetto di installazione indipendente:

Eseguire la connessione all'Administration Server desiderato.
Nella cartella Installazione remota della struttura della console selezionare la sottocartella Pacchetti di installazione.
Nell'area di lavoro selezionare il pacchetto di installazione dell'applicazione desiderata.
Avviare il processo di creazione di un pacchetto di installazione indipendente in uno dei seguenti modi:
- Selezionando Crea pacchetto di installazione indipendente nel menu di scelta rapida del pacchetto di installazione.
- Fare clic sul collegamento Crea pacchetto di installazione indipendente nell'area di lavoro del pacchetto di installazione.
Verrà avviata la Creazione guidata pacchetto di installazione indipendente. Seguire le istruzioni della procedura guidata.

Nel passaggio finale della procedura guidata, selezionare un metodo per il trasferimento del pacchetto di installazione indipendente a un dispositivo client.
Trasferire il pacchetto di installazione indipendente nel dispositivo client.
Eseguire il pacchetto di installazione indipendente nel dispositivo client.

L'applicazione verrà installata nel dispositivo client con le impostazioni specificate nel pacchetto indipendente.

Inizio pagina

[Topic 154925]

Impostazioni del pacchetto di installazione di Network Agent

Distribuzione di un sistema per la gestione tramite il protocollo Exchange ActiveSync

Per configurare un pacchetto di installazione di Network Agent:

Nella cartella Installazione remota della struttura della console selezionare la sottocartella Pacchetti di installazione.
La cartella Installazione remota è una sottocartella della cartella Avanzate per impostazione predefinita.
Nel menu di scelta rapida del pacchetto di installazione di Network Agent selezionare Proprietà.

Verrà visualizzata la finestra delle proprietà del pacchetto di installazione di Network Agent.

Generale

Nella sezione Generale vengono visualizzate informazioni generali sul pacchetto di installazione:

Nome pacchetto di installazione
Nome e versione dell'applicazione per cui è stato creato il pacchetto di installazione
Dimensione del pacchetto di installazione
Data di creazione del pacchetto di installazione
Percorso della cartella del pacchetto di installazione

Impostazioni

Questa sezione presenta le impostazioni necessarie per assicurare il corretto funzionamento di Network Agent subito dopo essere stato installato. Le impostazioni in questa sezione sono disponibili solo nei dispositivi che eseguono Windows.

Nel gruppo di impostazioni Cartella di destinazione è possibile selezionare la cartella del dispositivo client in cui verrà installato Network Agent.

Installa nella cartella predefinita
Se questa opzione è selezionata, Network Agent verrà installato nella cartella <Unità>:\Programmi\Kaspersky Lab\NetworkAgent. Se la cartella non esiste, verrà creata automaticamente.

Per impostazione predefinita, questa opzione è selezionata.
Installa nella cartella specificata
Se questa opzione è selezionata, Network Agent verrà installato nella cartella specificata nel campo di immissione.

Nel seguente gruppo di impostazioni è possibile impostare una password per l'attività di disinstallazione remota di Network Agent:

Usa password di disinstallazione
Se questa opzione è abilitata, facendo clic sul pulsante Modifica è possibile immettere la password di disinstallazione (disponibile solo per Network Agent nei dispositivi che eseguono sistemi operativi Windows).

Per impostazione predefinita, questa opzione è disabilitata.
Stato
Stato della password: Password impostata o Password non impostata.

Per impostazione predefinita, questa password non è impostata.
Proteggi il servizio Network Agent dalle operazioni non autorizzate di rimozione o terminazione e impedisci la modifica delle impostazioni
Quando questa opzione è abilitata, dopo l'installazione di Network Agent in un dispositivo gestito, il componente non può essere rimosso o riconfigurato senza i privilegi richiesti. Il servizio Network Agent non può essere arrestato. Questa opzione non ha effetto sui controller di dominio.

Abilitare questa opzione per proteggere Network Agent sulle workstation gestite con diritti di amministratore locale.

Per impostazione predefinita, questa opzione è disabilitata.
Installa automaticamente le patch e gli aggiornamenti applicabili per i componenti con lo stato Indefinito
Se questa opzione è abilitata, tutti gli aggiornamenti e le patch scaricati per Administration Server, Network Agent, Administration Console, server per dispositivi mobili Exchange e server per dispositivi mobili MDM iOS verranno installati automaticamente.

Se questa opzione è disabilitata, tutti gli aggiornamenti e le patch scaricati verranno installati solo dopo l'impostazione dello stato su Approvato. Gli aggiornamenti e le patch con lo stato Indefinito non verranno installati.

Per impostazione predefinita, questa opzione è abilitata.

Connessione

In questa sezione è possibile configurare la connessione di Network Agent ad Administration Server. Per stabilire una connessione, è possibile utilizzare il protocollo SSL o UDP. Per configurare la connessione, specificare le seguenti impostazioni:

Administration Server
Indirizzo del dispositivo in cui è installato Administration Server.
Porta
Il numero di porta utilizzato per la connessione.
Porta SSL
Numero di porta utilizzato per la connessione tramite il protocollo SSL.
Usa certificato server
Se questa opzione è abilitata, l'autenticazione dell'accesso di Network Agent ad Administration Server utilizzerà il file di certificato che è possibile specificare facendo clic sul pulsante Sfoglia.

Se questa opzione è disabilitata, il file di certificato verrà ricevuto da Administration Server alla prima connessione di Network Agent all'indirizzo specificato nel campo Indirizzo server.

È consigliabile non disabilitare questa opzione, poiché la ricezione automatica di un certificato di Administration Server da parte di Network Agent al momento della connessione ad Administration Server è considerata non sicura.

Per impostazione predefinita, questa casella di controllo è selezionata.
Usa SSL
Se questa opzione è abilitata, la connessione ad Administration Server viene stabilita attraverso una porta sicura tramite SSL.

Per impostazione predefinita, questa opzione è disabilitata. È consigliabile non disabilitare questa opzione in modo che la connessione rimanga protetta.
Usa porta UDP
Se questa opzione è abilitata, Network Agent è connesso ad Administration Server tramite una porta UDP. Ciò consente di gestire i dispositivi client e ricevere informazioni in merito.

La porta UDP deve essere aperta nei dispositivi gestiti in cui è installato Network Agent. È pertanto consigliabile non disabilitare questa opzione.

Per impostazione predefinita, questa opzione è abilitata.
Numero di porta UDP
In questo campo è possibile specificare la porta utilizzata per la connessione di Administration Server a Network Agent tramite il protocollo UDP.

La porta UDP predefinita è 15000.
Apri porte di Network Agent in Microsoft Windows Firewall
Se questa opzione è abilitata, le porte utilizzate da Network Agent vengono aggiunte all'elenco di esclusioni di Microsoft Windows Firewall.

Per impostazione predefinita, questa opzione è abilitata.
Usa server proxy
Se questa opzione è abilitata, specificare i parametri del server proxy:
- Indirizzo server proxy
- Porta server proxy
Se il server proxy richiede l'autenticazione, abilitare l'opzione Autenticazione server proxy e specificare il Nome utente e la Password dell'account con cui viene stabilita la connessione al server proxy. È consigliabile specificare le credenziali di un account con i privilegi minimi richiesti solo per l'autenticazione del server proxy.

Per motivi di compatibilità, non è consigliabile specificare le impostazioni di connessione proxy nelle impostazioni del pacchetto di installazione di Network Agent.

Avanzate

Nella sezione Avanzate è possibile configurare il metodo di utilizzo del gateway di connessione. A tale scopo, è possibile eseguire le seguenti operazioni:

Utilizzare Network Agent come gateway di connessione nella rete perimetrale per connettersi ad Administration Server, comunicare con esso e assicurare la protezione dei dati in Network Agent durante la trasmissione dei dati.
Connettersi ad Administration Server utilizzando un gateway di connessione per ridurre il numero di connessioni ad Administration Server. In questo caso, inserire l'indirizzo del dispositivo che fungerà da gateway di connessione nel campo Indirizzo gateway connessione.
Configurare la connessione per Virtual Desktop Infrastructure (VDI) se la rete include macchine virtuali. A tale scopo, eseguire le seguenti operazioni:
- Abilita modalità dinamica per VDI
  Se questa opzione è abilitata, la modalità dinamica per Virtual Desktop Infrastructure (VDI) sarà abilitata per Network Agent installato in una macchina virtuale.
  
  Per impostazione predefinita, questa opzione è disabilitata.
- Ottimizza le impostazioni per VDI
  Se questa opzione è abilitata, le seguenti funzionalità sono disabilitate nelle impostazioni di Network Agent:
  - Recupero delle informazioni sul software installato
  - Recupero delle informazioni sull'hardware
  - Recupero delle informazioni sulle vulnerabilità rilevate
  - Recupero delle informazioni sugli aggiornamenti richiesti
  Per impostazione predefinita, questa opzione è disabilitata.

Componenti aggiuntivi

In questa sezione è possibile selezionare i componenti aggiuntivi per l'installazione simultanea con Network Agent.

Tag

La sezione Tag visualizza un elenco di parole chiave (tag) che possono essere aggiunte ai dispositivi client dopo l'installazione di Network Agent. È possibile aggiungere e rimuovere tag dall'elenco, nonché rinominarli.

Se la casella di controllo accanto a un tag è selezionata, il tag viene aggiunto automaticamente ai dispositivi gestiti durante l'installazione di Network Agent.

Se la casella di controllo accanto a un tag è deselezionata, il tag non viene aggiunto automaticamente ai dispositivi gestiti durante l'installazione di Network Agent. È possibile aggiungere manualmente il tag ai dispositivi.

Rimuovendo un tag dall'elenco, il tag viene rimosso automaticamente da tutti i dispositivi a cui è stato aggiunto.

Cronologia revisioni

In questa sezione è possibile visualizzare la cronologia delle revisioni del pacchetto di installazione. È possibile confrontare le revisioni, visualizzare le revisioni, salvare le revisioni in un file e aggiungere e modificare le descrizioni delle revisioni.

Le impostazioni del pacchetto di installazione di Network Agent disponibili per un sistema operativo specifico sono riportate nella tabella seguente.

Impostazioni del pacchetto di installazione di Network Agent

Sezione delle proprietà	Mac	Linux
Generale
Impostazioni
Connessione	(ad eccezione delle opzioni Apri porte di Network Agent in Microsoft Windows Firewall e Usa solo il rilevamento automatico del server proxy)	(ad eccezione delle opzioni Apri porte di Network Agent in Microsoft Windows Firewall e Usa solo il rilevamento automatico del server proxy)
Avanzate
Componenti aggiuntivi
Tag	(ad eccezione delle regole di tagging automatico)	(ad eccezione delle regole di tagging automatico)
Cronologia revisioni

Inizio pagina

[Topic 204023]

Visualizzazione dell'Informativa sulla privacy

L'Informativa sulla privacy è disponibile online all'indirizzo https://www.kaspersky.com/products-and-services-privacy-policy ed è disponibile anche offline. È possibile leggere l'Informativa sulla privacy ad esempio prima di installare Network Agent.

Per leggere l'Informativa sulla privacy offline:

Avviare il programma di installazione di Kaspersky Security Center.
Nella finestra del programma di installazione passare al collegamento Estrai pacchetti di installazione.
Nell'elenco visualizzato selezionare Kaspersky Security Center Network Agent, quindi fare clic su Avanti.

Il file privacy_policy.txt viene visualizzato nel dispositivo, nella cartella specificata, nella sottocartella NetAgent.

Inizio pagina

[Topic 64428]

Distribuzione di sistemi per la gestione dei dispositivi mobili

In questa sezione viene descritta la distribuzione di sistemi per la gestione dei dispositivi mobili tramite i protocolli Exchange ActiveSync, MDM iOS e Kaspersky Endpoint Security.

In questa sezione

Distribuzione di un sistema per la gestione tramite il protocollo MDM iOS

Aggiunta di un dispositivo KES all'elenco dei dispositivi gestiti

Connessione dei dispositivi KES ad Administration Server

Integrazione con PKI (Public Key Infrastructure)

Server Web di Kaspersky Security Center

Vedere anche:

Licenze e funzionalità di Kaspersky Security Center 14.2

Installazione di un server per dispositivi mobili Exchange ActiveSync

Inizio pagina

[Topic 89536]

Distribuzione di un sistema per la gestione tramite il protocollo Exchange ActiveSync

Kaspersky Security Center consente di gestire i dispositivi mobili connessi ad Administration Server tramite il protocollo Exchange ActiveSync. I dispositivi mobili Exchange ActiveSync (EAS) sono quelli connessi a un server per dispositivi mobili Exchange e gestiti tramite Administration Server.

I seguenti sistemi operativi supportano il protocollo Exchange ActiveSync:

Windows Phone 8
Windows Phone 8.1
Windows 10 Mobile
Android
iOS

Il set di impostazioni di gestione per un dispositivo Exchange ActiveSync dipende dal sistema operativo del dispositivo mobile. Per informazioni dettagliate sulle funzionalità di supporto del protocollo Exchange ActiveSync per un sistema operativo specifico, fare riferimento alla documentazione inclusa nel sistema operativo.

La distribuzione di un sistema per la gestione dei dispositivi mobili tramite il protocollo Exchange ActiveSync include i seguenti passaggi:

L'amministratore installa il server per dispositivi mobili Exchange nel dispositivo client selezionato.
L'amministratore crea uno o più profili di gestione in Administration Console per la gestione dei dispositivi EAS e aggiunge tali profili alle cassette postali degli utenti di Exchange ActiveSync.
Il profilo di gestione dei dispositivi mobili Exchange ActiveSync è un criterio di ActiveSync utilizzato in un server Microsoft Exchange per la gestione dei dispositivi mobili Exchange ActiveSync. È possibile assegnare un solo profilo di gestione dei dispositivi EAS a una cassetta postale di Microsoft Exchange.

Gli utenti dei dispositivi mobili EAS eseguono la connessione alle proprie cassette postali di Exchange. Qualsiasi profilo di gestione impone alcune restrizioni relative ai dispositivi mobili.

In questa sezione

Connessione dei dispositivi mobili a un server per dispositivi mobili Exchange

Configurazione del server Web Internet Information Services

Installazione locale di un server per dispositivi mobili Exchange

Installazione remota di un server per dispositivi mobili Exchange

Inizio pagina

[Topic 64431]

Installazione di un server per dispositivi mobili Exchange ActiveSync

Viene installato un server per dispositivi mobili Exchange in un dispositivo client in cui è installato un server Microsoft Exchange. È consigliabile installare il server per dispositivi mobili Exchange in un server Microsoft Exchange a cui è assegnato il ruolo di Client Access. Se nello stesso dominio si combinano più server Microsoft Exchange con ruolo di Client Access in un array di Client Access, è consigliabile installare il server per dispositivi mobili Exchange in ciascun server Microsoft Exchange in tale array in modalità cluster.

Per installare un server per dispositivi mobili Exchange in un dispositivo locale:

Eseguire il file eseguibile setup.exe.
Verrà visualizzata una finestra che richiede di selezionare le applicazioni Kaspersky da installare.
Nella finestra di selezione delle applicazioni, fare clic sul collegamento Installa server per dispositivi mobili Exchange per eseguire l'Installazione guidata del server per dispositivi mobili Exchange.
Nella finestra Impostazioni di installazione selezionare il tipo di installazione del server per dispositivi mobili Exchange:
- Per installare il server per dispositivi mobili Exchange con le impostazioni predefinite, selezionare Installazione standard e fare clic sul pulsante Avanti.
- Per definire manualmente le impostazioni per l'installazione del server per dispositivi mobili Exchange, selezionare Installazione personalizzata e fare clic su Avanti. Eseguire le seguenti operazioni:
  1. Selezionare la cartella di destinazione nella finestra Cartella di destinazione. La cartella predefinita è <Unità>:\Program Files\Kaspersky Lab\Mobile Device Management for Exchange. Se tale cartella non esiste, verrà creata automaticamente durante l'installazione. È possibile modificare la cartella di destinazione utilizzando il pulsante Sfoglia.
  2. Scegliere il tipo di installazione del server per dispositivi mobili Exchange nella finestra Modalità di installazione: modalità normale o cluster.
  3. Nella finestra Seleziona account scegliere un account che verrà utilizzato per gestire i dispositivi mobili:
    - Crea gruppo di ruoli e account automaticamente. L'account verrà creato automaticamente.
    - Specificare un account. L'account deve essere selezionato manualmente. Fare clic sul pulsante Sfoglia per selezionare l'utente il cui account verrà utilizzato e specificare la password. L'utente selezionato deve appartenere a un gruppo che dispone dei diritti per la gestione dei dispositivi mobili utilizzando ActiveSync.
  4. Nella finestra Impostazioni IIS consentire o impedire la configurazione automatica delle proprietà del server Web Internet Information Services (IIS).
    Se viene impedita la configurazione automatica delle proprietà di IIS, abilitare manualmente il meccanismo "Autenticazione di Windows" nelle impostazioni di IIS per la directory virtuale di Microsoft PowerShell. Se il meccanismo "Autenticazione di Windows" è disabilitato, il server per dispositivi mobili Exchange non funzionerà correttamente. Per ulteriori informazioni sulla configurazione di IIS, fare riferimento alla documentazione di IIS.
  5. Fare clic su Avanti.
Nella finestra visualizzata, verificare le proprietà di installazione del server per dispositivi mobili Exchange, quindi fare clic su installa.

Al termine della procedura guidata, il server per dispositivi mobili Exchange viene installato nel dispositivo locale. Il server per dispositivi mobili Exchange verrà visualizzato nella cartella Mobile Device Management nella struttura della console.

Inizio pagina

[Topic 64430]

Connessione dei dispositivi mobili a un server per dispositivi mobili Exchange

Prima di connettere i dispositivi mobili, è necessario configurare Microsoft Exchange Server in modo da consentire la connessione dei dispositivi utilizzando il protocollo ActiveSync.

Per connettere un dispositivo mobile a un server per dispositivi mobili Exchange, l'utente esegue la connessione alla propria cassetta postale di Microsoft Exchange dal dispositivo mobile tramite ActiveSync. Durante la connessione, l'utente deve specificare le impostazioni di connessione nel client ActiveSync, ad esempio l'indirizzo e-mail e la password.

Il dispositivo mobile dell'utente connesso al server Microsoft Exchange viene visualizzato nella sottocartella Dispositivi mobili, contenuta nella cartella Mobile Device Management nella struttura della console.

Dopo aver connesso il dispositivo mobile Exchange ActiveSync a un server per dispositivi mobili Exchange, l'amministratore può gestire il dispositivo mobile Exchange ActiveSync connesso.

Inizio pagina

[Topic 92511]

Configurazione del server Web Internet Information Services

Durante l'utilizzo di Microsoft Exchange Server (versioni 2010 e 2013), è necessario attivare il meccanismo di autenticazione di Windows per una directory virtuale Windows PowerShell nelle impostazioni del server Web Internet Information Services (IIS). Questo meccanismo di autenticazione è attivato automaticamente se è selezionata l'opzione Configura Microsoft Internet Information Services (IIS) automaticamente nell'Installazione guidata del server per dispositivi mobili Exchange (opzione predefinita).

In caso contrario, sarà necessario attivare manualmente il meccanismo di autenticazione.

Per attivare manualmente il meccanismo di autenticazione di Windows per una directory virtuale PowerShell:

Nella console Gestione Internet Information Services (IIS) aprire le proprietà della directory virtuale PowerShell.
Passare alla sezione Autenticazione.
Selezionare Autenticazione di Microsoft Windows e quindi fare clic sul pulsante Abilita.
Aprire Impostazioni avanzate.
Selezionare l'opzione Abilita autenticazione in modalità kernel.
Nell'elenco a discesa Protezione estesa selezionare Richiesta.

Se si utilizza Microsoft Exchange Server 2007, il server Web IIS non richiede alcuna configurazione.

Inizio pagina

[Topic 92512]

Installazione locale di un server per dispositivi mobili Exchange

Per un'installazione locale di un server per dispositivi mobili Exchange, l'amministratore deve eseguire le seguenti operazioni:

Copiare il contenuto della cartella \Server\Packages\MDM4Exchange\ dal pacchetto di distribuzione di Kaspersky Security Center in un dispositivo client.
Eseguire il file eseguibile setup.exe.

L'installazione locale include due tipi di installazione:

L'installazione standard è un'installazione semplificata che non richiede la specificazione di alcuna impostazione da parte dell'amministratore. È consigliata nella maggior parte dei casi.
L'installazione estesa è un'installazione che richiede la specificazione delle seguenti impostazioni da parte dell'amministratore:
- Percorso per l'installazione del server per dispositivi mobili Exchange.
- Modalità operativa del server per dispositivi mobili Exchange: modalità standard o modalità cluster.
- Possibilità di specificare l'account con cui verrà eseguito il servizio del server per dispositivi mobili Exchange.
- Abilitazione/disabilitazione della configurazione automatica del server Web IIS.

È necessario eseguire la Distribuzione guidata server per dispositivi mobili Exchange con un account che dispone di tutti i diritti richiesti.

Inizio pagina

[Topic 92513]

Installazione remota di un server per dispositivi mobili Exchange

Per configurare l'installazione remota di un server per dispositivi mobili Exchange, l'amministratore deve eseguire le seguenti operazioni:

Nella struttura di Kaspersky Security Center Administration Console selezionare la cartella Installazione remota, quindi la sottocartella Pacchetti di installazione.
Nella sottocartella Pacchetti di installazione aprire le proprietà del pacchetto Plug-in server per dispositivi mobili Exchange.
Passare alla sezione Impostazioni.
Questa sezione contiene le stesse impostazioni utilizzate per l'installazione locale dell'applicazione.

Dopo aver configurato l'installazione remota, è possibile avviare l'installazione del server per dispositivi mobili Exchange.

Per installare un server per dispositivi mobili Exchange:

Nella struttura di Kaspersky Security Center Administration Console selezionare la cartella Installazione remota, quindi la sottocartella Pacchetti di installazione.
Nella sottocartella Pacchetti di installazione selezionare il pacchetto Plug-in server per dispositivi mobili Exchange.
Aprire il menu di scelta rapida del pacchetto, quindi selezionare Installa applicazione.
Nell'Installazione remota guidata visualizzata selezionare un dispositivo (o più dispositivi per l'installazione in modalità cluster).
Nel campo Esegui l'installazione guidata dell'applicazione con l'account specificato specificare l'account con cui verrà eseguito il processo di installazione nel dispositivo remoto.
L'account deve disporre dei diritti richiesti.

Inizio pagina

[Topic 64664]

Distribuzione di un sistema per la gestione tramite il protocollo MDM iOS

Kaspersky Security Center consente di gestire i dispositivi mobili in cui viene eseguito iOS. I dispositivi MDM iOS sono dispositivi mobili iOS connessi a un server MDM iOS e gestiti da Administration Server.

I dispositivi mobili sono connessi a un server MDM iOS tramite i seguenti passaggi:

L'amministratore installa il server MDM iOS.
L'amministratore riceve un certificato Apple Push Notification Service (APNs) (Ricezione di un certificato APNs, https://support.kaspersky.com/help/KSMM/4.1/en-US/64900.htm).
Il certificato APNs consente ad Administration Server di connettersi al server APNs per inviare notifiche push ai dispositivi MDM iOS.
L'amministratore installa il certificato APNs nel server per dispositivi mobili MDM iOS.
L'amministratore crea un profilo MDM iOS per l'utente del dispositivo mobile iOS.
Il profilo MDM iOS contiene una raccolta di impostazioni per la connessione dei dispositivi mobili iOS all'Administration Server.

Dopo aver installato il profilo MDM iOS e aver sincronizzato il dispositivo MDM iOS con Administration Server, il dispositivo verrà visualizzato in Mobile devices, una sottocartella di Mobile Device Management nella struttura della console.

In questa sezione

Installazione del server MDM iOS

Installazione di un server MDM iOS in modalità automatica

Scenari di distribuzione del server MDM iOS

Schema di distribuzione semplificato

Schema di distribuzione tramite Kerberos Constrained Delegation (KCD)

Rinnovo di un certificato APNs

Configurazione di un certificato del server per dispositivi mobili MDM iOS di riserva

Installazione di un certificato APNs in un server MDM iOS

Configurazione dell'accesso al servizio Apple Push Notification

Emissione e installazione di un certificato condiviso in un dispositivo mobile

Inizio pagina

[Topic 64668]

Installazione del server MDM iOS

Per installare il server MDM iOS in un dispositivo locale:

Eseguire il file eseguibile setup.exe.
Verrà visualizzata una finestra che richiede di selezionare le applicazioni Kaspersky da installare.

Nella finestra di selezione delle applicazioni fare clic sul collegamento Installa server MDM iOS per eseguire l'Installazione guidata del server MDM iOS.
Selezionare una cartella di destinazione.
La cartella predefinita è <Unità>:\Program Files\Kaspersky Lab\Mobile Device Management for iOS. Se tale cartella non esiste, verrà creata automaticamente durante l'installazione. È possibile modificare la cartella di destinazione utilizzando il pulsante Sfoglia.
Nella finestra Specificare le impostazioni per la connessione al server MDM iOS della procedura guidata, nel campo Porta esterna per la connessione al servizio MDM iOS, specificare una porta esterna per la connessione dei dispositivi mobili al servizio MDM iOS.
I dispositivi mobili utilizzano la porta esterna 5223 per la comunicazione con il server APNs. Verificare che la porta 5223 sia aperta nel firewall per la connessione con l'intervallo di indirizzi 17.0.0.0/8.

La porta 443 è utilizzata per impostazione predefinita per la connessione al server MDM iOS. Se la porta 443 è già in uso da parte di un altro servizio o un'altra applicazione, può essere sostituita, ad esempio dalla porta 9443.

Il server MDM iOS utilizza la porta esterna 2197 per l'invio delle notifiche al server APNs.

I server APNs vengono eseguiti in modalità di bilanciamento del carico. I dispositivi mobili non si connettono sempre agli stessi indirizzi IP per la ricezione delle notifiche. L'intervallo di indirizzi 17.0.0.0/8 è riservato per Apple, pertanto è consigliabile specificare questo intero intervallo come intervallo consentito nelle impostazioni del firewall.
Per configurare manualmente le porte di interazione per i componenti dell'applicazione, selezionare l'opzione Configura porte locali manualmente e specificare i valori per le seguenti impostazioni:
- Porta per la connessione a Network Agent. In questo campo specificare una porta per la connessione del servizio MDM iOS a Network Agent. Il numero di porta predefinito è 9799.
- Porta locale per la connessione al servizio MDM iOS. In questo campo specificare una porta locale per la connessione di Network Agent al servizio MDM iOS. Il numero di porta predefinito è 9899.
È consigliabile utilizzare i valori predefiniti.
Nella finestra Indirizzo esterno del server per dispositivi mobili della procedura guidata, nel campo Indirizzo Web per la connessione remota al server per dispositivi mobili, specificare l'indirizzo del dispositivo client in cui deve essere installato il server per dispositivi mobili MDM iOS.
Questo indirizzo verrà utilizzato per la connessione dei dispositivi mobili gestiti al servizio MDM iOS. Il dispositivo client deve essere disponibile per la connessione dei dispositivi MDM iOS.

È possibile specificare l'indirizzo di un dispositivo client in qualsiasi dei seguenti formati:
- FQDN del dispositivo (ad esempio mdm.example.com)
- Nome NetBIOS del dispositivo
Evitare di aggiungere lo schema URL e il numero di porta alla stringa dell'indirizzo: questi valori verranno aggiunti automaticamente.

Al termine della procedura guidata, il server MDM iOS viene installato nel dispositivo locale. Il server per dispositivi mobili MDM iOS verrà visualizzato nella cartella Mobile Device Management nella struttura della console.

Inizio pagina

[Topic 110107]

Installazione di un server MDM iOS in modalità automatica

Kaspersky Security Center consente di installare il server MDM iOS in un dispositivo locale in modalità automatica, ovvero senza l'immissione interattiva delle impostazioni di installazione.

Per installare un server MDM iOS in un dispositivo locale in modalità automatica:

Leggere il Contratto di licenza con l'utente finale. Utilizzare il comando di seguito solo se sono stati compresi e accettati i termini del Contratto di licenza con l'utente finale.
Eseguire il seguente comando:
.\exec\setup.exe /s /v"DONT_USE_ANSWER_FILE=1 EULA=1 <parametri_installazione>"

dove parametri_installazione è un elenco di impostazioni e dei valori corrispondenti separati da spazi (PROP1=PROP1VAL PROP2=PROP2VAL). Il file setup.exe è posizionato nella cartella Server, appartenente al kit di distribuzione di Kaspersky Security Center.

I nomi e i possibili valori per i parametri che è possibile utilizzare durante l'installazione del server per dispositivi mobili MDM iOS in modalità automatica sono elencati nella seguente tabella. I parametri possono essere specificati in qualsiasi ordine.

I parametri di installazione del server MDM iOS in modalità automatica

Nome del parametro	Descrizione del parametro	Valori disponibili
EULA	Accettazione dei termini del Contratto di licenza con l'utente finale. Questo parametro è obbligatorio.	1 - Ho letto, compreso e accettato i termini del Contratto di licenza con l'utente finale. Altri valori o nessun valore- Non accetto i termini del Contratto di licenza (l'installazione non viene eseguita).
DONT_USE_ANSWER_FILE	Scelta di utilizzare o non utilizzare un file XML con le impostazioni di installazione del server MDM iOS. Il file XML è incluso nel pacchetto di installazione oppure viene memorizzato in Administration Server. Non è necessario specificare un percorso aggiuntivo per il file. Questo parametro è obbligatorio.	1 – Non utilizzare il file XML con parametri. Altro valore o nessun valore – Utilizzare il file XML con parametri.
INSTALLDIR	Cartella di installazione del server MDM iOS. Questo parametro è facoltativo.	Valore della stringa, ad esempio `INSTALLDIR=\"C:\install\"`
CONNECTORPORT	Porta locale per la connessione del servizio MDM iOS a Network Agent. Il numero di porta predefinito è 9799. Questo parametro è facoltativo.	Valore numerico.
LOCALSERVERPORT	Porta locale per la connessione di Network Agent al servizio MDM iOS. Il numero di porta predefinito è 9899. Questo parametro è facoltativo.	Valore numerico.
EXTERNALSERVERPORT	Porta per la connessione di un dispositivo al server MDM iOS. Il numero di porta predefinito è 443. Questo parametro è facoltativo.	Valore numerico.
EXTERNAL_SERVER_URL	Indirizzo esterno del dispositivo client in cui verrà installato il server MDM iOS. Questo indirizzo verrà utilizzato per la connessione dei dispositivi mobili gestiti al servizio MDM iOS. Il dispositivo client deve essere disponibile per la connessione tramite MDM iOS. L'indirizzo non deve includere lo schema URL e il numero della porta poiché questi valori verranno aggiunti automaticamente. Questo parametro è facoltativo.	FQDN del dispositivo (ad esempio mdm.example.com) Nome NetBIOS del dispositivo Indirizzo IP dispositivo
WORKFOLDER	Cartella di lavoro del server MDM iOS. Se non è specificata alcuna cartella di lavoro, i dati verranno scritti nella cartella predefinita. Questo parametro è facoltativo.	Valore della stringa, ad esempio `WORKFOLDER=\"C:\work\"`
MTNCY	Utilizzo del server MDM iOS da parte di più server virtuali. Questo parametro è facoltativo.	1 – Il server MDM iOS verrà utilizzato da parte di più Administration Server virtuali. Altro valore o nessun valore definito – Il server MDM iOS non verrà utilizzato da più Administration Server virtuali.

Esempio:

\exec\setup.exe /s /v"EULA=1 DONT_USE_ANSWER_FILE=1 EXTERNALSERVERPORT=9443 EXTERNAL_SERVER_URL=\"www.test-mdm.com\""

I parametri di installazione del server per dispositivi mobili MDM iOS sono specificati in dettaglio nella sezione "Installazione del server per dispositivi mobili MDM iOS".

Inizio pagina

[Topic 92514]

Scenari di distribuzione del server MDM iOS

Il numero di copie del server MDM iOS da installare può essere selezionato in base all'hardware disponibile o al numero totale di dispositivi mobili coperti.

Tenere presente che il numero massimo consigliato di dispositivi mobili per una singola installazione di Kaspersky Device Management for iOS è 50.000. Per ridurre il carico, l'intero pool di dispositivi può essere distribuito tra diversi server in cui è installato il server MDM iOS.

L'autenticazione dei dispositivi MDM iOS è eseguita tramite i certificati utente (qualsiasi profilo installato in un dispositivo contiene il certificato del proprietario del dispositivo). Sono pertanto possibili due schemi di distribuzione per un server MDM iOS:

Schema semplificato
Schema di distribuzione tramite Kerberos Constrained Delegation (KCD)

Vedere anche:

Installazione del server MDM iOS

Installazione di un server MDM iOS in modalità automatica

Schema di distribuzione semplificato

Schema di distribuzione tramite Kerberos Constrained Delegation (KCD)

Rinnovo di un certificato APNs

Configurazione di un certificato del server per dispositivi mobili MDM iOS di riserva

Installazione di un certificato APNs in un server MDM iOS

Configurazione dell'accesso al servizio Apple Push Notification

Emissione e installazione di un certificato condiviso in un dispositivo mobile

Inizio pagina

[Topic 92515]

Schema di distribuzione semplificato

Durante la distribuzione di un server MDM iOS in base allo schema semplificato, i dispositivi mobili si connettono direttamente al servizio Web MDM iOS. In questo caso, i certificati utente emessi da Administration Server possono essere applicati solo per l'autenticazione dei dispositivi. L'integrazione con l'infrastruttura a chiave pubblica (PKI) è impossibile per i certificati utente.

Inizio pagina

[Topic 92516]

Schema di distribuzione tramite Kerberos Constrained Delegation (KCD)

Per utilizzare lo schema di distribuzione con la delega vincolata Kerberos (KCD), è necessario soddisfare i seguenti requisiti:

Administration Server e il server MDM iOS si trovano nella rete interna dell'organizzazione.
È in uso un proxy inverso con supporto di KCD.

Questo schema di distribuzione offre quanto segue:

Integrazione con il proxy inverso che supporta KCD
Utilizzo di KCD per l'autenticazione dei dispositivi mobili
Integrazione con PKI per l'applicazione dei certificati utente

Quando si utilizza questo schema di distribuzione, è necessario eseguire le seguenti operazioni:

In Administration Console, nelle impostazioni del servizio Web MDM iOS, selezionare la casella di controllo Assicura la compatibilità con la delega vincolata Kerberos.
Come certificato per il servizio Web MDM iOS, specificare il certificato personalizzato che è stato definito al momento della pubblicazione del servizio Web MDM iOS nel proxy inverso.
I certificati utente per i dispositivi iOS devono essere emessi dall'Autorità di certificazione (CA) del dominio. Se il dominio contiene più Autorità di certificazione radice, i certificati utente devono essere emessi dall'Autorità di certificazione che è stata specificata al momento della pubblicazione del servizio Web MDM iOS nel proxy inverso.
È possibile garantire che il certificato utente sia conforme con questo requisito di emissione da parte dell'Autorità di certificazione utilizzando uno dei seguenti metodi:
- Specificare il certificato utente nella procedura guidata per la creazione di un nuovo profilo MDM iOS e nell'Installazione guidata certificato.
- Integrare l'Administration Server con l'infrastruttura PKI del dominio e definire l'impostazione corrispondente nelle regole per l'emissione dei certificati:
  1. Nella struttura della console espandere la cartella Mobile Device Management, quindi selezionare la sottocartella Certificati.
  2. Nell'area di lavoro della cartella Certificati fare clic sul pulsante Configura regole di emissione certificati per aprire la finestra Regole di emissione certificati.
  3. Nella sezione Integrazione con PKI configurare l'integrazione con l'infrastruttura a chiave pubblica (PKI).
  4. Nella sezione Emissione di certificati mobili specificare l'origine dei certificati.

Di seguito è riportato un esempio di configurazione di Kerberos Constrained Delegation (KCD) con i seguenti presupposti:

Il servizio Web MDM iOS è in esecuzione sulla porta 443.
Il nome del dispositivo con il proxy inverso è firewall.mydom.local.
Il nome del dispositivo con il servizio Web MDM iOS è iosmdm.mydom.local.
Il nome della pubblicazione esterna del servizio Web MDM iOS è iosmdm.mydom.global.

Nome dell'entità servizio per http/iosmdm.mydom.local

Nel dominio è necessario registrare il nome dell'entità servizio (SPN) per il dispositivo con il servizio Web MDM iOS (iosmdm.mydom.local):

setspn -a http/iosmdm.mydom.local iosmdm

Configurazione delle proprietà di dominio del dispositivo con il proxy inverso (firewall.mydom.local)

Per delegare il traffico, impostare come attendibile il dispositivo con il proxy inverso (firewall.mydom.local) per il servizio definito dall'SPN (http/iosmdm.mydom.local).

Per impostare come attendibile il dispositivo con il proxy inverso per il servizio definito dall'SPN (http/iosmdm.mydom.local), l'amministratore deve eseguire seguenti le operazioni:

Nello snap-in Microsoft Management Console "Utenti e computer di Active Directory" selezionare il dispositivo in cui è installato il proxy inverso (firewall.mydom.local).
Nelle proprietà del dispositivo, nella scheda Delega, impostare l'interruttore Computer attendibile per la delega solo ai servizi specificati su Utilizza un qualsiasi protocollo di autenticazione.
Aggiungere l'SPN (http/iosmdm.mydom.local) all'elenco Servizi ai quali l'account può presentare credenziali delegate.

Speciale certificato (personalizzato) per il servizio Web pubblicato (iosmdm.mydom.global)

È necessario emettere uno speciale certificato (personalizzato) per il servizio Web MDM iOS sul nome FQDN iosmdm.mydom.global e specificare che sostituisce il certificato predefinito nelle impostazioni del servizio Web MDM iOS in Administration Console.

Il contenitore del certificato (file con estensione p12 o pfx) deve anche contenere una catena di certificati radice (chiavi pubbliche).

Pubblicazione del servizio Web MDM iOS nel proxy inverso

Nel proxy inverso, per il traffico da un dispositivo mobile alla porta 443 di iosmdm.mydom.global, è necessario configurare KCD sull'SPN (http/iosmdm.mydom.local) utilizzando il certificato emesso per il nome FQDN (iosmdm.mydom.global). Tenere presente che la pubblicazione e il servizio Web pubblicato devono condividere lo stesso certificato server.

Vedere anche:

Configurazione standard: gestione di Kaspersky Device Management for iOS nella rete perimetrale

Integrazione con PKI (Public Key Infrastructure)

Inizio pagina

[Topic 64900]

Ricezione di un certificato APNs

Se si dispone già di un certificato APNs, è opportuno rinnovarlo anziché crearne uno nuovo. Quando si sostituisce il certificato APNs esistente con uno appena creato, Administration Server perde la capacità di gestire i dispositivi mobili iOS connessi al momento.

Quando, nella prima fase della procedura guidata del certificato APNs, viene creata la richiesta di firma del certificato, la relativa chiave privata viene archiviata nella RAM del dispositivo. Pertanto, è necessario completare tutti i passaggi della procedura guidata in una sola sessione dell'applicazione.

Per ricevere un certificato APNs:

Nella cartella Mobile Device Management della struttura della console selezionare la sottocartella Server per dispositivi mobili.
Nell'area di lavoro della cartella Server per dispositivi mobili selezionare un server per dispositivi mobili MDM iOS.
Nel menu di scelta rapida del server per dispositivi mobili MDM iOS selezionare Proprietà.
Verrà visualizzata la finestra delle proprietà del server MDM iOS.
Nella finestra delle proprietà del server per dispositivi mobili MDM iOS selezionare la sezione Certificati.
Nella sezione Certificati, nel gruppo di impostazioni Certificato Apple Push Notification, fare clic sul pulsante Richiedi nuovo.
Verrà avviata la ricezione guidata del certificato APNs e verrà visualizzata la finestra Richiedi nuovo.
Creare una richiesta di firma del certificato (di seguito indicata come CSR, Certificate Signing Request). A tale scopo, eseguire le seguenti operazioni:
1. Fare clic sul pulsante Crea CSR.
2. Nella finestra Crea CSR visualizzata specificare un nome per la richiesta, i nomi dell'azienda e del reparto, la città, la regione e il paese.
3. Fare clic sul pulsante Salva e specificare un nome per il file in cui salvare CSR.
La chiave privata del certificato verrà salvata nella memoria del dispositivo.
Utilizzare il CompanyAccount per inviare il file con CSR creato a Kaspersky per la firma.
La firma della CSR verrà resa disponibile solo dopo aver caricato nel portale CompanyAccount una chiave che consente l'utilizzo della funzionalità Mobile Device Management.

Al termine dell'elaborazione della richiesta online, l'utente riceverà un file CSR firmato da Kaspersky.
Inviare il file CSR firmato al sito Web Apple Inc. tramite un ID Apple casuale.
È consigliabile non utilizzare un ID Apple personale. Creare un ID Apple dedicato da utilizzare come ID aziendale. Dopo aver creato un ID Apple, collegarlo alla cassetta postale dell'organizzazione, non alla cassetta postale di un dipendente.

Al termine dell'elaborazione della CSR in Apple Inc., si riceverà la chiave pubblica del certificato APNs. Salvare il file su disco.
Esportare il certificato APNs insieme alla chiave privata creata durante la generazione della CSR, nel formato di file PFX. A tale scopo:
1. Nella finestra Richiedi nuovo certificato APNs fare clic sul pulsante Completa CSR.
2. Nella finestra Apri scegliere un file con la chiave pubblica del certificato ricevuto da Apple Inc. al termine dell'elaborazione della CSR, quindi fare clic sul pulsante Apri.
  Verrà avviato il processo di esportazione del certificato.
3. Nella finestra successiva immettere la password della chiave privata e fare clic su OK.
  Questa password sarà utilizzata per l'installazione del certificato APNs nel server MDM iOS.
4. Nella finestra Salva certificato APNs specificare il nome del file per il certificato APNs, scegliere una cartella e fare clic su Salva.

Le chiave pubblica e la chiave privata del certificato vengono combinate e il certificato APNs viene salvato in formato PFX. Successivamente è possibile installare il certificato APNs nel server per dispositivi mobili MDM iOS.

Vedere anche:

Rinnovo di un certificato APNs

Inizio pagina

[Topic 159855]

Rinnovo di un certificato APNs

Per rinnovare un certificato APNs:

Nella cartella Mobile Device Management della struttura della console selezionare la sottocartella Server per dispositivi mobili.
Nell'area di lavoro della cartella Server per dispositivi mobili selezionare un server per dispositivi mobili MDM iOS.
Nel menu di scelta rapida del server per dispositivi mobili MDM iOS selezionare Proprietà.
Verrà visualizzata la finestra delle proprietà del server MDM iOS.
Nella finestra delle proprietà del server per dispositivi mobili MDM iOS selezionare la sezione Certificati.
Nella sezione Certificati, nel gruppo di impostazioni Certificato Apple Push Notification fare clic sul pulsante Rinnova.
Verrà avviata la procedura guidata di rinnovo del certificato APNs e sarà visualizzata la finestra Rinnova certificato APNs.
Creare una richiesta di firma del certificato (di seguito indicata come CSR, Certificate Signing Request). A tale scopo, eseguire le seguenti operazioni:
1. Fare clic sul pulsante Crea CSR.
2. Nella finestra Crea CSR visualizzata specificare un nome per la richiesta, i nomi dell'azienda e del reparto, la città, la regione e il paese.
3. Fare clic sul pulsante Salva e specificare un nome per il file in cui salvare CSR.
La chiave privata del certificato verrà salvata nella memoria del dispositivo.
Utilizzare il CompanyAccount per inviare il file con CSR creato a Kaspersky per la firma.
La firma della CSR verrà resa disponibile solo dopo aver caricato nel portale CompanyAccount una chiave che consente l'utilizzo della funzionalità Mobile Device Management.

Al termine dell'elaborazione della richiesta online, l'utente riceverà un file CSR firmato da Kaspersky.
Inviare il file CSR firmato al sito Web Apple Inc. tramite un ID Apple casuale.
È consigliabile non utilizzare un ID Apple personale. Creare un ID Apple dedicato da utilizzare come ID aziendale. Dopo aver creato un ID Apple, collegarlo alla cassetta postale dell'organizzazione, non alla cassetta postale di un dipendente.

Al termine dell'elaborazione della CSR in Apple Inc., si riceverà la chiave pubblica del certificato APNs. Salvare il file su disco.
Richiedere la chiave pubblica del certificato. A tale scopo, eseguire le seguenti operazioni:
1. Passare al portale Apple Push Certificates. Per accedere al portale, utilizzare l'ID Apple ricevuto al momento della richiesta iniziale del certificato.
2. Nell'elenco dei certificati selezionare il certificato il cui nome APSP (nel formato "APSP: <numero>") corrisponde al nome APSP del certificato utilizzato dal server per dispositivi mobili MDM iOS, quindi fare clic sul pulsante Rinnova.
  Il certificato APNs viene rinnovato.
3. Salvare il certificato creato nel portale.
Esportare il certificato APNs insieme alla chiave privata creata durante la generazione della CSR, nel formato di file PFX. A tale scopo, eseguire le seguenti operazioni:
1. Nella finestra Rinnova certificato APNs fare clic sul pulsante Completa CSR.
2. Nella finestra Apri scegliere un file con la chiave pubblica del certificato, ricevuto da Apple Inc. al termine dell'elaborazione della CSR, e fare clic sul pulsante Apri.
  Verrà avviato il processo di esportazione del certificato.
3. Nella finestra successiva immettere la password della chiave privata e fare clic su OK.
  Questa password sarà utilizzata per l'installazione del certificato APNs nel server MDM iOS.
4. Nella finestra Rinnova certificato APNs visualizzata specificare il nome del file per il certificato APNs, scegliere una cartella e fare clic su Salva.

Le chiave pubblica e la chiave privata del certificato vengono combinate e il certificato APNs viene salvato in formato PFX.

Vedere anche:

Informazioni sui certificati di Kaspersky Security Center

Inizio pagina

[Topic 210607]

Configurazione di un certificato del server per dispositivi mobili MDM iOS di riserva

La funzionalità server per dispositivi mobili MDM iOS consente di emettere un certificato di riserva. Questo certificato è destinato all'utilizzo nei profili MDM iOS, per garantire il passaggio immediato dei dispositivi iOS gestiti dopo la scadenza del certificato del server per dispositivi mobili MDM iOS.

Se il server per dispositivi mobili MDM iOS utilizza un certificato predefinito emesso da Kaspersky, è possibile emettere un certificato di riserva (o specificare il certificato personalizzato in uso come di riserva) prima della scadenza del certificato del server per dispositivi mobili MDM iOS. Per impostazione predefinita, il certificato di riserva viene emesso automaticamente 60 giorni prima della scadenza del certificato del server per dispositivi mobili MDM iOS. Il certificato del server per dispositivi mobili MDM iOS di riserva diventa il certificato principale subito dopo la scadenza del certificato del server per dispositivi mobili MDM iOS. La chiave pubblica viene distribuita a tutti i dispositivi gestiti tramite i profili di configurazione, pertanto non è necessario trasmetterla manualmente.

Per emettere un certificato di riserva del server per dispositivi mobili MDM iOS o specificare un certificato di riserva personalizzato:

Nella struttura della console, nella cartella Mobile Device Management, selezionare la sottocartella Server per dispositivi mobili.
Nell'elenco dei server per dispositivi mobili selezionare il server per dispositivi mobili MDM iOS pertinente e, nel riquadro di destra, fare clic sul pulsante Configura server per dispositivi mobili MDM iOS.
Nella finestra delle impostazioni del server per dispositivi mobili MDM iOS visualizzata selezionare la sezione Certificati.
Nel gruppo di impostazioni Certificato di riserva eseguire una delle seguenti operazioni:
- Se si prevede di continuare a utilizzare un certificato autofirmato (ovvero quello emesso da Kaspersky):
  1. Fare clic sul pulsante Emetti.
  2. Nella finestra Data di attivazione visualizzata selezionare una delle due opzioni per la data di applicazione del certificato di riserva:
    - Se si desidera applicare il certificato di riserva al momento della scadenza del certificato corrente, selezionare l'opzione Allo scadere del certificato corrente.
    - Se si desidera applicare il certificato di riserva prima della scadenza del certificato corrente, selezionare l'opzione Dopo il periodo specificato (giorni). Nel campo di immissione accanto a questa opzione specificare la durata del periodo dopo il quale il certificato di riserva deve sostituire il certificato corrente.
    Il periodo di validità del certificato di riserva specificato non può superare il periodo di validità del certificato del server per dispositivi mobili MDM iOS corrente.
  3. Fare clic sul pulsante OK.
  Verrà emesso il certificato del server per dispositivi mobili MDM iOS di riserva.
- Se si prevede di utilizzare un certificato personalizzato emesso dall'autorità di certificazione:
  1. Fare clic sul pulsante Aggiungi.
  2. Nella finestra Esplora file visualizzata specificare un file di certificato nel formato PEM, PFX o P12 archiviato nel dispositivo, quindi fare clic sul pulsante Apri.
  Il certificato personalizzato viene specificato come certificato del server per dispositivi mobili MDM iOS di riserva.

È stato specificato un certificato del server per dispositivi mobili MDM iOS di riserva. I dettagli del certificato di riserva sono visualizzati nel gruppo di impostazioni Certificato di riserva (nome del certificato, nome dell'emittente, data di scadenza e data di applicazione del certificato di riserva, se presente).

Vedere anche:

Aggiunta di un profilo di configurazione

Inizio pagina

[Topic 64666]

Installazione di un certificato APNs in un server MDM iOS

Dopo aver ricevuto il certificato APNs, è necessario installarlo nel server per dispositivi mobili MDM iOS.

Per installare il certificato APNs nel server MDM iOS:

Nella cartella Mobile Device Management della struttura della console selezionare la sottocartella Server per dispositivi mobili.
Nell'area di lavoro della cartella Server per dispositivi mobili selezionare un server per dispositivi mobili MDM iOS.
Nel menu di scelta rapida del server per dispositivi mobili MDM iOS selezionare Proprietà.
Verrà visualizzata la finestra delle proprietà del server MDM iOS.
Nella finestra delle proprietà del server per dispositivi mobili MDM iOS selezionare la sezione Certificati.
Nella sezione Certificati, nel gruppo di impostazioni Certificato Apple Push Notification, fare clic sul pulsante Installa.
Selezionare il file PFX che contiene il certificato APNs.
Immettere la password della chiave privata che è stata specificata durante l'esportazione del certificato APNs.

Il certificato APNs verrà installato nel server MDM iOS. I dettagli del certificato verranno visualizzati nella finestra delle proprietà del server per dispositivi mobili MDM iOS, nella sezione Certificati.

Inizio pagina

[Topic 92518]

Configurazione dell'accesso al servizio Apple Push Notification

Per garantire il corretto funzionamento del servizio Web MDM iOS e risposte tempestive dei dispositivi mobili ai comandi dell'amministratore, è necessario specificare un certificato del servizio Apple Push Notification (di seguito denominato certificato APNs) nelle impostazioni del server MDM iOS.

Interagendo con Apple Push Notification (di seguito denominato APNs), il servizio Web MDM iOS si connette all'indirizzo esterno api.push.apple.com tramite la porta 2197 (in uscita). Pertanto, il servizio Web MDM iOS richiede l'accesso alla porta TCP 2197 per l'intervallo di indirizzi 17.0.0.0/8. Sul lato del dispositivo iOS è necessario l'accesso alla porta TCP 5223 per l'intervallo di indirizzi 17.0.0.0/8.

Se si prevede di accedere ad APNs dal servizio Web MDM iOS tramite un server proxy, è necessario eseguire le seguenti operazioni sul dispositivo in cui è installato il servizio Web MDM iOS:

Aggiungere le seguenti stringhe al Registro di sistema:

Per i sistemi operativi a 32 bit:

HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset

"ApnProxyHost"="<Nome host proxy>"

"ApnProxyPort"="<Porta proxy>"

"ApnProxyLogin"="<Nome di accesso proxy>"

"ApnProxyPwd"="<Password proxy>"

Per i sistemi operativi a 64 bit:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset

"ApnProxyHost"="<Nome host proxy>"

"ApnProxyPort"="<Porta proxy>"

"ApnProxyLogin"="<Nome di accesso proxy>"

"ApnProxyPwd"="<Password proxy>"

Riavviare il servizio Web MDM iOS.

Vedere anche:

Connessione diretta dei dispositivi all'Administration Server

Inizio pagina

[Topic 89539]

Emissione e installazione di un certificato condiviso in un dispositivo mobile

Per rilasciare un certificato condiviso a un utente:

Nella struttura della console, nella cartella Account utente, selezionare un account utente.
Nel menu di scelta rapida dell'account utente selezionare Installa certificato.

Verrà avviata l'Installazione guidata certificato. Seguire le istruzioni della procedura guidata.

Al termine della procedura guidata, verrà creato un certificato, che sarà aggiunto all'elenco dei certificati dell'utente.

Il certificato emesso verrà scaricato dall'utente, insieme al pacchetto di installazione che contiene il profilo MDM iOS.

Una volta connesso il dispositivo mobile al server MDM iOS, le impostazioni del profilo MDM iOS verranno applicate al dispositivo dell'utente. L'amministratore sarà in grado di gestire il dispositivo in seguito alla connessione.

Il dispositivo mobile dell'utente connesso al server per dispositivi mobili MDM iOS viene visualizzato nella sottocartella Dispositivi mobili, all'interno della cartella Mobile Device Management nella struttura della console.

Inizio pagina

[Topic 114929]

Aggiunta di un dispositivo KES all'elenco dei dispositivi gestiti

Per aggiungere il dispositivo KES di un utente all'elenco dei dispositivi gestiti utilizzando un collegamento a Google Play:

Nella struttura della console selezionare la cartella Account utente.
La cartella Account utente è una sottocartella della cartella Avanzate per impostazione predefinita.
Selezionare l'account dell'utente di cui si desidera aggiungere il dispositivo mobile all'elenco dei dispositivi gestiti.
Nel menu di scelta rapida dell'account utente selezionare Aggiungi dispositivo mobile.
Verrà avviata la Connessione guidata nuovo dispositivo mobile. Nella finestra Origine certificato della procedura guidata, è necessario specificare il metodo per la creazione del certificato condiviso che Administration Server utilizzerà per identificare il dispositivo mobile. È possibile specificare un certificato condiviso utilizzando una delle seguenti modalità:
- Creare un certificato condiviso automaticamente, tramite gli strumenti di Administration Server, e quindi inviare il certificato al dispositivo.
- Specificare il file di un certificato condiviso.
Nella finestra Tipo di dispositivo della procedura guidata selezionare Collegamento a Google Play.
Nella finestra Metodo di notifica all'utente della procedura guidata, definire le impostazioni per la notifica all'utente del dispositivo mobile della creazione del certificato con un messaggio SMS, tramite e-mail o visualizzando l'informazione al termine della procedura guidata.
Nella finestra Info sul certificato della procedura guidata, fare clic sul pulsante Fine per chiudere la procedura guidata.

Al termine delle attività della procedura guidata, al dispositivo mobile dell'utente verranno inviati un collegamento e un codice QR per consentire il download di Kaspersky Endpoint Security da Google Play. L'utente accede a Google Play utilizzando il collegamento o eseguendo la scansione del codice QR. Dopodiché, il sistema operativo del dispositivo richiede all'utente di accettare l'installazione di Kaspersky Endpoint Security for Android. Dopo il download e l'installazione di Kaspersky Endpoint Security for Android, il dispositivo mobile si connette ad Administration Server e scarica un certificato condiviso. Dopo l'installazione del certificato nel dispositivo mobile, il dispositivo verrà visualizzato nella cartella Dispositivi mobili, una sottocartella di Mobile Device Management nella struttura della console.

Se Kaspersky Endpoint Security for Android è già stato installato nel dispositivo, l'utente deve ricevere le impostazioni di connessione di Administration Server dall'amministratore e quindi immetterle autonomamente. Dopo la definizione delle impostazioni di connessione, il dispositivo mobile si connette ad Administration Server. L'amministratore emette un certificato condiviso per il dispositivo e invia all'utente un messaggio e-mail o un messaggio SMS con un nome utente e una password per il download del certificato. L'utente scarica e installa il certificato condiviso. Dopo l'installazione del certificato nel dispositivo mobile, il dispositivo verrà visualizzato nella cartella Dispositivi mobili, una sottocartella di Mobile Device Management nella struttura della console. In questo caso, Kaspersky Endpoint Security for Android non verrà scaricato e installato nuovamente.

Inizio pagina

[Topic 92520]

Connessione dei dispositivi KES ad Administration Server

A seconda del metodo utilizzato per la connessione dei dispositivi ad Administration Server, sono possibili due schemi di distribuzione per Kaspersky Device Management for iOS per i dispositivi KES:

Schema di distribuzione con connessione diretta dei dispositivi all'Administration Server
Schema di distribuzione che coinvolge un proxy inverso che supporta la delega vincolata Kerberos

In questa sezione

Schema per la connessione dei dispositivi KES al server tramite Kerberos Constrained Delegation (KCD)

Utilizzo di Firebase Cloud Messaging

Inizio pagina

[Topic 92521]

Connessione diretta dei dispositivi all'Administration Server

I dispositivi KES possono connettersi direttamente alla porta 13292 di Administration Server.

A seconda del metodo utilizzato per l'autenticazione, sono possibili due opzioni per la connessione dei dispositivi KES all'Administration Server:

Connessione dei dispositivi con un certificato utente
Connessione dei dispositivi senza un certificato utente

Connessione di un dispositivo con un certificato utente

Durante la connessione di un dispositivo con un certificato utente, il dispositivo viene associato all'account utente a cui è stato assegnato il certificato corrispondente tramite gli strumenti di Administration Server.

In questo caso verrà utilizzata l'autenticazione SSL bidirezionale (autenticazione reciproca). Sia l'Administration Server che il dispositivo verranno autenticati con certificati.

Connessione di un dispositivo senza un certificato utente

Durante la connessione di un dispositivo senza un certificato utente, il dispositivo non viene associato ad alcun account utente in Administration Server. Tuttavia, quando il dispositivo riceve un certificato, il dispositivo verrà associato all'utente a cui è stato assegnato il certificato corrispondente tramite gli strumenti di Administration Server.

Durante la connessione del dispositivo all'Administration Server, sarà applicata l'autenticazione SSL unidirezionale, il che significa che solo l'Administration Server viene autenticato con il certificato. Dopo il recupero del certificato utente da parte del dispositivo, il tipo di autenticazione diventerà autenticazione SSL bidirezionale (autenticazione SSL bidirezionale, autenticazione reciproca).

Inizio pagina

[Topic 92523]

Schema per la connessione dei dispositivi KES al server tramite Kerberos Constrained Delegation (KCD)

Lo schema per la connessione dei dispositivi KES all'Administration Server tramite Kerberos Constrained Delegation (KCD) offre quanto segue:

Integrazione con un proxy inverso che supporta KCD.
Utilizzo di Kerberos Constrained Delegation (di seguito denominato KCD) per l'autenticazione dei dispositivi mobili.
Integrazione con l'infrastruttura Public Key Infrastructure (di seguito denominata PKI) per l'applicazione dei certificati utente.

Quando si utilizza questo schema di connessione, tenere presente quanto segue:

Il tipo di connessione dei dispositivi KES al proxy inverso deve essere l'autenticazione SSL bidirezionale: un dispositivo deve connettersi al proxy inverso tramite il relativo certificato utente proprietario. A tale scopo, è necessario integrare il certificato utente nel pacchetto di installazione di Kaspersky Endpoint Security for Android, che è stato installato nel dispositivo. Questo pacchetto KES deve essere creato dall'Administration Server specificamente per questo dispositivo (utente).
È necessario specificare lo speciale certificato (personalizzato) invece del certificato server predefinito per il protocollo mobile:
1. Nella finestra delle proprietà di Administration Server, nella sezione Impostazioni, selezionare la casella di controllo Apri porta per i dispositivi mobili e selezionare Aggiungi certificato nell'elenco a discesa.
2. Nella finestra visualizzata specificare lo stesso certificato che è stato impostato nel proxy inverso al momento della pubblicazione del punto di accesso al protocollo mobile nell'Administration Server.
I certificati utente per i dispositivi KES devono essere emessi dall'Autorità di certificazione (CA) del dominio. Tenere presente che se il dominio include più Autorità di certificazione radice, i certificati utente devono essere emessi dall'Autorità di certificazione che è stata impostata nella pubblicazione nel proxy inverso.
È possibile garantire che il certificato utente sia conforme a tale requisito utilizzando uno dei seguenti metodi:
- Specificare lo certificato utente speciale nella Creazione guidata nuovo pacchetto e nell'Installazione guidata certificato.
- Integrare l'Administration Server con l'infrastruttura PKI del dominio e definire l'impostazione corrispondente nelle regole per l'emissione dei certificati:
  1. Nella struttura della console espandere la cartella Mobile Device Management, quindi selezionare la sottocartella Certificati.
  2. Nell'area di lavoro della cartella Certificati fare clic sul pulsante Configura regole di emissione certificati per aprire la finestra Regole di emissione certificati.
  3. Nella sezione Integrazione con PKI configurare l'integrazione con l'infrastruttura a chiave pubblica (PKI).
  4. Nella sezione Emissione di certificati mobili specificare l'origine dei certificati.

Di seguito è riportato un esempio di configurazione di Kerberos Constrained Delegation (KCD) con i seguenti presupposti:

Il punto di accesso al protocollo mobile in Administration Server è impostato sulla porta 13292.
Il nome del dispositivo con il proxy inverso è firewall.mydom.local.
Il nome del dispositivo con Administration Server è ksc.mydom.local.
Il nome della pubblicazione esterna del punto di accesso al protocollo mobile è kes4mob.mydom.global.

Account di dominio per Administration Server

È necessario creare un account di dominio (ad esempio, KSCMobileSrvcUsr) con cui verrà eseguito il servizio Administration Server. È possibile specificare un account per il servizio Administration Server al momento dell'installazione di Administration Server o tramite l'utilità klsrvswch. L'utilità klsrvswch è disponibile nella cartella di installazione di Administration Server. Il percorso di installazione predefinito: <Disco>:\Programmi (x86)\ Kaspersky Lab\ Kaspersky Security Center.

È necessario specificare un account di dominio per i motivi seguenti:

La funzionalità di gestione dei dispositivi KES è una parte integrante di Administration Server.
Per garantire il corretto funzionamento di Kerberos Constrained Delegation (KCD), la parte ricevente (ovvero, Administration Server) deve essere in esecuzione con un account di dominio.

Nome dell'entità servizio per http/kes4mob.mydom.local

Nel dominio, con l'account KSCMobileSrvcUsr, aggiungere un SPN per pubblicare il servizio del protocollo mobile sulla porta 13292 del dispositivo con Administration Server. Per il dispositivo kes4mob.mydom.local con Administration Server, si presenta come segue:

setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr

Configurazione delle proprietà di dominio del dispositivo con il proxy inverso (firewall.mydom.local)

Per delegare il traffico, è necessario impostare come attendibile il dispositivo con il proxy inverso (firewall.mydom.local) per il servizio definito dall'SPN (http/kes4mob.mydom.local:13292).

Per impostare come attendibile il dispositivo con il proxy inverso per il servizio definito dall'SPN (http/kes4mob.mydom.local:13292), l'amministratore deve eseguire seguenti le operazioni:

Nello snap-in Microsoft Management Console "Utenti e computer di Active Directory" selezionare il dispositivo in cui è installato il proxy inverso (firewall.mydom.local).
Nelle proprietà del dispositivo, nella scheda Delega, impostare l'interruttore Computer attendibile per la delega solo ai servizi specificati su Utilizza un qualsiasi protocollo di autenticazione.
Nell'elenco Servizi ai quali l'account può presentare credenziali delegate aggiungere l'SPN http/kes4mob.mydom.local:13292.

Speciale certificato (personalizzato) per la pubblicazione (kes4mob.mydom.global)

Per pubblicare il protocollo mobile di Administration Server, è necessario emettere uno speciale certificato (personalizzato) per il nome FQDN kes4mob.mydom.global e specificarlo invece del certificato server predefinito nelle impostazioni del protocollo mobile di Administration Server in Administration Console. A tale scopo, nella finestra delle proprietà di Administration Server, nella sezione Impostazioni, selezionare la casella di controllo Apri porta per i dispositivi mobili e quindi selezionare Aggiungi certificato nell'elenco a discesa.

Il contenitore del certificato server (file con estensione p12 o pfx) deve anche contenere una catena di certificati radice (chiavi pubbliche).

Configurazione della pubblicazione nel proxy inverso

Nel proxy inverso, per il traffico dal dispositivo mobile alla porta 13292 kes4mob.mydom.global, è necessario configurare KCD sull'SPN (http/kes4mob.mydom.local:13292) utilizzando il certificato server emesso per il nome FQDN kes4mob.mydom.global. La pubblicazione e il punto di accesso pubblicato (la porta 13292 di Administration Server) devono condividere lo stesso certificato server.

Vedere anche:

Integrazione con PKI (Public Key Infrastructure)

Concessione dell'accesso via Internet all'Administration Server

Administration Server nella LAN, dispositivi gestiti in Internet, proxy inverso in uso

Inizio pagina

[Topic 92525]

Utilizzo di Firebase Cloud Messaging

Per garantire l'invio tempestivo dei comandi ai dispositivi KES gestiti dal sistema operativo Android, Kaspersky Security Center usa il meccanismo delle notifiche push. Le notifiche push vengono scambiate tra i dispositivi KES e Administration Server tramite Firebase Cloud Messaging (di seguito FCM). In Kaspersky Security Center Administration Console è possibile specificare le impostazioni di Cloud Firebase Messaging per la connessione dei dispositivi KES al servizio.

Per recuperare le impostazioni di Firebase Cloud Messaging, è necessario disporre di un account Google.

Per abilitare l'utilizzo di FCM:

In Administration Console selezionare il nodo Mobile Device Management e la cartella Dispositivi mobili.
Dal menu di scelta rapida della cartella Dispositivi mobili selezionare Proprietà.
Nelle proprietà della cartella selezionare la sezione Impostazioni di Google Firebase Cloud Messaging.
Nel campo ID mittente, specificare l'ID del mittente FCM.
Nel campo File della chiave privata (in formato JSON), selezionare il file della chiave privata.

Alla successiva sincronizzazione con Administration Server, i dispositivi KES gestiti da sistemi operativi Android verranno connessi a Firebase Cloud Messaging.

È possibile modificare le impostazioni di Firebase Cloud Messaging facendo clic sul pulsante Ripristina impostazioni.

Quando si passa a un progetto Firebase diverso, è necessario attendere 10 minuti per il ripristino di FCM.

Il servizio FCM viene eseguito nei seguenti intervalli di indirizzi:

Sul lato del dispositivo KES, è necessario l'accesso alle porte 443 (HTTPS), 5228 (HTTPS), 5229 (HTTPS) e 5230 (HTTPS) dei seguenti indirizzi:
- google.com
- fcm.googleapis.com
- android.apis.google.com
- Tutti gli indirizzi IP elencati nell'ASN Google numero 15169
Sul lato dell'Administration Server, è necessario l'accesso alla porta 443 (HTTPS) dei seguenti indirizzi:
- fcm.googleapis.com
- Tutti gli indirizzi IP elencati nell'ASN Google numero 15169

Se le impostazioni del server proxy (Avanzate / Configurazione dell'accesso a Internet) sono state specificate nelle proprietà di Administration Server in Administration Console, saranno utilizzate per l'interazione con FCM.

Configurazione di FCM: ottenere l'ID del mittente e il file della chiave privata

Per configurare il FCM:

Eseguire la registrazione nel portale Google.
Passare alla console Firebase.
Eseguire una delle seguenti operazioni:
- Per creare un nuovo progetto, fare clic su Crea un progetto e seguire le istruzioni sullo schermo.
- Aprire un progetto esistente.
Fare clic sull'icona a forma di ingranaggio e selezionare Impostazioni progetto.
Verrà visualizzata la finestra Impostazioni progetto.
Selezionare la scheda Cloud Messaging.
Recuperare l'ID del mittente pertinente dal campo ID mittente nella sezione Firebase Cloud Messaging API (V1).
Selezionare la scheda Account di servizio e fare clic su Genera nuova chiave privata.
Nella finestra visualizzata, fare clic su Genera chiave per generare e scaricare un file di chiave privata.

Firebase Cloud Messaging è ora configurato.

Inizio pagina

[Topic 92526]

Integrazione con PKI (Public Key Infrastructure)

L'integrazione con l'infrastruttura Public Key Infrastructure (di seguito denominata PKI) ha principalmente l'obiettivo di semplificare l'emissione dei certificati utente di dominio da parte di Administration Server.

L'amministratore può assegnare un certificato di dominio per un utente in Administration Console. A tale scopo, è possibile utilizzare uno dei seguenti metodi:

Assegnare all'utente uno speciale certificato (personalizzato) da un file nell'Installazione guidata certificato.
Eseguire l'integrazione con PKI e assegnare a PKI il ruolo di origine dei certificati per un tipo specifico di certificati o per tutti i tipi di certificati.

Le impostazioni dell'integrazione con PKI sono disponibili nell'area di lavoro della cartella Mobile Device Management / Certificati facendo clic sul collegamento Integra con infrastruttura a chiave pubblica (PKI).

Principio generale di integrazione con PKI per l'emissione dei certificati utente di dominio

In Administration Console fare clic sul collegamento Integra con infrastruttura a chiave pubblica (PKI) nell'area di lavoro della cartella Mobile Device Management / Certificati per specificare un account di dominio che sarà utilizzato da Administration Server per emettere i certificati utente di dominio tramite l'Autorità di certificazione del dominio (di seguito denominato account utilizzato per l'integrazione con PKI).

Tenere presente quanto segue:

Le impostazioni di integrazione con PKI offrono la possibilità di specificare il modello predefinito per tutti i tipi di certificati. Le regole per l'emissione dei certificati (disponibili nell'area di lavoro della cartella Mobile Device Management / Certificati facendo clic sul pulsante Configura regole di emissione certificati) consentono di specificare un singolo modello per ogni tipo di certificati.
Un speciale certificato Enrollment Agent (EA) deve essere installato nel dispositivo con Administration Server, nell'archivio di certificati dell'account utilizzato per l'integrazione con PKI. Il certificato Enrollment Agent (EA) viene emesso dall'amministratore dell'Autorità di certificazione del dominio.

L'account utilizzato per l'integrazione con PKI deve soddisfare i seguenti criteri:

È un utente di dominio.
È un amministratore locale del dispositivo con Administration Server da cui viene avviata l'integrazione con PKI.
Ha il diritto di accesso come servizio.
Il dispositivo in cui è installato Administration Server deve essere in esecuzione almeno una volta con questo account per creare un profilo utente permanente.

Inizio pagina

[Topic 92527]

Server Web di Kaspersky Security Center

Il Server Web di Kaspersky Security Center (di seguito denominato server Web) è un componente di Kaspersky Security Center. Il server Web è progettato per la pubblicazione di pacchetti di installazione indipendenti, pacchetti di installazione indipendenti per dispositivi mobili, profili MDM iOS e file da una cartella condivisa.

I profili MDM iOS e i pacchetti di installazione creati vengono pubblicati automaticamente sul server Web e sono rimossi dopo il primo download. L'amministratore può inviare il nuovo collegamento all'utente con qualsiasi sistema (ad esempio, tramite e-mail).

Facendo clic su questo collegamento, l'utente può scaricare le informazioni richieste in un dispositivo mobile.

Impostazioni del server Web

Se è necessario modificare la configurazione del server Web, le proprietà del server Web di Administration Console offrono la possibilità di modificare le porte per HTTP (8060) e HTTPS (8061). Oltre a modificare le porte, è possibile sostituire il certificato server per HTTPS e modificare il nome FQDN del server Web per HTTP.

Inizio pagina

[Topic 13057]

Installazione di Kaspersky Security Center

In questa sezione viene descritta l'installazione dei componenti di Kaspersky Security Center. Se si desidera installare l'applicazione in locale in un solo dispositivo, sono disponibili due opzioni di installazione:

Standard. L'opzione è consigliabile se si desidera provare a utilizzare Kaspersky Security Center, ad esempio verificandone il funzionamento in un'area delimitata all'interno della rete aziendale. Durante l'installazione standard, è possibile esclusivamente configurare il database. È inoltre possibile installare solo il set predefinito di plug-in di gestione delle applicazioni Kaspersky. È inoltre possibile utilizzare l'installazione standard se si dispone già di una certa esperienza nell'utilizzo di Kaspersky Security Center in modo da poter specificare tutte le impostazioni pertinenti dopo l'installazione standard.
Personalizzato. L'opzione è consigliabile se si intende modificare le impostazioni di Kaspersky Security Center, ad esempio il percorso della cartella condivisa, gli account e le porte per la connessione ad Administration Server, nonché le impostazioni del database. L'installazione personalizzata consente di specificare quali plug-in di gestione di Kaspersky installare. Se necessario, è possibile avviare l'installazione personalizzata in modalità automatica.

Se almeno un Administration Server è installato nella rete, i server possono essere installati in altri dispositivi in remoto tramite l'attività di installazione remota utilizzando l'installazione forzata. Quando si crea l'attività di installazione remota, è necessario utilizzare il pacchetto di installazione di Administration Server: ksc_<numero_versione> .<numero build> _full_<lingua localizzazione> .exe.

Utilizzare questo pacchetto se si desidera installare tutti i componenti richiesti per usufruire delle funzionalità complete di Kaspersky Security Center o per eseguire l'upgrade delle versioni correnti dei componenti.

Se si desidera distribuire il cluster di failover Kaspersky Security Center, è necessario installare Kaspersky Security Center in tutti i nodi del cluster.

In questa sezione

Preparazione dell'installazione

Scenario: Autenticazione di Microsoft SQL Server

Raccomandazioni sull'installazione di Administration Server

Installazione standard

Installazione personalizzata

Distribuzione del cluster di failover Kaspersky Security Center

Installazione di Administration Server in un cluster di failover di Windows Server

Installazione di Administration Server in modalità automatica

Installazione di Administration Console nella workstation dell'amministratore

Modifiche apportate al sistema dopo l'installazione di Kaspersky Security Center

Disinstallazione dell'applicazione

Vedere anche:

Inizio pagina

[Topic 6267]

Preparazione dell'installazione

Eseguire le seguenti azioni prima di avviare l'installazione.

Verificare i requisiti hardware e software
Verificare che l'hardware e il software del dispositivo soddisfino i requisiti di Administration Server e Administration Console.
Selezione e installazione del sistema di gestione database (DBMS)
Kaspersky Security Center archivia le informazioni in un database gestito da un DBMS. Installare il DBMS nella rete prima di Kaspersky Security Center (ulteriori informazioni su come selezionare un DBMS). Se si decide di installare il DBMS di PostgreSQL o Postgres Pro, specificare una password per l'utente con privilegi avanzati. Se la password non viene specificata, Administration Server potrebbe non essere in grado di connettersi al database.

È consigliabile installare Administration Server in un server dedicato anziché in un controller di dominio. Se tuttavia si installa Kaspersky Security Center in un server che opera come controller di dominio di sola lettura (RODC), Microsoft SQL Server (SQL Express) non deve essere installato in locale (nello stesso dispositivo). In questo caso, è consigliabile installare Microsoft SQL Server (SQL Express) in remoto (su un altro dispositivo) o utilizzare MySQL, MariaDB o PostgreSQL se è necessario installare il DBMS in locale.
Preparare le cartelle per Administration Server, Network Agent e Administration Console
Administration Server, Network Agent e Administration Console devono essere installati nelle cartelle in cui la distinzione tra maiuscole e minuscole è disabilitata. La distinzione tra maiuscole e minuscole deve inoltre essere disabilitata per la cartella condivisa di Administration Server e la cartella nascosta di Kaspersky Security Center (% ALLUSERSPROFILE%\KasperskyLab\adminkit).
Rimuovere Network Agent precedente
La versione server di Network Agent è installata nel dispositivo insieme ad Administration Server. Non è possibile installare Administration Server con la versione standard di Network Agent. Se la versione server di Network Agent è già installata nel dispositivo, rimuoverla e riavviare l'installazione di Administration Server. Per dettagli sulla versione server di Network Agent, fare riferimento a Modifiche apportate al sistema dopo l'installazione di Kaspersky Security Center.
Controllo degli account
L'installazione di Kaspersky Security Center richiede diritti di amministratore nel dispositivo in cui deve essere eseguita l'installazione.

Kaspersky Security Center supporta gli account del servizio gestito e gli account del servizio gestito di gruppo. Se questi tipi di account vengono utilizzati nel dominio e si desidera specificarne uno come account per il servizio Administration Server, installare prima l'account nello stesso dispositivo in cui si desidera installare Administration Server. Per informazioni dettagliate sull'installazione degli account del servizio gestito in un dispositivo locale, consultare la documentazione ufficiale di Microsoft.

Inizio pagina

[Topic 156275]

Account per l'utilizzo del DBMS

Per installare e utilizzare Administration Server, è necessario un account Windows con cui eseguire il programma di installazione di Administration Server (di seguito denominato anche programma di installazione), un account Windows con cui avviare il servizio Administration Server e un account DBMS interno per accedere al DBMS. È possibile creare nuovi account o utilizzare quelli esistenti. Tutti questi account richiedono diritti specifici. Un insieme degli account richiesti e dei relativi diritti dipende dai seguenti criteri:

Tipo di DBMS:
- Microsoft SQL Server (con autenticazione di Windows o con autenticazione di SQL Server)
- MySQL o MariaDB
- PostgreSQL o Postgres Pro
Posizione del DBMS:
- DBMS locale. Il DBMS locale è un DBMS installato nello stesso dispositivo di Administration Server.
- DBMS remoto. Il DBMS remoto è un DBMS installato in un altro dispositivo.
Metodo di creazione del database di Administration Server:
- Automatico. Durante l'installazione di Administration Server, è possibile creare automaticamente un database di Administration Server (di seguito denominato anche database del server) utilizzando il programma di installazione.
- Manuale. È possibile utilizzare un'applicazione di terzi (ad esempio, SQL Server Management Studio) o uno script per creare un database vuoto. Successivamente, è possibile specificare questo database come database del server durante l'installazione di Administration Server.

Seguire il principio del privilegio minimo quando si concedono diritti e autorizzazioni agli account. Ciò significa che i diritti concessi devono essere sufficienti solo per eseguire le azioni richieste.

Le tabelle seguenti contengono informazioni sui diritti di sistema e sui diritti del DBMS che è necessario concedere agli account prima di installare e avviare Administration Server.

Microsoft SQL Server con autenticazione di Windows

Se si sceglie SQL Server come DBMS, è possibile utilizzare l'autenticazione di Windows per accedere a SQL Server. Configurare i diritti di sistema per un account Windows utilizzato per eseguire il programma di installazione e un account Windows utilizzato per avviare il servizio Administration Server. In SQL Server, creare credenziali di accesso per entrambi gli account Windows. A seconda del metodo di creazione del database del server, concedere i diritti di SQL Server richiesti a tali account come descritto nella tabella seguente. Per ulteriori informazioni su come configurare i diritti degli account, consultare Configurazione degli account per l'utilizzo di SQL Server (autenticazione di Windows).

DBMS: Microsoft SQL Server (tra cui Express Edition) con autenticazione Windows

	Creazione automatica del database (con il programma di installazione)	Creazione manuale del database (da parte dell'amministratore)
Account con cui viene eseguito il programma di installazione	DBMS remoto: solo un account di dominio del dispositivo remoto in cui è installato il DBMS. DBMS locale: un account amministratore locale o un account di dominio.	DBMS remoto: solo un account di dominio del dispositivo remoto in cui è installato il DBMS. DBMS locale: un account amministratore locale o un account di dominio.
Diritti dell'account con cui viene eseguito il programma di installazione	Diritti di sistema: diritti di amministratore locale. Diritti di SQL Server: Ruolo a livello di server: sysadmin.	Diritti di sistema: diritti di amministratore locale. Diritti di SQL Server: ruolo a livello di server: pubblico. Appartenenza al ruolo del database per il database del server: db_owner, public. Schema predefinito per il database del server: dbo.
Account del servizio di Administration Server	DBMS remoto: solo un account di dominio del dispositivo remoto in cui è installato il DBMS. DBMS locale: Un account Windows scelto dall'amministratore. Un account nel formato KL-AK-* creato automaticamente dal programma di installazione.	DBMS remoto: solo un account di dominio del dispositivo remoto in cui è installato il DBMS. DBMS locale: Un account Windows scelto dall'amministratore. Un account nel formato KL-AK-* creato automaticamente dal programma di installazione (in questo caso, si sconsiglia di generare un account KL-AK-*).
Diritti dell'account del servizio di Administration Server	Diritti di sistema: diritti richiesti assegnati dal programma di installazione Diritti di SQL Server: diritti richiesti assegnati dal programma di installazione	Diritti di sistema: diritti richiesti assegnati dal programma di installazione Diritti di SQL Server: ruolo a livello di server: pubblico. Appartenenza al ruolo del database per il database del server: db_owner, public. Schema predefinito per il database del server: dbo.

Microsoft SQL Server con autenticazione di SQL Server

Se si sceglie SQL Server come DBMS, è possibile utilizzare l'autenticazione di SQL Server per accedere a SQL Server. Configurare i diritti di sistema per un account Windows utilizzato per eseguire il programma di installazione e per un account Windows utilizzato per avviare il servizio Administration Server. In SQL Server, creare un account di accesso con una password da utilizzare per l'autenticazione. Quindi, concedere a questo account SQL Server i diritti richiesti elencati nella tabella seguente. Per ulteriori informazioni su come configurare i diritti degli account, consultare Configurazione degli account per l'utilizzo di SQL Server (autenticazione di SQL Server).

DBMS: Microsoft SQL Server (tra cui Express Edition) con autenticazione di SQL Server

	Creazione automatica del database (con il programma di installazione)	Creazione manuale del database (da parte dell'amministratore)
Account con cui viene eseguito il programma di installazione	DBMS remoto: solo un account di dominio del dispositivo remoto in cui è installato il DBMS. DBMS locale: un account amministratore locale o un account di dominio.	DBMS remoto: solo un account di dominio del dispositivo remoto in cui è installato il DBMS. DBMS locale: un account amministratore locale o un account di dominio.
Diritti dell'account con cui viene eseguito il programma di installazione	Diritti di sistema: diritti di amministratore locale.	Diritti di sistema: diritti di amministratore locale.
Account del servizio di Administration Server	DBMS remoto: solo un account di dominio del dispositivo remoto in cui è installato il DBMS. DBMS locale: Un account Windows scelto dall'amministratore. Un account nel formato KL-AK-* creato automaticamente dal programma di installazione.	DBMS remoto: solo un account di dominio del dispositivo remoto in cui è installato il DBMS. DBMS locale: Un account utente di Windows scelto dall'amministratore. Un account nel formato KL-AK-* creato automaticamente dal programma di installazione.
Diritti dell'account del servizio di Administration Server	Diritti di sistema: diritti richiesti assegnati dal programma di installazione	Diritti di sistema: diritti richiesti assegnati dal programma di installazione
Diritti dell'account di accesso utilizzato per l'autenticazione di SQL Server	Diritti di SQL Server richiesti per creare un database e installare Administration Server: ruolo a livello di server: pubblico. Appartenenza al ruolo del database per il database master: db_owner. - Schema predefinito per il database master: dbo. Autorizzazioni: CONNECT ANY DATABASE CONNECT SQL CREATE ANY DATABASE VIEW ANY DATABASE VIEW SERVER STATE (se l'opzione Always On è abilitata) Diritti di SQL Server necessari per utilizzare Administration Server: ruolo a livello di server: pubblico. Appartenenza al ruolo del database per il database del server: db_owner. Schema predefinito per il database del server: dbo. Autorizzazioni: CONNECT SQL VIEW ANY DATABASE VIEW SERVER STATE (se l'opzione Always On è abilitata) VIEW ANY DEFINITION	Diritti di SQL Server: ruolo a livello di server: pubblico. Appartenenza al ruolo del database per il database del server: db_owner. Schema predefinito per il database del server: dbo. Autorizzazioni: CONNECT SQL VIEW ANY DATABASE VIEW ANY DEFINITION

Configurazione dei diritti di SQL Server per il ripristino dei dati di Administration Server

Per ripristinare i dati di Administration Server dal backup, eseguire l'utilità klbackup con l'account Windows utilizzato per installare Administration Server. Prima di avviare l'utilità klbackup, in SQL Server concedere i diritti alle credenziali di accesso di SQL Server associate a questo account Windows. I diritti di SQL Server variano a seconda della versione di Administration Server. Per Administration Server versione 14.2 o successiva, è possibile concedere il ruolo a livello di server sysadmin o il ruolo a livello di server dbcreator.

Diritti di SQL Server per il ripristino del database di Administration Server

Administration Server versione 14.2 o successiva

Altre versioni di Administration Server

Diritti di SQL Server:
- Ruolo a livello di server: sysadmin.

Diritti di SQL Server:
- Ruolo a livello di server: sysadmin.

Diritti di SQL Server:
- Ruolo a livello di server: dbcreator.
Autorizzazioni:
- VIEW ANY DEFINITION

Prima di avviare l'utilità klbackup, specificare il contrassegno del server KLSRV_SKIP_ADJUSTING_DBMS_ACCESS. Eseguire il prompt dei comandi di Windows con diritti di amministratore, quindi modificare la directory corrente nella directory con l'utilità klscflag. L'utilità klscflag si trova nella cartella in cui è installato Administration Server. Il percorso di installazione predefinito è <Disco>:\Programmi (x86)\ Kaspersky Lab\ Kaspersky Security Center. Successivamente, eseguire il comando seguente nella riga di comando:

klscflag.exe -fset -pv klserver -n KLSRV_SKIP_ADJUSTING_DBMS_ACCESS -t d -v 1

MySQL e MariaDB

Se si sceglie MySQL o MariaDB come DBMS, creare un account DBMS interno e concedere a questo account i diritti richiesti elencati nella tabella seguente. Il programma di installazione e il servizio Administration Server utilizzano questo account DBMS interno per accedere al DBMS. Si noti che il metodo di creazione del database non influisce sull'insieme dei diritti richiesti. Per ulteriori informazioni su come configurare i diritti dell'account, consultare Configurazione degli account per l'utilizzo di MySQL e MariaDB.

DBMS: MySQL e MariaDB

	Creazione automatica o manuale del database
Account con cui viene eseguito il programma di installazione	DBMS remoto: solo un account di dominio del dispositivo remoto con il DBMS installato. DBMS locale: un account amministratore locale o un account di dominio.
Diritti dell'account con cui viene eseguito il programma di installazione	Diritti di sistema: diritti di amministratore locale.
Account del servizio di Administration Server	DBMS remoto: solo un account di dominio del dispositivo remoto con il DBMS installato. DBMS locale: Un account Windows scelto dall'amministratore. Un account nel formato KL-AK-* creato automaticamente dal programma di installazione.
Diritti dell'account del servizio di Administration Server	Diritti di sistema: diritti richiesti assegnati dal programma di installazione
Diritti dell'account interno DBMS	Privilegi dello schema: Database di Administration Server: ALL (ad eseclusione di GRANT OPTION). Schemi di sistema (mysql e sys): SELECT, SHOW VIEW. La procedura memorizzata di sys.table_exists: EXECUTE (se si usa MariaDB 10.5 o versione precedente come DBMS, non è necessario concedere il privilegio EXECUTE). Privilegi globali per tutti gli schemi: PROCESS, SUPER.

Configurazione dei privilegi per il ripristino dei dati di Administration Server

I diritti concessi all'account DBMS interno sono sufficienti per ripristinare i dati di Administration Server dal backup. Per avviare il ripristino, eseguire l'utilità klbackup con l'account Windows utilizzato per installare Administration Server.

PostgreSQL o Postgres Pro

Se si sceglie PostgreSQL o Postgres Pro come DBMS, è possibile utilizzare l'utente Postgres (il ruolo Postgres predefinito) o creare un nuovo ruolo Postgres (di seguito denominato anche ruolo) per accedere al DBMS. A seconda del metodo di creazione del database del server, concedere i diritti richiesti al ruolo come descritto nella tabella seguente. Per ulteriori informazioni su come configurare i diritti del ruolo, consultare Configurazione degli account per l'utilizzo di PostgreSQL o Postgres Pro.

DBMS: PostgreSQL o Postgres Pro


	Creazione automatica del database		Creazione manuale del database
Account con cui viene eseguito il programma di installazione	DBMS remoto: solo un account di dominio del dispositivo remoto con il DBMS installato. DBMS locale: un account amministratore locale o un account di dominio.		DBMS remoto: solo un account di dominio del dispositivo remoto con il DBMS installato. DBMS locale: un account amministratore locale o un account di dominio.
Diritti dell'account con cui viene eseguito il programma di installazione	Diritti di sistema: diritti di amministratore locale.		Diritti di sistema: diritti di amministratore locale.
Account del servizio di Administration Server	DBMS remoto: solo un account di dominio del dispositivo remoto con il DBMS installato. DBMS locale: Un account Windows scelto dall'amministratore. Un account nel formato KL-AK-* creato automaticamente dal programma di installazione.		DBMS remoto: solo un account di dominio del dispositivo remoto con il DBMS installato. DBMS locale: Un account Windows scelto dall'amministratore. Un account nel formato KL-AK-* creato automaticamente dal programma di installazione.
Diritti dell'account del servizio di Administration Server	Diritti di sistema: diritti richiesti assegnati dal programma di installazione		Diritti di sistema: diritti richiesti assegnati dal programma di installazione
Diritti del ruolo Postgres	L'utente Postgres non richiede diritti aggiuntivi.	Privilegi per un nuovo ruolo: `CREATEDB`.	Per un nuovo ruolo: Privilegi sul database di Administration Server: `ALL`. Privilegi su tutte le tabelle nello schema pubblico: `ALL`. Privilegi su tutte le sequenze nello schema pubblico: `ALL`.

Configurazione dei privilegi per il ripristino dei dati di Administration Server

Per ripristinare i dati di Administration Server dal backup, eseguire l'utilità klbackup con l'account Windows utilizzato per installare Administration Server. Si noti che il ruolo Postgres utilizzato per accedere al DBMS deve disporre dei diritti di proprietario sul database di Administration Server.

Vedere anche:

Utilizzo di Controllo Applicazioni per gestire i file eseguibili

Inizio pagina

[Topic 240593]

Configurazione degli account per l'utilizzo di SQL Server (autenticazione di Windows)

Prerequisiti

Prima di assegnare i diritti agli account, eseguire le azioni seguenti:

Assicurarsi di accedere al sistema con l'account di amministratore locale.
Installare un ambiente per l'utilizzo di SQL Server.
Assicurarsi di disporre di un account Windows con cui installare Administration Server.
Assicurarsi di disporre di un account Windows con cui avviare il servizio Administration Server.
In SQL Server, creare un accesso per l'account Windows utilizzato per eseguire il programma di installazione di Administration Server (di seguito denominato anche programma di installazione). Creare anche un accesso per l'account Windows utilizzato per avviare il servizio Administration Server.

Se si utilizza SQL Server Management Studio, nella pagina Generale della finestra delle proprietà di accesso, selezionare l'opzione Autenticazione Windows.

Se si desidera installare Administration Server e SQL Server in dispositivi che si trovano in domini Windows separati, tenere presente che questi domini devono disporre di relazioni di attendibilità bidirezionali per assicurare il corretto funzionamento di Administration Server, inclusa l'esecuzione di attività e l'applicazione dei criteri. Per informazioni sugli account richiesti per le informazioni dei vari DBMS e sui diritti degli account, vedere Account per l'utilizzo del DBMS.

Configurazione degli account per l'installazione di Administration Server (creazione automatica del database di Administration Server)

Per configurare gli account per l'installazione di Administration Server:

In SQL Server, assegnare il ruolo a livello di server sysadmin all'accesso dell'account Windows utilizzato per eseguire il programma di installazione.
Accedere al sistema con l'account Windows utilizzato per eseguire il programma di installazione.
Eseguire il programma di installazione di Administration Server.
Viene avviata l'installazione guidata di Administration Server. Seguire le istruzioni della procedura guidata.
Selezionare l'opzione dell'installazione personalizzata di Administration Server.
Selezionare Microsoft SQL Server come DBMS che archivia il database di Administration Server.
Selezionare la modalità di autenticazione di Microsoft Windows per stabilire una connessione tra Administration Server e SQL Server tramite un account Windows.
Specificare l'account Windows utilizzato per avviare il servizio Administration Server.
È possibile selezionare l'account utente di Windows per il quale è stato creato in precedenza un accesso a SQL Server. In alternativa, è possibile creare automaticamente un nuovo account Windows nel formato KL-AK-* utilizzando il programma di installazione. In questo caso, il programma di installazione crea automaticamente un accesso a SQL Server per questo account. Indipendentemente dalla scelta dell'account, il programma di installazione assegna i diritti di sistema richiesti e i diritti di SQL Server all'account di servizio di Administration Server.

Al termine dell'installazione, viene creato il database del server e tutti i diritti di sistema richiesti e i diritti di SQL Server vengono assegnati all'account di servizio di Administration Server. Administration Server è pronto per l'uso.

Configurazione degli account per l'installazione di Administration Server (creazione manuale del database di Administration Server)

Per configurare gli account per l'installazione di Administration Server:

In SQL Server, creare un database vuoto. Questo database verrà utilizzato come database di Administration Server (di seguito denominato anche database del server).
Per entrambi gli accessi di SQL Server creati per gli account Windows, specificare il ruolo a livello di server pubblico, quindi configurare il mapping al database creato:
- ruolo a livello di server: pubblico
- Appartenenza al ruolo del database: db_owner, public
- Schema predefinito: dbo
Accedere al sistema con l'account Windows utilizzato per eseguire il programma di installazione.
Eseguire il programma di installazione di Administration Server.
Viene avviata l'installazione guidata di Administration Server. Seguire le istruzioni della procedura guidata.
Selezionare l'opzione dell'installazione personalizzata di Administration Server.
Selezionare Microsoft SQL Server come DBMS che archivia il database di Administration Server.
Specificare il nome del database creato come nome del database di Administration Server.
Selezionare la modalità di autenticazione di Microsoft Windows per stabilire una connessione tra Administration Server e SQL Server tramite un account Windows.
Specificare l'account Windows utilizzato per avviare il servizio Administration Server.
È possibile selezionare l'account utente di Windows per il quale è stato creato un accesso di SQL Server e sono stati precedentemente configurati i diritti di accesso.

Non è consigliabile creare automaticamente un nuovo account Windows nel formato KL-AK-*. In questo caso, il programma di installazione crea un nuovo account Windows per il quale non è stato creato e configurato un account SQL Server. Administration Server non può utilizzare questo account per avviare il servizio Administration Server. Se è necessario creare un account Windows KL-AK-*, non avviare Administration Console dopo l'installazione. Eseguire invece quanto segue:

Arrestare il servizio kladminserver.
In SQL Server, creare un accesso di SQL Server per l'account Windows KL-AK-* creato.
Concedere i diritti a questo accesso di SQL Server e configurare il mapping al database creato:
- ruolo a livello di server: pubblico
- Appartenenza al ruolo del database: db_owner, public
- Schema predefinito: dbo
Riavviare il servizio kladminserver, quindi eseguire l'Administration Console.

Al termine dell'installazione, Administration Server utilizzerà il database creato per archiviare i dati del server. Administration Server è pronto per l'uso.

Inizio pagina

[Topic 240594]

Configurazione degli account per l'utilizzo di SQL Server (autenticazione di SQL Server)

Prerequisiti

Prima di assegnare i diritti agli account, eseguire le azioni seguenti:

Assicurarsi di accedere al sistema con l'account di amministratore locale.
Installare un ambiente per l'utilizzo di SQL Server.
Assicurarsi di disporre di un account Windows con cui installare Administration Server.
Assicurarsi di disporre di un account Windows con cui avviare il servizio Administration Server.
In SQL Server, abilitare la modalità di autenticazione di SQL Server.
Se si utilizza SQL Server Management Studio, nella finestra delle proprietà di SQL Server, nella pagina Sicurezza, selezionare l'opzione Modalità di autenticazione di SQL Server e Windows.
In SQL Server, creare un account di accesso con una password. Il programma di installazione di Administration Server (di seguito denominato anche programma di installazione) e il servizio Administration Server utilizzeranno questo account di SQL Server per accedere a SQL Server.
Se si utilizza SQL Server Management Studio, nella pagina Generale della finestra delle proprietà di accesso, selezionare l'opzione Autenticazione SQL Server.

Configurazione degli account per l'installazione di Administration Server (creazione automatica del database di Administration Server)

Per configurare gli account per l'installazione di Administration Server:

In SQL Server, mappare l'account SQL Server al database master predefinito. Il database master è un modello per il database di Administration Server (di seguito denominato anche database del server). Il database master viene utilizzato per la mappatura finché il programma di installazione non crea un database del server. Concedere i seguenti diritti e autorizzazioni all'account SQL Server:
- ruolo a livello di server: pubblico
- Appartenenza al ruolo del database per il database master: db_owner.
- Schema predefinito per il database master: dbo.
- Autorizzazioni:
  - CONNECT ANY DATABASE
  - CONNECT SQL
  - CREATE ANY DATABASE
  - VIEW ANY DATABASE
Accedere al sistema con l'account Windows utilizzato per eseguire il programma di installazione.
Eseguire il programma di installazione.
Viene avviata l'installazione guidata di Administration Server. Seguire le istruzioni della procedura guidata.
Selezionare l'opzione dell'installazione personalizzata di Administration Server.
Selezionare Microsoft SQL Server come DBMS che archivia il database di Administration Server.
Specificare il nome del database di Administration Server.
Selezionare la modalità di autenticazione di SQL Server per stabilire una connessione tra Administration Server e SQL Server tramite l'account SQL Server creato. Quindi, specificare le credenziali dell'account SQL Server.
Specificare l'account Windows utilizzato per avviare il servizio Administration Server.
È possibile selezionare un account utente Windows esistente o crearne uno nuovo nel formato KL-AK-* utilizzando il programma di installazione. Indipendentemente dall'account scelto, il programma di installazione assegna i diritti di sistema richiesti all'account di servizio di Administration Server.

Al termine dell'installazione, viene creato il database del server e tutti i diritti di sistema richiesti vengono assegnati all'account di servizio di Administration Server. Administration Server è pronto per l'uso.

È possibile annullare la mappatura al database master, poiché il programma di installazione ha creato un database del server e configurato il mapping a questo database durante l'installazione di Administration Server.

Poiché la creazione automatica del database richiede più autorizzazioni rispetto al normale utilizzo di Administration Server, è possibile revocare alcune autorizzazioni. In SQL Server, selezionare l'account SQL Server, quindi concedere i seguenti diritti per l'utilizzo Administration Server:

ruolo a livello di server: pubblico
Appartenenza al ruolo del database per il database del server: db_owner
Schema predefinito per il database del server: dbo
Autorizzazioni:
- CONNECT SQL
- VIEW ANY DATABASE

Configurazione degli account per l'installazione di Administration Server (creazione manuale del database di Administration Server)

Per configurare gli account per l'installazione di Administration Server:

In SQL Server, creare un database vuoto. Questo database verrà utilizzato come database di Administration Server.
In SQL Server, concedere i seguenti diritti e autorizzazioni all'account SQL Server:
- ruolo a livello di server: pubblico.
- Appartenenza al ruolo del database per il database creato: db_owner.
- Schema predefinito per il database creato: dbo.
- Autorizzazioni:
  - CONNECT SQL
  - VIEW ANY DATABASE
Accedere al sistema con l'account Windows utilizzato per eseguire il programma di installazione.
Eseguire il programma di installazione.
Viene avviata l'installazione guidata di Administration Server. Seguire le istruzioni della procedura guidata.
Selezionare l'opzione dell'installazione personalizzata di Administration Server.
Selezionare Microsoft SQL Server come DBMS che archivia il database di Administration Server.
Specificare il nome del database creato come nome del database di Administration Server.
Selezionare la modalità di autenticazione di SQL Server per stabilire una connessione tra Administration Server e SQL Server tramite l'account SQL Server creato. Quindi, specificare le credenziali dell'account SQL Server.
Specificare l'account Windows utilizzato per avviare il servizio Administration Server.
È possibile selezionare un account utente Windows esistente o crearne uno nuovo nel formato KL-AK-* utilizzando il programma di installazione. Indipendentemente dall'account scelto, il programma di installazione assegna i diritti di sistema richiesti all'account di servizio di Administration Server.

Al termine dell'installazione, Administration Server utilizzerà il database creato per archiviare i dati di Administration Server. Tutti i diritti di sistema richiesti vengono assegnati all'account di servizio di Administration Server. Administration Server è pronto per l'uso.

Inizio pagina

[Topic 240816]

Configurazione degli account per l'utilizzo di MySQL e MariaDB

Prerequisiti

Prima di assegnare i diritti agli account, eseguire le azioni seguenti:

Assicurarsi di accedere al sistema con l'account di amministratore locale.
Installare un ambiente per l'utilizzo di MySQL o MariaDB.
Assicurarsi di disporre di un account Windows con cui installare Administration Server.
Assicurarsi di disporre di un account Windows con cui avviare il servizio Administration Server.

Configurazione degli account per l'installazione di Administration Server

Per configurare gli account per l'installazione di Administration Server:

Eseguire un ambiente per l'utilizzo di MySQL o MariaDB con l'account root creato durante l'installazione del DBMS.
Creare un account DBMS interno con una password. Il programma di installazione di Administration Server (di seguito denominato anche programma di installazione) e il servizio Administration Server utilizzeranno questo account DBMS interno per accedere al DBMS. Concedere i seguenti privilegi a questo account:
- Privilegi dello schema:
  - Database di Administration Server: ALL (ad eseclusione di GRANT OPTION)
  - Schemi di sistema (mysql e sys): SELECT, SHOW VIEW
  - Procedura memorizzata di sys.table_exists: EXECUTE
- Privilegi globali per tutti gli schemi: PROCESS, SUPER
Per creare un account DBMS interno e concedere i privilegi richiesti a questo account, eseguire lo script seguente (in questo script, l'accesso al DBMS è KCSAdmin e il nome del database di Administration Server è kav):

/* Create a user named KSCAdmin */

CREATE USER 'KSCAdmin'

/* Specify a password for KSCAdmin */

IDENTIFIED BY '<password>';

Se si utilizza MySQL 8.0 o versioni precedenti come DBMS, si noti che per queste versioni l'autenticazione "Caching SHA2 password" non è supportata. Modificare l’autenticazione predefinita da “Caching SHA2 password” a “MySQL native password”:
- Per creare un account DBMS che utilizzi l'autenticazione "MySQL native password", eseguire il comando seguente:
  CREATE USER 'KSCAdmin'@'%' IDENTIFIED WITH mysql_native_password BY '<password>';
- Per modificare l'autenticazione per un account DBMS esistente, eseguire il comando seguente:
  ALTER USER 'KSCAdmin'@'%' IDENTIFIED WITH mysql_native_password BY '<password>';
/* Grant privileges to KSCAdmin */

GRANT USAGE ON *.* TO 'KSCAdmin';

GRANT ALL ON kav.* TO 'KSCAdmin';

GRANT SELECT, SHOW VIEW ON mysql.* TO 'KSCAdmin';

GRANT SELECT, SHOW VIEW ON sys.* TO 'KSCAdmin';

GRANT EXECUTE ON PROCEDURE sys.table_exists TO 'KSCAdmin';

GRANT PROCESS ON *.* TO 'KSCAdmin';

GRANT SUPER ON *.* TO 'KSCAdmin';

Se si usa MariaDB 10.5 o versione precedente come DBMS, non è necessario concedere il privilegio EXECUTE. In questo caso, escludere il seguente comando dallo script: GRANT EXECUTE ON PROCEDURE sys.table_exists TO 'KSCAdmin'.
Per visualizzare l'elenco dei privilegi concessi all'account DBMS, eseguire il seguente script:
SHOW grants for 'KSCAdmin';
Per creare manualmente un database di Administration Server, eseguire lo script seguente (in questo script, il nome del database di Administration Server è kav):
CREATE DATABASE kav

DEFAULT CHARACTER SET ascii

DEFAULT COLLATE ascii_general_ci;

Utilizzare lo stesso nome di database specificato nello script che crea l'account DBMS.
Accedere al sistema con l'account Windows utilizzato per eseguire il programma di installazione.
Eseguire il programma di installazione.
Viene avviata l'installazione guidata di Administration Server. Seguire le istruzioni della procedura guidata.
Selezionare l'opzione dell'installazione personalizzata di Administration Server.
Selezionare MySQL o MariaDB come DBMS che archivia il database di Administration Server.
Specificare il nome del database di Administration Server. Utilizzare lo stesso nome del database specificato nello script.
Specificare le credenziali dell'account DBMS creato dallo script.
Specificare l'account Windows utilizzato per avviare il servizio Administration Server.
È possibile selezionare un account utente Windows esistente o crearne automaticamente uno nuovo nel formato KL-AK-* utilizzando il programma di installazione. Indipendentemente dall'account scelto, il programma di installazione assegna i diritti di sistema richiesti all'account di servizio di Administration Server.

Al termine dell'installazione, viene creato il database di Administration Server e Administration Server è pronto per l'uso.

Vedere anche:

Inizio pagina

[Topic 242538]

Configurazione degli account per l'utilizzo di PostgreSQL e Postgres Pro

Prerequisiti

Prima di assegnare i diritti agli account, eseguire le azioni seguenti:

Assicurarsi di accedere al sistema con l'account di amministratore locale.
Installare un ambiente per l'utilizzo di PostgreSQL e Postgres Pro.
Assicurarsi di disporre di un account Windows con cui installare Administration Server.
Assicurarsi di disporre di un account Windows con cui avviare il servizio Administration Server.

Configurazione degli account per l'installazione di Administration Server (creazione automatica del database di Administration Server)

Per configurare gli account per l'installazione di Administration Server:

Eseguire un ambiente per l'utilizzo di PostgreSQL e Postgres Pro.
Scegliere un ruolo di Postgres per accedere al DBMS. È possibile utilizzare uno dei seguenti ruoli:
- L'utente Postgres (il ruolo predefinito di Postgres).
  Se si usa l'utente Postgres, non è necessario concedergli ulteriori diritti.
- Un nuovo ruolo di Postgres.
  Se si desidera utilizzare un nuovo ruolo di Postgres, creare tale ruolo e concedergli il privilegio CREATEDB. A tale scopo, eseguire il seguente script (in questo script, il ruolo è KCSAdmin):
  
  CREATE USER "KSCAdmin" WITH PASSWORD '<password>' CREATEDB;
  
  Il ruolo creato verrà utilizzato come proprietario del database di Administration Server (di seguito denominato anche database del server).
Accedere al sistema con l'account Windows utilizzato per eseguire il programma di installazione di Administration Server (di seguito denominato anche programma di installazione).
Eseguire il programma di installazione.
Viene avviata l'installazione guidata di Administration Server. Seguire le istruzioni della procedura guidata.
Selezionare l'opzione dell'installazione personalizzata di Administration Server.
Selezionare PostgreSQL o Postgres Pro come DBMS che archivia il database di Administration Server.
Specificare il nome del database del server. Il programma di installazione creerà automaticamente il database del server.
Specificare le credenziali del ruolo di Postgres.
Specificare l'account Windows utilizzato per avviare il servizio Administration Server.
È possibile selezionare un account utente Windows esistente o crearne automaticamente uno nuovo nel formato KL-AK-* utilizzando il programma di installazione. Indipendentemente dall'account scelto, il programma di installazione assegna i diritti di sistema richiesti all'account di servizio di Administration Server.

Al termine dell'installazione, il database del server viene creato automaticamente e Administration Server è pronto per l'uso.

Configurazione degli account per l'installazione di Administration Server (creazione manuale del database di Administration Server)

Per configurare gli account per l'installazione di Administration Server:

Eseguire un ambiente per l'utilizzo di Postgres.
Creare un nuovo ruolo di Postgres e un database di Administration Server. Quindi, concedere tutti i privilegi al ruolo nel database di Administration Server. A tale scopo, accedere come utente Postgres al database Postgres ed eseguire il seguente script (in questo script, il ruolo è KCSAdmin, il nome del database di Administration Server è KAV):
CREATE USER "KSCAdmin" WITH PASSWORD '<password>';

CREATE DATABASE "KAV" ENCODING 'UTF8';

GRANT ALL PRIVILEGES ON DATABASE "KAV" TO "KSCAdmin";
Concedere i seguenti privilegi al ruolo di Postgres creato:
- Privilegi su tutte le tabelle nello schema pubblico: ALL
- Privilegi su tutte le sequenze nello schema pubblico: ALL
A tale scopo, accedere come utente Postgres al database del server ed eseguire il seguente script (in questo script, il ruolo è KCSAdmin):

GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA "public" TO "KSCAdmin";

GRANT ALL PRIVILEGES ON ALL SEQUENCES IN SCHEMA "public" TO "KSCAdmin";
Accedere al sistema con l'account Windows utilizzato per eseguire il programma di installazione.
Eseguire il programma di installazione di Administration Server.
Viene avviata l'installazione guidata di Administration Server. Seguire le istruzioni della procedura guidata.
Selezionare l'opzione dell'installazione personalizzata di Administration Server.
Selezionare PostgreSQL o Postgres Pro come DBMS che archivia il database di Administration Server.
Specificare il nome del database del server. Utilizzare lo stesso nome del database specificato nello script. Si noti che nel nome del database viene operata la distinzione tra maiuscole e minuscole.
Specificare le credenziali del ruolo di Postgres.
Specificare l'account Windows utilizzato per avviare il servizio Administration Server.
È possibile selezionare un account utente Windows esistente o crearne automaticamente uno nuovo nel formato KL-AK-* utilizzando il programma di installazione. Indipendentemente dall'account scelto, il programma di installazione assegna i diritti di sistema richiesti all'account di servizio di Administration Server.

Al termine dell'installazione, Administration Server utilizzerà il database creato per archiviare i dati di Administration Server. Administration Server è pronto per l'uso.

Inizio pagina

[Topic 198526]

Scenario: Autenticazione di Microsoft SQL Server

Le informazioni contenute in questa sezione sono applicabili solo alle configurazioni in cui Kaspersky Security Center utilizza Microsoft SQL Server come sistema di gestione database.

Per proteggere i dati Kaspersky Security Center trasferiti da o verso il database e i dati archiviati nel database da accessi non autorizzati, è necessario proteggere le comunicazioni tra Kaspersky Security Center e SQL Server. Il modo più affidabile per garantire comunicazioni sicure è installare Kaspersky Security Center e SQL Server nello stesso dispositivo e utilizzare il meccanismo di memoria condivisa per entrambe le applicazioni. In tutti gli altri casi, è consigliabile utilizzare un certificato SSL o TLS per autenticare l'istanza di SQL Server. È possibile utilizzare un certificato di un'autorità di certificazione attendibile o un certificato autofirmato. È consigliabile utilizzare un certificato di un'autorità di certificazione attendibile perché un certificato autofirmato garantisce solo una protezione limitata.

L'autenticazione di SQL Server procede per fasi:

Generazione di un certificato SSL o TLS autofirmato per SQL Server in base ai requisiti del certificato
Se si dispone già di un certificato per SQL Server, saltare questo passaggio.

Un certificato SSL è applicabile solo alle versioni di SQL Server precedenti al 2016 (13.x). In SQL Server 2016 (13.x) e versioni successive, utilizzare un certificato TLS.

Ad esempio, per generare un certificato TLS immettere il comando seguente in PowerShell:

New-SelfSignedCertificate -DnsName SQL_HOST_NAME -CertStoreLocation cert:\LocalMachine -KeySpec KeyExchange

Nel comando, anziché SQL_HOST_NAME è necessario digitare il nome host di SQL Server se l'host è incluso nel dominio o digitare il nome di dominio completo dell'host se l'host non è incluso nel dominio. Lo stesso nome, nome host o nome di dominio completo, deve essere specificato come nome di istanza di SQL nell'Installazione guidata di Administration Server.
Aggiunta del certificato nell'istanza SQL Server
Le istruzioni per questo passaggio dipendono dalla piattaforma in cui è in esecuzione SQL Server. Fare riferimento alla documentazione ufficiale per ulteriori dettagli:
Per utilizzare il certificato in un cluster di failover, è necessario installare il certificato in ciascun nodo del cluster di failover. Per i dettagli, consultare la documentazione Microsoft.
Assegnazione delle autorizzazioni dell'account del servizio
Assicurarsi che l'account del servizio con cui viene eseguito il servizio SQL Server disponga dell'autorizzazione di controllo completo per accedere alle chiavi private. Per i dettagli, consultare la documentazione Microsoft.
Aggiunta del certificato all'elenco dei certificati attendibili per Kaspersky Security Center
Nel dispositivo Administration Server aggiungere il certificato all'elenco dei certificati attendibili. Per i dettagli, consultare la documentazione Microsoft.
Abilitazione delle connessioni criptate tra l'istanza di SQL Server e Kaspersky Security Center
Nel dispositivo Administration Server impostare il valore 1 per la variabile di ambiente KLDBADO_UseEncryption. Ad esempio, in Windows Server 2012 R2 è possibile modificare le variabili di ambiente facendo clic su Variabili di ambiente nella scheda Avanzate della finestra Proprietà di sistema. Aggiungere una nuova variabile, denominarla KLDBADO_UseEncryption, quindi impostare il valore 1.
Configurazione aggiuntiva per l'utilizzo del protocollo TLS 1.2
Se si utilizza il protocollo TLS 1.2, eseguire anche le seguenti operazioni:
- Assicurarsi che la versione installata di SQL Server sia un'applicazione a 64 bit.
- Installare il driver Microsoft OLE DB nel dispositivo Administration Server. Per i dettagli, consultare la documentazione Microsoft.
- Nel dispositivo Administration Server impostare il valore 1 per la variabile di ambiente KLDBADO_UseMSOLEDBSQL. Ad esempio, in Windows Server 2012 R2 è possibile modificare le variabili di ambiente facendo clic su Variabili di ambiente nella scheda Avanzate della finestra Proprietà di sistema. Aggiungere una nuova variabile, denominarla KLDBADO_UseMSOLEDBSQL, quindi impostare il valore 1.
  Se la versione del driver OLE DB è 19 o successiva, impostare anche il valore MSOLEDBSQL19 sulla variabile di ambiente KLDBADO_ProviderName.
Abilitazione dell'utilizzo del protocollo TCP/IP in un'istanza denominata di SQL Server
Se si utilizza un'istanza denominata di SQL Server, abilitare inoltre l'utilizzo del protocollo TCP/IP e assegnare un numero di porta TCP/IP al motore del database di SQL Server. Quando si configura la connessione SQL Server nell'Installazione guidata di Administration Server, specificare il nome host di SQL Server e il numero di porta nel campo Nome istanza SQL Server.

Inizio pagina

[Topic 92398]

Raccomandazioni sull'installazione di Administration Server

Questa sezione contiene raccomandazioni su come installare Administration Server. Vengono inoltre illustrati gli scenari per l'utilizzo di una cartella condivisa nel dispositivo con Administration Server per distribuire Network Agent nei dispositivi client.

In questa sezione

Creazione degli account per i servizi di Administration Server in un cluster di failover

Definizione di una cartella condivisa

Installazione remota con gli strumenti di Administration Server tramite i criteri di gruppo di Active Directory

Installazione remota tramite l'invio del percorso UNC di un pacchetto indipendente

Aggiornamento dalla cartella condivisa di Administration Server

Installazione di immagini dei sistemi operativi

Specificazione dell'indirizzo dell'Administration Server

Vedere anche:

Scenario: Specificazione del certificato di Administration Server personalizzato

Inizio pagina

[Topic 92400]

Creazione degli account per i servizi di Administration Server in un cluster di failover

Per impostazione predefinita, il programma di installazione crea automaticamente account senza privilegi per i servizi di Administration Server. Questo comportamento è il più appropriato per l'installazione di Administration Server in un normale dispositivo.

Tuttavia, l'installazione di Administration Server in un cluster di failover richiede uno scenario diverso:

Creare account di dominio senza privilegi per i servizi di Administration Server e includerli in un gruppo di sicurezza di dominio globale denominato KLAdmins.
Nel programma di installazione di Administration Server specificare gli account di dominio che sono stati creati per i servizi.

Vedere anche:

Installazione remota con gli strumenti di Administration Server tramite i criteri di gruppo di Active Directory

Inizio pagina

[Topic 92408]

Definizione di una cartella condivisa

Durante l'installazione di Administration Server, è possibile specificare il percorso della cartella condivisa. È anche possibile specificare il percorso della cartella condivisa dopo l'installazione, nelle proprietà di Administration Server. Per impostazione predefinita, la cartella condivisa verrà creata sul dispositivo con Administration Server (con diritti di lettura per il sottogruppo Everyone). Tuttavia, in alcuni casi (ad esempio, carico elevato o esigenza di accesso da una rete isolata) è consigliabile posizionare la cartella condivisa in una risorsa file dedicata.

La cartella condivisa viene utilizzata occasionalmente durante la distribuzione di Network Agent.

La distinzione tra maiuscole e minuscole per la cartella condivisa deve essere disabilitata.

Vedere anche:

Installazione remota tramite l'invio del percorso UNC di un pacchetto indipendente

Aggiornamento dalla cartella condivisa di Administration Server

Installazione di immagini dei sistemi operativi

Inizio pagina

[Topic 92409]

Installazione remota con gli strumenti di Administration Server tramite i criteri di gruppo di Active Directory

Se i dispositivi di destinazione appartengono a un dominio Windows (non sono presenti gruppi di lavoro), la distribuzione iniziale (l'installazione di Network Agent e dell'applicazione di protezione nei dispositivi che non sono ancora gestiti) deve essere eseguita tramite i criteri di gruppo di Active Directory. La distribuzione viene eseguita utilizzando l'attività standard per l'installazione remota di Kaspersky Security Center. Se la rete è di grandi dimensioni, è consigliabile posizionare la cartella condivisa in una risorsa file dedicata per ridurre il carico sul sottosistema del disco del dispositivo con Administration Server.

Inizio pagina

[Topic 92410]

Installazione remota tramite l'invio del percorso UNC di un pacchetto indipendente

Se gli utenti dei dispositivi in rete nell'organizzazione dispongono di diritti di amministratore locale, un altro metodo di distribuzione iniziale è la creazione di un pacchetto indipendente di Network Agent (o perfino di un pacchetto di Network Agent "associato" all'applicazione di protezione). Dopo aver creato un pacchetto indipendente, inviare agli utenti un collegamento al pacchetto, archiviato nella cartella condivisa. L'installazione ha inizio quando gli utenti fanno clic sul collegamento.

Inizio pagina

[Topic 92412]

Aggiornamento dalla cartella condivisa di Administration Server

Nell'attività di aggiornamento dell'anti-virus è possibile configurare l'aggiornamento dalla cartella condivisa di Administration Server. Se l'attività è stata assegnata a numerosi di dispositivi, è consigliabile posizionare la cartella condivisa in una risorsa file dedicata.

Inizio pagina

[Topic 92413]

Installazione di immagini dei sistemi operativi

Le immagini del sistema operativo vengono sempre installate tramite la cartella condivisa: i dispositivi leggono le immagini del sistema operativo dalla cartella condivisa. Se si prevede di distribuire le immagini su numerosi dispositivi aziendali, è consigliabile posizionare la cartella condivisa in una risorsa file dedicata.

Vedere anche:

Distribuzione di Network Agent e dell'applicazione di protezione

Inizio pagina

[Topic 92414]

Specificazione dell'indirizzo dell'Administration Server

Durante l'installazione di Administration Server, è possibile specificare l'indirizzo di Administration Server. Questo indirizzo sarà utilizzato come indirizzo predefinito al momento della creazione dei pacchetti di installazione di Network Agent.

Come indirizzo di Administration Server è possibile specificare quanto segue:

Nome NetBIOS di Administration Server, specificato per impostazione predefinita
Nome di dominio completo (FQDN) di Administration Server se il DNS (Domain Name System) nella rete dell'organizzazione è stato configurato e funziona correttamente
Indirizzo esterno se Administration Server è installato nella rete perimetrale

Sarà quindi possibile modificare l'indirizzo di Administration Server utilizzando gli strumenti di Administration Console. L'indirizzo non sarà modificato automaticamente nei pacchetti di installazione di Network Agent che sono stati già creati.

Vedere anche:

Accesso a Internet: Administration Server in una rete perimetrale

Inizio pagina

[Topic 13054]

Installazione standard

L'installazione standard è un tipo di installazione di Administration Server che utilizza i percorsi predefiniti dei file dell'applicazione, installa il set di plug-in predefinito e non abilita Mobile Device Management.

Per installare Kaspersky Security Center Administration Server in un dispositivo locale:

Eseguire il file eseguibile ksc_<numero versione>.<numero build>_full_<lingua localizzazione>.exe.

Verrà visualizzata una finestra che richiede di selezionare le applicazioni Kaspersky da installare. Nella finestra di selezione delle applicazioni, fare clic sul collegamento Installa Kaspersky Security Center Administration Server per avviare l'Installazione guidata di Administration Server. Seguire le istruzioni della procedura guidata.

In questa sezione

Passaggio 1. Visualizzazione del Contratto di licenza e dell'Informativa sulla privacy

Passaggio 2. Selezione del metodo di installazione

Passaggio 3. Installazione di Kaspersky Security Center Web Console

Passaggio 4. Selezione delle dimensioni della rete

Passaggio 5. Selezione di un database

Passaggio 6. Configurazione di SQL Server

Passaggio 7. Selezione di un metodo di autenticazione

Passaggio 8. Decompressione e installazione dei file nel disco rigido

Vedere anche:

Passaggio 1. Visualizzazione del Contratto di licenza e dell'Informativa sulla privacy

Inizio pagina

[Topic 67868]

Passaggio 1. Visualizzazione del Contratto di licenza e dell'Informativa sulla privacy

A questo punto dell'Installazione guidata, è necessario leggere il Contratto di licenza tra l'utente e Kaspersky, nonché l'Informativa sulla privacy.

È inoltre possibile che venga richiesto di visualizzare i Contratti di licenza e le Informative sulla privacy per i plug-in di gestione dell'applicazione nel kit di distribuzione di Kaspersky Security Center.

Leggere attentamente il Contratto di licenza e l'Informativa sulla privacy. Se si accettano tutti i termini del Contratto di licenza e dell'Informativa sulla privacy, confermare selezionando le caselle di controllo appropriate.

L'installazione dell'applicazione nel dispositivo continuerà dopo la selezione di entrambe le caselle di controllo.

Se non si accetta il Contratto di licenza o l'Informativa sulla privacy, annullare l'installazione facendo clic sul pulsante Annulla.

Inizio pagina

[Topic 154916]

Passaggio 2. Selezione del metodo di installazione

Nella finestra di selezione del tipo di installazione selezionare Standard.

L'installazione standard è consigliabile se si desidera provare a utilizzare Kaspersky Security Center, ad esempio verificandone il funzionamento in un'area delimitata all'interno della rete aziendale. Durante l'installazione standard, è possibile esclusivamente configurare il database. Non è necessario specificare le impostazioni di Administration Server poiché verranno utilizzati i valori predefiniti. L'installazione standard non consente di selezionare i plug-in di gestione da installare e viene installato solo il set di plug-in predefinito. Durante l'installazione standard non vengono creati pacchetti di installazione per i dispositivi mobili. Tuttavia, è possibile crearli successivamente in Administration Console.

Inizio pagina

[Topic 204961]

Passaggio 3. Installazione di Kaspersky Security Center Web Console

Questo passaggio viene visualizzato solo se si utilizza un sistema operativo a 64 bit. In caso contrario questo passaggio non viene visualizzato, dal momento che Kaspersky Security Center Web Console non funziona con i sistemi operativi a 32 bit.

Per impostazione predefinita, verrà eseguita l'installazione sia di Kaspersky Security Center Web Console che di Administration Console basata su MMC.

Se si desidera installare solo Kaspersky Security Center Web Console:

Selezionare Installa solo questa.
Scegliere Console basata sul Web nell'elenco a discesa.

L'installazione di Kaspersky Security Center Web Console viene avviata automaticamente al termine dell'installazione di Administration Server.

Se si desidera installare solo la Administration Console basata su MMC:

Selezionare Installa solo questa.
Scegliere Console basata su MMC nell'elenco a discesa.

Inizio pagina

[Topic 154918]

Passaggio 4. Selezione delle dimensioni della rete

Specificare le dimensioni della rete in cui è in corso l'installazione di Kaspersky Security Center. A seconda del numero di dispositivi nella rete, la procedura guidata configura l'installazione e l'aspetto dell'interfaccia dell'applicazione in modo che corrispondano.

Nella tabella seguente sono elencate le impostazioni di installazione dell'applicazione e relative all'aspetto dell'interfaccia, a seconda delle diverse dimensioni della rete.

Dipendenza delle impostazioni di installazione dalle dimensioni della rete selezionate

Impostazioni	Da 1 a 100 dispositivi	Da 101 a 1000 dispositivi	Da 1001 a 5000 dispositivi	Più di 5000 dispositivi
Visualizzazione nella struttura della console con il nodo degli Administration Server secondari e virtuali e di tutte le impostazioni correlate agli Administration Server secondari e virtuali	Non disponibile	Non disponibile	Disponibile	Disponibile
Visualizzazione con le sezioni Protezione nella finestra delle proprietà degli Administration Server e dei gruppi di amministrazione	Non disponibile	Non disponibile	Disponibile	Disponibile
Distribuzione casuale del tempo di avvio per l'attività di aggiornamento nei dispositivi client	Non disponibile	In un intervallo di 5 minuti	In un intervallo di 10 minuti	In un intervallo di 10 minuti

Se si connette Administration Server a un server database MySQL 5.7 o SQL Express, è consigliabile evitare di utilizzare l'applicazione per gestire più di 10.000 dispositivi. Per il sistema di gestione database MariaDB, il numero massimo di dispositivi gestiti consigliato è 20.000.

Inizio pagina

[Topic 154920]

Passaggio 5. Selezione di un database

In questo passaggio della procedura guidata, selezionare uno dei seguenti sistemi di gestione dei database (DBMS) che verrà utilizzato per archiviare il database di Administration Server:

Microsoft SQL Server o SQL Server Express
MySQL o MariaDB
PostgreSQL o Postgres Pro

È consigliabile installare Administration Server in un server dedicato anziché in un controller di dominio. Se tuttavia si installa Kaspersky Security Center in un server che opera come controller di dominio di sola lettura (RODC), Microsoft SQL Server (SQL Express) non deve essere installato in locale (nello stesso dispositivo). In questo caso, è consigliabile installare Microsoft SQL Server (SQL Express) in remoto (su un altro dispositivo) o utilizzare MySQL, MariaDB o PostgreSQL se è necessario installare il DBMS in locale.

La struttura del database di Administration Server è disponibile nel file klakdb.chm, ubicato nella cartella di installazione di Kaspersky Security Center. Questo file è disponibile anche in un archivio sul portale Kaspersky: klakdb.zip.

Vedere anche:

Selezione di un DBMS

Inizio pagina

[Topic 154922]

Passaggio 6. Configurazione di SQL Server

In questa fase della procedura guidata, specificare le seguenti impostazioni di connessione, a seconda del sistema di gestione del database (DBMS) selezionato:

Se è stato selezionato Microsoft SQL Server o SQL Server Express nel passaggio precedente:
- Nel campo Nome istanza SQL Server specificare il nome di SQL Server nella rete. Per visualizzare un elenco di tutti gli SQL Server presenti nella rete, fare clic sul pulsante Sfoglia. Questo campo è vuoto per impostazione predefinita.
  Se ci si connette a SQL Server tramite una porta personalizzata, oltre al nome host di SQL Server specificare il numero di porta separato da una virgola, ad esempio:
  
  SQL_Server_host_name,1433
  
  Se si protegge la comunicazione tra Administration Server e SQL Server tramite un certificato, specificare nel campo Nome istanza SQL Server lo stesso nome host utilizzato durante la generazione del certificato. Se si utilizza un'istanza denominata di SQL Server, oltre al nome host di SQL Server specificare il numero di porta separato da una virgola, ad esempio:
  
  SQL_Server_name,1433
  
  Se si utilizzano più istanze SQL Server nello stesso host, specificare anche il nome dell'istanza separato da una barra rovesciata, ad esempio:
  
  SQL_Server_name\SQL_Server_instance_name,1433
  
  Se in un SQL Server nella rete aziendale è abilitata la funzionalità Always On, specificare il nome del listener del gruppo di disponibilità nel campo Nome istanza SQL Server. Administration Server supporta solo la modalità di disponibilità con commit sincrono quando la funzionalità Always On è abilitata.
- Nel campo Nome database specificare il nome del DBMS creato per l'archiviazione dei dati di Administration Server. Il valore predefinito è KAV.
Se in questo passaggio si desidera installare SQL Server nel dispositivo da cui si esegue l'installazione di Kaspersky Security Center, è necessario arrestare l'installazione e riavviarla dopo l'installazione di SQL Server. Le versioni di SQL Server supportate sono elencate nei requisiti di sistema.

Se si desidera installare SQL Server in un dispositivo remoto, non è necessario interrompere l'Installazione guidata di Kaspersky Security Center. Installare SQL Server e riprendere l'installazione di Kaspersky Security Center.
Se è stato selezionato MySQL o MariaDB nel passaggio precedente:
- Nel campo Nome istanza SQL Server specificare il nome dell'istanza DBMS. Per impostazione predefinita, il nome è l'indirizzo IP del dispositivo in cui deve essere installato Kaspersky Security Center.
- Nel campo Porta specificare la porta per la connessione di Administration Server al DBMS. Il numero di porta predefinito è 3306.
- Nel campo Nome database specificare il nome del DBMS creato per l'archiviazione dei dati di Administration Server. Il valore predefinito è KAV.
Se è stato selezionato PostgreSQL o Postgres Pro nel passaggio precedente:
- Nel campo PostgreSQL o Postgres Pro Server specificare il nome dell'istanza DBMS. Per impostazione predefinita, il nome è l'indirizzo IP del dispositivo in cui deve essere installato Kaspersky Security Center.
- Nel campo Porta specificare la porta per la connessione di Administration Server al DBMS. Il numero di porta predefinito è 5432.
- Nel campo Nome database specificare il nome del DBMS creato per l'archiviazione dei dati di Administration Server. Il valore predefinito è KAV.

Inizio pagina

[Topic 154924]

Passaggio 7. Selezione di un metodo di autenticazione

Determinare la modalità di autenticazione che verrà utilizzata durante la connessione di Administration Server al sistema di gestione dei database (DBMS).

A seconda del DBMS selezionato, è possibile scegliere tra le seguenti modalità di autenticazione:

Per SQL Express o Microsoft SQL Server selezionare una delle seguenti opzioni:
- Modalità di autenticazione Microsoft Windows. Per la verifica dei diritti viene utilizzato l'account utilizzato per l'avvio di Administration Server.
- Modalità di autenticazione SQL Server. Se si seleziona questa opzione, per verificare i diritti di accesso verrà utilizzato l'account specificato nella finestra. Compilare i campi Account e Password.
  Per visualizzare la password immessa, tenere premuto il pulsante Mostra.
Per entrambe le modalità di autenticazione, l'applicazione verifica se il database è disponibile. Se il database non è disponibile, viene visualizzato un messaggio di errore ed è necessario fornire le credenziali corrette.

Se il database di Administration Server è memorizzato in un altro dispositivo e l'account di Administration Server non dispone dell'accesso al server di database, è necessario utilizzare la modalità di autenticazione SQL Server durante l'installazione o l'upgrade di Administration Server. Questa situazione può verificarsi quando il dispositivo in cui è memorizzato il database è esterno al dominio o quando Administration Server viene installato utilizzando un account LocalSystem.
Per MySQL, MariaDB, PostgreSQL o Postgres Pro, specificare l'account e la password.

Inizio pagina

[Topic 154928]

Passaggio 8. Decompressione e installazione dei file nel disco rigido

Al termine della configurazione dell'installazione dei componenti di Kaspersky Security Center, è possibile avviare l'installazione dei file sul disco rigido.

Se l'installazione richiede ulteriori programmi, verrà visualizzata una notifica nella pagina Installazione prerequisiti, prima dell'inizio dell'installazione di Kaspersky Security Center. I programmi richiesti verranno installati automaticamente facendo clic sul pulsante Avanti.

Nell'ultima pagina è possibile selezionare quale console avviare per l'utilizzo di Kaspersky Security Center:

Avvia Administration Console basata su MMC
Avvia Kaspersky Security Center Web Console
Questa opzione è disponibile solo se si è scelto di installare Kaspersky Security Center Web Console in uno dei passaggi precedenti.

È inoltre possibile fare clic su Fine per chiudere la procedura guidata senza avviare l'utilizzo di Kaspersky Security Center. È possibile avviare l'utilizzo in qualsiasi momento.

Al primo avvio di Administration Console o di Kaspersky Security Center Web Console è possibile eseguire la configurazione iniziale dell'applicazione.

Al termine dell'Installazione guidata, i seguenti componenti dell'applicazione vengono installati nel disco rigido in cui è installato il sistema operativo:

Administration Server (insieme alla versione server di Network Agent)
Administration Console basata su Microsoft Management Console
Kaspersky Security Center Web Console (se si sceglie di installarla)
Plug-in di gestione dell'applicazione disponibili nel kit di distribuzione

Inoltre, se non è stato installato in precedenza, verrà installato Microsoft Windows Installer 4.5.

Inizio pagina

[Topic 13055]

Installazione personalizzata

L'installazione personalizzata è un tipo di installazione di Administration Server durante cui viene richiesto di selezionare i componenti da installare e specificare la cartella in cui installare l'applicazione.

Utilizzando questo tipo di installazione, è possibile configurare il database e Administration Server, nonché installare i componenti non inclusi nell'installazione standard o i plug-in di gestione per diverse applicazioni di protezione Kaspersky. È inoltre possibile abilitare Mobile Device Management.

Per installare Kaspersky Security Center Administration Server in un dispositivo locale:

Eseguire il file eseguibile ksc_<numero versione>.<numero build>_full_<lingua localizzazione>.exe.

In questa sezione

Passaggio 2. Selezione del metodo di installazione

Passaggio 3. Selezione dei componenti da installare

Passaggio 4. Installazione di Kaspersky Security Center Web Console

Passaggio 5. Selezione delle dimensioni della rete

Passaggio 6. Selezione di un database

Passaggio 7. Configurazione di SQL Server

Passaggio 8. Selezione di un metodo di autenticazione

Passaggio 9. Selezione dell'account per l'avvio di Administration Server

Passaggio 10. Selezione dell'account per l'esecuzione dei servizi di Kaspersky Security Center

Passaggio 11. Selezione di una cartella condivisa

Passaggio 12. Configurazione della connessione ad Administration Server

Passaggio 13. Definizione dell'indirizzo di Administration Server

Passaggio 14. Indirizzo di Administration Server per la connessione dei dispositivi mobili

Passaggio 15. Selezione dei plug-in di gestione dell'applicazione

Passaggio 16. Decompressione e installazione dei file nel disco rigido

Vedere anche:

Inizio pagina

[Topic 67868_1]

Passaggio 1. Visualizzazione del Contratto di licenza e dell'Informativa sulla privacy

A questo punto dell'Installazione guidata, è necessario leggere il Contratto di licenza tra l'utente e Kaspersky, nonché l'Informativa sulla privacy.

L'installazione dell'applicazione nel dispositivo continuerà dopo la selezione di entrambe le caselle di controllo.

Se non si accetta il Contratto di licenza o l'Informativa sulla privacy, annullare l'installazione facendo clic sul pulsante Annulla.

Inizio pagina

[Topic 35691]

Passaggio 2. Selezione del metodo di installazione

Nella finestra di selezione del tipo di installazione specificare Personalizzata.

L'installazione personalizzata consente di modificare le impostazioni di Kaspersky Security Center, ad esempio il percorso della cartella condivisa, gli account e le porte per la connessione ad Administration Server, nonché le impostazioni del database. L'installazione personalizzata consente di specificare quali plug-in di gestione di Kaspersky installare. Durante l'installazione personalizzata è possibile creare pacchetti di installazione per i dispositivi mobili attivando l'opzione corrispondente.

Inizio pagina

[Topic 13082]

Passaggio 3. Selezione dei componenti da installare

Selezionare i componenti di Kaspersky Security Center Administration Server che si desidera installare:

Mobile Device Management. Selezionare questa casella di controllo se è necessario creare pacchetti di installazione per i dispositivi mobili durante l'esecuzione dell'Installazione guidata di Kaspersky Security Center. È inoltre possibile creare pacchetti di installazione per i dispositivi mobili manualmente, dopo l'installazione di Administration Server, utilizzando gli strumenti di Administration Console.
Agente SNMP. Questo componente riceve informazioni statistiche per Administration Server tramite il protocollo SNMP. Il componente è disponibile se l'applicazione viene installata in un dispositivo in cui è installato SNMP.
Dopo l'installazione di Kaspersky Security Center, i file .mib necessari per la ricezione delle statistiche saranno disponibili nella sottocartella SNMP della cartella di installazione dell'applicazione.

Network Agent e Administration Console non vengono visualizzati nell'elenco dei componenti. Questi componenti vengono installati automaticamente e non è possibile annullarne l'installazione.

In questo passaggio è necessario specificare una cartella per l'installazione dei componenti di Administration Server. Per impostazione predefinita, i componenti vengono installati in <Unità>:\Program Files\Kaspersky Lab\Kaspersky Security Center. Se la cartella non esiste, verrà creata automaticamente durante l'installazione. È possibile modificare la cartella di destinazione utilizzando il pulsante Sfoglia.

Inizio pagina

[Topic 176764]

Passaggio 4. Installazione di Kaspersky Security Center Web Console

Per impostazione predefinita, verrà eseguita l'installazione sia di Kaspersky Security Center Web Console che di Administration Console basata su MMC.

Se si desidera installare solo Kaspersky Security Center Web Console:

Selezionare Installa solo questa.
Scegliere Console basata sul Web nell'elenco a discesa.

L'installazione di Kaspersky Security Center Web Console viene avviata automaticamente al termine dell'installazione di Administration Server.

Se si desidera installare solo la Administration Console basata su MMC:

Selezionare Installa solo questa.
Scegliere Console basata su MMC nell'elenco a discesa.

Vedere anche:

Inizio pagina

[Topic 13083]

Passaggio 5. Selezione delle dimensioni della rete

Nella tabella seguente sono elencate le impostazioni di installazione dell'applicazione e relative all'aspetto dell'interfaccia, a seconda delle diverse dimensioni della rete.

Dipendenza delle impostazioni di installazione dalle dimensioni della rete selezionate

Impostazioni	Da 1 a 100 dispositivi	Da 101 a 1000 dispositivi	Da 1001 a 5000 dispositivi	Più di 5000 dispositivi
Visualizzazione nella struttura della console con il nodo degli Administration Server secondari e virtuali e di tutte le impostazioni correlate agli Administration Server secondari e virtuali	Non disponibile	Non disponibile	Disponibile	Disponibile
Visualizzazione con le sezioni Protezione nella finestra delle proprietà degli Administration Server e dei gruppi di amministrazione	Non disponibile	Non disponibile	Disponibile	Disponibile
Distribuzione casuale del tempo di avvio per l'attività di aggiornamento nei dispositivi client	Non disponibile	In un intervallo di 5 minuti	In un intervallo di 10 minuti	In un intervallo di 10 minuti

Inizio pagina

[Topic 13085]

Passaggio 6. Selezione di un database

In questo passaggio della procedura guidata, selezionare uno dei seguenti sistemi di gestione dei database (DBMS) che verrà utilizzato per archiviare il database di Administration Server:

Microsoft SQL Server o SQL Server Express
MySQL o MariaDB
PostgreSQL o Postgres Pro

Inizio pagina

[Topic 13086]

Passaggio 7. Configurazione di SQL Server

In questa fase della procedura guidata, specificare le seguenti impostazioni di connessione, a seconda del sistema di gestione del database (DBMS) selezionato:

Se è stato selezionato Microsoft SQL Server o SQL Server Express nel passaggio precedente:
- Nel campo Nome istanza SQL Server specificare il nome di SQL Server nella rete. Per visualizzare un elenco di tutti gli SQL Server presenti nella rete, fare clic sul pulsante Sfoglia. Questo campo è vuoto per impostazione predefinita.
  Se ci si connette a SQL Server tramite una porta personalizzata, oltre al nome host di SQL Server specificare il numero di porta separato da una virgola, ad esempio:
  
  SQL_Server_host_name,1433
  
  Se si protegge la comunicazione tra Administration Server e SQL Server tramite un certificato, specificare nel campo Nome istanza SQL Server lo stesso nome host utilizzato durante la generazione del certificato. Se si utilizza un'istanza denominata di SQL Server, oltre al nome host di SQL Server specificare il numero di porta separato da una virgola, ad esempio:
  
  SQL_Server_name,1433
  
  Se si utilizzano più istanze SQL Server nello stesso host, specificare anche il nome dell'istanza separato da una barra rovesciata, ad esempio:
  
  SQL_Server_name\SQL_Server_instance_name,1433
  
  Se in un SQL Server nella rete aziendale è abilitata la funzionalità Always On, specificare il nome del listener del gruppo di disponibilità nel campo Nome istanza SQL Server. Administration Server supporta solo la modalità di disponibilità con commit sincrono quando la funzionalità Always On è abilitata.
- Nel campo Nome database specificare il nome del DBMS creato per l'archiviazione dei dati di Administration Server. Il valore predefinito è KAV.
Se in questo passaggio si desidera installare SQL Server nel dispositivo da cui si esegue l'installazione di Kaspersky Security Center, è necessario arrestare l'installazione e riavviarla dopo l'installazione di SQL Server. Le versioni di SQL Server supportate sono elencate nei requisiti di sistema.

Se si desidera installare SQL Server in un dispositivo remoto, non è necessario interrompere l'Installazione guidata di Kaspersky Security Center. Installare SQL Server e riprendere l'installazione di Kaspersky Security Center.
Se è stato selezionato MySQL o MariaDB nel passaggio precedente:
- Nel campo Nome istanza SQL Server specificare il nome dell'istanza DBMS. Per impostazione predefinita, il nome è l'indirizzo IP del dispositivo in cui deve essere installato Kaspersky Security Center.
- Nel campo Porta specificare la porta per la connessione di Administration Server al DBMS. Il numero di porta predefinito è 3306.
- Nel campo Nome database specificare il nome del DBMS creato per l'archiviazione dei dati di Administration Server. Il valore predefinito è KAV.
Se è stato selezionato PostgreSQL o Postgres Pro nel passaggio precedente:
- Nel campo PostgreSQL o Postgres Pro Server specificare il nome dell'istanza DBMS. Per impostazione predefinita, il nome è l'indirizzo IP del dispositivo in cui deve essere installato Kaspersky Security Center.
- Nel campo Porta specificare la porta per la connessione di Administration Server al DBMS. Il numero di porta predefinito è 5432.
- Nel campo Nome database specificare il nome del DBMS creato per l'archiviazione dei dati di Administration Server. Il valore predefinito è KAV.

Vedere anche:

Inizio pagina

[Topic 13087]

Passaggio 8. Selezione di un metodo di autenticazione

Determinare la modalità di autenticazione che verrà utilizzata durante la connessione di Administration Server al sistema di gestione dei database (DBMS).

A seconda del DBMS selezionato, è possibile scegliere tra le seguenti modalità di autenticazione:

Per SQL Express o Microsoft SQL Server selezionare una delle seguenti opzioni:
- Modalità di autenticazione Microsoft Windows. Per la verifica dei diritti viene utilizzato l'account utilizzato per l'avvio di Administration Server.
- Modalità di autenticazione SQL Server. Se si seleziona questa opzione, per verificare i diritti di accesso verrà utilizzato l'account specificato nella finestra. Compilare i campi Account e Password.
  Per visualizzare la password immessa, tenere premuto il pulsante Mostra.
Per entrambe le modalità di autenticazione, l'applicazione verifica se il database è disponibile. Se il database non è disponibile, viene visualizzato un messaggio di errore ed è necessario fornire le credenziali corrette.

Se il database di Administration Server è memorizzato in un altro dispositivo e l'account di Administration Server non dispone dell'accesso al server di database, è necessario utilizzare la modalità di autenticazione SQL Server durante l'installazione o l'upgrade di Administration Server. Questa situazione può verificarsi quando il dispositivo in cui è memorizzato il database è esterno al dominio o quando Administration Server viene installato utilizzando un account LocalSystem.
Per MySQL, MariaDB, PostgreSQL o Postgres Pro, specificare l'account e la password.

Inizio pagina

[Topic 13084]

Passaggio 9. Selezione dell'account per l'avvio di Administration Server

Selezionare l'account che verrà utilizzato per avviare Administration Server come servizio.

Genera automaticamente l'account. L'applicazione crea un account denominato KL-AK-* che verrà utilizzato per l'esecuzione del servizio kladminserver.
È possibile selezionare questa opzione se si intende collocare la cartella condivisa e il DBMS nello stesso dispositivo di Administration Server.
Selezionare un account. Il servizio Administration Server (kladminserver) verrà eseguito utilizzando l'account selezionato.
Sarà necessario selezionare un account di dominio se ad esempio si intende utilizzare come DBMS un'istanza di SQL Server di qualsiasi versione, tra cui SQL Express, che si trova in un altro dispositivo e/o si intende collocare la cartella condivisa in un altro dispositivo.

Kaspersky Security Center supporta gli account del servizio gestito (MSA) e gli account del servizio gestito di gruppo (gMSA). Se nel dominio vengono utilizzati questi tipi di account, è possibile selezionarne uno come account del servizio Administration Server.

Prima di specificare un account MSA o gMSA, è necessario installare l'account nello stesso dispositivo in cui si desidera installare Administration Server. Se l'account non è ancora stato installato, annullare l'installazione di Administration Server, installare l'account e quindi riavviare l'installazione di Administration Server. Per informazioni dettagliate sull'installazione degli account del servizio gestito in un dispositivo locale, consultare la documentazione ufficiale di Microsoft.

Per specificare un account MSA o gMSA:
1. Fare clic sul pulsante Sfoglia.
2. Nella finestra visualizzata fare clic sul pulsante Tipo di oggetto.
3. Selezionare il tipo Account per servizi e fare clic su OK.
4. Selezionare l'account desiderato, quindi fare clic su OK.

L'account selezionato deve disporre di diverse autorizzazioni, a seconda del DBMS che si intende utilizzare.

Per motivi di sicurezza, non assegnare lo stato privilegiato all'account utilizzato per l'esecuzione di Administration Server.

L'account di Administration Server non potrà essere modificato in seguito. È necessario reinstallare il cluster di failover per utilizzare un altro account di Administration Server.

Vedere anche:

Modifiche apportate al sistema dopo l'installazione di Kaspersky Security Center

Modifiche apportate al sistema dopo l'installazione di Kaspersky Security Center

Inizio pagina

[Topic 91590]

Passaggio 10. Selezione dell'account per l'esecuzione dei servizi di Kaspersky Security Center

Selezionare l'account con cui verranno eseguiti i servizi di Kaspersky Security Center nel dispositivo:

Genera automaticamente l'account. Kaspersky Security Center crea un account locale denominato KlScSvc nel dispositivo nel gruppo kladmins. I servizi di Kaspersky Security Center verranno eseguiti utilizzando l'account creato.
Selezionare un account. I servizi di Kaspersky Security Center verranno eseguiti tramite l'account selezionato.
Sarà necessario selezionare un account di dominio se si intende, ad esempio, salvare i rapporti in una cartella disponibile in un altro dispositivo o se questo è richiesto dal criterio di protezione dell'organizzazione. È inoltre necessario selezionare un account di dominio se si installa Administration Server in un cluster di failover.

Per motivi di sicurezza, non concedere lo stato di privilegiato all'account con cui vengono eseguiti i servizi.

Il servizio proxy KSN (ksnproxy), il servizio proxy di attivazione Kaspersky (klactprx) e il servizio del portale di autenticazione Kaspersky (klwebsrv) verranno eseguiti utilizzando l'account selezionato.

Vedere anche:

Inizio pagina

[Topic 13088]

Passaggio 11. Selezione di una cartella condivisa

Definire il percorso e il nome della cartella condivisa che verrà utilizzata per:

Memorizzare i file necessari per l'installazione remota delle applicazioni (i file vengono copiati in Administration Server durante la creazione dei pacchetti di installazione).
Memorizzare gli aggiornamenti che sono stati scaricati da una sorgente degli aggiornamenti in Administration Server.

La condivisione file (in sola lettura) sarà abilitata per tutti gli utenti.

È possibile selezionare una delle seguenti opzioni:

Crea cartella condivisa. Verrà creata una nuova cartella. Nella casella di testo specificare il percorso della cartella.
Selezionare una cartella condivisa esistente. Selezionare una cartella condivisa già esistente.

La cartella condivisa può essere una cartella locale nel dispositivo utilizzato per l'installazione o una directory remota in qualsiasi dispositivo client nella rete aziendale. È possibile utilizzare il pulsante Sfoglia per selezionare la cartella condivisa o specificarla manualmente immettendone il percorso UNC (ad esempio, \\server\Share) nel campo corrispondente.

Per impostazione predefinita, il programma di installazione crea una sottocartella locale SHARE nella cartella del programma che contiene i componenti di Kaspersky Security Center.

È possibile definire una cartella condivisa successivamente, se necessario.

Inizio pagina

[Topic 13089]

Passaggio 12. Configurazione della connessione ad Administration Server

Configurare la connessione ad Administration Server:

Porta
il numero della porta utilizzata per la connessione ad Administration Server.

Il numero di porta predefinito è 14000.
Porta SSL
Numero della porta SSL (Secure Sockets Layer) utilizzata per la connessione protetta ad Administration Server tramite SSL.

Il numero di porta predefinito è 13000.
Lunghezza della chiave di criptaggio
Selezionare la lunghezza della chiave di criptaggio: 1024 o 2048 bit.

Una chiave di criptaggio a 1024 bit genera un carico inferiore sulla CPU, ma viene considerata obsoleta poiché non è in grado di garantire un criptaggio affidabile per via delle specifiche tecniche. Inoltre, è possibile che l'hardware esistente risulti incompatibile con i certificati SSL dotati di chiavi a 1024 bit.

Una chiave di criptaggio a 2048 bit soddisfa tutti i più avanzati standard di criptaggio. Tuttavia, l'utilizzo di una chiave di criptaggio a 2048 bit può incrementare il carico sulla CPU.

Per impostazione predefinita, l'opzione 2048 bit (migliore protezione) è selezionata.

È inoltre possibile modificare i parametri per la connessione ad Administration Server in un secondo momento come segue:

È possibile modificare i numeri di porta e SSL nella sezione Porte di connessione delle proprietà di Administration Server. Per ulteriori informazioni sulle porte di connessione di Administration Server, vedere Porte utilizzate da Kaspersky Security Center.
È possibile modificare la lunghezza della chiave di criptaggio quando si sostituisce il certificato di Administration Server con l'utilità klsetsrvcert utilizzando il parametro -o RsaKeyLen:<lunghezza della chiave>.

Vedere anche:

Interazione dei componenti di Kaspersky Security Center e delle applicazioni di protezione: ulteriori informazioni

Inizio pagina

[Topic 13090]

Passaggio 13. Definizione dell'indirizzo di Administration Server

Specificare l'indirizzo di Administration Server in uno dei seguenti modi:

Nome dominio DNS. È possibile utilizzare questo metodo quando la rete include un server DNS e i dispositivi client possono utilizzarlo per ricevere l'indirizzo di Administration Server.
Nome NetBIOS. È possibile utilizzare questo metodo quando i dispositivi client ricevono l'indirizzo di Administration Server tramite il protocollo NetBIOS o se nella rete è disponibile un server WINS.
Indirizzo IP. È possibile utilizzare questo metodo se Administration Server ha un indirizzo IP statico, che non verrà modificato in futuro.

Se si installa Kaspersky Security Center nel nodo attivo del cluster di failover Kaspersky Security Center ed è stata creata una scheda di rete secondario durante la preparazione dei nodi del cluster, specificare l'indirizzo IP della scheda. In caso contrario, inserire l'indirizzo IP del sistema di bilanciamento del carico di terze parti in uso.

Inizio pagina

[Topic 94265]

Passaggio 14. Indirizzo di Administration Server per la connessione dei dispositivi mobili

Questo passaggio dell'Installazione guidata è disponibile se si seleziona per l'installazione Mobile Device Management.

Nella finestra Indirizzo per la connessione dei dispositivi mobili specificare l'indirizzo esterno di Administration Server per la connessione dei dispositivi mobili che sono all'esterno della rete locale. È possibile specificare l'indirizzo IP o il DNS (Domain Name System) di Administration Server.

Inizio pagina

[Topic 54967]

Passaggio 15. Selezione dei plug-in di gestione dell'applicazione

Selezionare i plug-in di gestione dell'applicazione da installare con Kaspersky Security Center.

Per semplificare la ricerca, i plug-in sono divisi in gruppi a seconda del tipo di oggetti protetti.

Inizio pagina

[Topic 13092]

Passaggio 16. Decompressione e installazione dei file nel disco rigido

Al termine della configurazione dell'installazione dei componenti di Kaspersky Security Center, è possibile avviare l'installazione dei file sul disco rigido.

Nell'ultima pagina è possibile selezionare quale console avviare per l'utilizzo di Kaspersky Security Center:

Avvia Administration Console basata su MMC
Avvia Kaspersky Security Center Web Console
Questa opzione è disponibile solo se si è scelto di installare Kaspersky Security Center Web Console in uno dei passaggi precedenti.

È inoltre possibile fare clic su Fine per chiudere la procedura guidata senza avviare l'utilizzo di Kaspersky Security Center. È possibile avviare l'utilizzo in qualsiasi momento.

Al primo avvio di Administration Console o di Kaspersky Security Center Web Console è possibile eseguire la configurazione iniziale dell'applicazione.

Inizio pagina

[Topic 222395]

Distribuzione del cluster di failover Kaspersky Security Center

Questa sezione contiene sia informazioni generali sul cluster di failover Kaspersky Security Center che istruzioni sulla preparazione e sulla distribuzione del cluster di failover Kaspersky Security Center nella rete.

In questa sezione

Scenario: Distribuzione di un cluster di failover Kaspersky Security Center

Informazioni sul cluster di failover Kaspersky Security Center

Preparazione di un file server per un cluster di failover Kaspersky Security Center

Preparazione dei nodi per un cluster di failover Kaspersky Security Center

Installazione di Kaspersky Security Center nei nodi del cluster di failover Kaspersky Security Center

Avvio e arresto manuale dei nodi del cluster

Vedere anche:

Installazione di Administration Server in un cluster di failover di Windows Server

Aggiornamento di Kaspersky Security Center nei nodi del cluster di failover Kaspersky Security Center

Inizio pagina

[Topic 222333]

Scenario: Distribuzione di un cluster di failover Kaspersky Security Center

Un cluster di failover Kaspersky Security Center garantisce un'elevata disponibilità di Kaspersky Security Center e riduce al minimo i tempi di inattività di Administration Server in caso di errore. Il cluster di failover si basa su due istanze identiche di Kaspersky Security Center installate in due computer. Una delle istanze funge da nodo attivo e l'altra da nodo passivo. Il nodo attivo gestisce la protezione dei dispositivi client, mentre quello passivo è predisposto a svolgere tutte le funzioni del nodo attivo in caso di errore del nodo attivo. Quando si verifica un errore, il nodo passivo diventa attivo e il nodo attivo diventa passivo.

Prerequisiti

È necessario disporre di hardware che soddisfi i requisiti per il cluster di failover.

Passaggi

La distribuzione delle applicazioni Kaspersky prevede diversi passaggi:

Creazione di un account per i servizi di Kaspersky Security Center
Creare un nuovo gruppo di dominio, (in questo scenario viene utilizzato il nome "KLAdmins" per il gruppo), quindi concedere le autorizzazioni di amministratore locale al gruppo in entrambi i nodi e nel file server. A questo punto creare due nuovi account utente di dominio (in questo scenario vengono utilizzati i nomi "ksc" e "rightless" per gli account) e aggiungere gli account al gruppo di dominio KLAdmins.

Aggiungere l'account utente con cui verrà installato Kaspersky Security Center al gruppo di dominio KLAdmins creato in precedenza.
Preparazione del file server
Preparare il file server affinché funzioni come componente del cluster di failover Kaspersky Security Center. Assicurarsi che il file server soddisfi i requisiti hardware e software, creare due cartelle condivise per i dati di Kaspersky Security Center e configurare le autorizzazioni per accedere alle cartelle condivise.

Istruzioni dettagliate: Preparazione di un file server per il cluster di failover Kaspersky Security Center
Preparazione di nodi attivi e passivi
Preparare due dispositivi con hardware e software identici in modo che fungano da nodi attivi e passivi.

Istruzioni dettagliate: Preparazione dei nodi per il cluster di failover Kaspersky Security Center
Installazione del DBMS (Database Management System)
Selezionare uno dei DBMS supportati, quindi installare il DBMS in un dispositivo dedicato. Per informazioni su come installare il DBMS, consultare la relativa documentazione.
Installazione di Kaspersky Security Center
Installare Kaspersky Security Center in modalità cluster di failover in entrambi i nodi. È prima necessario installare Kaspersky Security Center nel nodo attivo, quindi installarlo in quello passivo.

Inoltre, è possibile installare Kaspersky Security Center Web Console in un dispositivo separato che non sia un nodo del cluster.

Istruzioni dettagliate: Installazione di Kaspersky Security Center nei nodi del cluster di failover Kaspersky Security Center
Test del cluster di failover
Verificare di aver configurato correttamente il cluster di failover e che funzioni correttamente. È ad esempio possibile arrestare uno dei servizi di Kaspersky Security Center nel nodo attivo: kladminserver, klnagent, ksnproxy, klactprx o klwebsrv. Dopo l'arresto del servizio, la gestione della protezione deve passare automaticamente al nodo passivo.

Risultati

Il cluster di failover Kaspersky Security Center viene distribuito. Esaminare gli eventi che determinano il passaggio dai nodi attivi a quelli passivi.

Vedere anche:

Installazione di Administration Server in un cluster di failover di Windows Server

Aggiornamento di Kaspersky Security Center nei nodi del cluster di failover Kaspersky Security Center

Inizio pagina

[Topic 222358]

Informazioni sul cluster di failover Kaspersky Security Center

Requisiti hardware e software

Per distribuire un cluster di failover Kaspersky Security Center, è necessario disporre del seguente hardware:

Due dispositivi con hardware e software identici. Questi dispositivi fungeranno da nodi attivi e passivi.
Un file server che supporti il protocollo CIFS/SMB, versione 2.0 o successiva. È necessario mettere a disposizione un dispositivo dedicato che fungerà da file server.
Assicurarsi di aver fornito un'elevata larghezza di banda di rete tra il file server e i nodi attivi e passivi.
Un dispositivo con DBMS (Database Management System).

Schemi di distribuzione

È possibile scegliere uno dei seguenti schemi per distribuire il cluster di failover Kaspersky Security Center:

Uno schema che utilizza una scheda di rete secondaria.
Uno schema che utilizza un sistema di bilanciamento del carico di terze parti.

Uno schema che utilizza una scheda di rete secondaria

Legenda schema:

Icona 1 nello schema di distribuzione. Administration Server invia i dati al database. Aprire le porte necessarie nel dispositivo in cui si trova il database, ad esempio la porta 3306 per MySQL Server o la porta 1433 per Microsoft SQL Server. Fare riferimento alla documentazione DBMS per le informazioni attinenti.

Icona 2 nello schema di distribuzione. Nei dispositivi gestiti aprire le seguenti porte: TCP 13000, UDP 13000 e TCP 17000.

Uno schema di distribuzione di Kaspersky Security Center che include un sistema di bilanciamento del carico di terze parti.

Uno schema che utilizza un sistema di bilanciamento del carico di terze parti

Legenda schema:

Icona 1 nello schema di distribuzione Nel dispositivo di bilanciamento del carico aprire tutte le porte di Administration Server: TCP 13000, UDP 13000, TCP 13299 e TCP 17000.

Se si desidera utilizzare l'utilità klakaut per l'automazione, è necessario aprire anche la porta TCP 13291.

Icona 2 nello schema di distribuzione. Nei dispositivi gestiti aprire le seguenti porte: TCP 13000, UDP 13000 e TCP 17000.

Icona 3 nello schema di distribuzione. Administration Server invia i dati al database. Aprire le porte necessarie nel dispositivo in cui si trova il database, ad esempio la porta 3306 per MySQL Server o la porta 1433 per Microsoft SQL Server. Fare riferimento alla documentazione DBMS per le informazioni attinenti.

Condizioni per il passaggio

Il cluster di failover passa la gestione della protezione dei dispositivi client dal nodo attivo al nodo passivo se si verifica uno dei seguenti eventi nel nodo attivo:

Il nodo attivo è danneggiato a causa di un errore software o hardware.
Il nodo attivo è stato temporaneamente arrestato per attività di manutenzione.
Almeno uno dei servizi (o processi) di Kaspersky Security Center non è riuscito o è stato deliberatamente terminato dall'utente. I servizi di Kaspersky Security Center sono i seguenti: kladminserver, klnagent, klactprx e klwebsrv.
La connessione di rete tra il nodo attivo e l'archivio nel file server è stata interrotta o terminata.

Vedere anche:

Installazione di Administration Server in un cluster di failover di Windows Server

Aggiornamento di Kaspersky Security Center nei nodi del cluster di failover Kaspersky Security Center

Inizio pagina

[Topic 222364]

Preparazione di un file server per un cluster di failover Kaspersky Security Center

Un file server funge da componente necessario di un cluster di failover Kaspersky Security Center.

Per preparare un file server:

Assicurarsi che il file server soddisfi i requisiti hardware e software.
Assicurarsi che il file server ed entrambi i nodi (attivo e passivo) siano inclusi nello stesso dominio o che il file server sia il controller di dominio.
Nel file server creare due cartelle condivise. Una di queste verrà utilizzata per conservare le informazioni sullo stato del cluster di failover. L'altra verrà utilizzata per archiviare i dati e le impostazioni di Kaspersky Security Center. Specificare i percorsi delle cartelle condivise durante la configurazione dell'installazione di Kaspersky Security Center.
Concedere le autorizzazioni per l'accesso completo (sia le autorizzazioni di condivisione che le autorizzazioni NTFS) alle cartelle condivise create per i seguenti account utente e gruppi:
- Gruppo di domini KLAdmins.
- Account utente $<node1> e $<node2>. Qui, <node1> e <node2> sono i nomi dei dispositivi dei nodi attivi e passivi.

Il file server è pronto. Per distribuire il cluster di failover Kaspersky Security Center, seguire le istruzioni aggiuntive in questo scenario.

Vedere anche:

Informazioni sul cluster di failover Kaspersky Security Center

Scenario: Distribuzione di un cluster di failover Kaspersky Security Center

Inizio pagina

[Topic 222375]

Preparazione dei nodi per un cluster di failover Kaspersky Security Center

Preparare due dispositivi affinché fungano da nodi attivi e passivi per un cluster di failover Kaspersky Security Center.

Per preparare i nodi per un cluster di failover Kaspersky Security Center:

Assicurarsi di avere due dispositivi che soddisfino i requisiti hardware e software. Questi dispositivi fungeranno da nodi attivi e passivi del cluster di failover.
Assicurarsi che il file server ed entrambi i nodi siano inclusi nello stesso dominio.
Eseguire una delle seguenti operazioni:
- In ogni nodo, configurare una scheda di rete secondaria.
  Una scheda di rete secondaria può essere fisica o virtuale. Se si desidera utilizzare una scheda di rete fisica, connetterla e configurarla con gli strumenti standard del sistema operativo. Se si desidera utilizzare una scheda di rete virtuale, crearla utilizzando software di terzi.
  
  Assicurarsi che vengano soddisfatte le seguenti condizioni:
  - Le schede di rete secondarie sono disabilitate.
    È possibile creare le schede di rete secondarie nello stato disabilitato o disabilitarle dopo la creazione.
  - Le schede di rete secondario in entrambi i nodi hanno lo stesso indirizzo IP.
- Utilizzare un sistema di bilanciamento del carico di terze parti. È ad esempio possibile utilizzare un server nginx. In questo caso, procedere come segue:
  1. Mettere a disposizione un dispositivo basato su Linux dedicato con nginx installato.
  2. Configurare il bilanciamento del carico. Impostare il nodo attivo come server principale e il nodo passivo come server di backup.
  3. Nel server nginx aprire tutte le porte di Administration Server: TCP 13000, UDP 13000, TCP 13299 e TCP 17000.
    Se si desidera utilizzare l'utilità klakaut per l'automazione, è necessario aprire anche la porta TCP 13291.
Riavviare entrambi i nodi e il file server.
Mappare le due cartelle condivise create durante la fase di preparazione del file server a ciascuno dei nodi. È necessario mappare le cartelle condivise come unità di rete. Durante il mapping delle cartelle è possibile selezionare eventuali lettere di unità libere. Per accedere alle cartelle condivise, utilizzare le credenziali dell'account utente creato durante il passaggio 1 dello scenario.

I nodi sono pronti. Per distribuire il cluster di failover Kaspersky Security Center, seguire le istruzioni aggiuntive dello scenario.

Vedere anche:

Informazioni sul cluster di failover Kaspersky Security Center

Scenario: Distribuzione di un cluster di failover Kaspersky Security Center

Inizio pagina

[Topic 222473]

Installazione di Kaspersky Security Center nei nodi del cluster di failover Kaspersky Security Center

Kaspersky Security Center viene installato separatamente in entrambi i nodi del cluster di failover Kaspersky Security Center. Prima si installa l'applicazione nel nodo attivo, poi su quello passivo. Durante l'installazione, è necessario scegliere quale nodo sarà attivo e quale sarà passivo.

Solo un utente del gruppo di domini KLAdmins può installare Kaspersky Security Center in ogni nodo.

Per installare Kaspersky Security Center nel nodo attivo del cluster di failover Kaspersky Security Center:

Eseguire il file eseguibile ksc_14.2_<numero build>_full_<lingua>.exe.
Verrà visualizzata una finestra che richiede di selezionare le applicazioni Kaspersky da installare. Nella finestra di selezione delle applicazioni fare clic sul collegamento Installazione di Kaspersky Security Center Administration Server per avviare l'Installazione guidata di Administration Server. Seguire le istruzioni della procedura guidata.
Leggere attentamente il Contratto di licenza e l'Informativa sulla privacy. Se si accettano tutte le condizioni del Contratto di licenza e dell'Informativa sulla privacy, selezionare le seguenti caselle di controllo nella sezione Confermo di aver letto e compreso integralmente e di accettare quanto segue:
- Termini e condizioni del presente Contratto di licenza con l'utente finale
- Informativa sulla privacy in cui viene descritta la gestione dei dati
L'installazione dell'applicazione nel dispositivo continuerà dopo la selezione di entrambe le caselle di controllo.

Se non si accetta il Contratto di licenza o l'Informativa sulla privacy, annullare l'installazione facendo clic sul pulsante Annulla.
Selezionare Nodo primario di Kaspersky Failover Cluster per installare l'applicazione nel nodo attivo.
Nella finestra Cartella condivisa procedere come segue:
- Nei campi Condivisione dello stato e Condivisione dei dati specificare i percorsi delle cartelle condivise create nel file server durante la relativa preparazione.
- Nei campi Unità della condivisione dello stato e Unità della condivisione dei dati selezionare le unità di rete a cui sono state mappate le cartelle condivise durante la preparazione dei nodi.
- Selezionare la modalità di connettività del cluster: tramite una scheda di rete secondaria o un sistema di bilanciamento del carico di terzi.
Eseguire gli altri passaggi dell'installazione personalizzata, a partire dal passaggio 3.
Nel passaggio 13 specificare l'indirizzo IP di una scheda di rete secondaria se è stata creata una scheda durante la preparazione dei nodi del cluster. In caso contrario, inserire l'indirizzo IP del sistema di bilanciamento del carico di terze parti in uso.

Kaspersky Security Center è installato nel nodo attivo.

Per installare Kaspersky Security Center nel nodo passivo del cluster di failover Kaspersky Security Center:

Eseguire il file eseguibile ksc_14.2_<numero build>_full_<lingua>.exe.
Verrà visualizzata una finestra che richiede di selezionare le applicazioni Kaspersky da installare. Nella finestra di selezione delle applicazioni fare clic sul collegamento Installazione di Kaspersky Security Center Administration Server per avviare l'Installazione guidata di Administration Server. Seguire le istruzioni della procedura guidata.
Leggere attentamente il Contratto di licenza e l'Informativa sulla privacy. Se si accettano tutte le condizioni del Contratto di licenza e dell'Informativa sulla privacy, selezionare le seguenti caselle di controllo nella sezione Confermo di aver letto e compreso integralmente e di accettare quanto segue:
- Termini e condizioni del presente Contratto di licenza con l'utente finale
- Informativa sulla privacy in cui viene descritta la gestione dei dati
L'installazione dell'applicazione nel dispositivo continuerà dopo la selezione di entrambe le caselle di controllo.

Se non si accetta il Contratto di licenza o l'Informativa sulla privacy, annullare l'installazione facendo clic sul pulsante Annulla.
Selezionare Nodo secondario di Kaspersky Failover Cluster per installare l'applicazione nel nodo passivo.
Nella finestra Cartella condivisa, nel campo Condivisione dello stato, specificare un percorso della cartella condivisa con le informazioni sullo stato del cluster creato nel file server durante la relativa preparazione.
Fare clic sul pulsante Installa. Al termine dell'installazione, fare clic sul pulsante Fine.

Kaspersky Security Center è installato nel nodo passivo. Adesso è possibile testare il cluster di failover Kaspersky Security Center per assicurarsi di averlo configurato correttamente e che il cluster funzioni nel modo adeguato.

Vedere anche:

Aggiornamento di Kaspersky Security Center nei nodi del cluster di failover Kaspersky Security Center

Inizio pagina

[Topic 222447]

Avvio e arresto manuale dei nodi del cluster

Potrebbe essere necessario arrestare l'intero cluster di failover Kaspersky Security Center o scollegare temporaneamente uno dei nodi del cluster per la manutenzione. In tal caso, seguire le istruzioni contenute in questa sezione. Non tentare di avviare o arrestare i servizi o i processi relativi al cluster di failover utilizzando altri metodi. Questo potrebbe determinare la perdita di dati.

Avvio e arresto dell'intero cluster di failover per la manutenzione

Per avviare o arrestare l'intero cluster di failover:

Nel nodo attivo accedere a <Disco>:\Programmi (x86)\Kaspersky Lab\Kaspersky Security Center.
Aprire la riga di comando, quindi eseguire uno dei seguenti comandi:
- Per arrestare il cluster, eseguire: klfoc -stopcluster --stp klfoc
- Per avviare il cluster, eseguire: klfoc -startcluster --stp klfoc

Il cluster di failover viene avviato o arrestato, a seconda del comando eseguito.

Manutenzione di uno dei nodi

Per eseguire la manutenzione di uno dei nodi:

Nel nodo attivo arrestare il cluster di failover utilizzando il comando klfoc -stopcluster --stp klfoc.
Nel nodo di cui si desidera eseguire la manutenzione accedere a <Disco>:\Programmi (x86)\Kaspersky Lab\Kaspersky Security Center.
Aprire la riga di comando, quindi scollegare il nodo dal cluster eseguendo il comando detach_node.cmd.
Nel nodo attivo avviare il cluster di failover utilizzando il comando klfoc -startcluster --stp klfoc.
Eseguire le attività di manutenzione.
Nel nodo attivo arrestare il cluster di failover utilizzando il comando klfoc -stopcluster --stp klfoc.
Nel nodo di cui è stata eseguita la manutenzione accedere a <Disco>:\Programmi (x86)\Kaspersky Lab\Kaspersky Security Center.
Aprire la riga di comando, quindi collegare il nodo al cluster eseguendo il comando attach_node.cmd.
Nel nodo attivo avviare il cluster di failover utilizzando il comando klfoc -startcluster --stp klfoc.

Viene eseguita la manutenzione del nodo, che viene quindi collegato al cluster di failover.

Vedere anche:

Informazioni sul cluster di failover Kaspersky Security Center

Scenario: Distribuzione di un cluster di failover Kaspersky Security Center

Inizio pagina

[Topic 204942]

Installazione di Administration Server in un cluster di failover di Windows Server

La procedura di installazione di Administration Server in un cluster di failover è diversa dall'installazione standard e personalizzata in un dispositivo indipendente.

Eseguire la procedura descritta in questa sezione nel nodo contenente un archivio dati comune del cluster.

Per installare Kaspersky Security Center Administration Server in un cluster:

Eseguire il file eseguibile ksc_<numero versione>.<numero build>_full_<lingua localizzazione>.exe.

In questa sezione

Passaggio 1. Visualizzazione del Contratto di licenza e dell'Informativa sulla privacy

Passaggio 2. Selezionare il tipo di installazione nel cluster

Passaggio 3. Definizione del nome dell'Administration Server virtuale

Passaggio 4. Definizione dei dettagli di rete dell'Administration Server virtuale

Passaggio 5. Definizione di un gruppo di cluster

Passaggio 6. Per selezionare un archivio dati del cluster

Passaggio 7. Definizione di un account per l'installazione remota

Passaggio 8. Selezione dei componenti da installare

Passaggio 9. Selezione delle dimensioni della rete

Passaggio 10. Selezione di un database

Passaggio 11. Configurazione di SQL Server

Passaggio 12. Selezione di un metodo di autenticazione

Passaggio 13. Selezione dell'account per l'avvio di Administration Server

Passaggio 14. Selezione dell'account per l'esecuzione dei servizi di Kaspersky Security Center

Passaggio 15. Selezione di una cartella condivisa

Passaggio 16. Configurazione della connessione ad Administration Server

Passaggio 17. Definizione dell'indirizzo di Administration Server

Passaggio 18. Indirizzo di Administration Server per la connessione dei dispositivi mobili

Passaggio 19. Decompressione e installazione dei file nel disco rigido

Inizio pagina

[Topic 67868_2]

Passaggio 1. Visualizzazione del Contratto di licenza e dell'Informativa sulla privacy

A questo punto dell'Installazione guidata, è necessario leggere il Contratto di licenza tra l'utente e Kaspersky, nonché l'Informativa sulla privacy.

L'installazione dell'applicazione nel dispositivo continuerà dopo la selezione di entrambe le caselle di controllo.

Se non si accetta il Contratto di licenza o l'Informativa sulla privacy, annullare l'installazione facendo clic sul pulsante Annulla.

Inizio pagina

[Topic 205038]

Passaggio 2. Selezionare il tipo di installazione nel cluster

Selezionare il tipo di installazione nel cluster:

Cluster (installa in tutti i nodi del cluster)
Questa è l'opzione consigliata. Se si seleziona questa opzione, Administration Server verrà installato in tutti i nodi del cluster contemporaneamente.

Nel passaggio in cui si seleziona l'Administration Console per l'installazione, sarà necessario selezionare la console che verrà installata nel nodo del cluster corrente. Se si installa una console solo nel nodo del cluster, in caso di errore del nodo si perderà l'accesso ad Administration Server. Durante questo passaggio, si consiglia di selezionare l'Administration Console basata su MMC per l'installazione in tutti i nodi del cluster. Dopo aver installato Administration Server, installare Kaspersky Security Center Web Console in un dispositivo separato che non sia un nodo del cluster. In questo modo, è possibile gestire Administration Server utilizzando Kaspersky Security Center Web Console in caso di errore dei nodi del cluster.
In locale (installa solo in questo dispositivo)
Se si seleziona questa opzione, Administration Server verrà installato solo nel nodo corrente, come in un server indipendente, e Administration Server non funzionerà come un'applicazione che riconosce i cluster. È ad esempio possibile scegliere questa opzione per risparmiare spazio di archiviazione condiviso, se la tolleranza agli errori non è necessaria per Administration Server. In caso di errore del nodo corrente sarà necessario installare Administration Server in un altro nodo e ripristinare lo stato di Administration Server da un backup.

Gli altri passaggi sono gli stessi di quando si utilizza il metodo di installazione standard o personalizzato, a partire dal passaggio di selezione del metodo di installazione.

Inizio pagina

[Topic 205041]

Passaggio 3. Definizione del nome dell'Administration Server virtuale

Specificare il nome di rete del nuovo Administration Server virtuale. Sarà possibile utilizzare questo nome per connettere Administration Console o Kaspersky Security Center Web Console ad Administration Server.

Il nome specificato deve essere diverso dal nome del cluster.

Inizio pagina

[Topic 205044]

Passaggio 4. Definizione dei dettagli di rete dell'Administration Server virtuale

Per specificare i dettagli di rete della nuova istanza dell'Administration Server virtuale:

In Rete da utilizzare selezionare la rete del dominio a cui è connesso il nodo del cluster corrente.
Eseguire una delle seguenti operazioni:
- Se il server DHCP viene utilizzato nella rete selezionata per assegnare gli indirizzi IP, selezionare l'opzione Usa DHCP.
- Se il server DHCP non viene utilizzato nella rete selezionata, specificare l'indirizzo IP richiesto.
  L'indirizzo IP specificato deve essere diverso dall'indirizzo IP del cluster.
Fare clic su Aggiungi per applicare le impostazioni specificate.

Sarà possibile utilizzare l'indirizzo IP assegnato automaticamente o specificato per connettere Administration Console o Kaspersky Security Center Web Console ad Administration Server.

Inizio pagina

[Topic 205049]

Passaggio 5. Definizione di un gruppo di cluster

Un gruppo di cluster è uno speciale ruolo del cluster di failover che contiene risorse comuni per tutti i nodi. Sono disponibili due opzioni:

Creazione di un nuovo gruppo di cluster.
Questa opzione è consigliata nella maggior parte dei casi. Il nuovo gruppo di cluster conterrà tutte le risorse comuni relative all'istanza di Administration Server.
Selezione di un gruppo di cluster esistente.
Selezionare questa opzione se si desidera utilizzare una risorsa comune già associata a un gruppo di cluster esistente. È ad esempio possibile utilizzare questa opzione se si desidera utilizzare un archivio associato a un gruppo di cluster esistente e se non sono disponibili altri archivi per un nuovo gruppo di cluster.

Inizio pagina

[Topic 205064]

Passaggio 6. Per selezionare un archivio dati del cluster

Per selezionare un archivio dati del cluster:

In Archivi disponibili selezionare l'archivio dati in cui verranno installate le risorse comuni dell'istanza dell'Administration Server virtuale.
Se l'archivio dati selezionato contiene diversi volumi, in Sezioni disponibili nell'unità disco selezionare il volume desiderato.
In Percorso di installazione immettere il percorso nell'archivio dati comune in cui verranno installate le risorse dell'istanza dell'Administration Server virtuale.

L'archivio dati è selezionato.

Inizio pagina

[Topic 205065]

Passaggio 7. Definizione di un account per l'installazione remota

Specificare il nome utente e la password che verranno utilizzati per l'installazione remota dell'istanza dell'Administration Server virtuale in un nodo passivo del cluster.

All'account specificato devono essere concessi privilegi amministrativi in tutti i nodi del cluster.

Inizio pagina

[Topic 205067]

Passaggio 8. Selezione dei componenti da installare

Selezionare i componenti di Kaspersky Security Center Administration Server che si desidera installare:

Mobile Device Management. Selezionare questa casella di controllo se è necessario creare pacchetti di installazione per i dispositivi mobili durante l'esecuzione dell'Installazione guidata di Kaspersky Security Center. È inoltre possibile creare pacchetti di installazione per i dispositivi mobili manualmente, dopo l'installazione di Administration Server, utilizzando gli strumenti di Administration Console.
Agente SNMP. Questo componente riceve informazioni statistiche per Administration Server tramite il protocollo SNMP. Il componente è disponibile se l'applicazione viene installata in un dispositivo in cui è installato SNMP.
Dopo l'installazione di Kaspersky Security Center, i file .mib necessari per la ricezione delle statistiche saranno disponibili nella sottocartella SNMP della cartella di installazione dell'applicazione.

Network Agent e Administration Console non vengono visualizzati nell'elenco dei componenti. Questi componenti vengono installati automaticamente e non è possibile annullarne l'installazione.

Inizio pagina

[Topic 205068]

Passaggio 9. Selezione delle dimensioni della rete

Nella tabella seguente sono elencate le impostazioni di installazione dell'applicazione e relative all'aspetto dell'interfaccia, a seconda delle diverse dimensioni della rete.

Dipendenza delle impostazioni di installazione dalle dimensioni della rete selezionate

Impostazioni	Da 1 a 100 dispositivi	Da 101 a 1000 dispositivi	Da 1001 a 5000 dispositivi	Più di 5000 dispositivi
Visualizzazione nella struttura della console con il nodo degli Administration Server secondari e virtuali e di tutte le impostazioni correlate agli Administration Server secondari e virtuali	Non disponibile	Non disponibile	Disponibile	Disponibile
Visualizzazione con le sezioni Protezione nella finestra delle proprietà degli Administration Server e dei gruppi di amministrazione	Non disponibile	Non disponibile	Disponibile	Disponibile
Distribuzione casuale del tempo di avvio per l'attività di aggiornamento nei dispositivi client	Non disponibile	In un intervallo di 5 minuti	In un intervallo di 10 minuti	In un intervallo di 10 minuti

Inizio pagina

[Topic 205069]

Passaggio 10. Selezione di un database

In questo passaggio della procedura guidata, selezionare uno dei seguenti sistemi di gestione dei database (DBMS) che verrà utilizzato per archiviare il database di Administration Server:

Microsoft SQL Server o SQL Server Express
MySQL o MariaDB
PostgreSQL o Postgres Pro

Inizio pagina

[Topic 205070]

Passaggio 11. Configurazione di SQL Server

In questa fase della procedura guidata, specificare le seguenti impostazioni di connessione, a seconda del sistema di gestione del database (DBMS) selezionato:

Se è stato selezionato Microsoft SQL Server o SQL Server Express nel passaggio precedente:
- Nel campo Nome istanza SQL Server specificare il nome di SQL Server nella rete. Per visualizzare un elenco di tutti gli SQL Server presenti nella rete, fare clic sul pulsante Sfoglia. Questo campo è vuoto per impostazione predefinita.
  Se ci si connette a SQL Server tramite una porta personalizzata, oltre al nome host di SQL Server specificare il numero di porta separato da una virgola, ad esempio:
  
  SQL_Server_host_name,1433
  
  Se si protegge la comunicazione tra Administration Server e SQL Server tramite un certificato, specificare nel campo Nome istanza SQL Server lo stesso nome host utilizzato durante la generazione del certificato. Se si utilizza un'istanza denominata di SQL Server, oltre al nome host di SQL Server specificare il numero di porta separato da una virgola, ad esempio:
  
  SQL_Server_name,1433
  
  Se si utilizzano più istanze SQL Server nello stesso host, specificare anche il nome dell'istanza separato da una barra rovesciata, ad esempio:
  
  SQL_Server_name\SQL_Server_instance_name,1433
  
  Se in un SQL Server nella rete aziendale è abilitata la funzionalità Always On, specificare il nome del listener del gruppo di disponibilità nel campo Nome istanza SQL Server. Administration Server supporta solo la modalità di disponibilità con commit sincrono quando la funzionalità Always On è abilitata.
- Nel campo Nome database specificare il nome del DBMS creato per l'archiviazione dei dati di Administration Server. Il valore predefinito è KAV.
Se in questo passaggio si desidera installare SQL Server nel dispositivo da cui si esegue l'installazione di Kaspersky Security Center, è necessario arrestare l'installazione e riavviarla dopo l'installazione di SQL Server. Le versioni di SQL Server supportate sono elencate nei requisiti di sistema.

Se si desidera installare SQL Server in un dispositivo remoto, non è necessario interrompere l'Installazione guidata di Kaspersky Security Center. Installare SQL Server e riprendere l'installazione di Kaspersky Security Center.
Se è stato selezionato MySQL o MariaDB nel passaggio precedente:
- Nel campo Nome istanza SQL Server specificare il nome dell'istanza DBMS. Per impostazione predefinita, il nome è l'indirizzo IP del dispositivo in cui deve essere installato Kaspersky Security Center.
- Nel campo Porta specificare la porta per la connessione di Administration Server al DBMS. Il numero di porta predefinito è 3306.
- Nel campo Nome database specificare il nome del DBMS creato per l'archiviazione dei dati di Administration Server. Il valore predefinito è KAV.
Se è stato selezionato PostgreSQL o Postgres Pro nel passaggio precedente:
- Nel campo PostgreSQL o Postgres Pro Server specificare il nome dell'istanza DBMS. Per impostazione predefinita, il nome è l'indirizzo IP del dispositivo in cui deve essere installato Kaspersky Security Center.
- Nel campo Porta specificare la porta per la connessione di Administration Server al DBMS. Il numero di porta predefinito è 5432.

Nel campo Nome database specificare il nome del DBMS creato per l'archiviazione dei dati di Administration Server. Il valore predefinito è KAV.

Inizio pagina

[Topic 205071]

Passaggio 12. Selezione di un metodo di autenticazione

Determinare la modalità di autenticazione che verrà utilizzata durante la connessione di Administration Server al sistema di gestione dei database (DBMS).

A seconda del DBMS selezionato, è possibile scegliere tra le seguenti modalità di autenticazione:

Per SQL Express o Microsoft SQL Server selezionare una delle seguenti opzioni:
- Modalità di autenticazione Microsoft Windows. Per la verifica dei diritti viene utilizzato l'account utilizzato per l'avvio di Administration Server.
- Modalità di autenticazione SQL Server. Se si seleziona questa opzione, per verificare i diritti di accesso verrà utilizzato l'account specificato nella finestra. Compilare i campi Account e Password.
  Per visualizzare la password immessa, tenere premuto il pulsante Mostra.
Per entrambe le modalità di autenticazione, l'applicazione verifica se il database è disponibile. Se il database non è disponibile, viene visualizzato un messaggio di errore ed è necessario fornire le credenziali corrette.

Se il database di Administration Server è memorizzato in un altro dispositivo e l'account di Administration Server non dispone dell'accesso al server di database, è necessario utilizzare la modalità di autenticazione SQL Server durante l'installazione o l'upgrade di Administration Server. Questa situazione può verificarsi quando il dispositivo in cui è memorizzato il database è esterno al dominio o quando Administration Server viene installato utilizzando un account LocalSystem.

Per MySQL, MariaDB, PostgreSQL o Postgres Pro, specificare l'account e la password.

Inizio pagina

[Topic 205073]

Passaggio 13. Selezione dell'account per l'avvio di Administration Server

Selezionare l'account che verrà utilizzato per avviare Administration Server come servizio.

Genera automaticamente l'account. L'applicazione crea un account denominato KL-AK-* che verrà utilizzato per l'esecuzione del servizio kladminserver.
È possibile selezionare questa opzione se si intende collocare la cartella condivisa e il DBMS nello stesso dispositivo di Administration Server.
Selezionare un account. Il servizio Administration Server (kladminserver) verrà eseguito utilizzando l'account selezionato.
Sarà necessario selezionare un account di dominio se ad esempio si intende utilizzare come DBMS un'istanza di SQL Server di qualsiasi versione, tra cui SQL Express, che si trova in un altro dispositivo e/o si intende collocare la cartella condivisa in un altro dispositivo.

Kaspersky Security Center supporta gli account del servizio gestito (MSA) e gli account del servizio gestito di gruppo (gMSA). Se nel dominio vengono utilizzati questi tipi di account, è possibile selezionarne uno come account del servizio Administration Server.

Prima di specificare un account MSA o gMSA, è necessario installare l'account nello stesso dispositivo in cui si desidera installare Administration Server. Se l'account non è ancora stato installato, annullare l'installazione di Administration Server, installare l'account e quindi riavviare l'installazione di Administration Server. Per informazioni dettagliate sull'installazione degli account del servizio gestito in un dispositivo locale, consultare la documentazione ufficiale di Microsoft.

Per specificare un account MSA o gMSA:
1. Fare clic sul pulsante Sfoglia.
2. Nella finestra visualizzata fare clic sul pulsante Tipo di oggetto.
3. Selezionare il tipo Account per servizi e fare clic su OK.
4. Selezionare l'account desiderato, quindi fare clic su OK.

L'account selezionato deve disporre di diverse autorizzazioni, a seconda del DBMS che si intende utilizzare.

Per motivi di sicurezza, non assegnare lo stato privilegiato all'account utilizzato per l'esecuzione di Administration Server.

L'account di Administration Server non potrà essere modificato in seguito. È necessario reinstallare il cluster di failover per utilizzare un altro account di Administration Server.

Inizio pagina

[Topic 205074]

Passaggio 14. Selezione dell'account per l'esecuzione dei servizi di Kaspersky Security Center

Selezionare l'account con cui verranno eseguiti i servizi di Kaspersky Security Center nel dispositivo:

Genera automaticamente l'account. Kaspersky Security Center crea un account locale denominato KlScSvc nel dispositivo nel gruppo kladmins. I servizi di Kaspersky Security Center verranno eseguiti utilizzando l'account creato.
Selezionare un account. I servizi di Kaspersky Security Center verranno eseguiti tramite l'account selezionato.
Sarà necessario selezionare un account di dominio se si intende, ad esempio, salvare i rapporti in una cartella disponibile in un altro dispositivo o se questo è richiesto dal criterio di protezione dell'organizzazione. È inoltre necessario selezionare un account di dominio se si installa Administration Server in un cluster di failover.

Per motivi di sicurezza, non concedere lo stato di privilegiato all'account con cui vengono eseguiti i servizi.

Inizio pagina

[Topic 205077]

Passaggio 15. Selezione di una cartella condivisa

Definire il percorso e il nome della cartella condivisa che verrà utilizzata per:

Memorizzare i file necessari per l'installazione remota delle applicazioni (i file vengono copiati in Administration Server durante la creazione dei pacchetti di installazione).
Memorizzare gli aggiornamenti che sono stati scaricati da una sorgente degli aggiornamenti in Administration Server.

La condivisione file (in sola lettura) sarà abilitata per tutti gli utenti.

È possibile selezionare una delle seguenti opzioni:

Crea cartella condivisa. Verrà creata una nuova cartella. Nella casella di testo specificare il percorso della cartella.
Selezionare una cartella condivisa esistente. Selezionare una cartella condivisa già esistente.

Per impostazione predefinita, il programma di installazione crea una sottocartella locale SHARE nella cartella del programma che contiene i componenti di Kaspersky Security Center.

È possibile definire una cartella condivisa successivamente, se necessario.

Inizio pagina

[Topic 205079]

Passaggio 16. Configurazione della connessione ad Administration Server

Configurare la connessione ad Administration Server:

Porta
il numero della porta utilizzata per la connessione ad Administration Server.

Il numero di porta predefinito è 14000.
Porta SSL
Numero della porta SSL (Secure Sockets Layer) utilizzata per la connessione protetta ad Administration Server tramite SSL.

Il numero di porta predefinito è 13000.
Lunghezza della chiave di criptaggio
Selezionare la lunghezza della chiave di criptaggio: 1024 o 2048 bit.

Una chiave di criptaggio a 1024 bit genera un carico inferiore sulla CPU, ma viene considerata obsoleta poiché non è in grado di garantire un criptaggio affidabile per via delle specifiche tecniche. Inoltre, è possibile che l'hardware esistente risulti incompatibile con i certificati SSL dotati di chiavi a 1024 bit.

Una chiave di criptaggio a 2048 bit soddisfa tutti i più avanzati standard di criptaggio. Tuttavia, l'utilizzo di una chiave di criptaggio a 2048 bit può incrementare il carico sulla CPU.

Per impostazione predefinita, l'opzione 2048 bit (migliore protezione) è selezionata.

È inoltre possibile modificare i parametri per la connessione ad Administration Server in un secondo momento come segue:

È possibile modificare i numeri di porta e SSL nella sezione Porte di connessione delle proprietà di Administration Server. Per ulteriori informazioni sulle porte di connessione di Administration Server, vedere Porte utilizzate da Kaspersky Security Center.
È possibile modificare la lunghezza della chiave di criptaggio quando si sostituisce il certificato di Administration Server con l'utilità klsetsrvcert utilizzando il parametro -o RsaKeyLen:<lunghezza della chiave>.

Inizio pagina

[Topic 205081]

Passaggio 17. Definizione dell'indirizzo di Administration Server

Specificare l'indirizzo di Administration Server. È possibile selezionare una delle seguenti opzioni:

Nome dominio DNS. È possibile utilizzare questo metodo quando la rete include un server DNS e i dispositivi client possono utilizzarlo per ricevere l'indirizzo di Administration Server.
Nome NetBIOS. È possibile utilizzare questo metodo quando i dispositivi client ricevono l'indirizzo di Administration Server tramite il protocollo NetBIOS o se nella rete è disponibile un server WINS.
Indirizzo IP. È possibile utilizzare questo metodo se Administration Server ha un indirizzo IP statico, che non verrà modificato in futuro.

Inizio pagina

[Topic 205083]

Passaggio 18. Indirizzo di Administration Server per la connessione dei dispositivi mobili

Questo passaggio dell'Installazione guidata è disponibile se si seleziona per l'installazione Mobile Device Management.

Inizio pagina

[Topic 205153]

Passaggio 19. Decompressione e installazione dei file nel disco rigido

Al termine della configurazione dell'installazione dei componenti di Kaspersky Security Center, è possibile avviare l'installazione dei file sul disco rigido.

Nell'ultima pagina è possibile selezionare quale console avviare per l'utilizzo di Kaspersky Security Center:

Avvia Administration Console basata su MMC
Avvia Kaspersky Security Center Web Console
Questa opzione è disponibile solo se si è scelto di installare Kaspersky Security Center Web Console in uno dei passaggi precedenti.

È inoltre possibile fare clic su Fine per chiudere la procedura guidata senza avviare l'utilizzo di Kaspersky Security Center. È possibile avviare l'utilizzo in qualsiasi momento.

Al primo avvio di Administration Console o di Kaspersky Security Center Web Console è possibile eseguire la configurazione iniziale dell'applicazione.

Inizio pagina

[Topic 73098]

Installazione di Administration Server in modalità automatica

Administration Server può essere installato in modalità automatica, ovvero senza l'input interattivo delle impostazioni di installazione.

Per installare Administration Server in un dispositivo locale in modalità automatica:

Leggere il Contratto di licenza con l'utente finale. Utilizzare il comando di seguito solo se sono stati compresi e accettati i termini del Contratto di licenza con l'utente finale.
Leggere l'Informativa sulla privacy. Utilizzare il comando di seguito solo se si accetta che i dati vengano gestiti e trasmessi (anche a paesi terzi) come descritto nell'Informativa sulla privacy.
Eseguire il comando
setup.exe /s /v"DONT_USE_ANSWER_FILE=1 EULA=1 PRIVACYPOLICY=1 <parametri_installazione>"

dove setup_parameters è un elenco di parametri e dei valori corrispondenti separati da spazi (PARAM1=PARAM1VAL PARAM2=PARAM2VAL). Il file setup.exe è posizionato nella cartella Server, appartenente al kit di distribuzione di Kaspersky Security Center.

I nomi e i possibili valori per i parametri che è possibile utilizzare durante l'installazione di Administration Server in modalità automatica sono elencati nella seguente tabella.

Parametri dell'installazione di Administration Server in modalità automatica

Nome del parametro	Descrizione del parametro	Valori disponibili
EULA	Accettazione dei termini del Contratto di licenza.	1 - Ho letto, compreso e accettato i termini del Contratto di licenza con l'utente finale. Altri valori o nessun valore- Non accetto i termini del Contratto di licenza (l'installazione non viene eseguita).
PRIVACYPOLICY	Accettazione dei termini dell'Informativa sulla privacy.	1 - Sono consapevole e accetto che i miei dati vengano gestiti e trasmessi (anche a paesi terzi) come descritto nell'Informativa sulla privacy. Confermo di aver letto e compreso l'Informativa sulla privacy. Altro valore o nessun valore- Non accetto i termini dell'Informativa sulla privacy (l'installazione non viene eseguita).
INSTALLATIONMODETYPE	Tipo di installazione di Administration Server.	Standard – Installazione standard. Custom – Installazione personalizzata.
INSTALLDIR	Percorso della cartella di installazione di Administration Server.	Valore stringa.
ADDLOCAL	Elenco dei componenti di Administration Server (separati da virgole) da installare.	CSAdminKitServer, NAgent, CSAdminKitConsole, NSAC, MobileSupport, KSNProxy, SNMPAgent, GdiPlusRedist, Microsoft_VC90_CRT_x86, Microsoft_VC100_CRT_x86. Elenco minimo di componenti sufficienti per la corretta installazione di Administration Server: `ADDLOCAL=CSAdminKitServer, CSAdminKitConsole, KSNProxy, Microsoft_VC90_CRT_x86, Microsoft_VC100_CRT_x86`.
NETRANGETYPE	Dimensioni della rete (numero di dispositivi della rete).	NRT_1_100 – Da 1 a 100 dispositivi. NRT_100_1000 – Da 101 a 1000 dispositivi. NRT_GREATER_1000 – Oltre 1000 dispositivi.
SRV_ACCOUNT_TYPE	Modalità di specificazione di un account con cui Administration Server verrà eseguito come servizio.	SrvAccountDefault – L'account viene creato automaticamente. SrvAccountUser – L'account utente è specificato manualmente. In questo caso, è necessario specificare i valori per i parametri `SERVERACCOUNTNAME` e `SERVERACCOUNTPWD`.
SERVERACCOUNTNAME	Nome dell'account con cui Administration Server verrà eseguito come servizio. È necessario specificare un valore per il parametro se SRV_ACCOUNT_TYPE=SrvAccountUser.	Valore stringa.
SERVERACCOUNTPWD	Password dell'account che verrà utilizzato per avviare Administration Server come servizio. È necessario specificare un valore per il parametro se SRV_ACCOUNT_TYPE=SrvAccountUser.	Valore stringa.
SERVERCER	Dimensione della chiave per il certificato di Administration Server (in bit).	1 - La dimensione della chiave per il certificato di Administration Server è di 2048 bit. Nessun valore - La dimensione della chiave per il certificato di Administration Server è di 1024 bit.
DBTYPE	Tipo di database che verrà utilizzato per archiviare il database di Administration Server. Questo parametro è obbligatorio.	MySQL - Verrà utilizzato un database MySQL o MariaDB. In questo caso, è necessario specificare i valori per i parametri `MYSQLSERVERNAME`, `MYSQLSERVERPORT`, `MYSQLDBNAME`, `MYSQLACCOUNTNAME` e `MYSQLACCOUNTPWD`. MSSQL - Verrà utilizzato il database Microsoft SQL Server (SQL Express). In questo caso, è necessario specificare i valori per i parametri `MSSQLSERVERNAME`, `MSSQLDBNAME` e `MSSQLAUTHTYPE`. POSTGRES: verrà utilizzato un database PostgreSQL o Postgres Pro. In questo caso, è necessario specificare i valori per i parametri `POSTGRESSERVERNAME`, `POSTGRESSERVERPORT`, `POSTGRESDBNAME`, `POSTGRESACCOUNTNAME` e `POSTGRESACCOUNTPWD`.
MYSQLSERVERNAME	Nome completo del server SQL. È necessario specificare un valore per il parametro se DBTYPE=MySQL.	Valore stringa.
MYSQLSERVERPORT	Numero di porta per la connessione al server SQL. È necessario specificare un valore per il parametro se DBTYPE=MySQL.	Valore numerico.
MYSQLDBNAME	Nome del database che verrà creato per archiviare i dati di Administration Server. È necessario specificare un valore per il parametro se DBTYPE=MySQL.	Valore stringa.
MYSQLACCOUNTNAME	Nome dell'account per la connessione al database. È necessario specificare un valore per il parametro se DBTYPE=MySQL.	Valore stringa.
MYSQLACCOUNTPWD	Password dell'account per la connessione al database. È necessario specificare un valore per il parametro se DBTYPE=MySQL.	Valore stringa.
MSSQLSERVERNAME	Nome completo del server SQL. È necessario specificare un valore per il parametro se DBTYPE=MSSQL.	Valore stringa.
MSSQLDBNAME	Nome del database. È necessario specificare un valore per il parametro se DBTYPE=MSSQL.	Valore stringa.
MSSQLAUTHTYPE	Tipo di autorizzazione durante la connessione al server SQL. È necessario specificare un valore per il parametro se DBTYPE=MSSQL.	Windows – Modalità di Autenticazione di Microsoft Windows. SQLServer – Modalità di Autenticazione SQL Server. In questo caso, è necessario specificare i valori per i parametri `MSSQLACCOUNTNAME` e `MSSQLACCOUNTPWD`.
MSSQLACCOUNTNAME	Nome dell'account per la connessione al server SQL. È necessario specificare un valore per il parametro se MSSQLAUTHTYPE=SQLServer.	Valore stringa.
MSSQLACCOUNTPWD	Password dell'account per la connessione al server SQL. È necessario specificare un valore per il parametro se MSSQLAUTHTYPE=SQLServer.	Valore stringa.
CREATE_SHARE_TYPE	Metodo per la specificazione della cartella condivisa.	Create - Creare una nuova cartella condivisa. In questo caso, è necessario specificare i valori per i parametri `SHARELOCALPATH` e `SHAREFOLDERNAME`. ChooseExisting - Selezionare una cartella esistente. In questo caso, è necessario specificare un valore per il parametro `EXISTSHAREFOLDERNAME`.
SHARELOCALPATH	Percorso completo di una cartella locale. È necessario specificare un valore per il parametro se CREATE_SHARE_TYPE=Create	Valore stringa.
SHAREFOLDERNAME	Nome di rete di una cartella condivisa. È necessario specificare un valore per il parametro se CREATE_SHARE_TYPE=Create.	Valore stringa.
EXISTSHAREFOLDERNAME	Percorso completo di una cartella condivisa esistente. È necessario specificare un valore per il parametro se CREATE_SHARE_TYPE=ChooseExisting.	Valore stringa.
SERVERPORT	Numero di porta per la connessione ad Administration Server.	Valore numerico.
SERVERSSLPORT	Numero di porta per la connessione criptata ad Administration Server tramite il protocollo SSL.	Valore numerico.
SERVERADDRESS	Indirizzo di Administration Server.	Valore stringa.
MOBILESERVERADDRESS	Indirizzo di Administration Server per la connessione dei dispositivi mobili.	Valore stringa.

Per una descrizione dettagliata dei parametri di installazione di Administration Server, fare riferimento alla sezione Installazione personalizzata.

Vedere anche:

Inizio pagina

[Topic 56214]

Installazione di Administration Console nella workstation dell'amministratore

È possibile installare separatamente Administration Console nella workstation dell'amministratore e gestire Administration Server tramite la rete utilizzando tale console.

Per installare Administration Console nella workstation dell'amministratore:

Eseguire il file eseguibile setup.exe.
Verrà visualizzata una finestra che richiede di selezionare le applicazioni Kaspersky da installare.
Nella finestra di selezione delle applicazioni, fare clic sul collegamento Installa solo Kaspersky Security Center Administration Console per eseguire l'Installazione guidata di Administration Console. Seguire le istruzioni della procedura guidata.
Selezionare una cartella di destinazione. Per impostazione predefinita, è selezionata la cartella <Unità>:\Program Files\Kaspersky Lab\Kaspersky Security Center Console. Se tale cartella non esiste, verrà creata automaticamente durante l'installazione. È possibile modificare la cartella di destinazione utilizzando il pulsante Sfoglia.
Nell'ultima pagina dell'Installazione guidata, fare clic sul pulsante Avvia per avviare l'installazione di Administration Console.

Al termine della procedura guidata, Administration Console sarà installato nella workstation dell'amministratore.

Per installare Administration Console nella workstation dell'amministratore in modalità automatica:

Leggere il Contratto di licenza con l'utente finale. Utilizzare il comando di seguito solo se sono stati compresi e accettati i termini del Contratto di licenza con l'utente finale.
Nella cartella Distrib\Console del kit di distribuzione di Kaspersky Security Center eseguire il file setup.exe utilizzando il seguente comando:
setup.exe /s /v"EULA=1"

Se si desidera installare tutti i plug-in di gestione dalla cartella Distrib\Console\Plugins insieme ad Administration Console, eseguire il seguente comando:

setup.exe /s /v"EULA=1" /pALL

Se si desidera specificare quali plug-in di gestione installare dalla cartella Distrib\Console\Plugins insieme ad Administration Console specificare i plug-in dopo "/p" e separarli con un punto e virgola:

setup.exe /s /v"EULA=1" /pP1;P2;P3

dove P1, P2, P3 sono nomi di plug-in che corrispondono ai nomi delle cartelle dei plug-in nella cartella Distrib\Console\Plugins. Ad esempio:

setup.exe /s /v"EULA=1" /pKES4Mac;KESS;MDM4IOS

Administration Console e i plug-in di gestione (se presenti) verranno installati nella workstation dell'amministratore.

Dopo l'installazione di Administration Console, è necessario eseguire la connessione ad Administration Server. A tale scopo, eseguire Administration Console e, nella finestra visualizzata, specificare il nome o l'indirizzo IP del dispositivo in cui è installato Administration Server e le impostazioni dell'account utilizzato per la connessione. Una volta stabilita la connessione all'Administration Server, è possibile gestire il sistema di protezione anti-virus utilizzando Administration Console.

È possibile rimuovere Administration Console utilizzando gli strumenti standard di Microsoft Windows per l'aggiunta e la rimozione di applicazioni.

Vedere anche:

Inizio pagina

[Topic 25950]

Modifiche apportate al sistema dopo l'installazione di Kaspersky Security Center

Icona Administration Console

In seguito all'installazione di Administration Console nel dispositivo, viene visualizzata la relativa icona, che consente di avviare Administration Console. Administration Console è disponibile nel menu Start → Programmi → Kaspersky Security Center.

Servizi Administration Server e Network Agent

Administration Server e Network Agent verranno installati nel dispositivo come servizi con le proprietà elencate di seguito. La tabella contiene anche gli attributi di altri servizi che si applicano nel dispositivo al termine dell'installazione di Administration Server.

Proprietà dei servizi di Kaspersky Security Center

Componente	Nome servizio	Nome servizio visualizzato	Account
Administration Server	kladminserver	Kaspersky Security Center Administration Server	Account dedicato o definito dall'utente senza privilegi nel formato KL-AK-* creato durante l'installazione
Network Agent	klnagent	Kaspersky Security Center Network Agent	Sistema locale
Server Web per l'accesso a Kaspersky Security Center Web Console e l'amministrazione della rete Intranet dell'organizzazione	klwebsrv	Server Web di Kaspersky	Account KlScSvc dedicato senza privilegi
Server proxy di attivazione	klactprx	Server proxy di attivazione Kaspersky	Account KlScSvc dedicato senza privilegi
Server proxy KSN	ksnproxy	Server proxy Kaspersky Security Network	Account KlScSvc dedicato senza privilegi

Se si installa Kaspersky Security Center nei nodi del cluster di failover Kaspersky Security Center, il servizio klfocsvc_klfoc diventa disponibile. I servizi klnagent_klfoc e klfocsvc_klfoc vengono eseguiti con l'account di sistema locale. Il servizio kladminserver_klfoc deve essere eseguito con l'account "ksc" e gli altri servizi devono essere eseguiti con l'account "rightless". Gli account "ksc" e "rightless" devono essere aggiunti nel gruppo KLAdmins con le autorizzazioni dell'amministratore locale. Per il corretto funzionamento di Kaspersky Security Center, è necessario utilizzare solo gli account "ksc" e "rightless" per l'esecuzione dei servizi. Non è consigliabile utilizzare altri account con gli stessi diritti. La tabella seguente contiene le proprietà dei servizi applicati al dispositivo dopo l'installazione di Administration Server nel cluster di failover Kaspersky Security Center.

Proprietà dei servizi di Kaspersky Security Center installati nel cluster di failover Kaspersky Security Center

Componente	Nome servizio	Nome servizio visualizzato	Account
Administration Server	kladminserver_klfoc	Kaspersky Security Center Administration Server	ksc
Network Agent	klnagent_klfoc	Kaspersky Security Center Network Agent	Sistema locale
Server Web per l'accesso a Kaspersky Security Center Web Console e l'amministrazione della rete Intranet dell'organizzazione	klwebsrv_klfoc	Server Web di Kaspersky	rightless
Server proxy di attivazione	klactprx_klfoc	Server proxy di attivazione Kaspersky	rightless
Server proxy KSN	ksnproxy_klfoc	Server proxy Kaspersky Security Network	rightless
Cluster di failover Kaspersky Security Center	klfocsvc_klfoc	Cluster di failover Kaspersky Security Center	Sistema locale

Servizi di Kaspersky Security Center Web Console

Se si installa Kaspersky Security Center Web Console nel dispositivo, vengono distribuiti i seguenti servizi (vedere la tabella di seguito):

Servizi di Kaspersky Security Center Web Console

Nome servizio visualizzato	Account
Kaspersky Security Center Service Web Console	NT Service/KSCSvcWebConsole
Kaspersky Security Center Web Console	Servizio di rete
Kaspersky Security Center Product Plugins Server	NT Service/KSCWebConsolePlugin
Kaspersky Security Center Web Console Management Service	Sistema locale
Kaspersky Security Center Web Console Message Queue	NT Service/KSCWebConsoleMessageQueue

Versione del server Network Agent

La versione server di Network Agent verrà installata nel dispositivo insieme ad Administration Server. La versione server di Network Agent fa parte di Administration Server, viene installata e rimossa insieme ad Administration Server e può interagire solo con un Administration Server installato in locale. Non è necessario configurare la connessione di Network Agent ad Administration Server: la configurazione è implementata a livello di programmazione perché i componenti sono installati nello stesso dispositivo. La versione server di Network Agent è installata con le stesse proprietà della versione standard ed esegue le stesse funzioni di gestione delle applicazioni. Questa versione verrà gestita dal criterio del gruppo di amministrazione a cui appartiene il dispositivo client di Administration Server. Per la versione server di Network Agent, tutte le attività vengono create a partire dall'ambito di quelle fornite per Administration Server, ad eccezione dell'attività di modifica di Administration Server.

Network Agent non può essere installato separatamente in un dispositivo in cui è già installato Administration Server.

È possibile visualizzare le proprietà dei servizi di Administration Server e Network Agent, nonché monitorarne le operazioni utilizzando gli strumenti di gestione standard di Microsoft Windows: Gestione computer\Servizi. Le informazioni sull'attività del servizio Kaspersky Administration Server sono memorizzate nel registro di sistema di Microsoft Windows, in un ramo distinto del Registro eventi Kaspersky nel dispositivo in cui è installato Administration Server.

È consigliabile non avviare e arrestare manualmente i servizi e non apportare modifiche agli account del servizio nelle impostazioni del servizio. Se necessario, è possibile modificare l'account del servizio di Administration Server tramite l'utilità klsrvswch. È necessario avviare l'utilità klsrvswch nel dispositivo Administration Server con l'account con diritti di amministratore utilizzato per installare Administration Server.

Account utente e gruppi di sicurezza

Per impostazione predefinita, il programma di installazione di Administration Server crea i seguenti account:

KL-AK-*: account del servizio di Administration Server
KlScSvc: account per altri servizi del pool di Administration Server
KlPxeUser: account per la distribuzione dei sistemi operativi

Se si selezionano altri account per il servizio di Administration Server e altri servizi durante l'esecuzione del programma di installazione, vengono utilizzati gli account specificati.

Nel dispositivo in cui è installato Administration Server vengono inoltre creati automaticamente gruppi di protezione locali denominati KLAdmins e KLOperators con i rispettivi set di diritti.

Non è consigliabile eseguire l'installazione di Administration Server in un controller di dominio. Se tuttavia si installa Administration Server nel controller di dominio, è necessario avviare il programma di installazione con i diritti di amministratore di dominio. In tal caso, il programma di installazione crea automaticamente gruppi di protezione dei domini denominati KLAdmins e KLOperators. Se si installa Administration Server in un dispositivo che non è controller di dominio, è necessario avviare il programma di installazione con i diritti di amministratore locali. In tal caso, il programma di installazione crea automaticamente gruppi di protezione locali denominati KLAdmins e KLOperators.

Durante la configurazione delle notifiche e-mail, potrebbe essere necessario creare un account nel server di posta per l'autenticazione ESMTP.

Vedere anche:

Scenario: Upgrade di Kaspersky Security Center e delle applicazioni di protezione gestite

Inizio pagina

[Topic 6372]

Disinstallazione dell'applicazione

È possibile rimuovere Kaspersky Security Center con gli strumenti standard di Microsoft Windows per l'aggiunta e la rimozione di applicazioni. La rimozione dell'applicazione richiede l'avvio di una procedura guidata che rimuove tutti i componenti dell'applicazione dal dispositivo (compresi i plug-in). La procedura guidata fa in modo che il browser predefinito apra una pagina Web con un sondaggio in cui è possibile specificare perché è stato scelto di interrompere l'utilizzo di Kaspersky Security Center. Se nel corso della procedura guidata non è stata selezionata la rimozione della cartella condivisa (Share), è possibile eliminarla manualmente dopo il completamento di tutte le attività correlate.

Dopo la rimozione dell'applicazione, alcuni file possono rimanere nella cartella temporanea del sistema.

Durante la Creazione guidata attività di rimozione delle applicazioni, verrà offerta la possibilità di memorizzare una copia di backup di Administration Server.

Dopo la rimozione dell'applicazione da Microsoft Windows 7 e Microsoft Windows 2008, è possibile che la Creazione guidata attività di rimozione delle applicazioni venga terminata prima del completamento. È possibile evitare il problema disabilitando la funzionalità Controllo dell'account utente nel sistema operativo e riavviando la rimozione dell'applicazione.

Inizio pagina

[Topic 235425]

Informazioni sull'aggiornamento di Kaspersky Security Center

Questa sezione contiene informazioni su come aggiornare Kaspersky Security Center da una versione precedente. È possibile aggiornare Kaspersky Security Center in diversi modi, a seconda che Kaspersky Security Center sia stato installato in locale o nei nodi del cluster di failover Kaspersky Security Center.

Durante l'aggiornamento, l'utilizzo simultaneo del DBMS da parte di Administration Server e di un'altra applicazione non è consentito.

Quando si aggiorna Kaspersky Security Center da una versione precedente, tutti i plug-in installati delle applicazioni Kaspersky non vengono disinstallati. Viene eseguito l'aggiornamento automatico del plug-in di Administration Server e del plug-in di Network Agent (sia per Administration Console che per Kaspersky Security Center Web Console).

In questa sezione

Upgrade di Kaspersky Security Center da una versione precedente

Aggiornamento di Kaspersky Security Center nei nodi del cluster di failover Kaspersky Security Center

Inizio pagina

[Topic 179979]

Scenario: Upgrade di Kaspersky Security Center e delle applicazioni di protezione gestite

In questa sezione viene illustrato brevemente lo scenario principale per l'upgrade di Kaspersky Security Center e delle applicazioni di protezione gestite.

L'upgrade di Kaspersky Security Center e delle applicazioni di protezione gestite prevedono diversi passaggi:

Verifica dei requisiti hardware e software
Verificare che l'hardware soddisfi i requisiti e installare gli aggiornamenti richiesti.
Pianificazione delle risorse
Valutare quanto spazio su disco è occupato dal database. Verificare di disporre di spazio su disco sufficiente per archiviare la copia di backup delle impostazioni di Administration Server e del database.
Come ottenere il file del programma di installazione per Kaspersky Security Center
Recuperare il file eseguibile per la versione corrente di Kaspersky Security Center e salvarlo nel dispositivo che opererà come Administration Server. Leggere le note sulla release della versione di Kaspersky Security Center che si desidera utilizzare.
Creazione di una copia di backup della versione precedente
Utilizzare l'utilità di backup e ripristino dei dati per creare una copia di backup dei dati di Administration Server. È inoltre possibile creare un'attività di backup.

Si consiglia di esportare l'elenco dei plug-in installati.
Esecuzione del programma di installazione
Avviare il file eseguibile per la versione più recente di Kaspersky Security Center. Quando si esegue il file, specificare che si dispone di una copia di backup e indicarne la posizione. I dati verranno ripristinati dal backup.
Upgrade delle applicazioni gestite
È possibile eseguire l'upgrade dell'applicazione se è disponibile una versione più recente. Leggere l'elenco delle applicazioni Kaspersky supportate e verificare che la versione di Kaspersky Security Center in uso sia compatibile con questa applicazione. Eseguire quindi l'upgrade dell'applicazione come descritto nelle relative note sulla release.

Risultati

Al completamento dello scenario di upgrade, verificare che la nuova versione di Administration Server sia installata correttamente in Microsoft Management Console. Fare clic su Guida → Informazioni su Kaspersky Security Center. Verrà visualizzata la versione.

Per verificare che sia in uso la nuova versione di Administration Server in Kaspersky Security Center Web Console, nella parte superiore dello schermo, fare clic sull'icona delle impostazioni () accanto al nome di Administration Server. Nella finestra delle proprietà di Administration Server visualizzata, nella scheda Generale, selezionare la sezione Generale. Verrà visualizzata la versione.

Se è necessario, ripristinare i dati di Administration Server, attenersi alla procedura descritta nell'argomento seguente: Backup e ripristino dei dati in modalità interattiva.

Se è stato eseguito l'upgrade di un'applicazione di protezione gestita, verificare che sia installata correttamente nei dispositivi gestiti. Per ulteriori informazioni, consultare la documentazione dell'applicazione.

Inizio pagina

[Topic 6373]

Upgrade di Kaspersky Security Center da una versione precedente

Il seguente argomento descrive i passaggi di preparazione consigliati per l'upgrade: Upgrade di Kaspersky Security Center e delle applicazioni di protezione gestite.

È possibile installare la versione 14.2 di Administration Server in un dispositivo in cui è installata una versione precedente di Administration Server (a partire dalla versione 11 (11.0.0.1131b)). Durante l'upgrade alla versione 14.2, tutti i dati e le impostazioni della versione precedente di Administration Server vengono mantenuti.

Se si verificano problemi durante l'installazione, è possibile ripristinare la versione precedente di Administration Server utilizzando la copia di backup dei dati di Administration Server data creata prima dell'aggiornamento.

Dopo aver installato nella rete almeno un Administration Server della nuova versione, è possibile eseguire l'upgrade degli altri Administration Server nella rete tramite l'attività di installazione remota che utilizza il pacchetto di installazione di Administration Server.

Se è stato distribuito il cluster di failover Kaspersky Security Center, è inoltre possibile aggiornare Kaspersky Security Center nei suoi nodi.

Per eseguire l'upgrade di una versione precedente di Administration Server alla versione 14.2:

Eseguire il file eseguibile ksc_14.2_<numero build>_full_<lingua>.exe per la versione 14.2 (è possibile scaricare il file dal sito Web di Kaspersky).
Nella finestra di selezione delle applicazioni fare clic sul collegamento Installa Kaspersky Security Center 14.2 per avviare l'Installazione guidata di Administration Server. Seguire le istruzioni della procedura guidata.
Leggere il Contratto di licenza e l'Informativa sulla privacy. Se si accettano tutte le condizioni del Contratto di licenza e dell'Informativa sulla privacy, selezionare le seguenti caselle di controllo nella sezione Confermo di aver letto e compreso integralmente e di accettare quanto segue:
- Termini e condizioni del presente Contratto di licenza con l'utente finale
- Informativa sulla privacy in cui viene descritta la gestione dei dati
L'installazione dell'applicazione nel dispositivo continuerà dopo la selezione di entrambe le caselle di controllo. L'Installazione guidata richiede di creare un backup dei dati di Administration Server per la versione precedente.

Kaspersky Security Center supporta il ripristino dei dati da una copia di backup creato con una versione precedente di Administration Server.
Se si desidera creare un backup dei dati di Administration Server, specificarlo nella finestra Backup di Administration Server visualizzata.
L'utilità klbackup crea un backup. Questa utilità è inclusa nel kit di distribuzione ed è disponibile nella radice della cartella di installazione di Kaspersky Security Center.
Installare Administration Server versione 14.2 seguendo le istruzioni dell'Installazione guidata.
Se viene visualizzato un messaggio che informa l'utente che il servizio Kaspersky Security Center Web Console è occupato, fare clic sul pulsante Ignora nella finestra della procedura guidata.

È consigliabile non interrompere l'Installazione guidata. Se si annulla l'upgrade durante l'installazione di Administration Server possono verificarsi errori nella versione aggiornata di Kaspersky Security Center.
Per i dispositivi in cui è installata la versione precedente di Network Agent, creare ed eseguire l'attività di installazione remota per la nuova versione di Network Agent.
Si consiglia di aggiornare Network Agent per Linux alla stessa versione di Kaspersky Security Center.

Al termine dell'attività di installazione remota, viene eseguito l'upgrade della versione di Network Agent.

Vedere anche

Scenario: Aggiornamento periodico di database e applicazioni Kaspersky

Inizio pagina

[Topic 235429]

Aggiornamento di Kaspersky Security Center nei nodi del cluster di failover Kaspersky Security Center

È possibile installare Administration Server versione 14.2 in ogni nodo del cluster di failover Kaspersky Security Center in cui è installata una versione precedente dell'Administration Server (a partire dalla versione 13.2). Durante l'upgrade alla versione 14.2, tutti i dati e le impostazioni della versione precedente di Administration Server vengono mantenuti.

Se in precedenza Kaspersky Security Center è stato installato nei dispositivi in locale, è inoltre possibile aggiornare Kaspersky Security Center in questi dispositivi.

Per aggiornare Kaspersky Security Center nei nodi del cluster di failover Kaspersky Security Center:

Eseguire le seguenti azioni sul nodo attivo del cluster:
1. Eseguire il file eseguibile ksc_14.2_<numero build>_full_<lingua>.exe.
  Verrà visualizzata una finestra che richiede di selezionare le applicazioni Kaspersky da aggiornare. Fare clic sul collegamento Installazione di Kaspersky Security Center Administration Server per avviare l'Installazione guidata di Administration Server. Seguire le istruzioni della procedura guidata.
2. Leggere il Contratto di licenza e l'Informativa sulla privacy. Se si accettano tutte le condizioni del Contratto di licenza e dell'Informativa sulla privacy, selezionare le seguenti caselle di controllo nella sezione Confermo di aver letto e compreso integralmente e di accettare quanto segue:
  - Termini e condizioni del presente Contratto di licenza con l'utente finale
  - Informativa sulla privacy in cui viene descritta la gestione dei dati
  Selezionare entrambe le caselle di controllo per continuare l'installazione.
  
  Se il Contratto di licenza e l'Informativa sulla privacy non vengono accettati, fare clic sul pulsante Annulla per annullare l'aggiornamento.
Eseguire le stesse azioni sul nodo passivo del cluster di failover Kaspersky Security Center come sul nodo attivo.
Avviare il cluster.

A questo punto, risulta installata la versione più recente dell'Administration Server nei nodi del cluster di failover Kaspersky Security Center.

Inizio pagina

[Topic 171271]

Configurazione iniziale di Kaspersky Security Center

Questa sezione descrive le operazioni che è necessario eseguire dopo l'installazione di Kaspersky Security Center per eseguire la configurazione iniziale.

In questa sezione

Guida all'hardening

Avvio rapido guidato di Administration Server

Configurazione della connessione di Administration Console ad Administration Server

Configurazione delle impostazioni di accesso a Internet per Administration Server

Connessione dei dispositivi fuori sede

Criptaggio delle comunicazioni con TLS

Notifiche degli eventi

Configurazione dell'interfaccia

Inizio pagina

[Topic 236687]

Guida all'hardening

La Guida all'hardening è destinata ai professionisti che si occupano dell'installazione e dell'amministrazione di Kaspersky Security Center, nonché a quelli che forniscono assistenza tecnica alle organizzazioni che utilizzano Kaspersky Security Center.

Nella Guida all'hardening, sono descritti i suggerimenti e le caratteristiche della configurazione di Kaspersky Security Center e dei suoi componenti, intesi a ridurre i rischi di compromissione.

La Guida all'hardening include le seguenti informazioni:

Selezione dell'architettura di Administration Server
Configurazione di una connessione sicura ad Administration Server
Configurazione degli account per l'accesso ad Administration Server
Gestione della protezione di Administration Server e dei dispositivi client
Configurazione della protezione per le applicazioni gestite
Manutenzione di Administration Server
Trasferimento di informazioni ad applicazioni di terzi

Prima di iniziare a utilizzare Administration Server, Kaspersky Security Center richiede di leggere la versione breve della Guida all'hardening.

Si noti che non è possibile utilizzare Administration Server finché non si conferma di aver letto la Guida all'hardening.

Per leggere la Guida all'hardening:

Aprire Administration Console o Kaspersky Security Center Web Console e accedere alla console. La console controlla se l'utente ha confermato di aver letto la versione corrente della Guida all'hardening.
Se la Guida all'hardening non è ancora stata letta, si apre una finestra che ne mostra una versione breve.
Eseguire una delle seguenti operazioni:
- Se si desidera visualizzare la versione breve della Guida all'hardening come documento di testo, fare clic sul collegamento Apri in una nuova finestra.
- Se si desidera visualizzare la versione completa della Guida all'hardening, fare clic sul collegamento Apri Guida di protezione avanzata nella Guida in linea.
Dopo aver letto la Guida all'hardening, selezionare la casella di controllo Confermo di aver letto e compreso la Guida di protezione avanzata, quindi fare clic sul pulsante Accetta.

A questo punto, è possibile utilizzare Administration Server.

Quando viene visualizzata una nuova versione della Guida all'hardening, Kaspersky Security Center richiederà di leggerla.

Inizio pagina

[Topic 3177]

Avvio rapido guidato di Administration Server

Questa sezione fornisce informazioni su Avvio rapido guidato di Administration Server.

In questa sezione

Informazioni sull’avvio rapido guidato

Avvio dell'Avvio rapido guidato di Administration Server

Passaggio 1. Configurazione di un server proxy

Passaggio 2. Selezione del metodo di attivazione dell'applicazione

Passaggio 3. Selezione delle aree di protezione e dei sistemi operativi

Passaggio 4. Selezione dei plug-in per le applicazioni gestite

Passaggio 5. Download dei pacchetti di distribuzione e creazione dei pacchetti di installazione

Passaggio 6. Configurazione dell'utilizzo di Kaspersky Security Network

Passaggio 7. Configurazione delle notifiche e-mail

Passaggio 8. Configurazione della gestione degli aggiornamenti

Passaggio 9. Creazione di una configurazione della protezione iniziale

Passaggio 10. Connessione dei dispositivi mobili

Passaggio 11. Download degli aggiornamenti

Passaggio 12. Device discovery

Passaggio 13. Chiusura dell'Avvio rapido guidato

Vedere anche:

Inizio pagina

[Topic 191740]

Informazioni sull’avvio rapido guidato

Questa sezione fornisce informazioni su Avvio rapido guidato di Administration Server.

L'Avvio rapido guidato di Administration Server consente di creare un numero minimo di attività e criteri necessari, regolare un numero minimo di impostazioni, scaricare e installare plug-in per applicazioni Kaspersky gestite e creare pacchetti di installazione di applicazioni Kaspersky gestite. Quando la procedura guidata è in esecuzione, è possibile apportare le seguenti modifiche all'applicazione:

Scaricare e installare plug-in per applicazioni gestite. Al termine dell'Avvio rapido guidato, l'elenco dei plug-in di gestione installati viene visualizzato nella sezione Avanzate → Dettagli dei plug-in di gestione applicazioni installati della finestra delle proprietà di Administration Server.
Creare pacchetti di installazione di applicazioni Kaspersky gestite. Al termine dell'Avvio rapido guidato, i pacchetti di installazione di Network Agent per Windows e delle applicazioni Kaspersky gestite vengono visualizzati nell'elenco Administration Server → Avanzate → Installazione remota → Pacchetti di installazione.
Aggiungere file chiave o immettere codici di attivazione che è possibile distribuire automaticamente ai dispositivi nei gruppi di amministrazione. Al termine dell'Avvio rapido guidato, le informazioni sulle chiavi di licenza vengono visualizzate nell'elenco Administration Server → Licenze di Kaspersky e nella sezione Chiavi di licenza della finestra delle proprietà di Administration Server.
Configurare l'interazione con Kaspersky Security Network
(KSN)
Un'infrastruttura di servizi cloud che consente di accedere al database di Kaspersky, con informazioni sempre aggiornate sulla reputazione di file, risorse Web e software. Kaspersky Security Network assicura una risposta più rapida da parte delle applicazioni Kaspersky alle minacce, migliora l'efficacia di alcuni componenti della protezione e riduce la probabilità di falsi positivi.

Un'infrastruttura di servizi cloud che consente di accedere al database di Kaspersky, con informazioni sempre aggiornate sulla reputazione di file, risorse Web e software. Kaspersky Security Network assicura una risposta più rapida da parte delle applicazioni Kaspersky alle minacce, migliora l'efficacia di alcuni componenti della protezione e riduce la probabilità di falsi positivi.

.
Impostare l'invio di notifiche tramite e-mail per informare degli eventi che si verificano durante l'esecuzione di Administration Server e delle applicazioni gestite (per il corretto invio delle notifiche, il servizio Messenger deve essere in esecuzione in Administration Server e in tutti i dispositivi dei destinatari). Al termine dell'Avvio rapido guidato, le impostazioni delle notifiche e-mail vengono visualizzate nella sezione Notifica della finestra delle proprietà di Administration Server.
Configurare le impostazioni di aggiornamento e le impostazioni per la correzione delle vulnerabilità delle applicazioni installate nei dispositivi.
Creare un criterio di protezione per workstation e server, nonché attività di scansione malware, attività di download degli aggiornamenti e attività di backup dei dati, per il livello superiore della gerarchia dei dispositivi gestiti. Al termine dell'Avvio rapido guidato, le attività create vengono visualizzate nell'elenco Administration Server → Attività, i criteri corrispondenti ai plug-in per le applicazioni gestite vengono visualizzati nell'elenco Administration Server → Criteri.

L'Avvio rapido guidato crea criteri per le applicazioni gestite, come Kaspersky Endpoint Security for Windows, a meno che tali criteri non siano già stati creati per il gruppo Dispositivi gestiti. L'Avvio rapido guidato crea attività se non esistono attività con gli stessi nomi per il gruppo Dispositivi gestiti.

In Administration Console, Kaspersky Security Center richiede automaticamente di eseguire l'Avvio rapido guidato dopo il primo avvio. È anche possibile avviare manualmente l’avvio rapido guidato in qualsiasi momento.

Inizio pagina

[Topic 179835]

Avvio dell'Avvio rapido guidato di Administration Server

L'applicazione richiede automaticamente di eseguire l'Avvio rapido guidato dopo l'installazione di Administration Server, al momento della prima connessione. È anche possibile avviare manualmente l’avvio rapido guidato in qualsiasi momento.

Per avviare manualmente l'avvio rapido guidato:

Nella struttura della console selezionare il nodo Administration Server.
Nel menu di scelta rapida del nodo selezionare Tutte le attività → Avvio rapido guidato di Administration Server.

Verrà offerta la possibilità di eseguire la configurazione iniziale di Administration Server. Seguire le istruzioni della procedura guidata.

Se si avvia nuovamente l'Avvio rapido guidato, non è possibile creare nuovamente attività e criteri creati nell'esecuzione precedente della procedura guidata.

Inizio pagina

[Topic 148954]

Passaggio 1. Configurazione di un server proxy

Specificare le impostazioni di accesso a Internet per Administration Server. È necessario configurare l'accesso a Internet per utilizzare Kaspersky Security Network e per scaricare gli aggiornamenti dei database anti-virus per Kaspersky Security Center e le applicazioni Kaspersky gestite.

Se si desidera utilizzare un server proxy durante la connessione a Internet, selezionare l'opzione Usa server proxy. Se questa opzione è selezionata, i campi sono disponibili per l'immissione delle impostazioni. Specificare le seguenti impostazioni per la connessione a un server proxy:

Indirizzo
Indirizzo del server proxy utilizzato per la connessione di Kaspersky Security Center a Internet.
Numero di porta
Numero della porta utilizzata per stabilire la connessione al proxy di Kaspersky Security Center.
Ignora il server proxy per gli indirizzi locali
Non verrà utilizzato alcun server proxy per la connessione ai dispositivi dalla rete locale.
Autenticazione server proxy
Se questa casella di controllo è selezionata, nei campi di immissione è possibile specificare le credenziali per l'autenticazione del server proxy.

Questo campo di immissione è disponibile se la casella di controllo Usa server proxy è selezionata.
Nome utente
Account utente con il quale è stata stabilita la connessione al server proxy (questo campo è disponibile se la casella di controllo Autenticazione server proxy è selezionata).
Password
Password impostata dall'utente di cui è stato utilizzato l'account per stabilire la connessione al server proxy (questo campo è disponibile se la casella di controllo Autenticazione server proxy è selezionata).

Per visualizzare la password immessa, tenere premuto il pulsante Mostra per il tempo necessario.

È possibile configurare l'accesso a Internet in un secondo momento, separatamente dall'Avvio rapido guidato.

Inizio pagina

[Topic 148947]

Passaggio 2. Selezione del metodo di attivazione dell'applicazione

Selezionare una delle seguenti opzioni di attivazione di Kaspersky Security Center:

Inserendo il codice di attivazione
Codice di attivazione è una sequenza univoca di 20 caratteri alfanumerici. Il codice di attivazione viene inserito per aggiungere una chiave che consente di attivare Kaspersky Security Center. Si riceve il codice di attivazione tramite l'indirizzo e-mail specificato dopo l'acquisto di Kaspersky Security Center.

Per attivare l'applicazione utilizzando un codice di attivazione, è necessario l'accesso a Internet per stabilire la connessione con i server di attivazione Kaspersky.

Se è stata selezionata questa opzione di attivazione, è possibile abilitare l'opzione Distribuisci automaticamente la chiave di licenza nei dispositivi gestiti.

Se questa opzione è abilitata, la chiave di licenza verrà distribuita automaticamente ai dispositivi gestiti.

Se questa opzione è disabilitata, è possibile distribuire la chiave di licenza ai dispositivi gestiti in un secondo momento, nel nodo Licenze di Kaspersky della struttura di Administration Console.

Se l'attivazione non ha esito positivo per qualsiasi motivo dopo aver inserito il codice di attivazione, è possibile attivare l'applicazione specificando un file chiave.
Specificando un file chiave
File chiave: si tratta di un file con estensione key fornito all'utente da Kaspersky. Un file chiave consente di aggiungere una chiave per l'attivazione dell'applicazione.

I metodi per ottenere il file chiave sono descritti nella sezione seguente: Informazioni sul file chiave.

Per attivare l'applicazione utilizzando il file chiave, non è necessario connettersi ai server di attivazione di Kaspersky.

Se è stata selezionata questa opzione di attivazione, è possibile abilitare l'opzione Distribuisci automaticamente la chiave di licenza nei dispositivi gestiti.

Se questa opzione è abilitata, la chiave di licenza verrà distribuita automaticamente ai dispositivi gestiti.

Se questa opzione è disabilitata, è possibile distribuire la chiave di licenza ai dispositivi gestiti in un secondo momento, nel nodo Licenze di Kaspersky della struttura di Administration Console.
Rimandando l'attivazione dell'applicazione
L'applicazione verrà eseguita con la funzionalità di base, senza Mobile Device Management e senza Vulnerability e patch management.

Se si sceglie di rimandare l'attivazione dell'applicazione, è possibile aggiungere successivamente una chiave di licenza in qualsiasi momento.

Vedere anche:

Inizio pagina

[Topic 191748]

Passaggio 3. Selezione delle aree di protezione e dei sistemi operativi

Selezionare le aree di protezione e i sistemi operativi in uso nella rete. Quando si selezionano queste opzioni, si specificano i filtri per i plug-in di gestione delle applicazioni e i pacchetti di distribuzione nei server Kaspersky che è possibile scaricare per installarli nei dispositivi client nella rete. Selezionare le opzioni:

Aree
È possibile selezionare le seguenti aree di protezione:
- Workstation. Selezionare questa opzione se si desidera proteggere le workstation nella rete. Per impostazione predefinita, l'opzione Workstation è selezionata.
- File server e archiviazione. Selezionare questa opzione se si desidera proteggere i file server nella rete.
- Virtualizzazione. Selezionare questa opzione se si desidera proteggere le macchine virtuali nella rete.
- Sistema incorporato. Selezionare questa opzione se si desidera proteggere i sistemi integrati basati su Windows, come gli sportelli automatici (ATM).
- Reti industriali. Selezionare questa opzione se si desidera monitorare i dati di sicurezza nella rete industriale e dagli endpoint di rete protetti dalle applicazioni Kaspersky.
- Endpoint industriali. Selezionare questa opzione se si desidera proteggere i singoli nodi in una rete industriale.
Sistemi operativi
È possibile selezionare le seguenti piattaforme:
- Microsoft Windows
- Linux
- macOS
- Android
- Altro
Per informazioni sui sistemi operativi supportati, fare riferimento a Requisiti hardware e software.

È possibile selezionare i pacchetti dell'applicazione Kaspersky nell'elenco dei pacchetti disponibili in un secondo momento, separatamente dall'Avvio rapido guidato. Per semplificare la ricerca dei pacchetti richiesti, è possibile filtrare l'elenco dei pacchetti disponibili in base ai seguenti criteri:

Zona di protezione
Tipo di software scaricato (pacchetto di distribuzione, utilità, plug-in o plug-in Web)
Versione dell'applicazione Kaspersky
Lingua di localizzazione dell'applicazione Kaspersky

Inizio pagina

[Topic 191767]

Passaggio 4. Selezione dei plug-in per le applicazioni gestite

Selezionare i plug-in per le applicazioni gestite da installare. Viene visualizzato un elenco dei plug-in che si trovano nei server Kaspersky. L'elenco viene filtrato in base alle opzioni selezionate nel passaggio precedente della procedura guidata. Per impostazione predefinita, un elenco completo include i plug-in di tutte le lingue. Per visualizzare solo il plug-in di una lingua specifica, selezionare la lingua dall'elenco a discesa Mostra lingua di localizzazione di Administration Console oppure. L'elenco dei plug-in include le seguenti colonne:

Nome applicazione
I plug-in sono selezionati in base alle aree di protezione e alle piattaforme, selezionati nel passaggio precedente.
Versione applicazione
L'elenco include i plug-in di tutte le versioni che si trovano nei server Kaspersky. Per impostazione predefinita, sono selezionati i plug-in delle versioni più recenti.
Lingua localizzazione
Per impostazione predefinita, la lingua di localizzazione di un plug-in è determinata dalla lingua di Kaspersky Security Center selezionata al momento dell'installazione. È possibile specificare altre lingue nell'elenco a discesa Mostra lingua di localizzazione di Administration Console oppure.

Dopo avere selezionato i plug-in, la relativa installazione viene avviata automaticamente in una finestra separata. Per installare alcuni plug-in è necessario accettare le condizioni del Contratto di licenza con l'utente finale. Leggere il testo del Contratto di licenza con l'utente finale, selezionare l'opzione Accetto i termini del Contratto di licenza e fare clic sul pulsante Installa. Se non si accettano le condizioni del Contratto di licenza con l'utente finale, il plug-in non viene installato.

Al termine dell'installazione, chiudere la finestra di installazione.

È inoltre possibile selezionare i plug-in di gestione in un secondo momento, separatamente dall'Avvio rapido guidato.

Inizio pagina

[Topic 191791]

Passaggio 5. Download dei pacchetti di distribuzione e creazione dei pacchetti di installazione

Kaspersky Endpoint Security for Windows include uno strumento di criptaggio per le informazioni archiviate nei dispositivi client. Per scaricare un pacchetto di distribuzione di Kaspersky Endpoint Security for Windows valido per le esigenze aziendali, consultare le normative del paese in cui si trovano i dispositivi client dell'organizzazione.

Nella finestra Tipo di criptaggio selezionare uno dei seguenti tipi di criptaggio:

Crittografia avanzata (AES256). Questo tipo di criptaggio utilizza una lunghezza della chiave di 256 bit.
Crittografia Lite (AES56). Questo tipo di criptaggio utilizza una lunghezza della chiave di 56 bit.

La finestra Tipo di criptaggio viene visualizzata solo se è stato selezionato Workstation come ambito della protezione e Microsoft Windows come piattaforma.

Dopo aver selezionato un tipo di criptaggio, viene visualizzato un elenco dei pacchetti di distribuzione di entrambi i tipi di criptaggio. Nell'elenco viene selezionato un pacchetto di distribuzione con il tipo di criptaggio selezionato. La lingua del pacchetto di distribuzione corrisponde alla lingua di Kaspersky Security Center. Se non esiste un pacchetto di distribuzione di Kaspersky Endpoint Security for Windows per la lingua di Kaspersky Security Center, viene selezionato il pacchetto di distribuzione in inglese.

Nell'elenco è possibile selezionare le lingue del pacchetto di distribuzione tramite l'elenco a discesa Mostra lingua di localizzazione di Administration Console oppure.

Le distribuzioni delle applicazioni gestite potrebbero richiedere l'installazione di una versione minima specifica di Kaspersky Security Center.

Nell'elenco è possibile selezionare pacchetti di distribuzione di qualsiasi tipo di criptaggio, diversi da quelli selezionati nella finestra Tipo di criptaggio. Dopo aver selezionato un pacchetto di distribuzione per Kaspersky Endpoint Security for Windows, viene avviato il download dei pacchetti di distribuzione, corrispondenti ai componenti e alle piattaforme. È possibile monitorare l'avanzamento del download nella colonna Stato del download. Al termine dell'Avvio rapido guidato, i pacchetti di installazione di Network Agent per Windows e delle applicazioni Kaspersky gestite vengono visualizzati nell'elenco Administration Server → Avanzate → Installazione remota → Pacchetti di installazione.

Per terminare il download di alcuni pacchetti di distribuzione è necessario accettare il Contratto di licenza con l'utente finale. Quando si fa clic sul pulsante Accetta, viene visualizzato il testo del Contratto di licenza con l'utente finale. Per procedere al passaggio successivo della procedura guidata, è necessario accettare i termini e le condizioni del Contratto di licenza con l'utente finale e i termini e le condizioni dell'Informativa sulla privacy di Kaspersky. Selezionare le opzioni relative al Contratto di licenza con l'utente finale e all'Informativa sulla privacy di Kaspersky, quindi fare clic sul pulsante Accetta tutto. Se non si accettano i termini e le condizioni, il download del pacchetto viene annullato.

Dopo aver accettato i termini e le condizioni del Contratto di licenza con l'utente finale e i termini e le condizioni dell'Informativa sulla privacy di Kaspersky, il download dei pacchetti di distribuzione prosegue. Al termine del download, viene visualizzato lo stato Pacchetto di installazione creato. Successivamente è possibile utilizzare i pacchetti di installazione per distribuire le applicazioni Kaspersky nei dispositivi client.

È possibile creare i pacchetti di installazione manualmente in un secondo momento, separatamente dall'Avvio rapido guidato. Passare a Administration Server → Avanzate → Installazione remota → Pacchetti di installazione nella struttura di Administration Console.

Inizio pagina

[Topic 148962]

Passaggio 6. Configurazione dell'utilizzo di Kaspersky Security Network

È possibile ottenere l'accesso ali database di reputazione di Kaspersky Security Network per garantire una risposta più rapida da parte delle applicazioni Kaspersky alle minacce, migliorare l'efficacia di alcuni componenti della protezione e ridurre il rischio di falsi positivi.

Leggere l'Informativa KSN, visualizzata nella finestra. Specificare le impostazioni per la trasmissione delle informazioni sulle operazioni di Kaspersky Security Center alla Knowledge Base di Kaspersky Security Network. Selezionare una delle seguenti opzioni:

Accetto di utilizzare Kaspersky Security Network
Kaspersky Security Center e le applicazioni gestite installate nei dispositivi client trasferiranno automaticamente i dettagli sull'esecuzione a Kaspersky Security Network. La partecipazione a Kaspersky Security Network garantisce aggiornamenti più rapidi dei database contenenti le informazioni sui virus e sulle altre minacce, assicurando una risposta più rapida alle minacce per la sicurezza emergenti.
Non accetto di utilizzare Kaspersky Security Network
Kaspersky Security Center e le applicazioni gestite non forniranno informazioni a Kaspersky Security Network.

Se si seleziona questa opzione, l'utilizzo di Kaspersky Security Network sarà disabilitato.

Se è stato scaricato il plug-in di Kaspersky Endpoint Security for Windows, si visualizzeranno entrambe le informative KSN, sia l'Informativa KSN per Kaspersky Security Center sia l'informativa KSN per Kaspersky Endpoint Security for Windows. Le informative KSN per altre applicazioni Kaspersky gestite i cui plug-in sono stati scaricati verranno visualizzate in finestre separate e sarà necessario accettare (o non accettare) ciascuna informativa separatamente.

È inoltre possibile configurare l'accesso di Administration Server a Kaspersky Security Network (KSN) in un secondo momento nella finestra delle proprietà di Administration Server di Administration Console.

Inizio pagina

[Topic 148965]

Passaggio 7. Configurazione delle notifiche e-mail

Configurare l'invio di notifiche relative agli eventi registrati durante l'esecuzione delle applicazioni Kaspersky nei dispositivi gestiti. Queste impostazioni vengono utilizzate come impostazioni predefinite per Administration Server.

Per configurare l'invio di notifiche relative agli eventi che si verificano nelle applicazioni Kaspersky, utilizzare le seguenti impostazioni:

Destinatari (indirizzi e-mail)
Gli indirizzi e-mail degli utenti a cui l'applicazione invierà le notifiche. È possibile immettere uno o più indirizzi; se si immette più di un indirizzo, separarli con un punto e virgola.
Server SMTP
L'indirizzo o gli indirizzi dei server di posta dell'organizzazione.

Se si immette più di un indirizzo, separarli con un punto e virgola. È possibile utilizzare i seguenti valori:
- Indirizzo IPv4 o IPv6
- Nome di rete Windows (nome NetBIOS) del dispositivo
- Nome DNS del server SMTP
Porta server SMTP
Numero di porta di comunicazione del server SMTP. Se si utilizzano più server SMTP, la connessione a questi viene stabilita tramite la porta di comunicazione specificata. Il numero di porta predefinito è 25.
Usa autenticazione ESMTP
Abilita il supporto dell'autenticazione ESMTP. Quando la casella di controllo è selezionata, nei campi Nome utente e Password è possibile specificare le impostazioni per l'autenticazione ESMTP. Per impostazione predefinita, questa casella di controllo è deselezionata.
Impostazioni
Specificare le seguenti impostazioni:
- Oggetto (oggetto di un messaggio e-mail)
- Indirizzo e-mail del mittente
- Impostazioni TLS per server SMTP
È possibile specificare le impostazioni TLS per il server SMTP:

È possibile disabilitare l'utilizzo di TLS, utilizzare TLS se il server SMTP supporta questo protocollo oppure forzare solo l'utilizzo di TLS. Se si sceglie di utilizzare solo TLS, specificare un certificato per l'autenticazione del server SMTP e scegliere se si desidera abilitare la comunicazione tramite qualsiasi versione di TLS o solo tramite TLS 1.2 o versioni successive. Inoltre, se si sceglie di utilizzare solo TLS, è possibile specificare un certificato per l'autenticazione client nel server SMTP.
- Cercare un file di certificato del server SMTP:
È possibile ricevere un file con l'elenco dei certificati da un'autorità di certificazione attendibile e caricare il file in Administration Server. Kaspersky Security Center verifica se anche il certificato di un server SMTP è firmato da un'autorità di certificazione attendibile. Kaspersky Security Center non può connettersi a un server SMTP se il certificato del server SMTP non viene ricevuto da un'autorità di certificazione attendibile.
- Cercare un file di certificato del client:
È possibile utilizzare un certificato ricevuto da qualsiasi origine, ad esempio da qualsiasi autorità di certificazione attendibile. È necessario specificare il certificato e la relativa chiave privata utilizzando uno dei seguenti tipi di certificato:
- Certificato X-509:
Specificare il file con il certificato e un file con la chiave privata. Questi file possono essere caricati in qualsiasi ordine. Una volta caricati entrambi i file, specificare la password per il decriptaggio della chiave privata. La password può avere un valore vuoto se la chiave privata non è criptata.
- Contenitore pkcs12:
È necessario caricare un singolo file che contenga il certificato e la relativa chiave privata. Quando il file viene caricato, è necessario specificare la password per la decodifica della chiave privata. La password può avere un valore vuoto se la chiave privata non è codificata.

È possibile verificare le nuove impostazioni di notifica e-mail facendo clic sul pulsante Invia messaggio di prova.

È possibile configurare le notifiche degli eventi anche in un secondo momento, separatamente rispetto all'Avvio rapido guidato.

Inizio pagina

[Topic 148999]

Passaggio 8. Configurazione della gestione degli aggiornamenti

Configurare le impostazioni per la gestione degli aggiornamenti delle applicazioni installate nei dispositivi client.

È possibile configurare queste impostazioni solo se è stata fornita una chiave di licenza con l'opzione Vulnerability e patch management.

Nel gruppo di impostazioni Cerca e installa gli aggiornamenti è possibile selezionare una modalità di ricerca e installazione degli aggiornamenti di Kaspersky Security Center:

Cerca gli aggiornamenti richiesti
L'attività Trova vulnerabilità e aggiornamenti richiesti viene creata automaticamente, se non ne è presente una.

Questa opzione è selezionata per impostazione predefinita.
Cerca e installa gli aggiornamenti richiesti
Se non sono già esistenti, le attività Trova vulnerabilità e aggiornamenti richiesti e Installa aggiornamenti richiesti e correggi vulnerabilità vengono create automaticamente.

Nel gruppo di impostazioni Windows Server Update Services è possibile selezionare la sorgente di sincronizzazione degli aggiornamenti:

Utilizzare le sorgenti degli aggiornamenti definite nel criterio di dominio
I dispositivi client scaricheranno gli aggiornamenti Windows Update in base alle impostazioni del criterio di dominio. Se non è già esistente, il criterio di Network Agent viene creato automaticamente.
Usa Administration Server come server WSUS
I dispositivi client scaricheranno gli aggiornamenti Windows Update da Administration Server. Se non sono già esistenti, l'attività Esegui sincronizzazione di Windows Update e il criterio di Network Agent vengono creati automaticamente.

È possibile creare le attività Trova vulnerabilità e aggiornamenti richiesti e Installa gli aggiornamenti richiesti e correggi vulnerabilità separatamente dall'Avvio rapido guidato. Per utilizzare Administration Server come server WSUS, creare l'attività Esegui sincronizzazione di Windows Update e selezionare l'opzione Usa Administration Server come server WSUS nel criterio di Network Agent.

Inizio pagina

[Topic 149000]

Passaggio 9. Creazione di una configurazione della protezione iniziale

La finestra Configura protezione iniziale visualizza un elenco dei criteri e delle attività creati automaticamente. Vengono creati i seguenti criteri e attività:

Criterio per Kaspersky Security Center Network Agent
Criteri per le applicazioni Kaspersky gestite i cui plug-in di gestione sono stati installati in precedenza
Attività Manutenzione di Administration Server
Attività Backup dei dati di Administration Server
Attività Scarica aggiornamenti nell'archivio dell'Administration Server
Attività Trova vulnerabilità e aggiornamenti richiesti
Attività Installa aggiornamento

Attendere il completamento della creazione di criteri e attività prima di procedere al passaggio successivo della procedura guidata.

Se è stato scaricato e installato il plug-in per Kaspersky Endpoint Security for Windows 10 Service Pack 1 e versioni successive fino alla 11.0.1, durante la creazione di criteri e attività viene visualizzata una finestra per la configurazione iniziale dell'area attendibile di Kaspersky Endpoint Security for Windows. L'applicazione richiederà di aggiungere i vendor verificati da Kaspersky nell'area attendibile, in modo da escludere le relative applicazioni dalle scansioni per impedire che vengano bloccate accidentalmente. È possibile creare subito esclusioni consigliate o creare un elenco di esclusioni in un secondo momento selezionando i seguenti elementi nella struttura della console: Criteri → menu Proprietà di Kaspersky Endpoint Security → Protezione Minacce Avanzata → Area attendibile → Impostazioni → Aggiungi. L'elenco delle esclusioni dalla scansione è disponibile per la modifica in qualsiasi momento durante l'utilizzo dell'applicazione.

Le operazioni sull'area attendibile vengono eseguite tramite gli strumenti integrati in Kaspersky Endpoint Security for Windows. Per istruzioni dettagliate sull'esecuzione delle operazioni e una descrizione delle funzionalità di criptaggio, consultare la Guida in linea di Kaspersky Endpoint Security for Windows.

Per completare la configurazione iniziale dell'area attendibile e tornare alla procedura guidata, fare clic su OK.

Fare clic su Avanti. Questo pulsante diventa disponibile dopo che tutti i criteri e le attività necessari sono stati creati.

È inoltre possibile creare le attività e i criteri richiesti in un secondo momento, separatamente dall'Avvio rapido guidato.

Inizio pagina

[Topic 149001]

Passaggio 10. Connessione dei dispositivi mobili

Scenario: Individuazione dei dispositivi nella rete

Se è stato abilitato l'ambito della protezione Dispositivi mobili nelle impostazioni della procedura guidata, specificare le impostazioni per la connessione dei dispositivi mobili aziendali dell'organizzazione gestita. Se non è stato abilitato l'ambito della protezione Dispositivi mobili, questo passaggio viene ignorato.

A questo punto della procedura guidata, effettuare le seguenti operazioni:

Configurare le porte per la connessione dei dispositivi mobili
Configurare l'autenticazione di Administration Server
Creare o gestire i certificati
Configurare l'emissione, l'aggiornamento automatico e il criptaggio dei certificati di tipo generico
Creare una regola di spostamento per i dispositivi mobili

Per configurare le porte per la connessione dei dispositivi mobili:

Fare clic sul pulsante Configura a destra del campo Connessione dispositivo mobile.
Nell'elenco a discesa selezionare Configura le porte.
Verrà visualizzata la finestra delle proprietà di Administration Server, con la sezione Porte aggiuntive.
Nella sezione Porte aggiuntive è possibile specificare le impostazioni di connessione dei dispositivi mobili:
- Porta SSL per il server proxy di attivazione
  Numero di una porta SSL per la connessione di Kaspersky Endpoint Security for Windows ai server di attivazione di Kaspersky.
  
  Il numero di porta predefinito è 17000.
- Apri porta per i dispositivi mobili
  Verrà aperta una porta per la connessione dei dispositivi mobili al server di licensing. È possibile definire il numero della porta e altre impostazioni nei campi sottostanti.
  
  Per impostazione predefinita, questa opzione è abilitata.
- Porta per la sincronizzazione del dispositivo mobile
  Numero della porta utilizzata dai dispositivi mobili per la connessione ad Administration Server e lo scambio dei dati. Il numero di porta predefinito è 13292.
  
  È possibile assegnare una porta diversa se la porta 13292 viene utilizzata per altri scopi.
- Porta per l'attivazione del dispositivo mobile
  Porta per la connessione di Kaspersky Endpoint Security for Android ai server di attivazione di Kaspersky.
  
  Il numero di porta predefinito è 17100.
- Porta aperta per i dispositivi di protezione UEFI e i dispositivi KasperskyOS
  I dispositivi di protezione UEFI possono connettersi all'Administration Server.
- Porta per i dispositivi di protezione UEFI e i dispositivi KasperskyOS
  È possibile modificare il numero di porta se l'opzione Porta aperta per i dispositivi di protezione UEFI e i dispositivi KasperskyOS è abilitata. Il numero di porta predefinito è 13294.
- Apri la porta per Prometheus
  La porta per le richieste di pull di Prometheus. Il numero di porta predefinito è 13296.
Fare clic su OK per salvare le modifiche e tornare all'Avvio rapido guidato.

È necessario configurare l'autenticazione di Administration Server per i dispositivi mobili e l'autenticazione dei dispositivi mobili per l'Administration Server. Se si desidera, è possibile configurare l'autenticazione in un secondo momento, separatamente rispetto all'Avvio rapido guidato.

Per configurare l'autenticazione di Administration Server per dispositivi mobili:

Fare clic sul pulsante Configura a destra del campo Connessione dispositivo mobile.
Nell'elenco a discesa selezionare Configura l'autenticazione.
Verrà visualizzata la finestra delle proprietà di Administration Server, con la sezione Certificati.
Selezionare l'opzione di autenticazione per i dispositivi mobili nel gruppo di impostazioni Autenticazione Administration Server da parte dei dispositivi mobili e selezionare l'opzione di autenticazione per i dispositivi di protezione UEFI nel gruppo di impostazioni Autenticazione Administration Server da parte dei dispositivi di protezione UEFI.
Quando Administration Server esegue lo scambio dei dati con i dispositivi client, l'autenticazione avviene tramite l'utilizzo di un certificato.

Per impostazione predefinita, viene utilizzato il certificato creato durante l'installazione di Administration Server. Se si desidera, è possibile aggiungere un nuovo certificato.

Per aggiungere un nuovo certificato (opzione facoltativa):

Selezionare Altro certificato.
Viene visualizzato il pulsante Sfoglia.
Fare clic sul pulsante Sfoglia.
Nella finestra visualizzata specificare le impostazioni del certificato:
- Tipo di certificato
  Nell'elenco a discesa è possibile selezionare un tipo di certificato:
  - Certificato X.509. Se questa opzione è selezionata, è necessario specificare la chiave privata di un certificato e un certificato aperto:
    - Chiave privata (.prk, .pem). In questo campo fare clic sul pulsante Sfoglia per specificare la chiave privata di un certificato nel formato PKCS #8 (*.prk).
    - Chiave pubblica (.cer). In questo campo fare clic sul pulsante Sfoglia per specificare una chiave pubblica nel formato PEM (*.cer).
  - Contenitore PKCS #12. Se si seleziona questa opzione è possibile specificare un file di certificato nel formato P12 o PFX facendo clic sul pulsante Sfoglia e compilando il campo File di certificato.
- Ora di attivazione:
  - Immediatamente
    Dopo aver fatto clic su OK il certificato corrente verrà sostituito immediatamente con il nuovo.
    
    I dispositivi mobili connessi in precedenza non saranno in grado di connettersi ad Administration Server.
  - Al termine di questo periodo (giorni)
    Se si seleziona questa opzione, verrà generato un certificato di riserva. Il certificato corrente verrà sostituito con il nuovo dopo il numero di giorni specificato. La data effettiva del certificato di riserva viene visualizzata nella sezione Certificati.
    
    È consigliabile pianificare preventivamente la riemissione. Il certificato di riserva deve essere scaricato nei dispositivi mobili prima della scadenza del periodo specificato. In seguito alla sostituzione del certificato corrente con il nuovo, i dispositivi mobili connessi in precedenza che non dispongono del certificato di riserva non saranno in grado di connettersi ad Administration Server.
Fare clic sul pulsante Proprietà per visualizzare le impostazioni del certificato di Administration Server selezionato.

Per riemettere un certificato emesso tramite Administration Server:

Selezionare Certificato emesso tramite Administration Server.
Fare clic sul pulsante Riemetti.
Nella finestra visualizzata specificare le seguenti impostazioni:
- Indirizzo di connessione:
  - Usa l'indirizzo di connessione precedente
    L'indirizzo di Administration Server a cui si connettono i dispositivi mobili non viene modificato.
    
    Questa opzione è selezionata per impostazione predefinita.
  - Modifica l'indirizzo di connessione in
    Se si desidera che i dispositivi mobili si connettano a un indirizzo diverso, specificare l'indirizzo attinente in questo campo.
    
    Se l'indirizzo per la connessione del dispositivo mobile è stato modificato, è necessario rilasciare un nuovo certificato. Il certificato precedente diventa non valido in tutti i dispositivi mobili connessi. I dispositivi connessi in precedenza non saranno in grado di connettersi ad Administration Server e diventeranno quindi non gestiti.
- Ora di attivazione:
  - Immediatamente
    Dopo aver fatto clic su OK il certificato corrente verrà sostituito immediatamente con il nuovo.
    
    I dispositivi mobili connessi in precedenza non saranno in grado di connettersi ad Administration Server.
  - Al termine di questo periodo (giorni)
    Se si seleziona questa opzione, verrà generato un certificato di riserva. Il certificato corrente verrà sostituito con il nuovo dopo il numero di giorni specificato. La data effettiva del certificato di riserva viene visualizzata nella sezione Certificati.
    
    È consigliabile pianificare preventivamente la riemissione. Il certificato di riserva deve essere scaricato nei dispositivi mobili prima della scadenza del periodo specificato. In seguito alla sostituzione del certificato corrente con il nuovo, i dispositivi mobili connessi in precedenza che non dispongono del certificato di riserva non saranno in grado di connettersi ad Administration Server.
Fare clic su OK per salvare le modifiche e tornare alla finestra Certificati.
Fare clic su OK per salvare le modifiche e tornare all'Avvio rapido guidato.

Per configurare l'emissione, l'aggiornamento automatico e il criptaggio dei certificati di tipo generico per l'identificazione dei dispositivi mobili da parte di Administration Server:

Fare clic sul pulsante Configura a destra del campo Autenticazione dispositivo mobile.
Viene visualizzata la finestra Regole di emissione certificati, che visualizza la sezione Emissione di certificati mobili.
Se necessario, specificare le seguenti impostazioni nella sezione Impostazioni di emissione:
- Durata del certificato (giorni)
  Durata del certificato in giorni. La durata predefinita di un certificato è di 365 giorni. Alla scadenza di questo periodo, il dispositivo mobile non sarà in grado di connettersi ad Administration Server.
- Origine certificato
  Selezionare l'origine dei certificati di tipo generico per i dispositivi mobili: i certificati vengono emessi da Administration Server o specificati manualmente.
  
  Se è stata configurata l'integrazione con infrastruttura a chiave pubblica (PKI) nella sezione Integrazione con PKI è possibile modificare i modelli di certificato. In questo caso, sono disponibili i seguenti campi di selezione del modello:
- Modello predefinito
  Utilizzare un certificato emesso da un'origine di certificati esterna (Centro di certificazione) in base al modello predefinito.
  
  Per impostazione predefinita, questa opzione è selezionata.
- Altro modello
  Selezionare un modello utilizzato per emettere i certificati. È possibile selezionare i modelli di certificato nel dominio. Il pulsante Aggiorna elenco consente di aggiornare l'elenco dei modelli di certificato.
Se necessario, specificare le seguenti impostazioni per l'emissione automatica dei certificati nella sezione Impostazioni degli aggiornamenti automatici:
- Rinnova quando la scadenza del certificato è prevista tra (giorni)
  Il numero di giorni rimanenti prima della scadenza del certificato corrente durante i quali Administration Server deve emettere un nuovo certificato. Se ad esempio il valore del campo è 4, Administration Server emette un nuovo certificato quattro giorni prima della scadenza del certificato corrente. Il valore predefinito è 7.
- Riemetti automaticamente il certificato se possibile
  Selezionare questa opzione per riemettere automaticamente un certificato per il numero di giorni specificato nel campo Rinnova quando la scadenza del certificato è prevista tra (giorni). Se un certificato è stato definito manualmente, non può essere rinnovato automaticamente e l'opzione abilitata non funzionerà.
  
  Per impostazione predefinita, questa opzione è disabilitata.
I certificati vengono riemessi automaticamente da un'autorità di certificazione.
Se necessario, nella sezione delle impostazioni Protezione tramite password specificare le impostazioni per il decriptaggio dei certificati durante l'installazione.
Selezionare l'opzione Richiedi la password durante l'installazione del certificato per richiedere all'utente la password durante l'installazione del certificato in un dispositivo mobile. La password viene utilizzata solo una volta, durante l'installazione del certificato nel dispositivo mobile.

La password verrà automaticamente generata e inviata da Administration Server all'indirizzo e-mail specificato. È possibile specificare l'indirizzo e-mail dell'utente o il proprio indirizzo e-mail, se si desidera utilizzare un altro metodo per inviare la password all'utente.

È possibile utilizzare il dispositivo di scorrimento per specificare il numero di caratteri contenuti nella password per il decriptaggio del certificato.

L'opzione per la richiesta della password è ad esempio necessaria per la protezione di un certificato condiviso in un pacchetto di installazione indipendente di Kaspersky Endpoint Security for Android. La protezione tramite password impedisce a un utente malintenzionato di ottenere l'accesso al certificato condiviso tramite il furto del pacchetto di installazione indipendente dal Server Web di Kaspersky Security Center.

Se questa opzione è deselezionata, il certificato viene decriptato automaticamente durante l'installazione e all'utente non viene richiesta alcuna password. Per impostazione predefinita, questa opzione è disabilitata.
Fare clic su OK per salvare le modifiche e tornare alla finestra Avvio rapido guidato.
Fare clic sul pulsante Annulla per tornare all'Avvio rapido guidato senza salvare le modifiche.

Per abilitare la funzione di spostamento dei dispositivi mobili in un gruppo di amministrazione selezionato,

Nel campo Spostamento automatico dei dispositivi mobili selezionare l'opzione Crea una regola di spostamento per i dispositivi mobili.

Se l'opzione Crea una regola di spostamento per i dispositivi mobili è selezionata, l'applicazione crea automaticamente una regola di spostamento che sposta i dispositivi iOS e Android nel gruppo Dispositivi gestiti:

Con sistemi operativi Android in cui sono installati Kaspersky Endpoint Security for Android e un certificato mobile
Con sistemi operativi iOS in cui è installato il profilo MDM iOS con un certificato condiviso

Se una regola esiste già, l'applicazione non la crea nuovamente.

Per impostazione predefinita, questa opzione è disabilitata.

Kaspersky non supporta più Kaspersky Safe Browser.

Inizio pagina

[Topic 191851]

Passaggio 11. Download degli aggiornamenti

Gli aggiornamenti per i database anti-virus per Kaspersky Security Center e le applicazioni Kaspersky gestite vengono scaricati automaticamente. Gli aggiornamenti vengono scaricati dai server Kaspersky.

Per scaricare gli aggiornamenti separatamente dall'Avvio rapido guidato, creare e configurare l'attività Scarica gli aggiornamenti nell'archivio dell'Administration Server.

Inizio pagina

[Topic 149002]

Passaggio 12. Device discovery

La finestra Polling della rete visualizza le informazioni sullo stato del polling della rete eseguito da Administration Server.

È possibile visualizzare i dispositivi della rete rilevati da Administration Server e ottenere assistenza sull'utilizzo della finestra Device discovery facendo clic sui collegamenti nella parte inferiore della finestra.

È possibile eseguire il polling della rete in un secondo momento, separatamente dall'Avvio rapido guidato. Utilizzare Administration Console per configurare il polling dei domini di Windows, Active Directory, degli intervalli IP e delle reti IPv6.

Vedere anche:

Inizio pagina

[Topic 149003]

Passaggio 13. Chiusura dell'Avvio rapido guidato

Nella finestra di completamento dell'Avvio rapido guidato selezionare l'opzione Esegui l'installazione remota guidata se si desidera avviare l'installazione automatica delle applicazioni anti-virus e/o di Network Agent nei dispositivi della rete.

Per completare la procedura guidata, fare clic sul pulsante Fine.

Inizio pagina

[Topic 123332]

Configurazione della connessione di Administration Console ad Administration Server

Administration Console è connessa ad Administration Server tramite la porta SSL TCP 13291. La stessa porta può essere utilizzata dagli oggetti di automazione klakaut.

La porta TCP 14000 può essere utilizzata per connettere Administration Console, punti di distribuzione, Administration Server secondari e oggetti di automazione klakaut, nonché per ricevere i dati dai dispositivi client.

In genere, la porta SSL TCP 13000 può essere utilizzata solo da Network Agent, un Administration Server secondario e dall'Administration Server primario nella rete DMZ. In alcuni casi può essere necessario connettere Administration Console tramite la porta SSL 13000:

Se è probabile che venga utilizzata una singola porta SSL sia per Administration Console che per altre attività (ricezione dei dati dai dispositivi client, connessione di punti di distribuzione, connessione di Administration Server secondari).
Se un oggetto di automazione klakaut non è connesso ad Administration Server direttamente, bensì tramite un punto di distribuzione nella rete perimetrale.

Per consentire la connessione di Administration Console tramite la porta 13000:

Aprire il Registro di sistema del dispositivo in cui è installato Administration Server (ad esempio, in locale, utilizzando il comando regedit dal menu Start → Esegui).
Passare al seguente hive:
- Per i sistemi a 32 bit:
  HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\.core\.independent\KLLIM
- Per i sistemi a 64 bit:
  HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\.core\.independent\KLLIM
Per la chiave LP_ConsoleMustUsePort13291 (DWORD) impostare il valore 00000000.
Il valore predefinito specificato per questa chiave è 1.
Riavviare il servizio Administration Server.

A questo punto, sarà possibile connettere Administration Console ad Administration Server tramite la porta 13000.

Inizio pagina

[Topic 246921]

Configurazione delle impostazioni di accesso a Internet per Administration Server

Scenario: Connessione dei dispositivi fuori sede tramite un gateway di connessione

È necessario configurare l'accesso a Internet per utilizzare Kaspersky Security Network e per scaricare gli aggiornamenti dei database anti-virus per Kaspersky Security Center e le applicazioni Kaspersky gestite.

Per specificare le impostazioni di accesso a Internet per Administration Server:

Nella struttura della console selezionare il nodo Administration Server.
Dal menu di scelta rapida dell'Administration Server selezionare Proprietà.
Nella finestra delle proprietà di Administration Server, passare a Avanzate → Configurazione dell'accesso a Internet.
Se si desidera utilizzare un server proxy durante la connessione a Internet, selezionare l'opzione Usa server proxy. Se questa opzione è selezionata, i campi sono disponibili per l'immissione delle impostazioni. Specificare le seguenti impostazioni per la connessione a un server proxy:
- Indirizzo
  Indirizzo del server proxy utilizzato per la connessione di Kaspersky Security Center a Internet.
- Numero di porta
  Numero della porta utilizzata per stabilire la connessione al proxy di Kaspersky Security Center.
- Ignora il server proxy per gli indirizzi locali
  Non verrà utilizzato alcun server proxy per la connessione ai dispositivi dalla rete locale.
- Autenticazione server proxy
  Se questa casella di controllo è selezionata, nei campi di immissione è possibile specificare le credenziali per l'autenticazione del server proxy.
  
  Questo campo di immissione è disponibile se la casella di controllo Usa server proxy è selezionata.
- Nome utente
  Account utente con il quale è stata stabilita la connessione al server proxy (questo campo è disponibile se la casella di controllo Autenticazione server proxy è selezionata).
- Password
  Password impostata dall'utente di cui è stato utilizzato l'account per stabilire la connessione al server proxy (questo campo è disponibile se la casella di controllo Autenticazione server proxy è selezionata).
  
  Per visualizzare la password immessa, tenere premuto il pulsante Mostra per il tempo necessario.

È inoltre possibile configurare l'accesso a Internet utilizzando l'Avvio rapido guidato.

Inizio pagina

[Topic 204432]

Connessione dei dispositivi fuori sede

Questa sezione descrive come connettere i dispositivi fuori sede (cioè i dispositivi gestiti che si trovano all'esterno della rete principale) ad Administration Server.

In questa sezione

Scenario: connessione di dispositivi fuori sede tramite un Administration Server secondario in DMZ

Informazioni sulla connessione dei dispositivi fuori sede

Connessione dei dispositivi desktop esterni ad Administration Server

Informazioni sui profili di connessione per gli utenti fuori sede

Creazione di un profilo di connessione per gli utenti fuori sede

Informazioni sul passaggio di Network Agent ad altri Administration Server

Creazione di una regola per il passaggio di Network Agent in base al percorso di rete

Inizio pagina

[Topic 204219]

Scenario: Connessione dei dispositivi fuori sede tramite un gateway di connessione

Questo scenario descrive come connettere i dispositivi gestiti che si trovano all'esterno della rete principale ad Administration Server.

Prerequisiti

Lo scenario prevede i seguenti prerequisiti:

Una rete perimetrale deve essere organizzata nella rete dell'organizzazione.
Kaspersky Security Center Administration Server deve essere distribuito nella rete aziendale.

Passaggi

Questo scenario procede per fasi:

Selezione di un dispositivo client nella rete perimetrale
Questo dispositivo verrà utilizzato come gateway di connessione. Il dispositivo selezionato deve soddisfare i requisiti per i gateway di connessione.
Installazione di Network Agent nel ruolo di gateway di connessione
È consigliabile utilizzare un'installazione locale per installare Network Agent nel dispositivo selezionato.

Per impostazione predefinita, il file di installazione si trova in: \\<nome server>\KLSHARE\PkgInst\NetAgent_<numero versione>

Nella finestra Gateway di connessione dell'Installazione guidata di Network Agent selezionare Utilizzare Network Agent come gateway di connessione nella rete perimetrale. Questa modalità attiva contemporaneamente il ruolo del gateway di connessione e indica a Network Agent di attendere le connessioni da Administration Server anziché stabilire connessioni ad Administration Server.

In alternativa, è possibile installare Network Agent in un dispositivo Linux e configurare Network Agent in modo che funga da gateway di connessione, ma è necessario prestare attenzione all'elenco delle limitazioni di Network Agent in esecuzione nei dispositivi Linux.
Autorizzazione delle connessioni nei firewall sul gateway di connessione
Per assicurarsi che Administration Server sia effettivamente in grado di connettersi al gateway di connessione nella rete perimetrale, consentire le connessioni alla porta TCP 13000 in tutti i firewall tra Administration Server e il gateway di connessione.

Se il gateway di connessione non dispone di un indirizzo IP reale in Internet ma si trova invece dietro una configurazione NAT (Network Address Translation), configurare una regola per inoltrare le connessioni tramite NAT.
Creazione di un gruppo di amministrazione per i dispositivi esterni
Creare un nuovo gruppo nel gruppo Dispositivi gestiti. Questo nuovo gruppo conterrà dispositivi gestiti esterni.
Connessione del gateway di connessione ad Administration Server
Il gateway di connessione configurato è in attesa di una connessione da Administration Server. Tuttavia, Administration Server non elenca il dispositivo con il gateway di connessione tra i dispositivi gestiti. Questo è dovuto al fatto che il gateway di connessione non ha tentato di stabilire una connessione ad Administration Server. È pertanto necessaria una procedura speciale per garantire che Administration Server avvii una connessione al gateway di connessione.

Procedere come segue:
1. Aggiungere il gateway di connessione come punto di distribuzione.
2. Spostare il gateway di connessione dal gruppo Dispositivi non assegnati al gruppo creato per i dispositivi esterni.
Il gateway di connessione è stato connesso e configurato.
Connessione dei dispositivi desktop esterni ad Administration Server
Solitamente i dispositivi desktop esterni non vengono spostati all'interno del perimetro. Pertanto è necessario configurarli per eseguire la connessione ad Administration Server tramite il gateway durante l'installazione di Network Agent.
Configurazione degli aggiornamenti per i computer dispositivi esterni
Se gli aggiornamenti delle applicazioni di protezione sono configurati per il download da Administration Server, i dispositivi esterni scaricano gli aggiornamenti tramite il gateway di connessione. Questo comporta due svantaggi:
- Si tratta di traffico non necessario che occupa la larghezza di banda del canale di comunicazione Internet aziendale.
- Questo non è necessariamente il modo più rapido per ottenere aggiornamenti. È molto probabile che per i dispositivi esterni sarebbe più economico e veloce ricevere gli aggiornamenti dai server di aggiornamento Kaspersky.
Procedere come segue:
Connessione dei laptop mobili ad Administration Server
I laptop mobili a volte sono all'interno della rete e altre volte all'esterno della rete. Per una gestione efficace, è necessario che questi si connettano ad Administration Server in modo diverso a seconda della posizione. Per un utilizzo efficiente del traffico, è inoltre necessario che ricevano gli aggiornamenti da origini diverse a seconda della posizione.

È necessario configurare le regole per gli utenti fuori sede: profili di connessione e descrizioni dei percorsi di rete. Ciascuna regola definisce l'istanza di Administration Server a cui i laptop mobili devono connettersi a seconda della posizione e l'istanza di Administration Server da cui devono ricevere gli aggiornamenti.

Vedere anche:

Accesso a Internet: Network Agent come gateway di connessione nella rete perimetrale

Inizio pagina

[Topic 240598]

Scenario: connessione di dispositivi fuori sede tramite un Administration Server secondario in DMZ

Se si desidera connettere i dispositivi gestiti che si trovano all'esterno della rete principale ad Administration Server, è possibile utilizzare un Administration Server secondario situato nella rete perimetrale (DMZ).

Prerequisiti

Prima di iniziare, verificare di avere:

Una rete perimetrale deve essere organizzata nella rete dell'organizzazione.
Kaspersky Security Center Administration Server è distribuito nella rete interna dell'organizzazione.

Passaggi

Questo scenario procede per fasi:

Selezione di un dispositivo client nella rete perimetrale
Nella DMZ, selezionare un dispositivo client che verrà utilizzato come Administration Server secondario.
Installazione di Kaspersky Security Center Administration Server
Installare Kaspersky Security Center Administration Server in questo dispositivo client.
Creazione di una gerarchia di Administration Server
Se si posiziona un Administration Server secondario in DMZ, l'Administration Server secondario deve ricevere una connessione dall'Administration Server primario. A tale scopo, aggiungere un nuovo Administration Server come secondario in modo che l'Administration Server primario si connetta all'Administration Server secondario tramite la porta 13000. Quando si combinano due Administration Server in una gerarchia, verificare che la porta 13291 sia accessibile in entrambi gli Administration Server. Administration Console si connette a un Administration Server tramite la porta 13291.
Connessione dei dispositivi gestiti fuori sede all'Administration Server secondario
È possibile connettere i dispositivi fuori sede ad Administration Server in DMZ nello stesso modo in cui viene stabilita la connessione tra Administration Server e i dispositivi gestiti che si trovano nella rete principale. I dispositivi gestiti fuori sede avviano la connessione tramite la porta 13000.

Inizio pagina

[Topic 204435]

Informazioni sulla connessione dei dispositivi fuori sede

Alcuni dispositivi gestiti si trovano sempre all'esterno della rete principale (ad esempio dispositivi nelle filiali dell'azienda; chioschi, bancomat e terminali installati in vari punti vendita; dispositivi negli uffici domestici dei dipendenti). Alcuni dispositivi si spostano di tanto in tanto al di fuori del perimetro (ad esempio i laptop degli utenti che visitano le filiali regionali o l'ufficio di un cliente).

È comunque necessario monitorare e gestire la protezione dei dispositivi fuori sede: ricevere informazioni effettive sul relativo stato della protezione e mantenere aggiornate le applicazioni di protezione in essi installate. Questa prassi è necessaria perché se ad esempio uno di questi dispositivi viene compromesso mentre è all'esterno della rete principale, potrebbe diventare una piattaforma per la propagazione delle minacce non appena si connette alla rete principale. Per connettere i dispositivi fuori sede ad Administration Server è possibile utilizzare due metodi:

Gateway di connessione nella rete perimetrale
Visualizzare lo schema del traffico dati: Administration Server nella LAN, dispositivi gestiti in Internet, gateway di connessione in uso
Administration Server nella rete perimetrale
Visualizzare lo schema del traffico dati: Administration Server nella rete perimetrale, dispositivi gestiti in Internet

Un gateway di connessione nella rete perimetrale

Un metodo consigliato per connettere i dispositivi fuori sede ad Administration Server è quello di organizzare una rete perimetrale nella rete dell'organizzazione e di installare un gateway di connessione nella rete perimetrale. I dispositivi esterni si connetteranno al gateway di connessione e Administration Server all'interno della rete avvierà una connessione ai dispositivi tramite il gateway di connessione.

Rispetto all'altro metodo, questo è più sicuro:

Non è necessario aprire l'accesso ad Administration Server dall'esterno della rete.
Un gateway di connessione compromesso non rappresenta un rischio elevato per la sicurezza dei dispositivi di rete. Un gateway di connessione in realtà non gestisce nulla autonomamente e non stabilisce alcuna connessione.

Inoltre, un gateway di connessione non richiede molte risorse hardware.

Tuttavia, questo metodo ha un processo di configurazione più complicato:

Per fare in modo che un dispositivo funga da gateway di connessione nella rete perimetrale, è necessario installare Network Agent e connetterlo ad Administration Server in un modo specifico.
Non sarà possibile utilizzare lo stesso indirizzo per la connessione ad Administration Server per tutte le situazioni. Dall'esterno del perimetro sarà necessario utilizzare non solo un indirizzo diverso (indirizzo del gateway di connessione), ma anche una modalità di connessione diversa: tramite un gateway di connessione.
È inoltre necessario definire impostazioni di connessione diverse per i laptop in posizioni diverse.

Per aggiungere un gateway di connessione a una rete configurata in precedenza:

Installare Network Agent in modalità gateway di connessione.
Reinstallare Network Agent nei dispositivi che si desidera connettere al gateway di connessione appena aggiunto.

Administration Server nella rete perimetrale

Un altro metodo consiste nell'installare un singolo Administration Server nella rete perimetrale.

Questa configurazione è meno sicura rispetto all'altro metodo. Per gestire laptop esterni in questo caso, Administration Server deve accettare connessioni da qualsiasi indirizzo in Internet. Gestirà comunque tutti i dispositivi nella rete interna, ma dalla rete perimetrale. Pertanto, un server compromesso potrebbe causare un'ingente quantità di danni, nonostante la bassa probabilità che tale evento si verifichi.

Il rischio si riduce notevolmente se Administration Server nella rete perimetrale non gestisce i dispositivi nella rete interna. Tale configurazione può essere utilizzata ad esempio da un fornitore di servizi per gestire i dispositivi dei clienti.

Potrebbe essere opportuno utilizzare questo metodo nei seguenti casi:

Se si ha familiarità con l'installazione e la configurazione di Administration Server e non si desidera eseguire un'altra procedura per installare e configurare un gateway di connessione.
Se è necessario gestire più dispositivi. La capacità massima di Administration Server è di 100.000 dispositivi, mentre un gateway di connessione può supportare fino a 10.000 dispositivi.

Questa soluzione presenta anche possibili difficoltà:

Administration Server richiede più risorse hardware e un altro database.
Le informazioni sui dispositivi verranno archiviate in due database non correlati (per Administration Server all'interno della rete e un altro nella rete perimetrale), il che complica il monitoraggio.
Per gestire tutti i dispositivi, Administration Server deve trovarsi in una gerarchia, il che complica non solo il monitoraggio ma anche la gestione. Un'istanza dell'Administration Server secondario impone limitazioni alle possibili strutture dei gruppi di amministrazione. È necessario decidere come e quali attività e criteri distribuire a un'istanza dell'Administration Server secondario.
La configurazione di dispositivi esterni per l'utilizzo di Administration Server nella rete perimetrale dall'esterno e per l'utilizzo dell'Administration Server primario dall'interno non è più semplice della configurazione per l'utilizzo di una connessione condizionale tramite un gateway.
Elevati rischi per la sicurezza. Un'istanza di Administration Server compromessa semplifica la compromissione dei laptop gestiti. In tal caso, gli hacker devono solo attendere che uno dei laptop torni nella rete aziendale in modo da poter proseguire l'attacco nella LAN.

Vedere anche:

Administration Server e due dispositivi nella rete perimetrale: un gateway di connessione e un dispositivo client

Accesso a Internet: Network Agent come gateway di connessione nella rete perimetrale

Administration Server all'interno della rete perimetrale, dispositivi gestiti in Internet

Accesso a Internet: Administration Server in una rete perimetrale

Gateway di connessione

Inizio pagina

[Topic 204255]

Connessione dei dispositivi desktop esterni ad Administration Server

I dispositivi desktop che si trovano sempre all'esterno della rete principale (ad esempio dispositivi nelle filiali dell'azienda; chioschi, bancomat e terminali installati in vari punti vendita; dispositivi negli uffici domestici dei dipendenti) non possono essere collegati direttamente ad Administration Server. Devono essere collegati ad Administration Server tramite un gateway di connessione installato nella rete perimetrale. Questa configurazione viene eseguita durante l'installazione di Network Agent in tali dispositivi.

Per connettere dispositivi desktop esterni ad Administration Server:

Creare un nuovo pacchetto di installazione per Network Agent.
Aprire le proprietà del pacchetto di installazione creato e passare alla sezione Avanzate, quindi selezionare l'opzione Esegui la connessione ad Administration Server utilizzando un gateway di connessione.
L'impostazione Esegui la connessione ad Administration Server utilizzando un gateway di connessione non è compatibile con l'impostazione Utilizzare Network Agent come gateway di connessione nella rete perimetrale. Non è possibile abilitare entrambe queste impostazioni contemporaneamente.
In Indirizzo gateway connessione specificare l'indirizzo pubblico del gateway di connessione.
Se il gateway di connessione si trova dietro una configurazione NAT (Network Address Translation) e non dispone di un proprio indirizzo pubblico, configurare una regola del gateway NAT per inoltrare le connessioni dall'indirizzo pubblico all'indirizzo interno del gateway di connessione.
Creare un pacchetto di installazione indipendente basato sul pacchetto di installazione creato.
Distribuire il pacchetto di installazione indipendente ai dispositivi di destinazione in formato elettronico o tramite un'unità rimovibile.
Installare Network Agent dal pacchetto indipendente.

I dispositivi desktop esterni sono connessi ad Administration Server.

Inizio pagina

[Topic 92485]

Informazioni sui profili di connessione per gli utenti fuori sede

Gli utenti fuori sede con computer portatili (di seguito denominati anche "dispositivi") possono aver bisogno di modificare il metodo di connessione a un Administration Server o passare da un Administration Server all'altro a seconda della posizione corrente del dispositivo nella rete aziendale.

I profili di connessione sono supportati solo per i dispositivi che eseguono Windows e macOS.

Utilizzo di differenti indirizzi di un singolo Administration Server

I dispositivi con Network Agent installato possono connettersi all'Administration Server dalla rete Intranet dell'organizzazione o da Internet. Questa situazione può richiedere l'utilizzo da parte di Network Agent di differenti indirizzi per la connessione ad Administration Server: l'indirizzo esterno dell'Administration Server per la connessione Internet e l'indirizzo interno dell'Administration Server per la connessione dalla rete interna.

A tale scopo, è necessario aggiungere un profilo (per la connessione ad Administration Server da Internet) al criterio di Network Agent. Aggiungere il profilo nelle proprietà del criterio (sezione Connettività, sottosezione Profili connessione). Nella finestra di creazione del profilo è necessario disabilitare l'opzione Usa per ricevere solo aggiornamenti e selezionare l'opzione Sincronizza impostazioni di connessione con le impostazioni di Administration Server specificate nel profilo. Se si utilizza un gateway di connessione per accedere ad Administration Server (ad esempio, in una configurazione di Kaspersky Security Center come quella descritta in Accesso a Internet: Network Agent come gateway nella rete perimetrale), è necessario specificare l'indirizzo del gateway di connessione nel campo corrispondente del profilo di connessione.

Passaggio da un Administration Server all'altro a seconda della rete corrente

Se l'organizzazione ha più sedi con diversi Administration Server e alcuni dispositivi con Network Agent installato si spostano tra di esse, è necessario che Network Agent si connetta all'Administration Server della rete locale nella sede in cui si trova attualmente il dispositivo.

In questo caso, è necessario creare un profilo per la connessione ad Administration Server nelle proprietà del criterio di Network Agent per ciascuna delle sedi, tranne che per la sede principale in cui si trova l'Administration Server principale originale. È necessario specificare gli indirizzi di Administration Server nei profili di connessione e abilitare o disabilitare l'opzione Usa per ricevere solo aggiornamenti:

Selezionare l'opzione se è necessario sincronizzare Network Agent con l'Administration Server principale e utilizzare il server locale solo per scaricare gli aggiornamenti.
Disabilitare questa opzione se è necessario che Network Agent sia completamente gestito dall'Administration Server locale.

Sarà quindi necessario impostare le condizioni per il passaggio ai nuovi profili creati: almeno una condizione per ciascuna delle sedi, tranne che per la sede principale. Lo scopo di ogni condizione consiste nel rilevamento degli elementi che sono specifici per l'ambiente di rete di una sede. Se una condizione è vera, il profilo corrispondente viene attivato. Se nessuna delle condizioni è vera, Network Agent passa all'Administration Server principale.

Vedere anche:

Concessione dell'accesso via Internet all'Administration Server

Accesso a Internet: Network Agent come gateway di connessione nella rete perimetrale

Creazione di un profilo di connessione per gli utenti fuori sede

Inizio pagina

[Topic 10806]

Creazione di un profilo di connessione per gli utenti fuori sede

Informazioni sui profili di connessione per gli utenti fuori sede

Un profilo di connessione di Administration Server è disponibile solo nei dispositivi che eseguono Windows e macOS.

Per creare un profilo per la connessione di Network Agent ad Administration Server per gli utenti fuori sede:

Nella struttura della console selezionare il gruppo di amministrazione che contiene i dispositivi client in cui è necessario creare un profilo per la connessione di Network Agent ad Administration Server.
Eseguire una delle seguenti operazioni:
- Se si desidera creare un profilo di connessione per tutti i dispositivi del gruppo, selezionare un criterio di Network Agent nell'area di lavoro del gruppo, nella scheda Criteri. Aprire la finestra delle proprietà del criterio selezionato.
- Se si desidera creare un profilo di connessione per un dispositivo in un gruppo, selezionare il dispositivo nell'area di lavoro del gruppo, nella scheda Dispositivi, ed eseguire le seguenti azioni:
  1. Aprire la finestra delle proprietà del dispositivo selezionato.
  2. Nella sezione Applicazioni della finestra delle proprietà del dispositivo selezionare Network Agent.
  3. Aprire la finestra delle proprietà del Network Agent.
Nella finestra delle proprietà, nella sezione Connettività selezionare la sottosezione Profili connessione.
Nel gruppo di impostazioni Profili connessione di Administration Server fare clic sul pulsante Aggiungi.
Per impostazione predefinita, l'elenco dei profili di connessione contiene i profili <Modalità offline> e <Administration Server principale>. I profili non possono essere modificati o rimossi.

Il profilo <Modalità offline> non specifica alcun server per la connessione. Di conseguenza, quando viene eseguito il passaggio a questo profilo, Network Agent non tenta di connettersi ad alcun Administration Server, mentre le applicazioni installate nei dispositivi client sono eseguite con i criteri di lavoro fuori sede. Il profilo <Modalità offline> può essere utilizzato se i dispositivi sono disconnessi dalla rete.

Il profilo <Administration Server principale> specifica la connessione per l'Administration Server che è stato selezionato durante l'installazione di Network Agent. Il profilo <Administration Server principale> viene applicato quando un dispositivo si riconnette all'Administration Server principale dopo l'esecuzione in una rete esterna per un determinato periodo.
Nella finestra Nuovo profilo visualizzata configurare il profilo di connessione:
- Nome profilo
  Nel campo di immissione è possibile visualizzare o modificare il nome del profilo di connessione.
- Administration Server
  Indirizzo di Administration Server a cui il dispositivo client deve connettersi durante l'attivazione del profilo.
- Porta
  Il numero di porta utilizzato per la connessione.
- Porta SSL
  Il numero della porta per la connessione tramite il protocollo SSL.
- Usa SSL
  Se questa opzione è abilitata, la connessione viene stabilita tramite una porta sicura utilizzando il protocollo SSL.
  
  Per impostazione predefinita, questa opzione è abilitata. È consigliabile non disabilitare questa opzione in modo che la connessione rimanga protetta.
- Fare clic sul collegamento Configura la connessione tramite server proxy per configurare la connessione tramite un server proxy: Se si desidera utilizzare un server proxy durante la connessione a Internet, selezionare l'opzione Usa server proxy. Se questa opzione è selezionata, i campi sono disponibili per l'immissione delle impostazioni. Specificare le seguenti impostazioni per la connessione a un server proxy:
  - Indirizzo server proxy
    Indirizzo del server proxy utilizzato per la connessione di Kaspersky Security Center a Internet.
  - Numero di porta
    Numero della porta utilizzata per stabilire la connessione al proxy di Kaspersky Security Center.
  - Autenticazione server proxy
    Se questa casella di controllo è selezionata, nei campi di immissione è possibile specificare le credenziali per l'autenticazione del server proxy.
    
    Questo campo di immissione è disponibile se la casella di controllo Usa server proxy è selezionata.
  - Nome utente (questo campo è disponibile se l'opzione Autenticazione server proxy è selezionata)
    Account utente con il quale è stata stabilita la connessione al server proxy (questo campo è disponibile se la casella di controllo Autenticazione server proxy è selezionata).
  - Password (questo campo è disponibile se l'opzione Autenticazione server proxy)
    Password impostata dall'utente di cui è stato utilizzato l'account per stabilire la connessione al server proxy (questo campo è disponibile se la casella di controllo Autenticazione server proxy è selezionata).
    
    Per visualizzare la password immessa, tenere premuto il pulsante Mostra per il tempo necessario.
- Impostazioni gateway di connessione
  Indirizzo del gateway attraverso cui i dispositivi client si connettono ad Administration Server.
- Abilita la modalità fuori sede
  Se questa opzione è abilitata, in caso di utilizzo di questo profilo per la connessione, le applicazioni installate nel dispositivo client utilizzeranno i profili criterio per i dispositivi in modalità fuori sede, nonché i criteri fuori sede. Se non è definito alcun criterio fuori sede per l'applicazione, verrà utilizzato il criterio attivo.
  
  Se questa opzione è disabilitata, le applicazioni utilizzeranno i criteri attivi.
  
  Per impostazione predefinita, questa opzione è disabilitata.
- Usa per ricevere solo aggiornamenti
  Se questa opzione è abilitata, il profilo verrà utilizzato solo per il download degli aggiornamenti da parte delle applicazioni installate nel dispositivo client. Per le altre operazioni verrà stabilita la connessione ad Administration Server con le impostazioni di connessione iniziali definite durante l'installazione di Network Agent.
  
  Per impostazione predefinita, questa opzione è abilitata.
- Sincronizza impostazioni di connessione con le impostazioni di Administration Server specificate nel profilo
  Se questa opzione è abilitata, Network Agent si connette ad Administration Server utilizzando le impostazioni specificate nelle proprietà del profilo.
  
  Se questa opzione è disabilitata, Network Agent si connette ad Administration Server utilizzando le impostazioni originali specificate durante l'installazione.
  
  Questa opzione è disponibile se l'opzione Usa per ricevere solo aggiornamenti è disabilitata.
  
  Per impostazione predefinita, questa opzione è disabilitata.
Selezionare l'opzione Abilita la modalità fuori sede quando Administration Server non è disponibile per consentire alle applicazioni installate in un dispositivo client di utilizzare i profili criterio per i dispositivi in modalità fuori sede, nonché i criteri fuori sede, per qualsiasi tentativo di connessione se Administration Server non è disponibile. Se non è definito alcun criterio fuori sede per l'applicazione, verrà utilizzato il criterio attivo.

Verrà creato un profilo per la connessione di Network Agent ad Administration Server per gli utenti mobili. Quando Network Agent si connette ad Administration Server con questo profilo, le applicazioni installate in un dispositivo client utilizzeranno i criteri per i dispositivi in modalità fuori sede o i criteri fuori sede.

Vedere anche:

Inizio pagina

[Topic 10419]

Informazioni sul passaggio di Network Agent ad altri Administration Server

Le impostazioni iniziali della connessione di Network Agent ad Administration Server vengono definite durante l'installazione di Network Agent. Per passare da Network Agent ad altri Administration Server, è possibile utilizzare le regole per il passaggio. Questa funzionalità è supportata solo per i Network Agent installati nei dispositivi che eseguono Windows o macOS.

Le regole per il passaggio possono essere attivate al momento della modifica dei seguenti parametri di rete:

Indirizzo gateway predefinito.
Indirizzo IP del server DHCP (Dynamic Host Configuration Protocol).
Suffisso DNS della subnet.
Indirizzo IP del server DNS di rete.
Accessibilità del dominio Windows. Questo parametro è disponibile solo per i dispositivi in cui viene eseguito Windows.
Indirizzo e maschera della subnet.
Indirizzo IP del server WINS di rete. Questo parametro è disponibile solo per i dispositivi in cui viene eseguito Windows.
Nome DNS o NetBIOS del dispositivo client.
Accessibilità indirizzo di connessione SSL.

Se sono state create regole per il passaggio del Network Agent ad altri Administration Server, Network Agent risponde alle modifiche dei parametri di rete nel modo seguente:

Se le impostazioni di rete sono conformi a una delle regole create, Network Agent si connette all'Administration Server specificato in questa regola. Le applicazioni installate nei dispositivi client passano ai criteri fuori sede, a condizione che tale comportamento sia abilitato da una regola.
Se non è applicabile alcuna regola, Network Agent ripristina le impostazioni predefinite della connessione all'Administration Server specificato durante l'installazione. Per le applicazioni installate nei dispositivi client vengono ripristinati i criteri attivi.
Se l'Administration Server non è accessibile, Network Agent utilizzerà i criteri fuori sede.

Network Agent passa al criterio fuori sede solo se l'opzione Abilita la modalità fuori sede quando Administration Server non è disponibile è abilitata nelle impostazioni del criterio di Network Agent.

Le impostazioni della connessione di Network Agent all'Administration Server vengono salvate in un profilo. Nel profilo di connessione è possibile creare regole per il passaggio dei dispositivi client ai criteri fuori sede, nonché configurare il profilo in modo da utilizzarlo solo per il download degli aggiornamenti.

Vedere anche

Creazione di una regola di attivazione del profilo criterio

Inizio pagina

[Topic 10807]

Creazione di una regola per il passaggio di Network Agent in base al percorso di rete

Configurazione delle notifiche degli eventi

Il passaggio di Network Agent in base al percorso di rete è disponibile solo nei dispositivi che eseguono Windows e macOS.

Per creare una regola per il passaggio di Network Agent da un Administration Server all'altro in caso di modifiche delle impostazioni di rete:

Nella struttura della console selezionare il gruppo di amministrazione che contiene i dispositivi per cui è necessario creare una regola per il passaggio di Network Agent in base alla descrizione del percorso di rete.
Eseguire una delle seguenti operazioni:
- Se si desidera creare una regola per tutti i dispositivi del gruppo, passare all'area di lavoro del gruppo e selezionare un criterio di Network Agent nella scheda Criteri. Aprire la finestra delle proprietà del criterio selezionato.
- Se si desidera creare una regola per un dispositivo selezionato da un gruppo, passare all'area di lavoro del gruppo, selezionare il dispositivo nella scheda Dispositivi ed eseguire le seguenti azioni:
  1. Aprire la finestra delle proprietà del dispositivo selezionato.
  2. Nella sezione Applicazioni della finestra delle proprietà del dispositivo selezionare Network Agent.
  3. Aprire la finestra delle proprietà del Network Agent.
Nella finestra Proprietà visualizzata, nella sezione Connettività, selezionare la sottosezione Profili connessione.
Nella sezione Impostazioni percorso di rete fare clic sul pulsante Aggiungi.
Nella finestra Nuova descrizione visualizzata configurare la descrizione del percorso di rete e la regola per il passaggio. Specificare le seguenti impostazioni della descrizione del percorso di rete:
- Nome della descrizione del percorso di rete
  Il nome della descrizione del percorso di rete non può essere superiore a 255 caratteri, né contenere simboli speciali come ("*<>?\/:|).
- Usa profilo connessione
  Nell'elenco a discesa è possibile specificare il profilo di connessione utilizzato da Network Agent per connettersi ad Administration Server. Questo profilo verrà utilizzato quando sono soddisfatte le condizioni della descrizione del percorso di rete. Il profilo di connessione contiene le impostazioni per la connessione di Network Agent all'Administration Server e definisce in quali casi i dispositivi client devono passare ai criteri fuori sede. Il profilo viene utilizzato solo per scaricare gli aggiornamenti.
Nella sezione Cambia condizioni fare clic sul pulsante Aggiungi per creare un elenco di condizioni della descrizione del percorso di rete.
Le condizioni in una regola vengono combinate utilizzando l'operatore logico AND. Per attivare una regola di passaggio in base alla descrizione del percorso di rete, devono essere soddisfatte tutte le condizioni della regola.
Nell'elenco a discesa selezionare il valore corrispondente alla modifica delle caratteristiche della rete a cui il dispositivo client è connesso:
- Indirizzo gateway di connessione predefinito – L'indirizzo del gateway principale della rete è stato modificato.
- Indirizzo server DHCP – L'indirizzo IP del server DHCP della rete è stato modificato.
- Dominio DNS – Il suffisso DNS della subnet è stato modificato.
- Indirizzo server DNS – L'indirizzo IP del server DNS della rete è stato modificato.
- Accessibilità dominio Windows (solo Windows) – Modifica dello stato del dominio Windows a cui il dispositivo client è connesso. Utilizzare questa impostazione solo per i dispositivi che eseguono Windows.
- Subnet – Modifica dell'indirizzo e della subnet mask.
- Indirizzo server WINS (solo Windows) – L'indirizzo IP del server WINS della rete è stato modificato. Utilizzare questa impostazione solo per i dispositivi che eseguono Windows.
- Risolvibilità del nome—Il nome DNS o NetBIOS del dispositivo client è cambiato.
- Accessibilità indirizzo di connessione SSL—Il dispositivo client può o non può (a seconda dell'opzione selezionata) stabilire una connessione SSL con un server specificato (nome: porta). Per ogni server è inoltre possibile specificare un certificato SSL. In questo caso, Network Agent verifica il certificato del server oltre a controllare la capacità di una connessione SSL. Se il certificato non corrisponde, la connessione non va a buon fine.
Nella finestra visualizzata specificare la condizione per il passaggio di Network Agent a un altro Administration Server. Il nome della finestra dipende dal valore selezionato durante il passaggio precedente. Specificare le seguenti impostazioni della condizione di passaggio:
- Valore
  In questo campo è possibile aggiungere uno o più valori per la condizione creata.
- Corrisponde ad almeno un valore dell'elenco
  Se questa opzione è selezionata, la condizione sarà soddisfatta indipendentemente dal valore specificato nell'elenco Valore.
  
  Per impostazione predefinita, questa opzione è selezionata.
- Non corrisponde ad alcun valore dell'elenco
  Se questa opzione è selezionata, la condizione viene soddisfatta se il relativo valore non è contenuto nell'elenco Valore.
Nella finestra Nuova descrizione selezionare l'opzione Descrizione abilitata per abilitare l'utilizzo della nuova descrizione del percorso di rete.

Verrà creata una nuova regola di passaggio in base alla descrizione del percorso di rete. Quando le condizioni della regola sono soddisfatte, Network Agent utilizza il profilo di connessione specificato nella regola per connettersi ad Administration Server.

Viene cercata una corrispondenza del layout di rete nelle descrizioni del percorso di rete, in base all'ordine in cui le regole sono visualizzate nell'elenco. Se una rete corrisponde a più descrizioni, viene utilizzata la prima. È possibile modificare l'ordine delle regole nell'elenco utilizzando i pulsanti Su () e Giù ().

Inizio pagina

[Topic 174316]

Criptaggio delle comunicazioni con TLS

Per correggere le vulnerabilità nella rete aziendale dell'organizzazione, è possibile abilitare il criptaggio del traffico tramite il protocollo TLS. È possibile abilitare i protocolli di criptaggio TLS e i pacchetti di criptaggio supportati in Administration Server e iOS MDM Server. Kaspersky Security Center supporta le versioni 1.0, 1.1 e 1.2 del protocollo TLS. È possibile selezionare il protocollo e i pacchetti di criptaggio richiesti.

Kaspersky Security Center utilizza certificati autofirmati. Non sono necessarie configurazioni aggiuntive dei dispositivi iOS. È inoltre possibile utilizzare i propri certificati. Gli specialisti di Kaspersky consigliano di utilizzare i certificati rilasciati da autorità di certificazione attendibili.

Administration Server

Per configurare i protocolli e i pacchetti di criptaggio consentiti nell'Administration Server:

Eseguire il prompt dei comandi di Windows con diritti di amministratore, quindi modificare la directory corrente nella directory con l'utilità klscflag. L'utilità klscflag si trova nella cartella in cui è installato Administration Server. Il percorso di installazione predefinito è <Disco>:\Programmi (x86)\ Kaspersky Lab\ Kaspersky Security Center.
Utilizzare il contrassegno SrvUseStrictSslSettings per configurare i protocolli e i pacchetti di criptaggio consentiti in Administration Server. Immettere il seguente comando nel prompt dei comandi di Windows:
klscflag -fset -pv ".core/.independent" -s Transport -n SrvUseStrictSslSettings -v <valore> -t d

Specificare il parametro <valore> del contrassegno SrvUseStrictSslSettings:
- 4: è abilitato solo il protocollo TLS 1.2. Sono abilitate anche le suite di criptaggio con TLS_RSA_WITH_AES_256_GCM_SHA384 (queste suite di criptaggio sono necessarie per la retrocompatibilità con Kaspersky Security Center 11). Questo è il valore predefinito.
  Suite di criptaggio supportate per il protocollo TLS 1.2:
  - ECDHE-RSA-AES256-GCM-SHA384
  - ECDHE-RSA-AES256-SHA384
  - ECDHE-RSA-CHACHA20-POLY1305
  - AES256-GCM-SHA384 (suite di criptaggio con TLS_RSA_WITH_AES_256_GCM_SHA384)
  - ECDHE-RSA-AES128-GCM-SHA256
  - ECDHE-RSA-AES128-SHA256
- 5: è abilitato solo il protocollo TLS 1.2. Per il protocollo TLS 1.2, sono supportati i pacchetti di criptaggio specifici elencati di seguito.
  Suite di criptaggio supportate per il protocollo TLS 1.2:
  - ECDHE-RSA-AES256-GCM-SHA384
  - ECDHE-RSA-AES256-SHA384
  - ECDHE-RSA-CHACHA20-POLY1305
  - ECDHE-RSA-AES128-GCM-SHA256
  - ECDHE-RSA-AES128-SHA256
Non è consigliabile utilizzare 0, 1, 2 o 3 come valore del parametro del contrassegno SrvUseStrictSslSettings. Questi valori dei parametri corrispondono a versioni non sicure del protocollo TLS (i protocolli TLS 1.0 e TLS 1.1) e a suite di criptaggio non sicure e vengono utilizzati solo per la compatibilità con le versioni precedenti di Kaspersky Security Center.
Riavviare i seguenti servizi Kaspersky Security Center 14.2:
- Administration Server
- Server Web
- Proxy di attivazione

Server per dispositivi mobili MDM iOS

La connessione tra i dispositivi iOS e il Server per dispositivi mobili MDM iOS è criptata per impostazione predefinita.

Per configurare i protocolli e i pacchetti di criptaggio consentiti in Server per dispositivi mobili MDM iOS:

Aprire il Registro di sistema del dispositivo client in cui è installato il server per dispositivi mobili MDM iOS (ad esempio, in locale, utilizzando il comando regedit dal menu Start → Esegui).
Passare al seguente hive:
- Per i sistemi a 32 bit:
  HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset
- Per i sistemi a 64 bit:
  HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset
Creare una chiave con il nome StrictSslSettings.
Specificare DWORD come tipo di chiave.
Impostare il valore della chiave:
- 2: i protocolli TLS 1.0, TLS 1.1 e TLS 1.2 sono abilitati.
- 3: solo il protocollo TLS 1.2 è abilitato (valore predefinito).
Riavviare il servizio Server per dispositivi mobili MDM iOS di Kaspersky Security Center.

Inizio pagina

[Topic 153722]

Notifiche degli eventi

In questa sezione viene descritto come selezionare un metodo per l'invio delle notifiche all'amministratore sugli eventi che si verificano nei dispositivi client e come configurare le impostazioni di notifica degli eventi.

Viene inoltre descritto come testare la distribuzione delle notifiche degli eventi tramite il virus di prova Eicar.

In questa sezione

Testing delle notifiche

Notifiche degli eventi visualizzate dall'esecuzione di un file eseguibile

Inizio pagina

[Topic 4944]

Configurazione delle notifiche degli eventi

Elaborazione e archiviazione di eventi in Administration Server

Kaspersky Security Center consente di selezionare un metodo per la notifica all'amministratore degli eventi che si verificano nei dispositivi client e di configurare la notifica:

E-mail. Quando si verifica un evento, l'applicazione invia una notifica agli indirizzi e-mail specificati. È possibile modificare il testo della notifica.
SMS. Quando si verifica un evento, l'applicazione invia una notifica ai numeri di telefono specificati. È possibile configurare le notifiche SMS per l'invio tramite il gateway di posta.
File eseguibile. Quando si verifica un evento in un dispositivo, il file eseguibile viene avviato nella workstation dell'amministratore. Utilizzando il file eseguibile, l'amministratore può ricevere i parametri di qualsiasi evento che si è verificato.

Per configurare le notifiche degli eventi che si verificano nei dispositivi client:

Nella struttura della console selezionare il nodo con il nome dell'Administration Server desiderato.
Nell'area di lavoro del nodo selezionare la scheda Eventi.
Fare clic sul collegamento Configura notifiche ed esportazione eventi e selezionare il valore Configura notifiche nell'elenco a discesa.
Verrà visualizzata la finestra Proprietà: Eventi.
Nella sezione Notifica selezionare un metodo di notifica (via e-mail, SMS o attraverso un file eseguibile) e definire le impostazioni di notifica:
- E-mail
  La scheda E-mail consente di configurare le notifiche degli eventi tramite e-mail.
  
  Nel campo Destinatari (indirizzi e-mail) specificare gli indirizzi e-mail a cui l'applicazione invierà le notifiche. È possibile specificare più indirizzi in questo campo, separandoli con punto e virgola.
  
  Nel campo Server SMTP specificare gli indirizzi dei server di posta, separandoli con punto e virgola. È possibile utilizzare i seguenti valori:
  - Indirizzo IPv4 o IPv6
  - Nome di rete Windows (nome NetBIOS) del dispositivo
  - Nome DNS del server SMTP
  Nel campo Porta server SMTP specificare il numero di una porta di comunicazione del server SMTP. Il numero di porta predefinito è 25.
  
  Se si abilita l'opzione Usa ricerca DNS MX, è possibile utilizzare più record MX degli indirizzi IP per lo stesso nome DNS del server SMTP. Lo stesso nome DNS può avere diversi record MX con valori di priorità differenti di ricezione dei messaggi e-mail. Administration Server tenta di inviare notifiche e-mail al server SMTP in ordine crescente di priorità dei record MX. Per impostazione predefinita, questa opzione è disabilitata.
  
  Se si abilita l'opzione Usa ricerca DNS MX e non si abilita l'utilizzo delle impostazioni TLS, è consigliabile utilizzare le impostazioni DNSSEC nel dispositivo server come misura di protezione aggiuntiva per l'invio di notifiche e-mail.
  
  Fare clic sul collegamento Impostazioni per definire impostazioni di notifica aggiuntive:
  - Nome dell'oggetto (nome dell'oggetto di un messaggio e-mail)
  - Indirizzo e-mail del mittente
  - Impostazioni di autenticazione ESMTP
  È necessario specificare un account per l'autenticazione in un server SMTP se l'opzione di autenticazione ESMTP è abilitata per il server SMTP.
  - Impostazioni TLS per il server SMTP:
    - Non utilizzare TLS
    È possibile selezionare questa opzione se si desidera disabilitare il criptaggio dei messaggi e-mail.
    - Usa TLS se supportato dal server SMTP
    È possibile selezionare questa opzione se si desidera utilizzare una connessione TLS in un server SMTP. Se il server SMTP non supporta TLS, Administration Server si connette al server SMTP senza utilizzare TLS.
    - Usa sempre TLS, controlla la validità del certificato del server
    È possibile selezionare questa opzione se si desidera utilizzare le impostazioni di autenticazione TLS. Se il server SMTP non supporta TLS, Administration Server non può connettersi al server SMTP.
  È consigliabile utilizzare questa opzione per una protezione più efficace della connessione con un server SMTP. Se si seleziona questa opzione, è possibile configurare le impostazioni di autenticazione per una connessione TLS.
  
  Se si sceglie il valore Usa sempre TLS, controlla la validità del certificato del server, è possibile specificare un certificato per l'autenticazione del server SMTP e scegliere se si desidera abilitare la comunicazione tramite qualsiasi versione di TLS o solo tramite TLS 1.2 o versioni successive. È inoltre possibile specificare un certificato per l'autenticazione del client nel server SMTP.
  
  È possibile specificare le impostazioni TLS per un server SMTP:
  - Cercare un file di certificato del server SMTP:
  È possibile ricevere un file con l'elenco dei certificati da un'autorità di certificazione attendibile e caricare il file in Administration Server. Kaspersky Security Center verifica se anche il certificato di un server SMTP è firmato da un'autorità di certificazione attendibile. Kaspersky Security Center non può connettersi a un server SMTP se il certificato del server SMTP non viene ricevuto da un'autorità di certificazione attendibile.
  - Cercare un file di certificato del client:
  È possibile utilizzare un certificato ricevuto da qualsiasi origine, ad esempio da qualsiasi autorità di certificazione attendibile. È necessario specificare il certificato e la relativa chiave privata utilizzando uno dei seguenti tipi di certificato:
  - Certificato X-509:
  È necessario specificare un file con il certificato e un file con la chiave privata. Entrambi i file non dipendono l'uno dall'altro e l'ordine di caricamento dei file non è significativo. Quando entrambi i file vengono caricati, è necessario specificare la password per la decodifica della chiave privata. La password può avere un valore vuoto se la chiave privata non è codificata.
  - Contenitore pkcs12:
  È necessario caricare un singolo file che contenga il certificato e la relativa chiave privata. Quando il file viene caricato, è necessario specificare la password per la decodifica della chiave privata. La password può avere un valore vuoto se la chiave privata non è codificata.
  
  Il campo Messaggio di notifica contiene testo standard con informazioni sull'evento inviate dall'applicazione quando si verifica un evento. Il testo include parametri sostitutivi, ad esempio il nome dell'evento, il nome del dispositivo e il nome di dominio. È possibile modificare il testo del messaggio aggiungendo altri parametri sostitutivi con dettagli più pertinenti dell'evento. L'elenco dei parametri sostitutivi è disponibile facendo clic sul pulsante a destra del campo.
  
  Se il testo di notifica contiene un segno percentuale (%), è necessario digitarlo due volte di seguito per consentire l'invio del messaggio. Ad esempio, "Il carico della CPU è 100%%".
  
  Fare clic sul collegamento Configura un limite numerico per le notifiche per specificare il numero massimo di notifiche che l'applicazione può inviare durante l'intervallo di tempo specificato.
  
  Fare clic sul pulsante Invia messaggio di prova per verificare se le notifiche sono state configurate correttamente. L'applicazione dovrebbe inviare una notifica di prova agli indirizzi e-mail specificati.
- SMS
  La scheda SMS consente di configurare la trasmissione delle notifiche SMS di diversi eventi a un cellulare. I messaggi SMS vengono inviati tramite un gateway di posta.
  
  Nel campo Destinatari (indirizzi e-mail) specificare gli indirizzi e-mail a cui l'applicazione invierà le notifiche. È possibile specificare più indirizzi in questo campo, separandoli con punto e virgola. Le notifiche verranno inviate ai numeri di telefono associati agli indirizzi e-mail specificati.
  
  Nel campo Server SMTP specificare gli indirizzi dei server di posta, separandoli con punto e virgola. È possibile utilizzare i seguenti valori:
  - Indirizzo IPv4 o IPv6
  - Nome di rete Windows (nome NetBIOS) del dispositivo
  - Nome DNS del server SMTP
  Nel campo Porta server SMTP specificare il numero di una porta di comunicazione del server SMTP. Il numero di porta predefinito è 25.
  
  Fare clic sul collegamento Impostazioni per definire impostazioni di notifica aggiuntive:
  - Nome dell'oggetto (nome dell'oggetto di un messaggio e-mail)
  - Indirizzo e-mail del mittente
  - Impostazioni di autenticazione ESMTP
  Se necessario, è possibile specificare un account per l'autenticazione in un server SMTP se l'opzione di autenticazione ESMTP è abilitata per il server SMTP.
  - Impostazioni TLS per un server SMTP
  È possibile disabilitare l'utilizzo di TLS, utilizzare TLS se il server SMTP supporta questo protocollo oppure forzare solo l'utilizzo di TLS. Se si sceglie di utilizzare solo TLS, è possibile specificare un certificato per l'autenticazione del server SMTP e scegliere se si desidera abilitare la comunicazione tramite qualsiasi versione di TLS o solo tramite TLS 1.2 o versioni successive. Inoltre, se si sceglie di utilizzare solo TLS, è possibile specificare un certificato per l'autenticazione client nel server SMTP.
  - Cercare un file di certificato del server SMTP
  È possibile ricevere un file con l'elenco dei certificati da un'autorità di certificazione attendibile e caricare il file in Kaspersky Security Center. Kaspersky Security Center verifica se anche il certificato del server SMTP è firmato da un'autorità di certificazione attendibile. Kaspersky Security Center non può connettersi al server SMTP se il certificato del server SMTP non viene ricevuto da un'autorità di certificazione attendibile.
  
  È necessario caricare un singolo file che contenga il certificato e la relativa chiave privata. Quando il file viene caricato, è necessario specificare la password per la decodifica della chiave privata. La password può avere un valore vuoto se la chiave privata non è codificata. Il campo Messaggio di notifica contiene testo standard con informazioni sull'evento che l'applicazione invia quando si verifica un evento. Il testo include parametri sostitutivi, ad esempio il nome dell'evento, il nome del dispositivo e il nome di dominio. È possibile modificare il testo del messaggio aggiungendo altri parametri sostitutivi con dettagli più pertinenti dell'evento. L'elenco dei parametri sostitutivi è disponibile facendo clic sul pulsante a destra del campo.
  
  Se il testo di notifica contiene un segno percentuale (%), è necessario digitarlo due volte di seguito per consentire l'invio del messaggio. Ad esempio, "Il carico della CPU è 100%%".
  
  Fare clic sul collegamento Configura un limite numerico per le notifiche per specificare il numero massimo di notifiche che l'applicazione può inviare nell'intervallo di tempo specificato.
  
  Fare clic sul pulsante Invia messaggio di prova per verificare se le notifiche sono state configurate correttamente. L'applicazione dovrebbe inviare una notifica di prova al destinatario specificato.
- File eseguibile da avviare
  Se è selezionato questo metodo di notifica, nel campo di immissione è possibile specificare l'applicazione che verrà avviata quando si verifica un evento.
  
  Il collegamento Configurare un limite numerico per la notifica consente di specificare il numero massimo di notifiche che l'applicazione può inviare nell'intervallo di tempo specificato.
  
  Il pulsante Invia messaggio di prova consente di verificare se le notifiche sono state configurate correttamente: l'applicazione invia una notifica di prova all'indirizzo e-mail specificato.
Nel campo Messaggio di notifica immettere il testo che l'applicazione invierà quando si verifica un evento.
È possibile utilizzare l'elenco a discesa a destra del campo di testo per aggiungere impostazioni di sostituzione con dettagli sull'evento (ad esempio la descrizione dell'evento o l'ora in cui si è verificato).

Se il testo di notifica contiene una percentuale (%), è necessario specificarlo due volte di seguito per consentire l'invio del messaggio. Ad esempio, "Il carico della CPU è 100%%".
Fare clic sul pulsante Invia messaggio di prova per verificare se la notifica è stata configurata correttamente.
L'applicazione invia una notifica test all'utente specificato.
Fare clic su OK per salvare le modifiche.

Le impostazioni di notifica modificate verranno applicate a tutti gli eventi che si verificano nei dispositivi client.

È possibile sostituire le impostazioni di notifica per determinati eventi nella sezione Configurazione eventi delle impostazioni di Administration Server, delle impostazioni di un criterio o delle impostazioni di un'applicazione.

Vedere anche:

Inizio pagina

[Topic 4834]

Testing delle notifiche

Per verificare l'invio delle notifiche degli eventi, l'applicazione utilizza la notifica di rilevamento del "virus" di prova EICAR nei dispositivi client.

Per verificare l'invio delle notifiche degli eventi:

Arrestare l'attività di protezione del file system in tempo reale in un dispositivo client e copiare il "virus" di prova EICAR nel dispositivo client. Abilitare nuovamente la protezione in tempo reale del file system.
Eseguire un'attività di scansione per dispositivi client in un gruppo di amministrazione o per dispositivi specifici, compreso uno con il "virus" EICAR.
Se l'attività di scansione è configurata correttamente, il virus di prova verrà rilevato. Se le notifiche sono configurate correttamente, si riceverà una notifica del rilevamento di un virus.

Nell'area di lavoro del nodo Administration Server, nella scheda Eventi, la selezione Eventi recenti visualizza un record di rilevamento di un "virus".

Il "virus" di prova EICAR non contiene codice che può danneggiare il dispositivo. Tuttavia, la maggior parte delle applicazioni di protezione identifica il file come virus. È possibile scaricare il "virus" di prova dal sito Web ufficiale di EICAR.

Inizio pagina

[Topic 84509]

Notifiche degli eventi visualizzate dall'esecuzione di un file eseguibile

Kaspersky Security Center consente di inviare all'amministratore notifiche degli eventi nei dispositivi client visualizzate dall'esecuzione di un file eseguibile. Il file eseguibile deve contenere un altro file eseguibile con segnaposto dell'evento da inviare all'amministratore (vedere la tabella seguente).

Segnaposto per la descrizione di un evento

Segnaposto	Descrizione del segnaposto
%SEVERITY%	Livello di criticità di un evento. Valori possibili: Informazioni Avviso Errore Critico
%COMPUTER%	Nome del dispositivo in cui si è verificato l'evento. La lunghezza massima del nome del dispositivo è di 256 caratteri.
%DOMAIN%	Nome di dominio del dispositivo in cui si è verificato l'evento
%EVENT%	Nome del tipo di evento. La lunghezza massima del nome del tipo di evento è 50 caratteri.
%DESCR%	Descrizione dell'evento. La lunghezza massima della descrizione è di 1000 caratteri.
%RISE_TIME%	Ora di creazione dell'evento.
%KLCSAK_EVENT_TASK_DISPLAY_NAME%	Nome dell'attività. La lunghezza massima del nome dell'attività è di 100 caratteri.
%KL_PRODUCT%	Nome del prodotto.
%KL_VERSION%	Numero di versione del prodotto.
%KLCSAK_EVENT_SEVERITY_NUM%	Numero del livello di criticità dell'evento. Valori possibili: 1—Informazioni 2—Avviso 3—Errore 4—Critico
%HOST_IP%	Indirizzo IP del dispositivo in cui si è verificato l'evento.
%HOST_CONN_IP%	Indirizzo IP della connessione del dispositivo in cui si è verificato l'evento.

Esempio:

Le notifiche degli eventi sono inviate tramite un file eseguibile (come script1.bat) all'interno del quale viene avviato un altro file eseguibile (come script2.bat) con il segnaposto %COMPUTER%. Quando si verifica un evento, il file script1.bat viene eseguito nel dispositivo dell'amministratore, eseguendo a sua volta il file script2.bat con il segnaposto %COMPUTER%. L'amministratore riceverà il nome del dispositivo in cui si è verificato l'evento.

Inizio pagina

[Topic 94148]

Configurazione dell'interfaccia

Scenario: Individuazione dei dispositivi nella rete

È possibile configurare l'interfaccia di Kaspersky Security Center:

Mostrare e nascondere oggetti nella struttura della console, nell'area di lavoro e nelle finestre delle proprietà degli oggetti (cartelle, sezioni) a seconda delle funzionalità utilizzate.
Mostrare e nascondere elementi della finestra principale (ad esempio la struttura della console o menu standard come Azioni e Visualizza).

Per configurare l'interfaccia di Kaspersky Security Center in base al set di funzionalità utilizzate al momento:

Nella struttura della console selezionare il nodo Administration Server.
Nella barra del menu della finestra principale dell'applicazione selezionare Visualizza → Configura interfaccia.
Nella finestra Configura interfaccia visualizzata configurare la visualizzazione degli elementi di interfaccia utilizzando le seguenti caselle di controllo:
- Visualizza Gestione vulnerabilità e patch
  Se questa opzione è abilitata, nella cartella Installazione remota viene visualizzata la sottocartella Distribuisci immagini dei dispositivi, mentre nella cartella Archivi viene visualizzata la sottocartella Hardware.
  
  Questa opzione è disabilitata per impostazione predefinita se l'Avvio rapido guidato non è stato terminato. Questa opzione è abilitata per impostazione predefinita al termine dell'Avvio rapido guidato.
  
  Se questa opzione è disabilitata, le voci di menu Crea sessioni RDP e Condivisione desktop Windows non saranno disponibili anche se si dispone di una licenza di gestione dei sistemi.
- Visualizza Criptaggio e protezione dei dati
  Se questa opzione è abilitata, la struttura della console visualizza la cartella Criptaggio e protezione dei dati.
  
  Per impostazione predefinita, questa opzione è abilitata.
- Visualizza impostazioni di controllo degli endpoint
  Se questa opzione è abilitata, vengono visualizzate le seguenti sottosezioni nella sezione Controlli di Sicurezza della finestra delle proprietà del criterio di Kaspersky Endpoint Security for Windows:
  - Controllo Applicazioni
  - Controllo Dispositivi
  - Controllo Web
  - Controllo adattivo delle anomalie
  Se questa opzione è disabilitata, queste sottosezioni non vengono visualizzate nella sezione Controlli di Sicurezza.
  
  Per impostazione predefinita, questa opzione è abilitata.
- Visualizza Mobile Device Management
  Se questa opzione è abilitata, è disponibile la funzionalità Mobile Device Management. Dopo il riavvio dell'applicazione, nella struttura della console viene visualizzata la cartella Dispositivi mobili.
  
  Per impostazione predefinita, questa opzione è abilitata.
- Visualizza Administration Server secondari
  Se la casella di controllo è selezionata, nella struttura della console vengono visualizzati i nodi degli Administration Server secondari e virtuali inclusi nei gruppi di amministrazione. Le funzionalità correlate agli Administration Server secondari e virtuali (ad esempio la creazione di attività di installazione remota delle applicazioni negli Administration Server secondari) sono disponibili.
  
  Per impostazione predefinita, questa casella di controllo è deselezionata.
- Visualizza le sezioni delle impostazioni di protezione
  Se questa opzione è abilitata, viene visualizzata la sezione Protezione nella finestra delle proprietà di Administration Server, dei gruppi di amministrazione e di altri oggetti. Questa opzione consente di concedere a utenti e gruppi di utenti autorizzazioni personalizzate per l'utilizzo degli oggetti.
  
  Per impostazione predefinita, questa opzione è disabilitata.
Fare clic su OK.

Per applicare alcune modifiche, è necessario chiudere la finestra principale dell'applicazione e quindi aprirla nuovamente.

Per configurare la visualizzazione di elementi nella finestra principale dell'applicazione:

Nella barra dei menu della finestra principale dell'applicazione selezionare Visualizza → Configura.
Nella finestra Configura visualizzazione visualizzata configurare la visualizzazione degli elementi della finestra principale utilizzando le caselle di controllo.
Fare clic su OK.

Inizio pagina

[Topic 179027]

Individuazione dei dispositivi nella rete

Questa sezione descrive le operazioni che è necessario eseguire dopo l'installazione di Kaspersky Security Center.

In questa sezione

Dispositivi non assegnati

Inizio pagina

[Topic 179028]

Scenario: Individuazione dei dispositivi nella rete

È necessario eseguire la device discovery prima dell'installazione delle applicazioni di protezione. Administration Server riceve informazioni sui dispositivi rilevati e consente di gestire i dispositivi tramite criteri. Sono necessari polling periodici della rete per aggiornare l'elenco dei dispositivi disponibili nella rete.

Prima di avviare il polling di rete, verificare che il protocollo SMB sia abilitato. In caso contrario, Kaspersky Security Center non può rilevare i dispositivi nella rete sottoposta a polling. Per abilitare il protocollo SMB, seguire le istruzioni per il proprio sistema operativo.

Il rilevamento dei dispositivi in rete comprende i seguenti fasi:

Individuazione dei dispositivi
L'Avvio rapido guidato fornisce supporto tramite la device discovery e aiuta a individuare i dispositivi della rete quali computer, tablet e cellulari. È inoltre possibile eseguire manualmente la device discovery.
Configurazione dei polling pianificati
Decidere quali tipi di polling si desidera utilizzare periodicamente. Abilitare i tipi desiderati e configurare la pianificazione dei polling secondo necessità. È possibile fare riferimento ai suggerimenti per la frequenza dei polling della rete.
Configurazione delle regole per l'aggiunta dei dispositivi individuati nei gruppi di amministrazione (facoltativa)
Se vengono visualizzati nuovi dispositivi nella rete, questi vengono individuati durante il polling periodico e vengono automaticamente inclusi nel gruppo Dispositivi non assegnati. È possibile impostare regole di spostamento dei dispositivi per automatizzare l'allocazione dei dispositivi al gruppo Dispositivi gestiti. È inoltre possibile configurare le regole di conservazione.

Se si ignora il passaggio 3, i nuovi dispositivi rilevati vengono assegnati al gruppo Dispositivi non assegnati. Se si desidera, è possibile spostare questi dispositivi nel gruppo Dispositivi gestiti manualmente. Se si spostano manualmente i dispositivi nel gruppo Dispositivi gestiti, è possibile analizzare le informazioni su ciascun dispositivo, decidere se spostarlo in un gruppo di amministrazione e, in tal caso, in quale gruppo.

Risultati

Il completamento dello scenario dà i seguenti risultati:

Kaspersky Security Center Administration Server rileva i dispositivi nella rete e fornisce informazioni in merito.
Le operazioni di polling future vengono impostate ed eseguite in base alla pianificazione specificata.
I nuovi dispositivi individuati vengono organizzati in base alle regole configurate. In alternativa, se non è configurata alcuna regola, i dispositivi rimangono nel gruppo Dispositivi non assegnati).

Vedere anche:

Interazione dei componenti di Kaspersky Security Center e delle applicazioni di protezione: ulteriori informazioni

Concetti di base

Architettura

Scenario: Installazione e configurazione iniziale di Kaspersky Security Center Web Console

Inizio pagina

[Topic 3871]

Dispositivi non assegnati

Questa sezione contiene informazioni sulla gestione dei dispositivi di una rete aziendale non inclusi in un gruppo di amministrazione.

In questa sezione

Device discovery

Utilizzo di domini Windows. Visualizzazione e modifica delle impostazioni del dominio

Configurazione delle regole di conservazione per i dispositivi non assegnati

Utilizzo degli intervalli IP

Utilizzo di gruppi Active Directory. Visualizzazione e modifica delle impostazioni dei gruppi

Creazione di regole per lo spostamento automatico dei dispositivi nei gruppi di amministrazione

Utilizzo della modalità dinamica VDI nei dispositivi client

Vedere anche:

Scenario: Individuazione dei dispositivi nella rete

Polling della rete Windows

Inizio pagina

[Topic 3884]

Device discovery

In questa sezione vengono descritti i tipi di device discovery disponibili in Kaspersky Security Center e vengono fornite informazioni sull'utilizzo di ogni tipo.

L'Administration Server riceve le informazioni sulla struttura della rete e sui dispositivi al suo interno tramite il polling periodico. Le informazioni vengono registrate nel database di Administration Server. Administration Server può utilizzare i seguenti tipi di polling:

Polling della rete Windows. L'Administration Server può eseguire due tipi di polling della rete Windows: rapido e completo. Durante un polling rapido Administration Server recupera informazioni solo dall'elenco dei nomi di dispositivi NetBIOS in tutti i domini di rete e i gruppi di lavoro. Durante un polling completo vengono richieste più informazioni da ogni dispositivo client: nome del sistema operativo, indirizzo IP, nome DNS e nome NetBIOS. Per impostazione predefinita sono abilitati sia il polling rapido che quello completo. Il polling della rete Windows può non essere in grado di individuare i dispositivi, ad esempio se le porte UDP 137, UDP 138, TCP 139 sono chiuse nel router o dal firewall.
Polling Active Directory. L'Administration Server recupera le informazioni sulla struttura delle unità Active Directory e sui nomi DNS dei dispositivi dai gruppi Active Directory. Per impostazione predefinita, questo tipo di polling è abilitato. È consigliabile utilizzare il polling di Active Directory se si utilizza Active Directory. In caso contrario, l'Administration Server non individua i dispositivi. Se si utilizza Active Directory ma alcuni dei dispositivi della rete non sono elencati come membri, tali dispositivi non possono essere individuati dal polling di Active Directory.
Polling intervallo IP. Administration Server esegue il polling dell'intervallo IP specificati utilizzando pacchetti ICMP o il protocollo NBNS e compila un set completo di dati sui dispositivi all'interno degli intervalli IP. Per impostazione predefinita, questo tipo di polling è disabilitato. Non è consigliabile utilizzare questo tipo di polling se si utilizza il polling di rete Windows e/o il polling di Active Directory.
Polling Zeroconf. Un punto di distribuzione che esegue il polling della rete IPv6 utilizzando le reti zero-configuration (definite anche Zeroconf). Per impostazione predefinita, questo tipo di polling è disabilitato. È possibile utilizzare il polling Zeroconf se il punto di distribuzione esegue Linux.

Se sono installate e attivate le regole di spostamento dei dispositivi, i nuovi dispositivi individuati vengono automaticamente inclusi nel gruppo Dispositivi gestiti. Se non sono state abilitate regole di spostamento, i nuovi dispositivi individuati vengono automaticamente inclusi nel gruppo Dispositivi non assegnati.

È possibile modificare le impostazioni di device discovery per ciascun tipo. È ad esempio possibile modificare la pianificazione del polling o impostare l'esecuzione del polling solo di un dominio specifico o dell'intera foresta Active Directory.

In questa sezione

Polling Active Directory

Polling intervallo IP

Polling zeroconf

Vedere anche:

Frequenza della device discovery

Scenario: Individuazione dei dispositivi nella rete

Inizio pagina

[Topic 3885]

Polling della rete Windows

Utilizzo di domini Windows. Visualizzazione e modifica delle impostazioni del dominio

Informazioni sul polling della rete Windows

Durante un polling rapido Administration Server recupera informazioni solo dall'elenco dei nomi di dispositivi NetBIOS in tutti i domini di rete e i gruppi di lavoro. Durante un polling completo sono richieste le seguenti informazioni da ogni dispositivo client:

Nome del sistema operativo
Indirizzo IP
Nome DNS
Nome NetBIOS

Sia il polling rapido che quello completo richiedono le seguenti operazioni:

Le porte UDP 137/138, TCP 139, UDP 445, TCP 445 devono essere disponibili nella rete.
Il protocollo SMB è abilitato.
È necessario utilizzare il servizio Microsoft Computer Browser e il computer del browser primario deve essere abilitato in Administration Server.
È necessario utilizzare il servizio Microsoft Computer Browser e il computer del browser primario deve essere abilitato nei dispositivi client:
- In almeno un dispositivo, se il numero di dispositivi della rete non è superiore a 32.
- In almeno un dispositivo ogni 32 dispositivi della rete.

Il polling completo può essere eseguito solo se il polling rapido è stato eseguito almeno una volta.

Visualizzazione e modifica delle impostazioni per il polling della rete Windows

Per modificare le impostazioni per il polling della rete Windows:

Nella struttura della console selezionare la sottocartella Domini nella cartella Device discovery.
È possibile passare dalla cartella Dispositivi non assegnati alla cartella Device discovery facendo clic sul pulsante Esegui il polling.

Nell'area di lavoro della sottocartella Domini viene visualizzato l'elenco dei dispositivi.
Fare clic su Esegui il polling.
Verrà visualizzata la finestra delle proprietà del dominio. Se si desidera, modificare le impostazioni del polling della rete Windows:
- Abilita il polling della rete Windows
  Questa opzione è selezionata per impostazione predefinita. Se non si desidera eseguire il polling della rete Windows (ad esempio, se si ritiene che il polling di Active Directory sia sufficiente), è possibile deselezionare questa opzione.
- Imposta pianificazione di polling rapido
  Il periodo predefinito è di 15 minuti.
  
  Durante un polling rapido Administration Server recupera informazioni solo dall'elenco dei nomi di dispositivi NetBIOS in tutti i domini di rete e i gruppi di lavoro.
  
  I dati ricevuti al successivo polling sostituiscono completamente i dati precedenti.
  
  Sono disponibili le opzioni di pianificazione di polling seguenti:
  - Ogni N giorni
    Il polling viene eseguito periodicamente, con l'intervallo specificato in giorni, a partire dalla data e dall'ora specificate.
    
    Per impostazione predefinita, il polling viene eseguito ogni giorno, a partire dalla data e dall'ora di sistema correnti.
  - Ogni N minuti
    Il polling viene eseguito periodicamente, con l'intervallo specificato in minuti, a partire dall'ora specificata.
    
    Per impostazione predefinita, il polling viene eseguito ogni 5 minuti, a partire dall'ora di sistema corrente.
  - In base ai giorni della settimana
    Il polling viene eseguito periodicamente, nei giorni specificati della settimana, all'ora specificata.
    
    Per impostazione predefinita, il polling viene eseguito ogni venerdì alle 18:00:00.
  - Ogni mese nei giorni specificati delle settimane selezionate
    Il polling viene eseguito periodicamente, nei giorni specificati di ogni mese, all'ora specificata.
    
    Per impostazione predefinita, non sono selezionati giorni del mese. L'ora di inizio predefinita è 18:00:00.
  - Esegui attività non effettuate
    Se l'Administration Server è spento o non disponibile nel momento in cui è pianificato il polling, l'Administration Server può avviare il polling subito dopo l'accensione o attendere la successiva pianificazione del polling.
    
    Se questa opzione è abilitata, l'Administration Server avvia il polling subito dopo l'accensione.
    
    Se questa opzione è disabilitata, l'Administration Server attende la successiva pianificazione del polling.
    
    Per impostazione predefinita, questa opzione è abilitata.
- Imposta pianificazione di polling completo
  Il periodo predefinito è un'ora. I dati ricevuti al successivo polling sostituiscono completamente i dati precedenti.
  
  Sono disponibili le opzioni di pianificazione di polling seguenti:
  - Ogni N giorni
    Il polling viene eseguito periodicamente, con l'intervallo specificato in giorni, a partire dalla data e dall'ora specificate.
    
    Per impostazione predefinita, il polling viene eseguito ogni giorno, a partire dalla data e dall'ora di sistema correnti.
  - Ogni N minuti
    Il polling viene eseguito periodicamente, con l'intervallo specificato in minuti, a partire dall'ora specificata.
    
    Per impostazione predefinita, il polling viene eseguito ogni 5 minuti, a partire dall'ora di sistema corrente.
  - In base ai giorni della settimana
    Il polling viene eseguito periodicamente, nei giorni specificati della settimana, all'ora specificata.
    
    Per impostazione predefinita, il polling viene eseguito ogni venerdì alle 18:00:00.
  - Ogni mese nei giorni specificati delle settimane selezionate
    Il polling viene eseguito periodicamente, nei giorni specificati di ogni mese, all'ora specificata.
    
    Per impostazione predefinita, non sono selezionati giorni del mese. L'ora di inizio predefinita è 18:00:00.
  - Esegui attività non effettuate
    Se l'Administration Server è spento o non disponibile nel momento in cui è pianificato il polling, l'Administration Server può avviare il polling subito dopo l'accensione o attendere la successiva pianificazione del polling.
    
    Se questa opzione è abilitata, l'Administration Server avvia il polling subito dopo l'accensione.
    
    Se questa opzione è disabilitata, l'Administration Server attende la successiva pianificazione del polling.
    
    Per impostazione predefinita, questa opzione è abilitata.

Se si desidera eseguire immediatamente il polling fare clic su Esegui il polling. Verranno avviati entrambi i tipi di polling.

Nell'Administration Server virtuale è possibile visualizzare e modificare le impostazioni del polling della rete Windows nella finestra delle proprietà del punto di distribuzione, nella sezione Device discovery.

Vedere anche:

Scenario: Individuazione dei dispositivi nella rete

Inizio pagina

[Topic 3886]

Polling Active Directory

Scenario: Individuazione dei dispositivi nella rete

Utilizzare il polling di Active Directory se si utilizza Active Directory; in caso contrario, è consigliabile utilizzare altri tipi di polling. Se si utilizza Active Directory ma alcuni dei dispositivi della rete non sono elencati come membri, tali dispositivi non possono essere individuati dal polling di Active Directory.

Visualizzazione e modifica delle impostazioni per il polling di Active Directory

Per visualizzare e modificare le impostazioni per il polling dei gruppi di Active Directory:

Nella struttura della console selezionare la sottocartella Active Directory nella cartella Device discovery.
In alternativa, è possibile passare dalla cartella Dispositivi non assegnati alla cartella Device discovery facendo clic sul pulsante Esegui il polling.
Fare clic su Configura polling.
Verrà visualizzata la finestra delle proprietà di Active Directory. Se si desidera, modificare le impostazioni del polling dei gruppi di Active Directory:
- Abilita polling di Active Directory
  Questa opzione è selezionata per impostazione predefinita. Tuttavia, se non si utilizza Active Directory, il polling non recupera alcun risultato. In questo caso, è possibile deselezionare l'opzione.
- Imposta pianificazione di polling
  Il periodo predefinito è un'ora. I dati ricevuti al successivo polling sostituiscono completamente i dati precedenti.
  
  Sono disponibili le opzioni di pianificazione di polling seguenti:
  - Ogni N giorni
    Il polling viene eseguito periodicamente, con l'intervallo specificato in giorni, a partire dalla data e dall'ora specificate.
    
    Per impostazione predefinita, il polling viene eseguito ogni giorno, a partire dalla data e dall'ora di sistema correnti.
  - Ogni N minuti
    Il polling viene eseguito periodicamente, con l'intervallo specificato in minuti, a partire dall'ora specificata.
    
    Per impostazione predefinita, il polling viene eseguito ogni 5 minuti, a partire dall'ora di sistema corrente.
  - In base ai giorni della settimana
    Il polling viene eseguito periodicamente, nei giorni specificati della settimana, all'ora specificata.
    
    Per impostazione predefinita, il polling viene eseguito ogni venerdì alle 18:00:00.
  - Ogni mese nei giorni specificati delle settimane selezionate
    Il polling viene eseguito periodicamente, nei giorni specificati di ogni mese, all'ora specificata.
    
    Per impostazione predefinita, non sono selezionati giorni del mese. L'ora di inizio predefinita è 18:00:00.
  - Esegui attività non effettuate
    Se l'Administration Server è spento o non disponibile nel momento in cui è pianificato il polling, l'Administration Server può avviare il polling subito dopo l'accensione o attendere la successiva pianificazione del polling.
    
    Se questa opzione è abilitata, l'Administration Server avvia il polling subito dopo l'accensione.
    
    Se questa opzione è disabilitata, l'Administration Server attende la successiva pianificazione del polling.
    
    Per impostazione predefinita, questa opzione è abilitata.
- Avanzate
  È possibile selezionare i domini per i quali Active Directory eseguirà il polling:
  - Dominio di Active Directory a cui appartiene Kaspersky Security Center.
  - Foresta di dominio a cui appartiene Kaspersky Security Center.
  - Elenco di domini Active Directory specificato.
    Se si seleziona questa opzione è possibile aggiungere domini all'ambito di polling:
    - Fare clic sul pulsante Aggiungi.
    - Nei campi corrispondenti specificare l'indirizzo del controller di dominio, il nome e la password dell'account per l'accesso.
    - Fare clic su OK per salvare le modifiche.
    È possibile selezionare l'indirizzo del controller di dominio nell'elenco e fare clic sui pulsanti Modifica o Rimuovi per modificarlo o rimuoverlo.
  - Fare clic su OK per salvare le modifiche.

Se si desidera eseguire immediatamente il polling fare clic sul pulsante Esegui il polling.

Nell'Administration Server virtuale è possibile visualizzare e modificare le impostazioni del polling dei gruppi di Active Directory nella finestra delle proprietà del punto di distribuzione, nella sezione Device discovery.

Vedere anche:

Inizio pagina

[Topic 3887]

Polling intervallo IP

Scenario: Individuazione dei dispositivi nella rete

Administration Server esegue il polling degli intervalli IP specificati utilizzando pacchetti ICMP o il protocollo NBNS e compila un set completo di dati sui dispositivi all'interno degli intervalli IP. Per impostazione predefinita, questo tipo di polling è disabilitato. Non è consigliabile utilizzare questo tipo di polling se si utilizza il polling di rete Windows e/o il polling di Active Directory.

Visualizzazione e modifica delle impostazioni per il polling degli intervalli IP

Per visualizzare e modificare le impostazioni per il polling dei gruppi di intervalli IP:

Nella struttura della console selezionare la sottocartella Intervalli IP nella cartella Device discovery.
È possibile passare dalla cartella Dispositivi non assegnati alla cartella Device discovery facendo clic su Esegui il polling.
Se si desidera, nella sottocartella Intervalli IP fare clic su Aggiungi subnet per aggiungere un intervallo IP per il polling, quindi fare clic su OK.
Fare clic su Configura polling.
Verrà visualizzata la finestra delle proprietà degli intervalli IP. Se si desidera, è possibile modificare le impostazioni del polling dell'intervallo IP:
- Abilita polling intervalli IP
  Questa opzione non è selezionata per impostazione predefinita. Non è consigliabile utilizzare questo tipo di polling se si utilizza il polling di rete Windows e/o il polling di Active Directory.
- Imposta pianificazione di polling
  Il periodo predefinito è di 420 minuti. I dati ricevuti al successivo polling sostituiscono completamente i dati precedenti.
  
  Sono disponibili le opzioni di pianificazione di polling seguenti:
  - Ogni N giorni
    Il polling viene eseguito periodicamente, con l'intervallo specificato in giorni, a partire dalla data e dall'ora specificate.
    
    Per impostazione predefinita, il polling viene eseguito ogni giorno, a partire dalla data e dall'ora di sistema correnti.
  - Ogni N minuti
    Il polling viene eseguito periodicamente, con l'intervallo specificato in minuti, a partire dall'ora specificata.
    
    Per impostazione predefinita, il polling viene eseguito ogni 5 minuti, a partire dall'ora di sistema corrente.
  - In base ai giorni della settimana
    Il polling viene eseguito periodicamente, nei giorni specificati della settimana, all'ora specificata.
    
    Per impostazione predefinita, il polling viene eseguito ogni venerdì alle 18:00:00.
  - Ogni mese nei giorni specificati delle settimane selezionate
    Il polling viene eseguito periodicamente, nei giorni specificati di ogni mese, all'ora specificata.
    
    Per impostazione predefinita, non sono selezionati giorni del mese. L'ora di inizio predefinita è 18:00:00.
  - Esegui attività non effettuate
    Se l'Administration Server è spento o non disponibile nel momento in cui è pianificato il polling, l'Administration Server può avviare il polling subito dopo l'accensione o attendere la successiva pianificazione del polling.
    
    Se questa opzione è abilitata, l'Administration Server avvia il polling subito dopo l'accensione.
    
    Se questa opzione è disabilitata, l'Administration Server attende la successiva pianificazione del polling.
    
    Per impostazione predefinita, questa opzione è abilitata.

Se si desidera eseguire immediatamente il polling fare clic su Esegui il polling. Questo pulsante è disponibile solo se è stato selezionato Abilita polling intervalli IP.

Nell'Administration Server virtuale è possibile visualizzare e modificare le impostazioni del polling dell'intervallo IP nella finestra delle proprietà del punto di distribuzione, nella sezione Device discovery. I dispositivi client individuati durante il polling dell'intervallo IP sono visualizzati nella cartella Domini dell'Administration Server virtuale.

Vedere anche:

Inizio pagina

[Topic 222066]

Polling zeroconf

Questo tipo di polling è supportato solo per i punti di distribuzione basati su Linux.

Un punto di distribuzione può eseguire il polling delle reti che hanno dispositivi con indirizzi IPv6. In questo caso, gli intervalli IP non vengono specificati e il punto di distribuzione esegue il polling dell'intera rete utilizzando le reti zero-configuration (definite anche Zeroconf). Per iniziare a utilizzare Zeroconf è necessario installare l'utilità avahi-browse nel punto di distribuzione.

Per abilitare il polling Zeroconf:

Nella struttura della console selezionare la sottocartella Intervalli IP nella cartella Device discovery.
È possibile passare dalla cartella Dispositivi non assegnati alla cartella Device discovery facendo clic su Esegui il polling.
Fare clic su Configura polling.
Nella finestra delle proprietà degli intervalli IP visualizzata selezionare Abilita il polling con la tecnologia Zeroconf.

Successivamente, il punto di distribuzione inizia a eseguire il polling della rete. In questo caso gli intervalli IP specificati vengono ignorati.

Inizio pagina

[Topic 3888]

Utilizzo di domini Windows. Visualizzazione e modifica delle impostazioni del dominio

Per modificare le impostazioni del dominio:

Nella struttura della console selezionare la sottocartella Domini nella cartella Device discovery.
Selezionare un dominio e aprire la relativa finestra delle proprietà in uno dei seguenti modi:
- Selezionando Proprietà nel menu di scelta rapida del dominio.
- Facendo clic sul collegamento Mostra proprietà gruppo.

Verrà visualizzata la finestra Proprietà: <Nome dominio>, in cui è possibile configurare il dominio selezionato.

Vedere anche:

Scenario: Individuazione dei dispositivi nella rete

Inizio pagina

[Topic 176626]

Configurazione delle regole di conservazione per i dispositivi non assegnati

Scenario: Individuazione dei dispositivi nella rete

Al termine del polling della rete Windows, i dispositivi trovati vengono inseriti nei sottogruppi del gruppo di amministrazione Dispositivi non assegnati. Questo gruppo di amministrazione è disponibile in Avanzate → Device discovery → Domini. La cartella Domini è il gruppo padre. Contiene gruppi figlio denominati in base ai domini e ai gruppi di lavoro corrispondenti rilevati durante il polling della rete. Il gruppo padre può anche contenere il gruppo di amministrazione dei dispositivi mobili. È possibile configurare le regole di conservazione dei dispositivi non assegnati per il gruppo padre e ognuno dei gruppi figlio. Le regole di conservazione non dipendono dalle impostazioni del polling della rete e operano anche se il polling della rete è disabilitato.

Per configurare le regole di conservazione per i dispositivi non assegnati:

Nella struttura della console, nella cartella Device discovery, eseguire una delle seguenti operazioni:
- Per configurare le impostazioni del gruppo padre, fare clic con il pulsante destro del mouse sulla sottocartella Domini, quindi selezionare Proprietà.
  Verrà visualizzata la finestra delle proprietà dal gruppo padre.
- Per configurare le impostazioni di un gruppo figlio, fare clic con il pulsante destro del mouse sul relativo nome, quindi selezionare Proprietà.
  Verrà visualizzata la finestra delle proprietà del gruppo figlio.
Nella sezione Dispositivi specificare le seguenti impostazioni:
- Rimuovi il dispositivo dal gruppo se è inattivo da più di (giorni)
  Se questa opzione è abilitata, è possibile specificare l'intervallo di tempo al termine del quale il dispositivo viene rimosso automaticamente dal gruppo. Per impostazione predefinita, questa opzione viene distribuita anche ai gruppi figlio. L'intervallo di tempo predefinito è 7 giorni.
  
  Per impostazione predefinita, questa opzione è abilitata.
- Eredita da gruppo padre
  Se questa opzione è abilitata, il periodo di conservazione per i dispositivi del gruppo corrente viene ereditato dal gruppo padre e non può essere modificato.
  
  Questa opzione è disponibile solo per i gruppi figlio.
  
  Per impostazione predefinita, questa opzione è abilitata.
- Forza ereditarietà nei gruppi figlio
  I valori delle impostazioni vengono distribuiti ai gruppi figlio, ma nelle proprietà dei gruppi figlio tali impostazioni sono bloccate.
  
  Per impostazione predefinita, questa opzione è disabilitata.

Le modifiche verranno salvate e applicate.

Vedere anche:

Inizio pagina

[Topic 52158]

Utilizzo degli intervalli IP

È possibile personalizzare gli intervalli IP esistenti e crearne di nuovi.

In questa sezione

Creazione di un intervallo IP

Visualizzazione e modifica delle impostazioni degli intervalli IP

Vedere anche:

Scenario: Individuazione dei dispositivi nella rete

Inizio pagina

[Topic 3889]

Creazione di un intervallo IP

Per creare un intervallo IP:

Nella struttura della console selezionare la sottocartella Intervalli IP nella cartella Device discovery.
Nel menu di scelta rapida della cartella selezionare Nuovo → Intervallo IP.
Nella finestra Nuovo intervallo IP visualizzata configurare il nuovo intervallo IP.

Il nuovo intervallo IP viene visualizzato nella cartella Intervalli IP.

Vedere anche:

Scenario: Individuazione dei dispositivi nella rete

Inizio pagina

[Topic 3890]

Visualizzazione e modifica delle impostazioni degli intervalli IP

Per modificare le impostazioni degli intervalli IP:

Nella struttura della console, nella cartella Device discovery selezionare la sottocartella Intervalli IP.
Selezionare un intervallo IP, quindi aprire la relativa finestra delle proprietà in uno dei seguenti modi:
- Selezionando Proprietà nel menu di scelta rapida dell'intervallo IP.
- Facendo clic sul collegamento Mostra proprietà gruppo.

Verrà visualizzata la finestra Proprietà: <Nome intervallo IP>, in cui è possibile configurare le proprietà dell'intervallo IP selezionato.

Vedere anche:

Scenario: Individuazione dei dispositivi nella rete

Inizio pagina

[Topic 3891]

Utilizzo di gruppi Active Directory. Visualizzazione e modifica delle impostazioni dei gruppi

Per modificare le impostazioni per il gruppo Active Directory:

Nella struttura della console selezionare la sottocartella Active Directory nella cartella Device discovery.
Selezionare un gruppo Active Directory, quindi aprire la relativa finestra delle proprietà in uno dei seguenti modi:
- Selezionando Proprietà nel menu di scelta rapida dell'intervallo IP.
- Facendo clic sul collegamento Mostra proprietà gruppo.

Verrà visualizzata la finestra Proprietà: <Nome gruppo Active Directory>, in cui è possibile configurare il gruppo Active Directory selezionato.

Vedere anche:

Scenario: Individuazione dei dispositivi nella rete

Inizio pagina

[Topic 5072]

Creazione di regole per lo spostamento automatico dei dispositivi nei gruppi di amministrazione

È possibile configurare lo spostamento automatico dei dispositivi nei gruppi di amministrazione dopo che vengono individuati durante il polling di una rete aziendale.

Per configurare le regole per spostare automaticamente i dispositivi nei gruppi di amministrazione:

Nella struttura della console selezionare la cartella Dispositivi non assegnati.
Nell'area di lavoro di questa cartella fare clic su Configura regole.

Verrà visualizzata la finestra Proprietà: Dispositivi non assegnati. Nella sezione Sposta dispositivi configurare le regole per lo spostamento automatico dei dispositivi nei gruppi di amministrazione.

La prima regola applicabile nell'elenco (dall'alto verso il basso dell'elenco) verrà applicata a un dispositivo.

Vedere anche:

Sincronizzazione con il cloud

Scenario: Individuazione dei dispositivi nella rete

Inizio pagina

[Topic 67243]

Utilizzo della modalità dinamica VDI nei dispositivi client

Un'infrastruttura virtuale può essere distribuita in una rete aziendale utilizzando macchine virtuali temporanee. Kaspersky Security Center è in grado di rilevare le macchine virtuali temporanee aggiungendo le relative informazioni al database di Administration Server. Dopo che un utente ha finito di utilizzare una macchina virtuale temporanea, quest'ultima viene rimossa dall'infrastruttura virtuale. Tuttavia, è possibile che un record relativo alla macchina virtuale rimossa venga salvato nel database di Administration Server. Anche le macchine virtuali non esistenti possono essere visualizzate in Administration Console.

Per evitare che le informazioni relative alle macchine virtuali non esistenti vengano salvate, Kaspersky Security Center supporta la modalità dinamica per Virtual Desktop Infrastructure (VDI). L'amministratore può abilitare il supporto della modalità dinamica per VDI nelle proprietà del pacchetto di installazione di Network Agent da installare nella macchina virtuale temporanea.

Quando una macchina virtuale temporanea viene disabilitata, Network Agent notifica ad Administration Server che la macchina è stata disabilitata. Se la macchina virtuale è stata disabilitata correttamente, viene rimossa dall'elenco dei dispositivi connessi ad Administration Server. Se durante la disabilitazione della macchina virtuale si verificano errori e Network Agent non invia una notifica relativa alla macchina virtuale disabilitata ad Administration Server, verrà utilizzato uno scenario di backup. In questo scenario, una macchina virtuale viene rimossa dall'elenco dei dispositivi connessi ad Administration Server dopo tre tentativi non riusciti di sincronizzazione con Administration Server.

In questa sezione

Abilitazione della modalità dinamica VDI nelle proprietà di un pacchetto di installazione per Network Agent

Ricerca dei dispositivi appartenenti a VDI

Spostamento dei dispositivi da VDI a un gruppo di amministrazione

Vedere anche:

Scenario: Individuazione dei dispositivi nella rete

Inizio pagina

[Topic 67247]

Abilitazione della modalità dinamica VDI nelle proprietà di un pacchetto di installazione per Network Agent

Per abilitare la modalità dinamica VDI:

Nella cartella Installazione remota della struttura della console selezionare la sottocartella Pacchetti di installazione.
Nel menu di scelta rapida del pacchetto di installazione di Network Agent selezionare Proprietà.
Verrà visualizzata la finestra Proprietà: Kaspersky Security Center Network Agent.
Nella finestra Proprietà: Kaspersky Security Center Network Agent selezionare la sezione Avanzate.
Nella sezione Avanzate selezionare l'opzione Abilita modalità dinamica per VDI.

Il dispositivo in cui deve essere installato Network Agent verrà incluso in VDI.

Vedere anche:

Scenario: Individuazione dei dispositivi nella rete

Inizio pagina

[Topic 67248]

Ricerca dei dispositivi appartenenti a VDI

Per individuare i dispositivi non assegnati inclusi in VDI:

Selezionare Cerca dal menu di scelta rapida della cartella Dispositivi non assegnati.
Per visualizzare un elenco di tutti i dispositivi che fanno parte di Virtual Desktop Infrastructure, selezionare Cerca nel menu di scelta rapida della cartella Administration Server.
Nella finestra Cerca, nella scheda Macchine virtuali, selezionare Sì nel gruppo di impostazioni Parte di Virtual Desktop Infrastructure.
Fare clic sul pulsante Trova.

Viene visualizzato l'elenco dei dispositivi non assegnati che fanno parte di Virtual Desktop Infrastructure.

Vedere anche:

Spostamento dei dispositivi da VDI a un gruppo di amministrazione

Scenario: Individuazione dei dispositivi nella rete

Inizio pagina

[Topic 67249]

Spostamento dei dispositivi da VDI a un gruppo di amministrazione

Per spostare i dispositivi inclusi in VDI in un gruppo di amministrazione:

Nell'area di lavoro della cartella Dispositivi non assegnati fare clic sul pulsante Configura regole.
Verrà visualizzata la finestra delle proprietà della cartella Dispositivi non assegnati.
Nella finestra delle proprietà della cartella Dispositivi non assegnati, nella sezione Sposta dispositivi, fare clic sul pulsante Aggiungi.
Verrà visualizzata la finestra Nuova regola.
Nella finestra Nuova regola selezionare la sezione Macchine virtuali.
Nell'elenco a discesa Questa è una macchina virtuale selezionare Sì.

Verrà creata una regola per il riposizionamento dei dispositivi in un gruppo di amministrazione.

Vedere anche:

Scenario: Individuazione dei dispositivi nella rete

Inizio pagina

[Topic 63679]

Inventario dei dispositivi

L'elenco dell'hardware (Archivi → Hardware) utilizzato per eseguire l'inventario dei dispositivi viene popolato in due modi: automatico e manuale. Dopo ogni polling di rete, tutti i dispositivi rilevati vengono aggiunti automaticamente all'elenco; tuttavia è anche possibile aggiungere manualmente i dispositivi se non si desidera eseguire il polling della rete. È possibile aggiungere manualmente altri dispositivi all'elenco, ad esempio, router, stampanti o hardware di dispositivi.

Nelle proprietà di un dispositivo è possibile visualizzare e modificare informazioni dettagliate sul dispositivo.

L'elenco dell'hardware può contenere i seguenti tipi di dispositivi:

Computer
Dispositivi mobili
Dispositivi di rete
Dispositivi virtuali
Componenti OEM
Periferiche per computer
Dispositivi connessi
Telefoni VoIP
Archivi di rete

L'amministratore può assegnare l'attributo Aziendale ai dispositivi rilevati. Questo attributo può essere assegnato manualmente nelle proprietà di un dispositivo o l'amministratore può specificare criteri per l'assegnazione automatica dell'attributo. In questo caso, l'attributo Aziendale viene assegnato in base al tipo di dispositivo.

Kaspersky Security Center consente l'eliminazione dei dispositivi. A tale scopo, selezionare l'opzione Dispositivo eliminato nelle proprietà di un dispositivo. Il dispositivo non verrà visualizzato nell'elenco dei dispositivi.

Un amministratore può gestire l'elenco dei PLC (Programmable Logic Controller) nella cartella Hardware. Informazioni dettagliate sulla gestione dell'elenco PLC sono disponibili nel manuale dell'utente di Kaspersky Industrial CyberSecurity for Nodes.

In questa sezione

Aggiunta di informazioni sui nuovi dispositivi

Configurazione dei criteri utilizzati per definire i dispositivi aziendali

Configurazione dei campi personalizzati

Vedere anche:

Scenario: Individuazione dei dispositivi nella rete

Inizio pagina

[Topic 63680]

Aggiunta di informazioni sui nuovi dispositivi

Per aggiungere informazioni sui nuovi dispositivi nella rete:

Nella cartella Archivi della struttura della console selezionare la sottocartella Hardware.
Nell'area di lavoro della cartella Hardware fare clic sul pulsante Aggiungi dispositivo per aprire la finestra Nuovo dispositivo.
Verrà visualizzata la finestra Nuovo dispositivo.
Nella finestra Nuovo dispositivo selezionare nell'elenco a discesa Tipo il tipo di dispositivo da aggiungere.
Fare clic su OK.
Verrà visualizzata la finestra delle proprietà del dispositivo, nella sezione Generale.
Nella sezione Generale compilare i campi di immissione con i dati sul dispositivo. Nella sezione Generale sono elencate le seguenti impostazioni:
- Dispositivo aziendale. Selezionare la casella di controllo se si desidera assegnare l'attributo Aziendale al dispositivo. Utilizzando questo attributo è possibile eseguire la ricerca di dispositivi nella cartella Hardware.
- Dispositivo eliminato. Selezionare la casella di controllo se non si desidera che il dispositivo venga visualizzato nell'elenco dei dispositivi nella cartella Hardware.
Fare clic su Applica.

Il nuovo dispositivo verrà visualizzato nell'area di lavoro della cartella Hardware.

Vedere anche:

Scenario: Individuazione dei dispositivi nella rete

Scenario: Individuazione dei dispositivi nella rete

Inizio pagina

[Topic 63681]

Configurazione dei criteri utilizzati per definire i dispositivi aziendali

Per configurare i criteri di rilevamento dei dispositivi aziendali:

Nella cartella Archivi della struttura della console selezionare la sottocartella Hardware.
Nell'area di lavoro della cartella Hardware fare clic sul pulsante Azioni aggiuntive e selezionare Configura regola per i dispositivi aziendali nell'elenco a discesa.
Verrà visualizzata la finestra delle proprietà dell'hardware.
Nella finestra delle proprietà dell'hardware, nella sezione Dispositivi aziendali, selezionare un metodo per l'assegnazione dell'attributo Aziendale al dispositivo:
- Imposta manualmente l'attributo dispositivo "Aziendale" per il dispositivo. L'attributo Hardware aziendale viene assegnato al dispositivo manualmente nella finestra delle proprietà del dispositivo, nella sezione Generale.
- Imposta automaticamente l'attributo dispositivo "Aziendale" per il dispositivo. Nel gruppo di impostazioni Per tipo di dispositivo specificare tipi di dispositivi a cui l'applicazione assegnerà automaticamente l'attributo Aziendale.
  Questa opzione interessa solo i dispositivi che sono stati aggiunti tramite il polling della rete. Per i dispositivi aggiunti manualmente, impostare manualmente l'attributo Aziendale.
Fare clic su OK.

I criteri di rilevamento per i dispositivi aziendali sono configurati.

Vedere anche:

Scenario: Individuazione dei dispositivi nella rete

Inizio pagina

[Topic 159862]

Configurazione dei campi personalizzati

Per configurare i campi personalizzati dei dispositivi:

Nella cartella Archivi della struttura della console selezionare la sottocartella Hardware.
Nell'area di lavoro della cartella Hardware fare clic sul pulsante Azioni aggiuntive e selezionare Configura campi di dati personalizzati nell'elenco a discesa.
Verrà visualizzata la finestra delle proprietà dell'hardware.
Nella finestra delle proprietà dell'hardware selezionare la sezione Campi personalizzati e fare clic sul pulsante Aggiungi.
Verrà visualizzata la finestra Aggiungi campo.
Nella finestra Aggiungi campo specificare il nome del campo personalizzato che verrà visualizzato nelle proprietà dell'hardware.
È possibile creare più campi personalizzati con nomi univoci.
Fare clic su OK.

I campi personalizzati che sono stati aggiunti sono visualizzati nella sezione Campi personalizzati delle proprietà dell'hardware. È possibile utilizzare i campi personalizzati per fornire informazioni specifiche sui dispositivi. Potrebbe ad esempio trattarsi del numero di ordine interno per l'acquisto di un componente hardware.

Vedere anche:

Eventi di superamento del limite di licenze

Inizio pagina

[Topic 173420]

Licensing

In questa sezione vengono fornite informazioni sulle condizioni generali relative al licensing di Kaspersky Security Center 14.2.

In questa sezione

Informazioni sulle licenze

Informazioni sulla trasmissione dei dati

Opzioni di licensing per Kaspersky Security Center

Funzionalità di gestione delle licenze di Kaspersky Security Center e delle applicazioni gestite

Vedere anche:

Applicazioni Kaspersky: licensing e attivazione

Passaggio 2. Selezione del metodo di attivazione dell'applicazione

Regolazione delle impostazioni generali di un Administration Server

Inizio pagina

[Topic 138255]

Eventi di superamento del limite di licenze

Kaspersky Security Center consente di ottenere informazioni sugli eventi che si verificano in caso di superamento dei limiti di licenza da parte delle applicazioni Kaspersky installate nei dispositivi client.

Il livello di importanza degli eventi quando avviene il superamento di un limite di licenze è definito in base alle regole seguenti:

Se le unità attualmente in uso coperte da una singola licenza costituiscono tra il 90% e il 100% del numero totale di unità coperte dalla licenza, l'evento è pubblicato con il livello di importanza Informazioni.
Se le unità attualmente in uso coperte da una singola licenza costituiscono tra il 100% e il 110% del numero totale di unità coperte dalla licenza, l'evento è pubblicato con il livello di importanza Avviso.
Se il numero di unità attualmente in uso coperte da una singola licenza è superiore al 110% del numero totale di unità coperte dalla licenza, l'evento è pubblicato con il livello di importanza Evento critico.

Vedere anche:

Inizio pagina

[Topic 213977]

Informazioni sulle licenze

Questa sezione contiene informazioni sul licensing delle applicazioni Kaspersky gestite tramite Kaspersky Security Center.

In questa sezione

Informazioni sulla licenza

Informazioni sul Contratto di licenza con l'utente finale

Informazioni sul certificato di licenza

Informazioni sulla chiave di licenza

Informazioni sul file chiave

Informazioni sull'abbonamento

Informazioni sul codice di attivazione

Revoca del consenso a un Contratto di licenza con l'utente finale

Inizio pagina

[Topic 69240]

Informazioni sulla licenza

Una licenza concede per un determinato periodo di tempo il diritto di utilizzare Kaspersky Security Center, in conformità con i termini del Contratto di licenza (Contratto di licenza con l'utente finale).

L'ambito dei servizi forniti e il periodo di validità per l'utilizzo dell'applicazione dipendono dalla licenza utilizzata per attivare l'applicazione.

Sono disponibili i seguenti tipi di licenza:

Di prova
Una licenza gratuita che consente di valutare l'applicazione. Una licenza di prova ha in genere un periodo limitato.

Alla scadenza di una licenza di prova, tutte le funzionalità di Kaspersky Security Center vengono disabilitate. Per continuare a utilizzare l'applicazione, è necessario acquistare una licenza commerciale.

È possibile utilizzare l'applicazione con una licenza di prova per un solo periodo di prova.
Commerciale
Una licenza a pagamento.

Alla scadenza di una licenza commerciale, le funzionalità chiave dell'applicazione vengono disattivate. Per continuare a utilizzare Kaspersky Security Center, è necessario rinnovare la licenza commerciale. Dopo la scadenza di una licenza commerciale, non è possibile continuare a utilizzare l'applicazione ed è necessario rimuoverla dal dispositivo.

È consigliabile rinnovare la licenza prima della scadenza per assicurare la protezione costante da tutti i tipi di minacce.

Inizio pagina

[Topic 179583]

Informazioni sul Contratto di licenza con l'utente finale

Il Contratto di licenza con l'utente finale (Contratto di licenza o EULA) è un accordo vincolante tra l'utente e AO Kaspersky Lab, in cui sono definite le condizioni di utilizzo dell'applicazione.

Leggere attentamente il Contratto di licenza prima di iniziare a utilizzare l'applicazione.

Kaspersky Security Center e i relativi componenti, ad esempio Network Agent, hanno Contratti di licenza con l'utente finale distinti.

È possibile visualizzare le condizioni del Contratto di licenza con l'utente finale per Kaspersky Security Center utilizzando i seguenti metodi:

Durante l'installazione di Kaspersky Security Center.
Leggendo il documento license.txt incluso nel kit di distribuzione di Kaspersky Security Center.
Leggendo il documento license. txt nella cartella di installazione di Kaspersky Security Center.
Scaricando il file license.txt dal sito Web di Kaspersky.

È possibile visualizzare i termini del Contratto di licenza con l'utente finale per Network Agent per Windows, Network Agent per Mac e Network Agent per Linux utilizzando i seguenti metodi:

Durante il download del pacchetto di distribuzione di Network Agent dai server Web di Kaspersky.
Durante l'installazione di Network Agent per Windows, Network Agent per Mac o Network Agent per Linux.
Leggendo il documento license.txt incluso nel pacchetto di distribuzione di Network Agent per Windows, Network Agent per Mac o Network Agent per Linux.
Leggendo il documento license.txt nella cartella di installazione di Network Agent per Windows, Network Agent per Mac o Network Agent per Linux.
Scaricando il file license.txt dal sito Web di Kaspersky.

Le condizioni del Contratto di licenza con l'utente finale si considerano accettate quando l'utente conferma l'accettazione del Contratto di licenza con l'utente finale durante l'installazione dell'applicazione. Se non si accettano le condizioni del Contratto di licenza, annullare l'installazione dell'applicazione e rinunciare all'utilizzo dell'applicazione.

Inizio pagina

[Topic 73976]

Informazioni sul certificato di licenza

Un certificato di licenza è un documento ricevuto insieme a un file chiave o a un codice di attivazione.

Un certificato di licenza contiene le seguenti informazioni sulla licenza fornita:

Chiave di licenza o numero di ordine
Informazioni sull'utente a cui è stata concessa la licenza
Informazioni sull'applicazione che può essere attivata con la licenza fornita
Limite del numero di unità di licensing (ad esempio dispositivi in cui può essere utilizzata l'applicazione con la licenza fornita)
Data di inizio del periodo di validità della licenza
Data di scadenza della licenza o periodo licenza
Tipo di licenza

Inizio pagina

[Topic 69295]

Informazioni sulla chiave di licenza

Una chiave di licenza è una sequenza di bit che è possibile applicare per attivare e quindi utilizzare l'applicazione in conformità alle condizioni del Contratto di licenza con l'utente finale. Le chiavi di licenza sono generate dagli specialisti di Kaspersky.

È possibile aggiungere una chiave di licenza all'applicazione utilizzando uno dei seguenti metodi: applicando un file chiave o inserendo un codice di attivazione. La chiave di licenza viene visualizzata nell'interfaccia dell'applicazione come sequenza alfanumerica univoca dopo essere stata aggiunta all'applicazione.

La chiave di licenza può essere bloccata da Kaspersky in caso di violazione delle condizioni del Contratto di licenza con l'utente finale. Se la chiave di licenza è stata bloccata, è necessario aggiungerne un'altra se si desidera utilizzare l'applicazione.

Una chiave di licenza può essere attiva o aggiuntiva (o di riserva).

Una chiave di licenza attiva è una chiave di licenza attualmente utilizzata dall'applicazione. È possibile aggiungere una chiave di licenza attiva per una licenza di prova o commerciale. L'applicazione non può avere più di una chiave di licenza attiva.

Una chiave di licenza aggiuntiva (o di riserva) è una chiave di licenza che concede all'utente il diritto di utilizzare l'applicazione, pur non essendo attualmente in uso. La chiave di licenza di riserva diventa automaticamente attiva alla scadenza della licenza associata alla chiave di licenza attiva corrente. Una chiave di licenza di riserva può essere aggiunta solo se è stata già aggiunta una chiave di licenza attiva.

Una chiave di licenza per una licenza di prova può essere aggiunta come chiave di licenza attiva. Non è possibile aggiungere come chiave di licenza di riserva una chiave di licenza per una licenza di prova.

Inizio pagina

[Topic 69431]

Informazioni sul file chiave

Un file chiave è un file con estensione key fornito all'utente da Kaspersky. I file chiave sono progettati per attivare l'applicazione attraverso l'aggiunta di una chiave di licenza.

Il file chiave viene ricevuto all'indirizzo e-mail specificato al momento dell'acquisto di Kaspersky Security Center o dell'ordine della versione di prova di Kaspersky Security Center.

Non è necessario connettersi ai server di attivazione di Kaspersky per attivare l'applicazione con un file chiave.

È possibile ripristinare un file chiave eliminato accidentalmente. Un file chiave potrebbe ad esempio essere necessario per eseguire la registrazione a Kaspersky CompanyAccount.

Per ripristinare il file chiave, eseguire una delle seguenti azioni:

Contattare il venditore della licenza.
Ricevere un file chiave tramite il sito Web di Kaspersky utilizzando il codice di attivazione disponibile.
Esportare un file della chiave di licenza da un altro Administration Server.

Inizio pagina

[Topic 91039]

Informazioni sull'abbonamento

L'abbonamento a Kaspersky Security Center è un ordine per l'utilizzo dell'applicazione con le impostazioni selezionate (data di scadenza dell'abbonamento, numero di dispositivi protetti). È possibile registrare l'abbonamento a Kaspersky Security Center presso il provider di servizi (ad esempio il provider Internet). L'abbonamento può essere rinnovato manualmente o in modalità automatica; è possibile anche annullarlo.

Un abbonamento può essere limitato (ad esempio un anno) o illimitato (senza data di scadenza). Per continuare a utilizzare Kaspersky Security Center dopo la scadenza di un abbonamento limitato, è necessario rinnovarlo. L'abbonamento illimitato viene rinnovato automaticamente se il pagamento al provider di servizi è stato effettuato anticipatamente entro i termini.

Quando un abbonamento limitato scade, è possibile usufruire di un periodo di tolleranza per il rinnovo durante il quale l'applicazione continua a funzionare. La disponibilità e la durata del periodo di tolleranza sono definite dal provider di servizi.

Per utilizzare Kaspersky Security Center con abbonamento, è necessario applicare il codice di attivazione ricevuto dal provider di servizi.

È possibile applicare un codice di attivazione diverso per Kaspersky Security Center solo dopo la scadenza dell'abbonamento scade o in seguito all'annullamento.

A seconda del provider di servizi, il set di azioni possibili per la gestione dell'abbonamento può variare. Il provider di servizi potrebbe non fornire alcun periodo di tolleranza per il rinnovo dell'abbonamento, pertanto l'applicazione perde le funzionalità.

I codici di attivazione acquistati con l'abbonamento non possono essere utilizzati per attivare versioni precedenti di Kaspersky Security Center.

Quando si utilizza l'applicazione con abbonamento, Kaspersky Security Center tenta automaticamente di accedere al server di attivazione a intervalli di tempo specificati fino alla scadenza dell'abbonamento. Ciò garantisce che le informazioni sull'abbonamento siano sincronizzate con il server di attivazione. Se non è possibile accedere al server utilizzando il DNS di sistema, l'applicazione utilizza i server DNS pubblici. È possibile rinnovare l'abbonamento nel sito Web del provider di servizi.

È possibile aggiornare manualmente le informazioni sull'abbonamento, senza attendere che Kaspersky Security Center acceda al server di attivazione. Ad esempio, potrebbe essere utile quando si modificano le impostazioni dell'abbonamento.

Per aggiornare manualmente le informazioni sull'abbonamento:

Nella struttura della console selezionare la cartella Licenze di Kaspersky.
Fare clic su Azioni aggiuntive e, nell'elenco a discesa, selezionare Sincronizza le impostazioni dell'abbonamento con il server di gestione delle licenze.

Le informazioni sull'abbonamento vengono aggiornate nel server di attivazione.

Inizio pagina

[Topic 111091]

Informazioni sul codice di attivazione

Codice di attivazione è una sequenza univoca di 20 caratteri alfanumerici. Il codice di attivazione viene inserito per aggiungere una chiave di licenza che consente di attivare Kaspersky Security Center. Il codice di attivazione viene ricevuto all'indirizzo e-mail specificato, in seguito all'acquisto di Kaspersky Security Center o all'ordine della versione di prova di Kaspersky Security Center.

Per attivare l'applicazione utilizzando un codice di attivazione, è necessario l'accesso a Internet per stabilire la connessione con i server di attivazione Kaspersky. Se non è possibile accedere ai server utilizzando il DNS di sistema, l'applicazione utilizza i server DNS pubblici.

Se l'applicazione è stata attivata con un codice di attivazione, l'applicazione in alcuni casi invia richieste ricorrenti ai server di attivazione di Kaspersky per verificare lo stato corrente della chiave di licenza. È necessario concedere all'applicazione l'accesso a Internet per consentire l'invio delle richieste.

Se è stato smarrito il codice di attivazione dopo l'installazione dell'applicazione, contattare il partner Kaspersky da cui è stata acquistata la licenza.

Non è possibile utilizzare file chiave per l'attivazione di applicazioni gestite; sono accettati solo i codici di attivazione.

Vedere anche:

Inizio pagina

[Topic 192967]

Revoca del consenso a un Contratto di licenza con l'utente finale

Se si decide di interrompere la protezione dei dispositivi client, è possibile disinstallare le applicazioni Kaspersky gestite e revocare il Contratto di licenza con l'utente finale (EULA) per tali applicazioni.

Per revocare un EULA per le applicazioni Kaspersky gestite:

Nella struttura della console selezionare Administration Server → Avanzate →Contratti di licenza con l'utente finale accettati.
Verrà visualizzato un elenco degli EULA accettati al momento della creazione dei pacchetti di installazione, dell'installazione immediata degli aggiornamenti o della distribuzione di Kaspersky Security for Mobile.
Nell'elenco selezionare il Contratto di licenza con l'utente finale che si desidera revocare.
È possibile visualizzare le seguenti proprietà degli EULA:
- Data di accettazione dell'EULA.
- Nome dell'utente che ha accettato l'EULA.
- Collegamento ai termini dell'EULA.
- Elenco degli oggetti collegati al Contratto di licenza con l'utente finale: nomi dei pacchetti di installazione, nomi degli aggiornamenti immediati, nomi delle app mobili.
Fare clic sul pulsante Revoca EULA.
Nella finestra visualizzata l'utente viene informato della necessità di disinstallare l'applicazione Kaspersky corrispondente all'EULA.
Fare clic sul pulsante per confermare la revoca.
Kaspersky Security Center verifica se i pacchetti di installazione (corrispondenti all'applicazione Kaspersky gestita per cui si desidera revocare il Contratto di licenza con l'utente finale) sono stati eliminati.

È possibile revocare il Contratto di licenza con l'utente finale solo per un'applicazione Kaspersky gestita i cui pacchetti di installazione vengono eliminati.

L'EULA è revocato. Non viene visualizzato nell'elenco dei Contratti di licenza con l'utente finale nella sezione Administration Server → Avanzate → Contratti di licenza con l'utente finale accettati. Non è possibile proteggere i dispositivi client utilizzando un'applicazione Kaspersky il cui EULA è stato revocato.

Vedere anche

Inizio pagina

[Topic 175956]

Informazioni sulla trasmissione dei dati

Dati trasferiti a terze parti

Quando si utilizza la funzionalità del Software Mobile Device Management, allo scopo di inviare in modo tempestivo i comandi ai dispositivi che eseguono il sistema operativo Android tramite il meccanismo delle notifiche push, viene utilizzato il servizio Google Firebase Cloud Messaging. Se l'Utente ha configurato l'utilizzo del servizio Google Firebase Cloud Messaging, l'Utente accetta di fornire le seguenti informazioni al servizio Google Firebase Cloud Messaging in modalità automatica: ID di installazione delle applicazioni Kaspersky Endpoint Security for Android a cui devono essere inviate le notifiche push.

Per bloccare lo scambio di informazioni con il servizio Google Firebase Cloud Messaging, l'Utente deve ripristinare i valori predefiniti delle impostazioni di utilizzo del servizio Google Firebase Cloud Messaging.

Quando si utilizza la funzionalità del Software Mobile Device Management, allo scopo di inviare in modo tempestivo i comandi ai dispositivi che eseguono il sistema operativo iOS tramite il meccanismo delle notifiche push, viene utilizzato il servizio Apple Push Notification Service (APNs). Se l'Utente ha installato un certificato APNs in un server per dispositivi mobili MDM iOS, ha creato un profilo MDM iOS con una raccolta di impostazioni per la connessione dei dispositivi mobili iOS al Software e ha installato questo profilo nei dispositivi mobili, l'Utente accetta di fornire le seguenti informazioni ad APNs in modalità automatica:

Token - token push del dispositivo. Il server utilizza questo token quando invia notifiche push al dispositivo.
PushMagic - stringa che deve essere inclusa nella notifica push. Il valore della stringa viene generato dal dispositivo.

Dati elaborati in locale

Kaspersky Security Center è progettato per l'esecuzione centralizzata delle attività di base di amministrazione e manutenzione nella rete di un'organizzazione. Kaspersky Security Center consente all'amministratore di accedere a informazioni dettagliate sul livello di protezione della rete dell'organizzazione; Kaspersky Security Center consente all'amministratore di configurare tutti i componenti della protezione in base alle applicazioni Kaspersky. Kaspersky Security Center esegue le seguenti funzioni principali:

Rilevamento dei dispositivi e dei relativi utenti nella rete dell'organizzazione
Creazione di una gerarchia di gruppi di amministrazione per la gestione dei dispositivi
Installazione delle applicazioni Kaspersky nei dispositivi
Gestione delle impostazioni e delle attività delle applicazioni installate
Gestione degli aggiornamenti per Kaspersky e applicazioni di terze parti e rilevamento e correzione delle vulnerabilità
Attivazione delle applicazioni Kaspersky nei dispositivi
Gestione degli account utente
Visualizzazione delle informazioni sul funzionamento delle applicazioni Kaspersky nei dispositivi
Visualizzazione dei rapporti

Per eseguire le funzioni principali, Kaspersky Security Center può ricevere, archiviare ed elaborare le seguenti informazioni:

Informazioni sui dispositivi nella rete dell'organizzazione ricevute in seguito alla device discovery nella rete di Active Directory o nella rete Windows oppure tramite la scansione degli intervalli IP. Administration Server acquisisce i dati in modo indipendente o riceve i dati da Network Agent.
Informazioni su unità organizzative, domini, utenti e gruppi di Active Directory ricevute in seguito alla device discovery nella rete di Active Directory. Administration Server acquisisce i dati in modo indipendente o riceve i dati da Network Agent.
Dettagli dei dispositivi gestiti. Network Agent trasferisce i dati elencati di seguito dal dispositivo ad Administration Server. L'utente inserisce il nome visualizzato e la descrizione del dispositivo nell'interfaccia di Administration Console o nell'interfaccia di Kaspersky Security Center Web Console:
- Specifiche tecniche del dispositivo gestito e relativi componenti richiesti per l'identificazione del dispositivo: nome visualizzato e descrizione del dispositivo, tipo e nome del dominio Windows, nome del dispositivo nell'ambiente Windows, dominio DNS e nome DNS, indirizzo IPv4, indirizzo IPv6, posizione di rete, indirizzo MAC, tipo di sistema operativo, informazioni che indicano se il dispositivo è una macchina virtuale o meno e il tipo di hypervisor e informazioni che indicano se il dispositivo è una macchina virtuale dinamica nell'ambito di VDI.
- Altre specifiche dei dispositivi gestiti e dei relativi componenti richieste per il controllo dei dispositivi gestiti e per le decisioni sull'applicabilità di patch e aggiornamenti specifici: stato di Windows Update Agent (WUA), architettura del sistema operativo, vendor del sistema operativo, numero di build del sistema operativo, ID di rilascio del sistema operativo, cartella della posizione del sistema operativo, tipo di macchina virtuale (se il dispositivo è una macchina virtuale); il nome dell'Administration Server virtuale che gestisce il dispositivo; i dati del dispositivo cloud (regione cloud, VPC, zona di disponibilità cloud, sottorete cloud, zona di collocazione cloud).
- Dettagli delle azioni sui dispositivi gestiti: data e ora dell'ultimo aggiornamento, ora in cui il dispositivo è stato visibile per l'ultima volta nella rete, stato di attesa del riavvio e ora in cui il dispositivo è stato acceso.
- Dettagli degli account utente del dispositivo e delle relative sessioni di lavoro.
Statistiche di funzionamento dei punti di distribuzione se il dispositivo è un punto di distribuzione. Network Agent trasferisce i dati dal dispositivo ad Administration Server.
Impostazioni del punto di distribuzione immesse dall'Utente in Administration Console o Kaspersky Security Center Web Console.
Dati necessari per la connessione dei dispositivi mobili ad Administration Server: certificato, porta per la connessione mobile, indirizzo di connessione di Administration Server. L'Utente immette i dati in Administration Console o in Kaspersky Security Center Web Console.
Dettagli dei dispositivi mobili trasferiti tramite il protocollo Exchange ActiveSync. I dati elencati di seguito vengono trasferiti dal dispositivo mobile ad Administration Server:
- Specifiche tecniche del dispositivo mobile e dei relativi componenti richiesti per l'identificazione del dispositivo: nome del dispositivo, modello, nome del sistema operativo, numero IMEI e numero di telefono.
- Specifiche del dispositivo mobile e dei relativi componenti: stato di gestione dei dispositivi, supporto degli SMS, autorizzazione per l'invio di messaggi SMS, supporto di FCM, supporto dei comandi utente, cartella di archiviazione del sistema operativo e nome del dispositivo.
- Dettagli delle azioni eseguite sui dispositivi mobili: posizione del dispositivo (tramite il comando Localizza), ora dell'ultima sincronizzazione, ora dell'ultima connessione ad Administration Server e dettagli sul supporto della sincronizzazione.
Dettagli dei dispositivi mobili trasferiti tramite il protocollo MDM iOS. I dati elencati di seguito vengono trasferiti dal dispositivo mobile ad Administration Server:
- Specifiche tecniche del dispositivo mobile e dei relativi componenti richiesti per l'identificazione del dispositivo: nome del dispositivo, modello, nome e numero di build del sistema operativo, numero di modello del dispositivo, numero IMEI, UDID, MEID, numero di serie, quantità di memoria, versione del firmware del modem, indirizzo MAC Bluetooth, indirizzo MAC Wi-Fi e dettagli sulla scheda SIM (ICCID nell'ambito dell'ID della scheda SIM).
- Dettagli della rete mobile utilizzata dal dispositivo gestito: tipo di rete mobile, nome della rete mobile attualmente in uso, nome della rete mobile principale, versione delle impostazioni dell'operatore di rete mobile, stato di roaming per la voce e per i dati, codice paese della rete principale, codice del paese di residenza, codice del paese della rete attualmente in uso e livello di criptaggio.
- Impostazioni di protezione del dispositivo mobile: utilizzo di una password e relativa conformità con le impostazioni del criterio, elenco dei profili di configurazione e dei profili di provisioning utilizzati per l'installazione delle applicazioni di terze parti.
- Data dell'ultima sincronizzazione con Administration Server e stato di gestione del dispositivo.
Dettagli delle applicazioni Kaspersky installate nel dispositivo. L'applicazione gestita trasferisce i dati dal dispositivo ad Administration Server tramite Network Agent:
- Impostazioni delle applicazioni Kaspersky installate nel dispositivo gestito: nome e versione dell'applicazione Kaspersky, stato, stato della protezione in tempo reale, data e ora dell'ultima scansione del dispositivo, numero delle minacce rilevate, numero di oggetti per i quali la disinfezione non è andata a buon fine, disponibilità e stato dei componenti dell'applicazione, ora dell'ultimo aggiornamento e versione dei database anti-virus, dettagli delle attività e delle impostazioni delle applicazioni Kaspersky, informazioni sulle chiavi di licenza attive e su quelle di riserva, ID e data di installazione dell'applicazione.
- Statistiche sull'esecuzione dell'applicazione: eventi relativi alle modifiche dello stato dei componenti dell'applicazione Kaspersky nel dispositivo gestito e alle prestazioni delle attività avviate dai componenti dell'applicazione.
- Stato del dispositivo definito dall'applicazione Kaspersky.
- Tag assegnati dall'applicazione Kaspersky.
- Set di aggiornamenti installati e applicabili per l'applicazione Kaspersky.
Dati contenuti negli eventi dei componenti di Kaspersky Security Center e delle applicazioni Kaspersky gestite. Network Agent trasferisce i dati dal dispositivo ad Administration Server.
Dati necessari per l'integrazione di Kaspersky Security Center con un sistema SIEM per l'esportazione degli eventi. L'Utente immette i dati in Administration Console o in Kaspersky Security Center Web Console.
Impostazioni dei componenti Kaspersky Security Center e delle applicazioni Kaspersky gestite presenti nei criteri e nei profili criterio. L'Utente immette i dati in Administration Console o nell'interfaccia di Kaspersky Security Center Web Console.
Impostazioni delle attività dei componenti Kaspersky Security Center e delle applicazioni Kaspersky gestite. L'Utente immette i dati in Administration Console o nell'interfaccia di Kaspersky Security Center Web Console.
Dati elaborati dalla funzionalità Vulnerability e patch management. Network Agent trasferisce i dati elencati di seguito dal dispositivo ad Administration Server:
- Dettagli delle applicazioni e patch installate nei dispositivi gestiti (registro delle applicazioni).
- Informazioni sull'hardware rilevato nei dispositivi gestiti (Registro hardware).
- Dettagli delle vulnerabilità del software di terze parti rilevato nei dispositivi gestiti.
- Dettagli degli aggiornamenti disponibili per le applicazioni di terze parti installate nei dispositivi gestiti.
- Dettagli degli aggiornamenti Microsoft rilevati dalla funzionalità WSUS.
- Elenco degli aggiornamenti Microsoft rilevati dalla funzionalità WSUS che devono essere installati nel dispositivo.
Dati necessari per scaricare gli aggiornamenti in Administration Server isolato per correggere le vulnerabilità del software di terze parti nei dispositivi gestiti. L'utente immette e trasmette i dati utilizzando l'utilità klscflag di Administration Server.
Dati necessari per la compatibilità di Kaspersky Security Center con gli ambienti cloud (Amazon Web Services, Microsoft Azure, Google Cloud, Yandex Cloud). L'Utente immette i dati in Administration Console o in Kaspersky Security Center Web Console.
Categorie utente di applicazioni. L'Utente immette i dati in Administration Console o nell'interfaccia di Kaspersky Security Center Web Console.
Elenco dei file eseguibili rilevati nei dispositivi gestiti dalla funzionalità Controllo Applicazioni. L'Utente immette i dati in Administration Console o nell'interfaccia di Kaspersky Security Center Web Console. Un elenco completo di dati viene fornito nei file della Guida dell'applicazione corrispondente.
Dettagli dei file presenti in Backup. L'applicazione gestita trasferisce i dati dal dispositivo ad Administration Server tramite Network Agent. Un elenco completo di dati viene fornito nei file della Guida dell'applicazione corrispondente.
Dettagli dei file presenti in Quarantena. L'applicazione gestita trasferisce i dati dal dispositivo ad Administration Server tramite Network Agent. Un elenco completo di dati viene fornito nei file della Guida dell'applicazione corrispondente.
Dettagli dei file richiesti dagli specialisti Kaspersky per l'analisi dettagliata. L'applicazione gestita trasferisce i dati dal dispositivo ad Administration Server tramite Network Agent. Un elenco completo di dati viene fornito nei file della Guida dell'applicazione corrispondente.
Dettagli dello stato e attivazione delle regole di Controllo adattivo delle anomalie. L'applicazione gestita trasferisce i dati dal dispositivo ad Administration Server tramite Network Agent. Un elenco completo di dati viene fornito nei file della Guida dell'applicazione corrispondente.
Dettagli dei dispositivi esterni (unità di memoria, strumenti di trasferimento delle informazioni, strumenti HCRP informativi e bus di connessione) installati o connessi al dispositivo gestito e rilevati dalla funzionalità Controllo Dispositivi. L'applicazione gestita trasferisce i dati dal dispositivo ad Administration Server tramite Network Agent. Un elenco completo di dati viene fornito nei file della Guida dell'applicazione corrispondente.
Informazioni sui dispositivi criptati e sullo stato di criptaggio. L'applicazione gestita trasferisce i dati dal dispositivo ad Administration Server tramite Network Agent.
Dettagli degli errori di criptaggio dei dati nei dispositivi utilizzando la funzionalità Criptaggio dei dati delle applicazioni Kaspersky. L'applicazione gestita trasferisce i dati dal dispositivo ad Administration Server tramite Network Agent. Un elenco completo di dati viene fornito nei file della Guida dell'applicazione corrispondente.
Elenco dei PLC (Programmable Logic Controller) gestiti. L'applicazione gestita trasferisce i dati dal dispositivo ad Administration Server tramite Network Agent. Un elenco completo di dati viene fornito nei file della Guida dell'applicazione corrispondente.
Dati necessari per la creazione di una catena di sviluppo delle minacce. L'applicazione gestita trasferisce i dati dal dispositivo ad Administration Server tramite Network Agent. Un elenco completo di dati viene fornito nei file della Guida dell'applicazione corrispondente.
Dati necessari per l'integrazione di Kaspersky Security Center con il servizio Kaspersky Managed Detection and Response (il plug-in dedicato deve essere installato per Kaspersky Security Center Web Console): token di avvio dell'integrazione, token di integrazione e token della sessione utente. L'Utente immette il token di avvio dell'integrazione nell'interfaccia di Kaspersky Security Center Web Console. Il servizio Kaspersky MDR trasferisce il token di integrazione e il token della sessione utente tramite il plug-in dedicato.
Dettagli dei codici di attivazione immessi o dei file chiave specificati. L'Utente immette i dati in Administration Console o nell'interfaccia di Kaspersky Security Center Web Console.
Account utente: nome, descrizione, nome completo, indirizzo e-mail, numero di telefono principale, password, chiave segreta generata da Administration Server e password monouso per la verifica in due passaggi. L'Utente immette i dati in Administration Console o nell'interfaccia di Kaspersky Security Center Web Console.
Dati di cui IAM (Identity and Access Manager) ha bisogno per l'autenticazione centralizzata e per garantire Single Sign-on (SSO) tra le applicazioni Kaspersky integrate con Kaspersky Security Center: impostazioni di installazione e configurazione di IAM, sessione utente IAM, token IAM, stati delle applicazioni client e stati dei server delle risorse. L'Utente immette i dati in Administration Console o nell'interfaccia di Kaspersky Security Center Web Console.
Cronologia delle revisioni degli oggetti di gestione. L'Utente immette i dati in Administration Console o nell'interfaccia di Kaspersky Security Center Web Console.
Registro degli oggetti di gestione dettagliati. L'Utente immette i dati in Administration Console o nell'interfaccia di Kaspersky Security Center Web Console.
Pacchetti di installazione creati dal file, nonché impostazioni di installazione. L'Utente immette i dati in Administration Console o nell'interfaccia di Kaspersky Security Center Web Console.
Dati necessari per la visualizzazione degli annunci di Kaspersky in Kaspersky Security Center Web Console. L'Utente immette i dati in Administration Console o nell'interfaccia di Kaspersky Security Center Web Console.
Dati necessari per il funzionamento dei plug-in delle applicazioni gestite in Kaspersky Security Center Web Console e salvati dai plug-in nel database di Administration Server durante l'esecuzione standard. La descrizione e le modalità di invio dei dati sono specificate nei file della Guida dell'applicazione corrispondente.
Impostazioni dell'utente di Kaspersky Security Center Web Console: lingua di localizzazione e tema dell'interfaccia, impostazioni di visualizzazione del riquadro Monitoraggio, informazioni sullo stato delle notifiche (Già letta/Non ancora letta), stato delle colonne nei fogli di calcolo (Mostra/Nascondi), avanzamento della modalità Training. L'Utente immette i dati nell'interfaccia di Kaspersky Security Center Web Console.
Registro eventi Kaspersky per i componenti Kaspersky Security Center e per le applicazioni Kaspersky gestite. Il registro eventi Kaspersky viene archiviato in ciascun dispositivo e non viene mai trasferito ad Administration Server.
Certificato per la connessione sicura dei dispositivi gestiti ai componenti Kaspersky Security Center. L'Utente immette i dati in Administration Console o nell'interfaccia di Kaspersky Security Center Web Console.
Dati necessari per il funzionamento di Kaspersky Security Center negli ambienti cloud, come Amazon Web Services (AWS), Microsoft Azure, Google Cloud e Yandex.Cloud. Administration Server riceve i dati dalla macchina virtuale in cui viene eseguito.
Informazioni sull'accettazione da parte dell'Utente dei termini e delle condizioni degli accordi legali con Kaspersky.
I dati di Administration Server che l'Utente immette nei seguenti componenti:
- Administration Console
- Kaspersky Security Center Web Console
- Terminale della riga di comando quando si utilizza l'utilità klscflag
- Componenti che interagiscono con Administration Server tramite oggetti di automazione klakaut e Kaspersky Security Center OpenAPI
Tutti i dati che l'Utente immette in Administration Console o nell'interfaccia di Kaspersky Security Center Web Console.

I dati elencati precedentemente possono essere presenti in Kaspersky Security Center se viene applicato uno dei seguenti metodi:

L'Utente inserisce i dati nell'interfaccia dei seguenti componenti:
- Administration Console
- Kaspersky Security Center Web Console
- Terminale della riga di comando quando si utilizza l'utilità klscflag
- Componenti che interagiscono con Administration Server tramite oggetti di automazione klakaut e Kaspersky Security Center OpenAPI
Network Agent riceve automaticamente i dati dal dispositivo e li trasferisce ad Administration Server.
Network Agent riceve i dati recuperati dall'applicazione Kaspersky gestita e li trasferisce ad Administration Server. Gli elenchi dei dati elaborati dalle applicazioni Kaspersky gestite vengono forniti nei file della Guida per le applicazioni corrispondenti.
Administration Server ottiene le informazioni sui dispositivi in rete in modo indipendente o riceve informazioni da un Network Agent che funge da punto di distribuzione.
I dati vengono trasferiti dal dispositivo mobile ad Administration Server utilizzando il protocollo Exchange ActiveSync o MDM iOS.

I dati elencati vengono archiviati nel database di Administration Server. Nomi utente e password sono archiviati in formato criptato.

Tutti i dati elencati precedentemente possono essere trasferiti a Kaspersky solo tramite file di dump, file di traccia o file di log dei componenti Kaspersky Security Center, tra cui i file di log creati da strumenti di installazione e utilità.

File di dump, file di traccia e file di log dei componenti Kaspersky Security Center contengono dati casuali di Administration Server, Network Agent, Administration Console, server MDM iOS, server per dispositivi mobili Exchange e Kaspersky Security Center Web Console. Questi file possono contenere dati personali e sensibili. I file di dump, i file di traccia e i file di log sono archiviati nel dispositivo in formato non criptato. I file di dump, i file di traccia e i file di log non vengono trasferiti automaticamente a Kaspersky. L'amministratore può tuttavia trasferire manualmente i dati a Kaspersky su richiesta del Servizio di assistenza tecnica per la risoluzione dei problemi che si verificano durante l'esecuzione di Kaspersky Security Center.

Seguendo i collegamenti in Administration Console o Kaspersky Security Center Web Console, l'Utente accetta di trasferire automaticamente i seguenti dati:

Codice di Kaspersky Security Center
Versione Kaspersky Security Center
Localizzazione di Kaspersky Security Center
ID licenza
Tipo di licenza
Se la licenza è stata acquistata tramite un partner

L'elenco dei dati forniti tramite ciascun collegamento dipende dalla finalità e dalla posizione del collegamento.

Kaspersky utilizza i dati ricevuti in forma anonima e soltanto come statistiche generali. Le statistiche riassuntive vengono generate automaticamente dalle informazioni ricevute in origine e non contengono dati personali o riservati. Non appena vengono accumulati nuovi dati, i dati precedenti vengono cancellati (una volta all'anno). Le statistiche riassuntive vengono archiviate a tempo indeterminato.

Kaspersky protegge le informazioni ricevute in conformità alle leggi e ai regolamenti applicabili di Kaspersky. I dati vengono trasmessi tramite un canale sicuro.

Inizio pagina

[Topic 65277]

Opzioni di licensing per Kaspersky Security Center

Scenario: Installazione e configurazione iniziale di Kaspersky Security Center Web Console

Kaspersky Security Center può funzionare nelle seguenti modalità:

Nessuna licenza (funzionalità di base)
Kaspersky Security Center funziona in questa modalità prima dell'attivazione dell'applicazione o dopo la scadenza della licenza commerciale. Kaspersky Security Center con il supporto delle funzionalità di base di Administration Console viene fornito insieme alle applicazioni Kaspersky per la protezione delle reti aziendali. Può inoltre essere scaricato dal sito Web di Kaspersky.
Licenza commerciale
Se sono necessarie funzionalità aggiuntive che non sono incluse nelle funzionalità di base di Administration Console, occorre acquistare una licenza commerciale.

Quando si aggiunge una chiave di licenza nella finestra delle proprietà di Administration Server, assicurarsi di aggiungere una chiave di licenza che consente di utilizzare Kaspersky Security Center. Queste informazioni sono disponibili sul sito Web di Kaspersky. Ogni pagina Web della soluzione contiene l'elenco delle applicazioni incluse nella soluzione. Administration Server può accettare chiavi di licenza non supportate, ad esempio una chiave di licenza di Kaspersky Endpoint Security Cloud, ma tali chiavi di licenza non forniscono nuove funzionalità oltre alle funzionalità di base di Administration Console.

Funzionalità o proprietà	Modalità di funzionamento di Kaspersky Security Center

	Nessuna licenza	Licenza commerciale
Funzionalità di base di Administration Console Sono disponibili le seguenti funzioni: Creazione di Administration Server virtuali per gestire una rete di filiali remote o organizzazioni client. Creazione di una gerarchia di gruppi di amministrazione per gestire dispositivi specifici come una singola entità. Installazione remota delle applicazioni. Configurazione centralizzata delle applicazioni installate nei dispositivi client. Controllo dello stato della protezione anti-virus di un'organizzazione. Gestione dei ruoli utente. Statistiche e rapporti sul funzionamento dell'applicazione e notifiche sugli eventi critici. Operazioni centralizzate con file spostati in Quarantena o Backup e file la cui elaborazione è stata rimandata. Gestione del criptaggio e della protezione dei dati. Visualizzazione e modifica di gruppi di applicazioni concesse in licenza esistenti. Visualizzazione e modifica manuale dell'elenco di componenti hardware rilevati dal polling della rete. Visualizzazione dell'elenco delle immagini dei sistemi operativi disponibili per l'installazione remota.
Vulnerability e patch management: funzionalità di base Le seguenti attività non richiedono una licenza commerciale: Attività Trova vulnerabilità e aggiornamenti richiesti Tramite questa attività, Kaspersky Security Center riceve gli elenchi delle vulnerabilità rilevate e degli aggiornamenti richiesti per il software di terze parti installato nei dispositivi gestiti. L'attività Installa aggiornamenti di Windows Update Questa attività può essere utilizzata per installare solo gli aggiornamenti di Windows Update. Per utilizzare questa attività, è necessario specificare manualmente gli aggiornamenti richiesti nelle impostazioni dell'attività. Attività Correggi vulnerabilità L'attività Correggi vulnerabilità utilizza le correzioni consigliate per il software Microsoft e le correzioni dell'utente per software di terze parti. Per utilizzare questa attività, è necessario specificare manualmente le correzioni dell'utente per le vulnerabilità nelle impostazioni dell'attività.
Vulnerability e patch management: funzionalità avanzata Sono disponibili le seguenti funzioni: Installazione remota degli aggiornamenti software e correzione automatica delle vulnerabilità, secondo le regole definite. Utilizzo di Administration Server come server Windows Server Update Services (WSUS) per fornire aggiornamenti ai servizi Windows Update nei dispositivi in modalità centralizzata e con la frequenza impostata.
Funzionalità Mobile Device Management nell'Administration Console basata su MMC La funzionalità Mobile Device Management viene utilizzata per la gestione dei dispositivi mobili EAS (Exchange ActiveSync) e MDM iOS. Le seguenti funzioni sono disponibili per i dispositivi mobili Exchange ActiveSync: Aggiunta di nuovi dispositivi gestiti da Kaspersky Security Center. Creazione e modifica di profili di gestione per i dispositivi mobili, assegnazione di profili alle caselle di posta degli utenti. Configurazione dei dispositivi mobili (sincronizzazione e-mail, utilizzo delle app, password utente, criptaggio dei dati, connessione di unità rimovibili). Installazione di certificati nei dispositivi mobili. Le seguenti funzioni sono disponibili per i dispositivi MDM iOS: Aggiunta di nuovi dispositivi gestiti da Kaspersky Security Center. Creazione e modifica di profili di configurazione, installazione dei profili di configurazione nei dispositivi mobili. Installazione di applicazioni nei dispositivi mobili tramite l'App Store o utilizzando file di manifesto (.plist). Blocco, reimpostazione della password ed eliminazione di tutti i dati dal dispositivo mobile. Le seguenti funzioni sono disponibili per i dispositivi Android: Aggiunta di nuovi dispositivi gestiti da Kaspersky Security Center. Gestione di Kaspersky Endpoint Security for Android tramite criteri. Inoltre, Mobile Device Management consente l'esecuzione di comandi forniti tramite i protocolli supportati. L'unità di misura della gestione per Mobile Device Management è un dispositivo mobile. Un dispositivo mobile viene considerato gestito quando si connette a un server per dispositivi mobili.		(È necessario aggiungere una chiave di licenza alle proprietà di Administration Server).
Protezione dei dispositivi mobili in Kaspersky Security Center Web Console Kaspersky Security Center Web Console fornisce le seguenti funzionalità per gestire i dispositivi mobili Android e iOS: Aggiunta di nuovi dispositivi gestiti da Kaspersky Security Center. Gestione di Kaspersky Endpoint Security for Android e Kaspersky Security for iOS tramite criteri. Invio di comandi ai dispositivi mobili tramite protocolli pertinenti ed esecuzione dei comandi.		(È necessario aggiungere una chiave di licenza su ogni dispositivo mobile).
Gestione dei sistemi Sono disponibili le seguenti funzioni: Installazione di sistemi operativi e applicazioni. Kaspersky Security Center consente di creare immagini dei sistemi operativi e distribuirle nei dispositivi client in rete, nonché di eseguire l'installazione remota delle applicazioni Kaspersky o di altri produttori. È possibile acquisire le immagini dei sistemi operativi dai dispositivi e trasferirle ad Administration Server. Le immagini dei sistemi operativi vengono archiviate in Administration Server in una cartella dedicata. L'immagine del sistema operativo di un dispositivo di riferimento viene acquisita e quindi creata attraverso un'attività di creazione del pacchetto di installazione. È possibile utilizzare le immagini ricevute per la distribuzione nei dispositivi della rete in cui non è stato ancora installato alcun sistema operativo. In questo caso, viene utilizzata una tecnologia denominata Preboot eXecution Environment (PXE). Gestione gruppo di applicazioni concesse in licenza. Autorizzazione remota di connessione ai dispositivi client tramite Connessione Desktop remoto, un componente di Microsoft Windows. Connessione remota ai dispositivi client tramite Condivisione desktop Windows. Connessione remota tramite Visualizzatore sessione Desktop remoto Kaspersky.
Integrazione con gli ambienti cloud Kaspersky Security Center non solo funziona con i dispositivi in locale, ma fornisce anche speciali funzionalità per l'utilizzo in un ambiente cloud, come Configurazione guidata ambiente cloud. Kaspersky Security Center funziona con le seguenti macchine virtuali: Istanze di Amazon EC2 Macchine virtuali Microsoft Azure Istanze di macchine virtuali Google Cloud Macchine virtuali Yandex.Cloud
Esportazione degli eventi nei sistemi SIEM utilizzando il protocollo Syslog Utilizzando il protocollo Syslog è possibile inviare gli eventi che si verificano in Kaspersky Security Center Administration Server e nelle applicazioni Kaspersky installate nei dispositivi gestiti. Il protocollo Syslog è un protocollo standard per la registrazione dei messaggi. Può essere utilizzato per esportare gli eventi in qualsiasi sistema SIEM.

Vedere anche:

Licenze e funzionalità di Kaspersky Security Center 14.2

Inizio pagina

[Topic 173097]

Funzionalità di gestione delle licenze di Kaspersky Security Center e delle applicazioni gestite

La gestione delle licenze di Administration Server e delle applicazioni gestite prevede quanto segue:

È possibile aggiungere a un Administration Server una chiave di licenza o un codice di attivazione valido per attivare Vulnerability e patch management, Mobile Device Management o Integrazione con i sistemi SIEM. Alcune funzionalità di Kaspersky Security Center sono accessibili solo a seconda dei file chiave attivi o dei codici di attivazione validi aggiunti ad Administration Server.
È possibile aggiungere più codici di attivazione e file chiave per applicazioni gestite nell'archivio di Administration Server.

Informazioni sulla gestione delle licenze di Kaspersky Security Center

Se una delle funzionalità concesse in licenza (ad esempio, Mobile Device Management) è stata attivata tramite un file chiave, ma si desidera utilizzare un'altra funzionalità concessa in licenza (ad esempio, Vulnerability e patch management), è necessario acquistare dal provider di servizi un file chiave che attivi entrambe le funzionalità e quindi attivare Administration Server utilizzando questo file chiave.

Funzionalità di gestione delle licenze delle applicazioni gestite

Per la gestione delle licenze delle applicazioni gestite, è possibile distribuire un codice di attivazione o un file chiave automaticamente o in un'altra modalità. Per distribuire un codice di attivazione o un file chiave possono essere applicati i seguenti metodi:

Distribuzione automatica
Se si utilizzano diverse applicazioni gestite ed è necessario distribuire un file chiave specifico o un codice di attivazione specifico nei dispositivi, valutare altre modalità di distribuzione del codice di attivazione o del file chiave in questione.

Kaspersky Security Center consente di distribuire automaticamente le chiavi di licenza disponibili nei dispositivi. Ad esempio, nell'archivio dell'Administration Server sono presenti tre chiavi di licenza. È stata selezionata la casella di controllo Distribuisci automaticamente la chiave di licenza nei dispositivi gestiti per tutte e tre le chiavi di licenza. Un'applicazione di protezione Kaspersky, ad esempio Kaspersky Endpoint Security for Windows, è installata nei dispositivi dell'organizzazione. Viene rilevato un nuovo dispositivo a cui deve essere distribuita una chiave di licenza. L'applicazione stabilisce, ad esempio, che due delle chiavi di licenza dell'archivio possono essere applicate al dispositivo: la chiave di licenza denominata Key_1 e la chiave di licenza denominata Key_2. Una di queste chiavi di licenza viene distribuita nel dispositivo. In questo caso non è possibile prevedere quale delle due chiavi di licenza verrà distribuita nel dispositivo poiché la distribuzione automatica delle chiavi di licenza non offre nessuna attività di amministrazione.

Quando una chiave di licenza viene distribuita, i dispositivi vengono ricalcolati per questa chiave di licenza. È necessario accertarsi che il numero di dispositivi in cui è stata distribuita la chiave di licenza non superi la limitazione licenza. Se il numero di dispositivi supera la limitazione licenza, a tutti i dispositivi non coperti dalla licenza verrà assegnato lo stato Critico.
Aggiunta di un file chiave o di un codice di attivazione al pacchetto di installazione di un'applicazione gestita
Se si installa un'applicazione gestita utilizzando un pacchetto di installazione, è possibile specificare un codice di attivazione o un file chiave nel pacchetto di installazione o nel criterio dell'applicazione. La chiave di licenza verrà distribuita nei dispositivi gestiti alla successiva sincronizzazione del dispositivo con Administration Server.
Distribuzione tramite l'attività di aggiunta della chiave di licenza per un'applicazione gestita
Se si sceglie di utilizzare l'attività di aggiunta della chiave di licenza per un'applicazione gestita, è possibile selezionare la chiave di licenza che deve essere distribuita nei dispositivi e selezionare i dispositivi nella modalità più opportuna, ad esempio selezionando un gruppo di amministrazione o una selezione dispositivi.
Aggiunta manuale di un codice di attivazione o di un file chiave ai dispositivi

Vedere anche:

Licenze e funzionalità di Kaspersky Security Center 14.2

Sostituzione di applicazioni di protezione di terzi

Inizio pagina

[Topic 6374]

Applicazioni Kaspersky. Distribuzione centralizzata

In questa sezione vengono descritti i metodi per l'installazione remota delle applicazioni Kaspersky e la relativa rimozione dai dispositivi della rete.

Prima di distribuire le applicazioni nei dispositivi client, verificare che l'hardware e il software dei dispositivi client soddisfino i rispettivi requisiti.

Network Agent è un componente che fornisce la connessione di Administration Server con i dispositivi client. Deve essere pertanto installato in ciascun dispositivo client, che deve essere connesso al sistema centralizzato di controllo remoto. Il dispositivo in cui è installato Administration Server può utilizzare solo la versione server di Network Agent, che viene installata e rimossa insieme ad Administration Server. Non è necessario installare Network Agent in tale dispositivo.

Network Agent può essere installato in remoto o in locale come qualsiasi applicazione. Durante la distribuzione centralizzata delle applicazioni di protezione tramite Administration Console, è possibile installare Network Agent insieme a tali applicazioni di protezione.

I Network Agent possono variare a seconda delle applicazioni Kaspersky con cui vengono utilizzati. In alcuni casi, Network Agent può essere installato solo in locale (per informazioni dettagliate, fare riferimento alla documentazione delle relative applicazioni). È necessario installare Network Agent in un dispositivo client una sola volta.

Le applicazioni Kaspersky sono gestite tramite Administration Console utilizzando i plug-in di gestione. Di conseguenza, per accedere all'interfaccia di gestione delle applicazioni mediante Kaspersky Security Center, il plug-in di gestione corrispondente deve essere installato nella workstation dell'amministratore.

È possibile eseguire l'installazione remota delle applicazioni dalla workstation dell'amministratore nella finestra principale di Kaspersky Security Center.

Per installare il software in remoto, è necessario creare un'attività di installazione remota.

L'attività creata per l'installazione remota verrà avviata in base alla relativa pianificazione. È possibile interrompere la procedura di installazione arrestando manualmente l'attività.

Se l'installazione remota di un'applicazione restituisce un errore, assicurarsi che siano soddisfatti i requisiti di preparazione del dispositivo.

È possibile monitorare lo stato di avanzamento dell'installazione remota delle applicazioni di Kaspersky in una rete utilizzando il rapporto sulla distribuzione.

Per informazioni dettagliate sulla gestione delle applicazioni elencate in Kaspersky Security Center, fare riferimento alla documentazione delle relative applicazioni.

In questa sezione

Installazione delle applicazioni tramite un'attività di installazione remota

Installazione delle applicazioni tramite l'Installazione remota guidata

Visualizzazione di un rapporto sulla distribuzione della protezione

Utilizzo dei plug-in di gestione

Rimozione remota delle applicazioni

Utilizzo dei pacchetti di installazione

Ricezione delle versioni aggiornate delle applicazioni

Preparazione di un dispositivo Windows per l'installazione remota

Preparazione di un dispositivo Linux e installazione di Network Agent in un dispositivo Linux da remoto

Preparazione di un dispositivo macOS per l'installazione remota di Network Agent

Vedere anche:

Installazione di un'applicazione nei dispositivi selezionati

Inizio pagina

[Topic 180093]

Sostituzione di applicazioni di protezione di terzi

L'Installazione delle applicazioni di protezione Kaspersky tramite Kaspersky Security Center può richiedere la rimozione di software di terze parti incompatibile con l'applicazione da installare. Kaspersky Security Center offre diversi modi di rimuovere le applicazioni di terze parti.

Rimozione delle applicazioni incompatibili utilizzando il programma di installazione

Questa opzione è disponibile solo in Administration Console basata su Microsoft Management Console.

Il metodo del programma di installazione per la rimozione delle applicazioni incompatibili è supportato da vari tipi di installazione. Prima dell'installazione dell'applicazione di protezione, tutte le applicazioni incompatibili vengono rimosse automaticamente se nella finestra delle proprietà del pacchetto di installazione dell'applicazione di protezione (sezione Applicazioni incompatibili) è selezionata l'opzione Disinstalla automaticamente le applicazioni incompatibili.

Rimozione delle applicazioni incompatibili durante la configurazione dell'installazione remota di un'applicazione

È possibile abilitare l'opzione Disinstalla automaticamente le applicazioni incompatibili quando si configura l'installazione remota di un'applicazione di protezione. In Administration Console basata su Microsoft Management Console, questa opzione è disponibile nell'Installazione remota guidata. In Kaspersky Security Center Web Console, questa opzione è disponibile nella Distribuzione guidata della protezione. Quando questa opzione è abilitata, Kaspersky Security Center consente di rimuovere le applicazioni incompatibili prima di installare un'applicazione di protezione in un dispositivo gestito.

Istruzioni dettagliate:

Administration Console: Rimozione delle applicazioni incompatibili tramite l'Installazione remota guidata
Kaspersky Security Center Web Console: Rimozione delle applicazioni incompatibili prima dell'installazione

Rimozione delle applicazioni incompatibili tramite un'attività dedicata

Per rimuovere le applicazioni incompatibili, utilizzare l'attività Disinstalla l'applicazione in remoto. Questa attività deve essere eseguita nei dispositivi prima dell'attività di installazione dell'applicazione di protezione. Ad esempio, nell'attività di installazione è possibile selezionare il tipo di pianificazione Al completamento di un'altra attività, dove l'altra attività è Disinstalla l'applicazione in remoto.

Questo metodo di disinstallazione è consigliabile quando il programma di installazione dell'applicazione di protezione non è in grado di rimuovere correttamente un'applicazione incompatibile.

Istruzioni dettagliate per Administration Console: creazione di un'attività.

Inizio pagina

[Topic 6385]

Installazione delle applicazioni tramite un'attività di installazione remota

Kaspersky Security Center consente di installare le applicazioni nei dispositivi in remoto, utilizzando le attività di installazione remota. Tali attività vengono create e assegnate ai dispositivi attraverso un'apposita procedura guidata. Per assegnare un'attività più in modo facile e rapido, è possibile specificare i dispositivi (fino a 1000 dispositivi) nella finestra della procedura guidata in uno dei seguenti modi:

Selezionare i dispositivi della rete rilevati da Administration Server. In questo caso l'attività viene assegnata a dispositivi specifici. I dispositivi specifici possono includere i dispositivi nei gruppi di amministrazione, nonché i dispositivi non assegnati.
Specificare gli indirizzi dei dispositivi manualmente o importare gli indirizzi da un elenco. È possibile specificare nomi NetBIOS, nomi DNS, indirizzi IP e subnet IP dei dispositivi a cui si desidera assegnare l'attività.
Assegnare un'attività a una selezione dispositivi. In questo caso l'attività viene assegnata ai dispositivi inclusi in una selezione creata precedentemente. È possibile specificare la selezione predefinita o una selezione personalizzata creata.
Assegnare un'attività a un gruppo di amministrazione. In questo caso l'attività viene assegnata ai dispositivi inclusi in un gruppo di amministrazione creato precedentemente.

Per una corretta installazione remota in un dispositivo in cui Network Agent non è stato installato, è necessario che le seguenti porte siano aperte: a) TCP 139 e 445; b) UDP 137 e 138. Per impostazione predefinita, queste porte sono aperte in tutti i dispositivi inclusi nel dominio. Sono aperte automaticamente dall'utilità di preparazione dell'installazione remota.

In questa sezione

Installazione di un'applicazione nei dispositivi client di un gruppo di amministrazione

Installazione di un'applicazione utilizzando i criteri di gruppo di Active Directory

Installazione di applicazioni negli Administration Server secondari

Inizio pagina

[Topic 54971]

Installazione di un'applicazione nei dispositivi selezionati

Per installare un'applicazione nei dispositivi selezionati:

Nella struttura della console selezionare la cartella Attività.
Eseguire la creazione dell'attività facendo clic sul pulsante Crea attività.
Verrà avviata la Creazione guidata nuova attività. Seguire le istruzioni della procedura guidata.

Nella finestra Selezionare il tipo di attività della Creazione guidata nuova attività, nel nodo Kaspersky Security Center Administration Server, selezionare Installa l'applicazione in remoto come tipo di attività.

Verrà creata un'attività per l'installazione remota dell'applicazione selezionata per dispositivi specifici. La nuova attività creata viene visualizzata nell'area di lavoro della cartella Attività.
Eseguire l'attività manualmente o attenderne l'avvio in base alla pianificazione specificata nelle impostazioni dell'attività.

Al termine dell'attività di installazione remota, l'applicazione selezionata verrà installata nei dispositivi selezionati.

Inizio pagina

[Topic 54970]

Installazione di un'applicazione nei dispositivi client di un gruppo di amministrazione

Per installare un'applicazione nei dispositivi client di un gruppo di amministrazione:

Stabilire una connessione all'Administration Server che controlla i gruppi di amministrazione desiderati.
Selezionare un gruppo di amministrazione nella struttura della console.
Nell'area di lavoro del gruppo selezionare la scheda Attività.
Eseguire la creazione dell'attività facendo clic sul pulsante Crea attività.
Verrà avviata la Creazione guidata nuova attività. Seguire le istruzioni della procedura guidata.

Nella finestra Selezionare il tipo di attività della Creazione guidata nuova attività, nel nodo Kaspersky Security Center Administration Server, selezionare Installa l'applicazione in remoto come tipo di attività.

Verrà creata un'attività di gruppo per l'installazione remota dell'applicazione selezionata. La nuova attività verrà visualizzata nell'area di lavoro del gruppo di amministrazione, nella scheda Attività.
Eseguire l'attività manualmente o attenderne l'avvio in base alla pianificazione specificata nelle impostazioni dell'attività.

Al termine dell'attività di installazione remota, l'applicazione selezionata verrà installata nei dispositivi client nel gruppo di amministrazione.

Inizio pagina

[Topic 54994]

Installazione di un'applicazione utilizzando i criteri di gruppo di Active Directory

Kaspersky Security Center consente di installare le applicazioni Kaspersky nei dispositivi gestiti utilizzando i criteri di gruppo di Active Directory.

È possibile installare le applicazioni tramite i criteri di gruppo di Active Directory solo da pacchetti di installazione che includono Network Agent.

Per installare un'applicazione utilizzando i criteri di gruppo di Active Directory:

Avviare la configurazione dell'installazione dell'applicazione utilizzando l'Installazione remota guidata.
Nella finestra Definizione delle impostazioni dell'attività di installazione remota dell'Installazione remota guidata selezionare l'opzione Assegna l'installazione del pacchetto in Criteri di gruppo di Active Directory.
Nella finestra Selezionare gli account per l'accesso ai dispositivi dell'Installazione remota guidata selezionare l'opzione Account richiesto (Network Agent non utilizzato).
Aggiungere l'account con privilegi di amministratore nel dispositivo in cui è installato Kaspersky Security Center o l'account incluso nel gruppo di dominio Proprietari autori criteri di gruppo.
Concedere le autorizzazioni all'account selezionato:
1. Accedere a Pannello di controllo → Strumenti di amministrazione e aprire Gestione Criteri di gruppo.
2. Fare clic sul nodo con il dominio desiderato.
3. Fare clic sulla sezione Delega.
4. Nell'elenco a discesa Autorizzazione selezionare Collega oggetti Criteri di gruppo.
5. Fare clic su Aggiungi.
6. Nella finestra Seleziona utente, computer o gruppo visualizzata selezionare l'account necessario.
7. Fare clic su OK per chiudere la finestra Seleziona utente, computer o gruppo.
8. Nell'elenco Gruppi e utenti selezionare l'account appena aggiunto, quindi fare clic su Avanzate → Avanzate.
9. Nell'elenco Autorizzazioni fare doppio clic sull'account appena aggiunto.
10. Concedere le seguenti autorizzazioni:
  - Creare oggetti Criteri di gruppo
  - Eliminare oggetti Criteri di gruppo
  - Creare oggetti del contenitore Criteri di gruppo
  - Eliminare oggetti dal contenitore Criteri di gruppo
11. Fare clic su OK per salvare le modifiche.
Definire altre impostazioni seguendo le istruzioni della procedura guidata.
Eseguire l'attività di installazione remota creata manualmente o attenderne l'avvio pianificato.

Verrà avviata la seguente sequenza di installazione remota:

Durante l'esecuzione dell'attività, verranno creati i seguenti oggetti nel dominio che include i dispositivi client per il set specificato:
- Oggetto Criteri di gruppo denominato Kaspersky_AK{GUID}.
- Un gruppo di protezione che corrisponde all'oggetto Criteri di gruppo. Questo gruppo di protezione include i dispositivi client coperti dall'attività. Il contenuto del gruppo di protezione definisce l'ambito dell'oggetto Criteri di gruppo.
Kaspersky Security Center installa le applicazioni Kaspersky selezionate nei dispositivi client direttamente da Share, ovvero la cartella di rete condivisa dell'applicazione. Nella cartella di installazione di Kaspersky Security Center verrà creata una sottocartella ausiliaria che contiene il file .msi per l'applicazione da installare.
Quando si aggiungono nuovi dispositivi all'ambito dell'attività, questi vengono aggiunti al gruppo di protezione al successivo avvio dell'attività. Se nella pianificazione dell'attività è selezionata l'opzione Esegui attività non effettuate, i dispositivi vengono aggiunti al gruppo di protezione immediatamente.
Quando si eliminano dispositivi dall'ambito dell'attività, questi vengono eliminati dal gruppo di protezione al successivo avvio dell'attività.
Quando si elimina un'attività da Active Directory, vengono eliminati anche l'oggetto Criteri di gruppo, il collegamento all'oggetto Criteri di gruppo e il gruppo di protezione corrispondente.

Se si desidera applicare un altro schema di installazione tramite Active Directory, è possibile configurare manualmente le impostazioni richieste. Questa operazione può essere ad esempio necessaria nei seguenti casi:

Quando l'amministratore della protezione anti-virus non dispone dei diritti necessari per apportare modifiche ad Active Directory per determinati domini
Quando il pacchetto di installazione originale deve essere archiviato in una risorsa di rete distinta
Quando è necessario collegare un oggetto Criteri di gruppo a specifiche unità Active Directory

Sono disponibili le seguenti opzioni per l'utilizzo di uno schema di installazione alternativo tramite Active Directory:

Se è necessario eseguire l'installazione direttamente dalla cartella condivisa di Kaspersky Security Center, nelle proprietà dell'oggetto Criteri di gruppo specificare il file .msi presente nella sottocartella exec della cartella del pacchetto di installazione per l'applicazione desiderata.
Se il pacchetto di installazione deve essere posizionato in un'altra risorsa di rete, copiare in tale risorsa l'intero contenuto della cartella exec, perché questa contiene, oltre al file con estensione .msi, i file di configurazione generati al momento della creazione del pacchetto. Per installare la chiave di licenza insieme all'applicazione, copiare anche il file chiave in questa cartella.

Vedere anche:

Distribuzione tramite i criteri di gruppo di Microsoft Windows

Inizio pagina

[Topic 6388]

Installazione di applicazioni negli Administration Server secondari

Per installare un'applicazione negli Administration Server secondari:

Stabilire una connessione all'Administration Server che controlla gli Administration Server secondari desiderati.
Verificare che il pacchetto di installazione corrispondente all'applicazione da installare sia disponibile in ognuno degli Administration Server secondari selezionati. Se il pacchetto di installazione risulta mancante in uno qualsiasi dei server secondari, distribuirlo utilizzando l'attività di distribuzione pacchetto di installazione.
Creare l'attività di installazione dell'applicazione negli Administration Server secondari in uno dei seguenti modi:
- Se si desidera creare un'attività per gli Administration Server secondari nel gruppo di amministrazione selezionato, creare un'attività di gruppo di installazione remota per questo gruppo.
- Se si desidera creare un'attività per specifici Administration Server secondari, creare un'attività di installazione remota per dispositivi specifici.
Verrà avviata la Creazione guidata attività di distribuzione per guidare l'utente durante la creazione dell'attività di installazione remota. Seguire le istruzioni della procedura guidata.

Nella finestra Selezionare il tipo di attività della Creazione guidata nuova attività, nella sezione Kaspersky Security Center Administration Server, aprire la cartella Avanzate e selezionare Installa l'applicazione negli Administration Server secondari in remoto come tipo di attività.

Verrà creata l'attività per l'installazione remota dall'applicazione selezionata in specifici Administration Server secondari.
Eseguire l'attività manualmente o attenderne l'avvio in base alla pianificazione specificata nelle impostazioni dell'attività.

Al termine dell'attività di installazione remota, l'applicazione selezionata verrà installata negli Administration Server secondari.

Inizio pagina

[Topic 6390]

Installazione delle applicazioni tramite l'Installazione remota guidata

Rimozione remota di un'applicazione dai dispositivi client del gruppo di amministrazione

Per installare le applicazioni Kaspersky, è possibile utilizzare l'Installazione remota guidata. L'Installazione remota guidata consente l'installazione remota delle applicazioni con pacchetti di installazione creati appositamente o direttamente da un pacchetto di distribuzione.

Per il corretto funzionamento dell'attività di installazione remota in un dispositivo client in cui non è installato Network Agent, le seguenti porte devono essere aperte: TCP 139 e 445, UDP 137 e 138. Per impostazione predefinita, queste porte sono aperte per tutti i dispositivi inclusi nel dominio. In caso di errori di rete, fare riferimento alla knowledge base di Kaspersky Security Center.

Per installare un'applicazione nei dispositivi selezionati utilizzando l'Installazione remota guidata:

Nella struttura della console individuare la cartella Installazione remota e selezionare la sottocartella Pacchetti di installazione.
Nell'area di lavoro della cartella selezionare il pacchetto di installazione dell'applicazione da installare.
Nel menu di scelta rapida del pacchetto di installazione selezionare Installa applicazione.
Verrà avviata l'Installazione remota guidata.
Nella finestra Selezionare i dispositivi per l'installazione è possibile creare un elenco di dispositivi in cui verrà installata l'applicazione:
- Installa in un gruppo di dispositivi gestiti
  Se questa opzione è selezionata, l'attività di installazione remota viene creata per un gruppo di dispositivi.
- Selezionare i dispositivi per l'installazione
  Se questa opzione è selezionata, l'attività di installazione remota viene creata per dispositivi specifici. Questi dispositivi specifici possono includere sia dispositivi gestiti che dispositivi non assegnati.
Nella finestra Definizione delle impostazioni dell'attività di installazione remota specificare le impostazioni per l'installazione remota dell'applicazione.
Nel gruppo di impostazioni Forza il download del pacchetto di installazione specificare la modalità di distribuzione dei file necessari per l'installazione dell'applicazione ai dispositivi client:
- Utilizzando Network Agent
  Se questa opzione è abilitata, i pacchetti di installazione vengono distribuiti ai dispositivi client da Network Agent installato nei dispositivi client.
  
  Se questa opzione è disabilitata, i pacchetti di installazione vengono distribuiti utilizzando gli strumenti del sistema operativo dei dispositivi client.
  
  È consigliabile abilitare questa opzione se l'attività è stata assegnata a dispositivi in cui sono installati Network Agent.
  
  Per impostazione predefinita, questa opzione è abilitata.
- Utilizzando le risorse del sistema operativo tramite Administration Server
  Se questa opzione è selezionata, i file vengono trasmessi ai dispositivi client utilizzando gli strumenti del sistema operativo dei dispositivi client tramite l'Administration Server. È possibile abilitare questa opzione se Network Agent non è installato nel dispositivo client, ma il dispositivo client si trova nella stessa rete di Administration Server.
  
  Per impostazione predefinita, questa opzione è abilitata.
- Utilizzando le risorse del sistema operativo tramite punti di distribuzione
  Se questa opzione è abilitata, i pacchetti di installazione verranno trasmessi ai dispositivi client utilizzando gli strumenti del sistema operativo tramite i punti di distribuzione. È possibile selezionare questa opzione se è presente almeno un punto di distribuzione nella rete.
  
  Se l'opzione Utilizzo di Network Agent è abilitata, i file vengono inviati tramite gli strumenti del sistema operativo solo se gli strumenti di Network Agent non sono disponibili.
  
  Per impostazione predefinita, questa opzione è abilitata per le attività di installazione remota create in un Administration Server virtuale.
- Numero di tentativi di installazione
  Se, durante l'esecuzione dell'attività Installazione remota, Kaspersky Security Center non riesce a installare un'applicazione in un dispositivo gestito entro il numero di esecuzioni del programma di installazione specificate dal parametro, Kaspersky Security Center interrompe la distribuzione del pacchetto di installazione a tale dispositivo gestito e non avvia più il programma di installazione nel dispositivo.
  
  L'opzione Numero di tentativi di installazione consente di salvare le risorse del dispositivo gestito, nonché di ridurre il traffico (disinstallazione, esecuzione del file MSI e messaggi di errore).
  
  I tentativi ricorrenti di avvio dell'attività possono indicare un problema nel dispositivo che impedisce l'installazione. L'amministratore deve risolvere il problema entro il numero specificato di tentativi di installazione (ad esempio assegnando spazio su disco sufficiente, rimuovendo le applicazioni incompatibili o modificando le impostazioni di altre applicazioni che impediscono l'installazione) e riavviare l'attività (manualmente o in base a una pianificazione).
  
  Se l'installazione non va a buon fine, il problema è ritenuto irrisolvibile e ulteriori tentativi di avvio dell'attività sono considerati dispendiosi in termini di risorse e traffico.
  
  Quando viene creata l'attività, il numero di tentativi è impostato su 0. Per ogni esecuzione del programma di installazione che restituisce un errore nel dispositivo il numero aumenta.
  
  Se il numero di tentativi specificati nel parametro è stato superato e il dispositivo è pronto per l'installazione dell'applicazione, è possibile aumentare il valore del parametro Numero di tentativi di installazione e avviare l'attività per installare l'applicazione. In alternativa, è possibile creare una nuova attività Installazione remota.
Definire come procedere con i dispositivi client gestiti da un altro Administration Server:
- Installa in tutti i dispositivi
  L'applicazione verrà installata anche nei dispositivi gestiti da altri Administration Server.
  
  Questa opzione è selezionata per impostazione predefinita. Non è necessario modificare l'impostazione se si dispone di un solo Administration Server nella rete.
- Installa solo nei dispositivi gestiti tramite questo Administration Server
  L'applicazione verrà installata solo nei dispositivi gestiti da questo Administration Server. Selezionare questa opzione se si dispone di più Administration Server nella rete per evitare conflitti tra di essi.
Definire le impostazioni aggiuntive:
- Non reinstallare l'applicazione se è già installata
  Se questa opzione è abilitata, l'applicazione selezionata non verrà reinstallata se è già stata installata nel dispositivo client.
  
  Se questa opzione è disabilitata, l'applicazione verrà installata in ogni caso.
  
  Per impostazione predefinita, questa opzione è abilitata.
- Assegna l'installazione del pacchetto in Criteri di gruppo di Active Directory
  Se questa opzione è abilitata, un pacchetto di installazione viene installato utilizzando i criteri di gruppo di Active Directory.
  
  Questa opzione è disponibile se il pacchetto di installazione di Network Agent è selezionato.
  
  Per impostazione predefinita, questa opzione è disabilitata.
Nella finestra Selezione di una chiave di licenza selezionare una chiave di licenza e un metodo per la relativa distribuzione:
- Non inserire la chiave di licenza nel pacchetto di installazione (opzione consigliata)
  La chiave viene distribuita automaticamente a tutti i dispositivi con cui è compatibile:
  - Se la distribuzione automatica è stata abilitata nelle proprietà della chiave.
  - Se l'attività Aggiungi chiave è stata creata.
- Inserire la chiave di licenza nel pacchetto di installazione
  La chiave verrà distribuita ai dispositivi insieme al pacchetto di installazione.
  
  Non è consigliabile distribuire la chiave utilizzando questo metodo poiché i diritti di accesso condiviso in lettura sono abilitati nell'archivio dei pacchetti di installazione.
La finestra Selezione di una chiave di licenza è visualizzata se il pacchetto di installazione non include alcuna chiave di licenza.

Se il pacchetto di installazione include una chiave di licenza, viene visualizzata la finestra Proprietà chiave di licenza, contenente i dettagli della chiave.
Nella finestra Selezione dell'opzione per il riavvio del sistema operativo specificare se i dispositivi devono essere riavviati o meno se è necessario il riavvio del sistema operativo durante l'installazione delle applicazioni:
- Non riavviare il dispositivo
  Se questa opzione è selezionata, il dispositivo non verrà riavviato dopo l'installazione dell'applicazione di protezione.
- Riavvia il dispositivo
  Se questa opzione è selezionata, il dispositivo verrà riavviato dopo l'installazione dell'applicazione di protezione.
- Richiedi l'intervento dell'utente
  Se questa opzione è selezionata, dopo l'installazione di un'applicazione di protezione verrà visualizzata una notifica che informa l'utente della necessità di riavviare il dispositivo. Utilizzando il collegamento Modifica, è possibile modificare il testo del messaggio, il periodo di visualizzazione del messaggio e l'ora del riavvio automatico.
  
  Per impostazione predefinita, questa opzione è selezionata.
- Forza chiusura delle applicazioni nelle sessioni bloccate
  Se questa opzione è abilitata, viene forzata la chiusura delle applicazioni nei dispositivi bloccati prima del riavvio.
  
  Per impostazione predefinita, questa opzione è disabilitata.
Nella finestra Selezionare gli account per l'accesso ai dispositivi è possibile aggiungere gli account che saranno utilizzati per avviare l'attività Installazione remota:
- Nessun account richiesto (Network Agent installato)
  Se questa opzione è selezionata, non è necessario specificare un account con cui verrà eseguito il programma di installazione dell'applicazione. L'attività sarà eseguita tramite l'account con cui viene eseguito Administration Server.
  
  Se Network Agent non è stato installato nei dispositivi client, questa opzione non è disponibile.
- Account richiesto (Network Agent non utilizzato)
  Selezionare questa opzione se Network Agent non è installato nei dispositivi a cui si assegna l'attività di installazione remota. In questo caso, è possibile specificare un account utente o un certificato SSH per installare l'applicazione.
  - Account locale. Se questa opzione è selezionata, specificare l'account utente con cui verrà eseguito il programma di installazione dell'applicazione. Fare clic sul pulsante Aggiungi, selezionare Account locale e quindi specificare le credenziali dell'account utente.
    È possibile specificare più account utente, ad esempio se nessuno di essi dispone di tutti i diritti richiesti per tutti i dispositivi per cui si assegna l'attività. In questo caso, tutti gli account aggiunti vengono utilizzati per l'esecuzione dell'attività, consecutivamente, dall'alto in basso.
  - Certificato SSH. Se si desidera installare un'applicazione in un dispositivo client basato su Linux, è possibile specificare un certificato SSH anziché un account utente. Fare clic sul pulsante Aggiungi, selezionare Certificato SSH, quindi specificare la chiave privata e quella pubblica del certificato.
    Per generare una chiave privata, è possibile utilizzare l'utilità ssh-keygen. Si noti che Kaspersky Security Center supporta il formato PEM delle chiavi private, ma l'utilità ssh-keygen genera chiavi SSH nel formato OPENSSH per impostazione predefinita. Il formato OPENSSH non è supportato da Kaspersky Security Center. Per creare una chiave privata nel formato PEM supportato, aggiungere l'opzione -m PEM nel comando ssh-keygen. Ad esempio:
    
    ssh-keygen -m PEM -t rsa -b 4096 -C "<e-mail dell'utente>"
Nella finestra Avvio dell'installazione fare clic sul pulsante Avanti per creare e avviare un'attività Installazione remota nei dispositivi selezionati.
Se la finestra Avvio dell'installazione ha l'opzione Non eseguire l'attività dopo il completamento dell'installazione remota guidata selezionata, l'attività di installazione remota non verrà avviata. È possibile avviare manualmente questa attività in un secondo momento. Il nome dell'attività corrisponde al nome del pacchetto di installazione per l'applicazione: installazione di <Nome del pacchetto di installazione>.

Per installare l'applicazione nei dispositivi in un gruppo di amministrazione utilizzando l'Installazione remota guidata:

Stabilire una connessione all'Administration Server che controlla i gruppi di amministrazione desiderati.
Selezionare un gruppo di amministrazione nella struttura della console.
Nell'area di lavoro del gruppo fare clic sul pulsante Esegui azione e selezionare Installa applicazione nell'elenco a discesa.
Verrà avviata l'Installazione remota guidata. Seguire le istruzioni della procedura guidata.
Durante il passaggio finale della procedura guidata, fare clic su Avanti per creare ed eseguire un'attività di installazione remota nei dispositivi selezionati.

Al termine dell'Installazione remota guidata, Kaspersky Security Center esegue le seguenti azioni:

Creazione di un pacchetto di installazione per l'installazione dell'applicazione (se non è già stato creato). Il pacchetto di installazione è disponibile nella cartella Installazione remota della sottocartella Pacchetti di installazione e ha un nome che corrisponde al nome e alla versione dell'applicazione. È possibile utilizzare questo pacchetto di installazione per l'installazione dell'applicazione in futuro.
Creazione ed esecuzione di un'attività di installazione remota per dispositivi specifici o per un gruppo di amministrazione. La nuova attività di installazione remota creata viene memorizzata nella cartella Attività o viene aggiunta alle attività del gruppo di amministrazione per cui è stata creata. È possibile avviare manualmente questa attività in un secondo momento. Il nome dell'attività corrisponde al nome del pacchetto di installazione per l'applicazione: installazione di <Nome del pacchetto di installazione>.

Inizio pagina

[Topic 13065]

Visualizzazione di un rapporto sulla distribuzione della protezione

È possibile utilizzare il rapporto sulla distribuzione della protezione per monitorare l'avanzamento della distribuzione della protezione della rete.

Per visualizzare un rapporto sulla distribuzione della protezione:

Nella struttura della console selezionare il nodo con il nome dell'Administration Server desiderato.
Nell'area di lavoro del nodo selezionare la scheda Rapporti.
Nella cartella Rapporti dell'area di lavoro selezionare il modello di rapporto denominato Rapporto sulla distribuzione della protezione.

Nell'area di lavoro verrà visualizzato un rapporto con informazioni sulla distribuzione della protezione in tutti i dispositivi in rete.

È possibile generare un nuovo rapporto sulla distribuzione della protezione e specificare il tipo di dati da includere:

Per un gruppo di amministrazione
Per dispositivi specifici
Per una selezione dispositivi
Per tutti i dispositivi

Kaspersky Security Center presuppone che la protezione sia distribuita in un dispositivo se è installata un'applicazione di protezione ed è abilitata la protezione in tempo reale.

Inizio pagina

[Topic 269226]

Utilizzo dei plug-in di gestione

Le applicazioni Kaspersky sono gestite tramite Administration Console utilizzando i plug-in di gestione. Ciascuna applicazione Kaspersky che può essere gestita tramite Kaspersky Security Center include un plug-in di gestione. Utilizzando il plug-in di gestione dell'applicazione, è possibile eseguire le seguenti azioni in Administration Console:

Creare e modificare le impostazioni e i criteri dell'applicazione, nonché le impostazioni delle attività dell'applicazione.
Ottenere informazioni sulle attività dell'applicazione, sugli eventi che si verificano durante l'esecuzione e sulle statistiche di esecuzione dell'applicazione ricevute dai dispositivi client.

Per controllare l'elenco dei plug-in installati e le relative versioni:

Nella struttura di Administration Console, fare clic con il pulsante destro del mouse su Administration Server <nome_server> e selezionare Proprietà.
Fare clic su Avanzate → Dettagli dei plug-in di gestione applicazioni installati.

L'elenco dei plug-in di gestione installati e delle relative versioni viene visualizzato nel riquadro a destra.

È possibile installare i plug-in per le applicazioni gestite quando si esegue l'Avvio rapido guidato di Administration Server durante la configurazione iniziale di Kaspersky Security Center. Inoltre, è possibile installare manualmente i plug-in di gestione.

Per installare manualmente un plug-in di gestione:

Scaricare il plug-in di gestione per l'applicazione Kaspersky e la versione richiesta (ad esempio, Kaspersky Endpoint Security for Windows 12.3) dalla pagina Web dell'Assistenza tecnica Kaspersky.
Se Administration Console è in esecuzione, chiuderlo.
Decomprimere il file del plug-in scaricato ed eseguire il file klcfginst.msi o klcfginst.exe. Seguire le istruzioni dell'installazione guidata.
Al termine dell'installazione, eseguire Administration Console e verificare che il plug-in sia presente nell'elenco dei plug-in installati, come descritto nella procedura precedente.

Quando si esegue Administration Console dopo l'installazione di un plug-in di gestione che supporta l'Avvio rapido guidato delle applicazioni gestite, questa procedura guidata viene avviata automaticamente. È possibile eseguire i passaggi dell'Avvio rapido guidato delle applicazioni gestite per creare attività e criteri predefiniti dell'applicazione Kaspersky. La procedura guidata si avvia automaticamente solo quando si esegue Administration Console dopo l'installazione iniziale del plug-in o dopo aver aggiornato il plug-in di gestione a una versione compatibile con un'altra versione dell'applicazione Kaspersky per la quale non sono stati ancora creati attività e criteri. È inoltre possibile avviare manualmente l'Avvio rapido guidato delle applicazioni gestite.

Per avviare manualmente l'Avvio rapido guidato delle applicazioni gestite:

Nella struttura della console selezionare il nodo Administration Server.
Nel menu di scelta rapida del nodo di Administration Server, selezionare Tutte le attività → Avvio rapido guidato delle applicazioni gestite.
L'Avvio rapido guidato delle applicazioni gestite viene avviato. Seguire i passaggi della procedura guidata per creare le attività e i criteri predefiniti dell'applicazione Kaspersky.

Per rimuovere un plug-in di gestione:

Se Administration Console è in esecuzione, chiuderlo.
Aprire l'editor del registro di sistema di Windows.
Trovare la seguente chiave:
- HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\28\Plugins per sistemi a 32 bit.
- HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\28\Plugins per sistemi a 64 bit.
La chiave contiene i plug-in di gestione installati. Per ogni plug-in, il valore DisplayName contiene il nome del plug-in e il valore UninstallString contiene il comando per disinstallare il plug-in.
Trovare la chiave del plug-in che si desidera disinstallare e copiarne il valore UninstallString negli appunti.
Incollare il valore nella stringa di comando ed eseguirlo con diritti di amministratore di sistema.

La versione del plug-in di gestione non deve essere precedente alla versione dell'applicazione gestita Kaspersky. Se si aggiorna l'applicazione Kaspersky nei dispositivi, è necessario installare il plug-in di gestione della stessa versione.

Quando si apre il criterio creato in una versione precedente del plug-in, verrà chiesto di accettare l'informativa di Kaspersky Security Network.

Quando si disinstalla Kaspersky Security Center Web Console, vengono disinstallati anche tutti i plug-in di gestione.

Se si apre e si salva il criterio nella versione del plug-in successiva a quella dell'applicazione gestita, il criterio verrà aggiornato e non sarà possibile aprirlo nel plug-in della versione precedente.

Inizio pagina

[Topic 6389]

Rimozione remota delle applicazioni

Kaspersky Security Center consente di disinstallare le applicazioni dai dispositivi in remoto, utilizzando le attività di disinstallazione remota. Tali attività vengono create e assegnate ai dispositivi attraverso un'apposita procedura guidata. Per assegnare un'attività ai dispositivi più in modo facile e rapido, è possibile specificare i dispositivi nella finestra della procedura guidata in uno dei seguenti modi:

Selezionare i dispositivi della rete rilevati da Administration Server. In questo caso l'attività viene assegnata a dispositivi specifici. I dispositivi specifici possono includere i dispositivi nei gruppi di amministrazione, nonché i dispositivi non assegnati.
Specificare gli indirizzi dei dispositivi manualmente o importare gli indirizzi da un elenco. È possibile specificare nomi NetBIOS, nomi DNS, indirizzi IP e subnet IP dei dispositivi a cui si desidera assegnare l'attività.
Assegnare un'attività a una selezione dispositivi. In questo caso l'attività viene assegnata ai dispositivi inclusi in una selezione creata precedentemente. È possibile specificare la selezione predefinita o una selezione personalizzata creata.
Assegnare un'attività a un gruppo di amministrazione. In questo caso l'attività viene assegnata ai dispositivi inclusi in un gruppo di amministrazione creato precedentemente.

Problemi di rimozione remota

Quando si esegue la rimozione remota di applicazioni di terzi, gli amministratori potrebbero visualizzare un avviso che recita: "La disinstallazione remota è terminata su questo dispositivo con avvisi: l'applicazione per la rimozione delle applicazioni non è installata". Questo problema si verifica in genere quando l'applicazione da rimuovere è installata solo per l'utente che ha effettuato l'accesso. Se l'utente non ha effettuato l'accesso, tale applicazione diventa invisibile e non può essere rimossa da remoto.

Questo comportamento è diverso con le applicazioni pensate per essere utilizzate da più utenti sullo stesso dispositivo, in cui le applicazioni sono globalmente visibili e accessibili a tutti gli utenti del dispositivo.

In Kaspersky Security Center, l'algoritmo del registro delle applicazioni gestisce le applicazioni per singoli utenti e quelle per più utenti in modo diverso:

Le applicazioni per più utenti vengono gestite in un elenco aggiornato in tempo reale delle applicazioni installate.
Le applicazioni per singoli utenti vengono monitorate tramite un meccanismo di memorizzazione nella cache.
Se un utente aveva effettuato l'accesso al momento del rilevamento dell'applicazione, Kaspersky Security Center memorizza nella cache le informazioni sulle applicazioni di tale utente. Anche se l'utente successivamente si disconnette, Kaspersky Security Center continua a mostrare queste applicazioni come installate in base ai dati memorizzati nella cache, sebbene non siano più visibili o accessibili sul dispositivo.

Questa discrepanza può causare situazioni in cui Kaspersky Security Center identifica un'applicazione come installata in base ai dati memorizzati nella cache, ma l'attività di rimozione delle applicazioni non riesce perché l'applicazione non è accessibile quando l'utente è disconnesso.

Per impostazione predefinita, la durata dei dati delle applicazioni memorizzati nella cache è impostata su 30 giorni. Gli amministratori possono modificare questa impostazione per ridurre la durata della cache, riducendo al minimo le discrepanze tra i dati visualizzati e l'effettiva visibilità dell'applicazione sui dispositivi.

Per impostare la durata della cache su 1 ora (3600 secondi), eseguire il seguente comando sull'Administration Server:

klscflag -fset -pv klserver -n KLNAG_INV_PERUSER_APPS_CACHE_NONACTIVE_SIDS_LIFETIME_SEC -t d -v 3600

Dopo aver eseguito questo comando, riavviare l'Administration Server affinché le modifiche abbiano effetto.

Fonte di informazioni sulle applicazioni installate

Network Agent recupera informazioni sul software installato sui dispositivi Windows dalle seguenti chiavi di registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall
Contiene informazioni sulle applicazioni installate per tutti gli utenti.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall
Contiene informazioni sulle applicazioni installate per tutti gli utenti.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall
Contiene informazioni sulle applicazioni installate per l'utente corrente.
HKEY_USER<...>\Software\Microsoft\Windows\CurrentVersion\Uninstall
Contiene informazioni sulle applicazioni installate per utenti specifici.

In questa sezione

Rimozione remota di un'applicazione dai dispositivi selezionati

Inizio pagina

[Topic 54998]

Rimozione remota di un'applicazione dai dispositivi client del gruppo di amministrazione

Per rimuovere in remoto un'applicazione dai dispositivi client del gruppo di amministrazione:

Stabilire una connessione all'Administration Server che controlla i gruppi di amministrazione desiderati.
Selezionare un gruppo di amministrazione nella struttura della console.
Nell'area di lavoro del gruppo selezionare la scheda Attività.
Eseguire la creazione dell'attività facendo clic sul pulsante Nuova attività.
Verrà avviata la Creazione guidata nuova attività. Seguire le istruzioni della procedura guidata.

Nella finestra Selezionare il tipo di attività della Creazione guidata nuova attività, nel nodo Kaspersky Security Center Administration Server, nella cartella Avanzate selezionare Disinstalla l'applicazione in remoto come tipo di attività.

Verrà creata un'attività di gruppo per la rimozione remota dell'applicazione selezionata. La nuova attività verrà visualizzata nell'area di lavoro del gruppo di amministrazione, nella scheda Attività.
Eseguire l'attività manualmente o attenderne l'avvio in base alla pianificazione specificata nelle impostazioni dell'attività.

Al termine dell'attività di rimozione remota, l'applicazione selezionata verrà rimossa dai dispositivi client nel gruppo di amministrazione.

Inizio pagina

[Topic 54999]

Rimozione remota di un'applicazione dai dispositivi selezionati

Per rimuovere in remoto un'applicazione dai dispositivi selezionati:

Nella struttura della console selezionare la cartella Attività.
Eseguire la creazione dell'attività facendo clic su Nuova attività.
Verrà avviata la Creazione guidata nuova attività. Seguire le istruzioni della procedura guidata.

Nella finestra Selezionare il tipo di attività della Creazione guidata nuova attività, nel nodo Kaspersky Security Center Administration Server, nella cartella Avanzate selezionare Disinstalla l'applicazione in remoto come tipo di attività.

Verrà creata un'attività per la rimozione remota dell'applicazione selezionata da dispositivi specifici. La nuova attività creata viene visualizzata nell'area di lavoro della cartella Attività.
Eseguire l'attività manualmente o attenderne l'avvio in base alla pianificazione specificata nelle impostazioni dell'attività.

Al termine dell'attività di rimozione remota, l'applicazione selezionata verrà rimossa dai dispositivi selezionati.

Inizio pagina

[Topic 13068]

Utilizzo dei pacchetti di installazione

Nel corso della creazione delle attività di installazione remota, il sistema utilizza pacchetti di installazione che contengono set di parametri necessari per l'installazione del software.

I pacchetti di installazione possono contenere un file chiave. È consigliabile evitare di condividere l'accesso ai pacchetti di installazione che contengono un file chiave.

È possibile utilizzare più volte lo stesso pacchetto di installazione.

I pacchetti di installazione creati per Administration Server vengono spostati nella struttura della console e inseriti nella cartella Installazione remota, nella sottocartella Pacchetti di installazione. I pacchetti di installazione sono memorizzati in Administration Server, nella sottocartella Pacchetti della cartella condivisa specificata.

In questa sezione

Creazione di un pacchetto di installazione

Creazione di pacchetti di installazione indipendenti

Creazione di pacchetti di installazione personalizzati

Visualizzazione e modifica delle proprietà dei pacchetti di installazione personalizzati

Come ottenere il pacchetto di installazione di Network Agent dal kit di distribuzione di Kaspersky Security Center

Distribuzione dei pacchetti di installazione agli Administration Server secondari

Distribuzione dei pacchetti di installazione tramite punti di distribuzione

Trasferimento dei risultati sull'installazione delle applicazioni a Kaspersky Security Center

Definizione dell'indirizzo del server proxy KSN per i pacchetti di installazione

Inizio pagina

[Topic 13141]

Creazione di un pacchetto di installazione

Questo articolo descrive la procedura di creazione dei seguenti tipi di pacchetti di installazione:

Pacchetto di installazione per un'applicazione Kaspersky
Pacchetto di installazione per un file eseguibile specificato
Pacchetto di installazione per un'applicazione dal database Kaspersky

Non è necessario creare manualmente un pacchetto di installazione per l'installazione remota di Network Agent. Viene creato automaticamente durante l'installazione di Kaspersky Security Center ed è memorizzato nella cartella Pacchetti di installazione. Se il pacchetto per l'installazione remota di Network Agent è stato eliminato, è possibile crearlo nuovamente selezionando il file nagent.kud nella cartella NetAgent del pacchetto di distribuzione di Kaspersky Security Center.

Per creare un pacchetto di installazione:

Eseguire la connessione all'Administration Server desiderato.
Nella struttura della console ,selezionare Avanzate → Installazione remota → Pacchetti di installazione.
Avviare la creazione di un nuovo pacchetto di installazione in uno dei seguenti modi:
- Fare clic con il pulsante destro del mouse sulla cartella Pacchetti di installazione, quindi selezionare Nuovo → Pacchetto di installazione nel menu di scelta rapida.
- Fare clic con il pulsante destro del mouse nell'area vuota dell'elenco dei pacchetti di installazione, quindi selezionare Crea → Pacchetto di installazione nel menu di scelta rapida.
- Fare clic su Crea pacchetto di installazione nella sezione di gestione dell'elenco dei pacchetti di installazione.
Viene avviata la Creazione guidata nuovo pacchetto.
Selezionare uno dei seguenti tipi di pacchetto di installazione facendo clic sull'icona corrispondente:
- Pacchetto di installazione per un'applicazione Kaspersky.
- Pacchetto di installazione per un file eseguibile specificato.
- Pacchetto di installazione per un'applicazione dal database Kaspersky.
Specificare il nome del pacchetto di installazione da creare.
È possibile specificare qualsiasi nome.
Selezionare l'applicazione o il file eseguibile per cui creare il pacchetto di installazione in uno dei seguenti modi:
- Fare clic sul pulsante Sfoglia e, nella finestra standard Apri di Windows, selezionare il pacchetto di distribuzione dell'applicazione richiesta situato nei dischi disponibili.
  Questa opzione è applicabile se si sceglie di creare un pacchetto di installazione per un'applicazione Kaspersky o per un file eseguibile specificato.
- Fare clic sul pulsante Sfoglia e, nella finestra Seleziona applicazione, selezionare il pacchetto di distribuzione dell'applicazione richiesta.
  Questa opzione è applicabile se si sceglie di creare un pacchetto di installazione per un'applicazione dal database Kaspersky.
Se si crea un pacchetto di installazione per Administration Server, selezionare il file sc.kud. Il file sc.kud si trova nella cartella radice del pacchetto di distribuzione di Kaspersky Security Center.

Non specificare dettagli degli account privilegiati nei parametri dei pacchetti di installazione.
Rivedere il Contratto di licenza con l'utente finale e l'Informativa sulla privacy.
Quando si crea un pacchetto di installazione per un'applicazione, potrebbe essere richiesto di visualizzare e accettare un Contratto di licenza con l'utente finale e l'Informativa sulla privacy per l'applicazione.

Leggere entrambi i documenti. Se si concorda con tutti i termini del Contratto di licenza e dell'Informativa sulla privacy, accettarli selezionando le caselle di controllo corrispondenti.

L'installazione dell'applicazione nel dispositivo prosegue e la creazione del pacchetto di installazione viene ripresa.

Quando si crea un pacchetto di installazione per Kaspersky Endpoint Security for Mac, è possibile scegliere la lingua del Contratto di licenza e dell'Informativa sulla privacy.
Se necessario, abilitare l'installazione automatica dei componenti di sistema.
Se si crea un pacchetto di installazione per un'applicazione dal database Kaspersky, è possibile abilitare l'installazione automatica dei componenti di sistema necessari. La Creazione guidata nuovo pacchetto contiene un elenco di tutti i componenti di sistema disponibili per l'applicazione selezionata. Questo elenco è disponibile in qualsiasi momento nelle proprietà del pacchetto di installazione.

Se si crea un pacchetto di installazione delle patch, l'elenco include tutti i componenti di sistema necessari per la distribuzione della patch.
Fare clic sul pulsante Fine per completare il processo di creazione del pacchetto.

Al termine della Creazione guidata nuovo pacchetto, il nuovo pacchetto di installazione verrà visualizzato nell'area di lavoro della cartella Pacchetti di installazione nella struttura della console.

Vedere anche

Inizio pagina

[Topic 192396]

Creazione di pacchetti di installazione indipendenti

Gli utenti dei dispositivi nell'organizzazione possono utilizzare pacchetti di installazione indipendenti per installare manualmente le applicazioni nei dispositivi.

Un pacchetto di installazione indipendente è un file eseguibile (installer.exe) che può essere archiviato nel server Web o in una cartella condivisa oppure trasferito a un dispositivo client utilizzando un altro metodo. È inoltre possibile inviare un collegamento al pacchetto di installazione indipendente tramite e-mail. Nel dispositivo client l'utente può eseguire il file ricevuto in locale per installare un'applicazione senza coinvolgere Kaspersky Security Center.

Assicurarsi che il pacchetto di installazione indipendente non sia disponibile per persone non autorizzate.

È possibile creare pacchetti di installazione indipendenti per le applicazioni Kaspersky e per applicazioni di terze parti per piattaforme Windows, macOS e Linux. Per creare un pacchetto di installazione indipendente per un'applicazione di terze parti, è innanzitutto necessario creare un pacchetto di installazione personalizzato.

L'origine per la creazione di pacchetti di installazione indipendenti sono i pacchetti di installazione nell'elenco dei pacchetti creati in Administration Server.

Per creare un pacchetto di installazione indipendente:

Nella struttura della console selezionare Administration Server → Avanzate → Installazione remota → Pacchetti di installazione.
Verrà visualizzato un elenco dei pacchetti di installazione disponibili in Administration Server.
Nell'elenco dei pacchetti di installazione selezionare un pacchetto di installazione per il quale si desidera creare un pacchetto indipendente.
Nel menu di scelta rapida selezionare Crea pacchetto di installazione indipendente.
Verrà avviata la Creazione guidata pacchetto di installazione indipendente. Procedere con la procedura guidata utilizzando il pulsante Avanti.
Nella prima pagina della procedura guidata, se è stato selezionato un pacchetto di installazione per l'applicazione Kaspersky e si desidera installare Network Agent insieme all'applicazione selezionata, assicurarsi che l'opzione Installa Network Agent con questa applicazione sia abilitata.
Per impostazione predefinita, questa opzione è abilitata. È consigliabile abilitare questa opzione se non si è sicuri che Network Agent sia installato nel dispositivo. Se Network Agent è già installato nel dispositivo, dopo l'installazione del pacchetto di installazione indipendente con Network Agent, Network Agent verrà aggiornato alla versione più recente.

Se si disabilita questa opzione, Network Agent non verrà installato nel dispositivo e il dispositivo non sarà gestito.

Se un pacchetto di installazione indipendente per l'applicazione selezionata esiste già in Administration Server, la procedura guidata informa l'utente. In questo caso, è necessario selezionare una delle seguenti azioni:
- Crea pacchetto di installazione indipendente. Selezionare questa opzione se, ad esempio, si desidera creare un pacchetto di installazione indipendente per una nuova versione dell'applicazione e si desidera mantenere anche un pacchetto di installazione indipendente creato per una versione precedente dell'applicazione. Il nuovo pacchetto di installazione indipendente viene inserito in un'altra cartella.
- Usa pacchetto di installazione indipendente esistente. Selezionare questa opzione se si desidera utilizzare un pacchetto di installazione indipendente esistente. Il processo di creazione del pacchetto non verrà avviato.
- Ricrea pacchetto di installazione indipendente esistente. Selezionare questa opzione se si desidera creare nuovamente un pacchetto di installazione indipendente per la stessa applicazione. Il pacchetto di installazione indipendente viene inserito nella stessa cartella.
Nella pagina successiva della procedura guidata selezionare l'opzione Sposta i dispositivi non assegnati in questo gruppo e specificare un gruppo di amministrazione in cui si desidera spostare il dispositivo client dopo l'installazione di Network Agent.
Per impostazione predefinita, il dispositivo viene spostato nel gruppo Dispositivi gestiti.

Se non si desidera spostare il dispositivo client in un gruppo di amministrazione dopo l'installazione di Network Agent, selezionare l'opzione Non spostare i dispositivi.
Nella pagina successiva della procedura guidata, al termine del processo di creazione del pacchetto di installazione indipendente, vengono visualizzati il risultato della creazione del pacchetto indipendente e il percorso del pacchetto indipendente.
È possibile fare clic sui collegamenti ed effettuare una delle seguenti operazioni:
- Aprire la cartella con il pacchetto di installazione indipendente.
- Inviare tramite e-mail il collegamento al pacchetto di installazione indipendente creato. Per eseguire questa azione, è necessario che sia avviata un'applicazione di posta elettronica.
- Codice HTML di esempio per la pubblicazione del collegamento su un sito Web. Viene creato e aperto un file TXT in un'applicazione associata a un formato TXT. Nel file viene visualizzato il tag HTML <a> con attributi.
Nella pagina successiva della procedura guidata, se si desidera aprire l'elenco dei pacchetti di installazione indipendenti, abilitare l'opzione Apri l'elenco dei pacchetti indipendenti.
Fare clic sul pulsante FINE.
La Creazione guidata pacchetto di installazione indipendente si chiude.

Il pacchetto di installazione indipendente viene creato e inserito nella sottocartella PkgInst della cartella condivisa di Administration Server. È possibile visualizzare l'elenco dei pacchetti indipendenti facendo clic sul pulsante Visualizza l'elenco dei pacchetti indipendenti sopra l'elenco dei pacchetti di installazione.

Inizio pagina

[Topic 192470]

Creazione di pacchetti di installazione personalizzati

È possibile utilizzare pacchetti di installazione personalizzati per effettuare le seguenti operazioni:

Installare qualsiasi applicazione (ad esempio, un editor di testo) in un dispositivo client, ad esempio mediante un'attività.
Creare un pacchetto di installazione indipendente.

Un pacchetto di installazione personalizzato è una cartella con un set di file. L'origine per creare un pacchetto di installazione personalizzato è un file di archivio. Il file di archivio contiene uno o più file che devono essere inclusi nel pacchetto di installazione personalizzato. Con la creazione di un pacchetto di installazione personalizzato, è possibile specificare i parametri della riga di comando, ad esempio per installare l'applicazione in modalità automatica.

Per creare un pacchetto di installazione personalizzato:

Nella struttura della console selezionare Administration Server → Avanzate → Installazione remota → Pacchetti di installazione.
Verrà visualizzato un elenco dei pacchetti di installazione disponibili in Administration Server.
Sopra l'elenco dei pacchetti di installazione, fare clic sul pulsante Crea pacchetto di installazione.
Viene avviata la Creazione guidata nuovo pacchetto. Procedere con la procedura guidata utilizzando il pulsante Avanti.
Nella prima pagina della procedura guidata selezionare Creare un pacchetto di installazione per il file eseguibile specificato.
Nella pagina successiva della procedura guidata, specificare il nome del pacchetto di installazione personalizzato.
Nella pagina successiva della procedura guidata, fare clic sul pulsante Sfoglia e, in una finestra Apri standard di Windows, scegliere un file di archivio posizionato nei dischi disponibili per creare un pacchetto di installazione personalizzato.
È possibile caricare un archivio ZIP, CAB, TAR o TAR.GZ. Non è possibile creare un pacchetto di installazione da un file SFX (archivio autoestraente).

I file vengono scaricati in Kaspersky Security Center Administration Server.
Nella pagina successiva della procedura guidata, specificare i parametri della riga di comando di un file eseguibile.
È possibile specificare i parametri della riga di comando per installare l'applicazione dal pacchetto di installazione in modalità automatica. Specificare i parametri della riga di comando è un'operazione facoltativa.

Se lo si desidera, è possibile configurare le seguenti opzioni:
- Copia intera cartella nel pacchetto di installazione
  Selezionare questa opzione se il file eseguibile è corredato da file aggiuntivi richiesti per l'installazione dell'applicazione. Prima di abilitare questa opzione, assicurarsi che tutti i file richiesti siano archiviati nella stessa cartella. Se questa opzione è abilitata, l'applicazione aggiunge tutti i contenuti nella cartella, incluso il file eseguibile specificato, nel pacchetto di installazione.
- Convertire le impostazioni nei valori consigliati per le applicazioni riconosciute da Kaspersky Security Center
  L'applicazione verrà installata con le impostazioni consigliate se le informazioni sull'applicazione specificata sono contenute nel database Kaspersky.
  
  Se nel campo Riga di comando file eseguibile sono stati immessi parametri, questi vengono riscritti con le impostazioni consigliate.
  
  Per impostazione predefinita, questa opzione è abilitata.
  
  Il database Kaspersky viene creato e gestito dagli analisti di Kaspersky. Per ogni applicazione aggiunta al database, gli analisti Kaspersky definiscono le impostazioni di installazione ottimali. Le impostazioni vengono definite in modo da garantire la corretta installazione remota di un'applicazione in un dispositivo client. Il database viene automaticamente aggiornato in Administration Server quando viene eseguita l'attività Scarica aggiornamenti nell'archivio dell'Administration Server.
Viene avviata la procedura per creare il pacchetto di installazione personalizzato.

La procedura guidata informa l'utente al termine della procedura.

Se il pacchetto di installazione personalizzato non viene creato, viene visualizzato un messaggio appropriato.
Fare clic sul pulsante Fine per chiudere la procedura guidata.

Il pacchetto di installazione creato viene scaricato nella sottocartella Pacchetti della cartella condivisa di Administration Server. Dopo il download, il pacchetto di installazione personalizzato viene visualizzato nell'elenco dei pacchetti di installazione.

Nell'elenco dei pacchetti di installazione in Administration Server è possibile visualizzare e modificare le proprietà del pacchetto di installazione personalizzato.

Inizio pagina

[Topic 192664]

Visualizzazione e modifica delle proprietà dei pacchetti di installazione personalizzati

Creazione di pacchetti di installazione personalizzati

Dopo la creazione di un pacchetto di installazione personalizzato, è possibile visualizzare le informazioni generali del pacchetto di installazione e specificare le impostazioni di installazione nella finestra delle proprietà.

Per visualizzare e modificare le proprietà di un pacchetto di installazione personalizzato:

Nella struttura della console selezionare Administration Server → Avanzate → Installazione remota → Pacchetti di installazione.
Verrà visualizzato un elenco dei pacchetti di installazione disponibili in Administration Server.
Nel menu di scelta rapida di un pacchetto di installazione selezionare Proprietà.
Verrà visualizzata la finestra delle proprietà del pacchetto di installazione selezionato.
Visualizzare le seguenti informazioni:
- Nome pacchetto di installazione
- Nome dell'applicazione inclusa nel pacchetto di installazione personalizzato
- Versione applicazione
- Data di creazione del pacchetto di installazione
- Percorso del pacchetto di installazione personalizzato in Administration Server
- Riga di comando file eseguibile
Specificare le seguenti impostazioni:
- Nome pacchetto di installazione
- Installa i componenti generali del sistema richiesti
  Se questa opzione è abilitata, prima di installare un aggiornamento l'applicazione installa automaticamente tutti i componenti di sistema generali (prerequisiti) richiesti per installare l'aggiornamento. Questi prerequisiti possono ad esempio essere aggiornamenti del sistema operativo.
  
  Se questa opzione è disabilitata, può essere necessario installare manualmente i prerequisiti.
  
  Per impostazione predefinita, questa opzione è disabilitata.
  
  Questa opzione è disponibile solo quando l'applicazione aggiunta al pacchetto di installazione è riconosciuta da Kaspersky Security Center.
- Riga di comando file eseguibile
  Se l'applicazione richiede parametri aggiuntivi per l'installazione automatica, specificarli in questo campo. Fare riferimento alla documentazione del fornitore per ulteriori dettagli.
  
  È possibile immettere anche altri parametri.
  
  Questa opzione è disponibile solo per i pacchetti che non sono creati sulla base delle applicazioni Kaspersky.
Fare clic sul pulsante OK o Applica per salvare le eventuali modifiche.

Le nuove impostazioni vengono salvate.

Vedere anche:

Inizio pagina

[Topic 227729]

Come ottenere il pacchetto di installazione di Network Agent dal kit di distribuzione di Kaspersky Security Center

È possibile ottenere il pacchetto di installazione di Network Agent dal kit di distribuzione di Kaspersky Security Center, senza dover installare Kaspersky Security Center. È quindi possibile utilizzare il pacchetto di installazione per installare Network Agent nei dispositivi client.

Per ottenere il pacchetto di installazione di Network Agent dal kit di distribuzione di Kaspersky Security Center:

Eseguire il file eseguibile ksc_<numero versione>.<numero build>_full_<lingua di localizzazione>.exe dal kit di distribuzione di Kaspersky Security Center.
Nella finestra visualizzata, fare clic sul collegamento Estrai pacchetti di installazione.
Nell'elenco dei pacchetti di installazione selezionare la casella di controllo accanto al pacchetto di installazione di Network Agent, quindi fare clic sul pulsante Avanti.
Se necessario, fare clic sul pulsante Sfoglia per modificare la cartella visualizzata in cui estrarre il pacchetto di installazione.
Fare clic sul pulsante Estrai.
L'applicazione estrae il pacchetto di installazione di Network Agent.
Al termine del processo, fare clic sul pulsante Chiudi.

Il pacchetto di installazione di Network Agent viene estratto nella cartella selezionata.

È possibile utilizzare il pacchetto di installazione per installare Network Agent con uno dei seguenti metodi.

In locale eseguendo il file setup.exe dalla cartella estratta
Tramite installazione automatica
Utilizzando i criteri di gruppo di Microsoft Windows

Vedere anche:

Installazione locale di Network Agent

Installazione di Network Agent in modalità automatica (senza un file di risposta)

Distribuzione tramite i criteri di gruppo di Microsoft Windows

Inizio pagina

[Topic 6383]

Distribuzione dei pacchetti di installazione agli Administration Server secondari

Per distribuire i pacchetti di installazione agli Administration Server secondari:

Stabilire una connessione all'Administration Server che controlla gli Administration Server secondari desiderati.
Creare un'attività di distribuzione del pacchetto di installazione negli Administration Server secondari in uno dei seguenti modi:
- Se si desidera creare un'attività per gli Administration Server secondari del gruppo di amministrazione selezionato, avviare la creazione di un'attività di gruppo.
- Se si desidera creare un'attività per specifici Administration Server secondari, avviare la creazione di un'attività per dispositivi specifici.
Verrà avviata la Creazione guidata nuova attività. Seguire le istruzioni della procedura guidata.

Nella finestra Selezionare il tipo di attività della Creazione guidata nuova attività, nel nodo Kaspersky Security Center Administration Server, nella cartella Avanzate selezionare Distribuisci pacchetto di installazione come tipo di attività.

Verrà creata l'attività per la distribuzione dei pacchetti di installazione selezionati a specifici Administration Server secondari.
Eseguire l'attività manualmente o attenderne l'avvio in base alla pianificazione specificata nelle impostazioni dell'attività.

I pacchetti di installazione selezionati verranno copiati negli specifici Administration Server secondari.

Inizio pagina

[Topic 6384]

Distribuzione dei pacchetti di installazione tramite punti di distribuzione

È possibile utilizzare i punti di distribuzione per distribuire i pacchetti di installazione in un gruppo di amministrazione.

Dopo aver ricevuto i pacchetti di installazione dall'Administration Server, i punti di distribuzione li distribuiscono automaticamente ai dispositivi client utilizzando la modalità IP multicast. La modalità IP multicast dei nuovi pacchetti di installazione all'interno di un gruppo di amministrazione si verifica una sola volta. Se un dispositivo client è disconnesso dalla rete aziendale al momento della distribuzione, Network Agent (installato nel dispositivo client) scarica automaticamente il pacchetto di installazione appropriato da un punto di distribuzione all'avvio dell'attività di installazione.

Inizio pagina

[Topic 6378]

Trasferimento dei risultati sull'installazione delle applicazioni a Kaspersky Security Center

Dopo aver creato il pacchetto di installazione dell'applicazione, è possibile configurarlo in modo che tutte le informazioni di diagnostica sui risultati dell'installazione dell'applicazione vengano trasferite a Kaspersky Security Center. Per i pacchetti di installazione delle applicazioni di Kaspersky, per impostazione predefinita viene configurato il trasferimento delle informazioni di diagnostica sui risultati dell'installazione dell'applicazione. Non sono necessarie configurazioni aggiuntive.

Per configurare il trasferimento delle informazioni di diagnostica sui risultati dell'installazione delle applicazioni a Kaspersky Security Center:

Passare alla cartella del pacchetto di installazione creato utilizzando Kaspersky Security Center per l'applicazione selezionata. La cartella è contenuta nella cartella condivisa specificata durante l'installazione di Kaspersky Security Center.
Aprire il file con estensione .kpd o .kud per la modifica (ad esempio, nel Blocco note di Microsoft Windows).
Il file presenta il formato dei normali file di configurazione .ini.
Aggiungere le seguenti righe al file:
[SetupProcessResult]

Wait=1

Questo comando configura Kaspersky Security Center in modo da attendere il completamento dell'installazione dell'applicazione per cui è stato creato il pacchetto di installazione e analizzare il codice restituito dal programma di installazione. Se è necessario disabilitare il trasferimento dei dati di diagnostica, impostare il valore Wait su 0.
Aggiungere la descrizione dei codici restituiti per la riuscita dell'installazione. A questo scopo, aggiungere nel file le seguenti righe:
[SetupProcessResult_SuccessCodes]

<codice restituito>=[<descrizione>]

<codice restituito 1>=[<descrizione>]

…

Le parentesi quadre contengono elementi facoltativi.

Sintassi delle righe:
- <codice restituito>. Qualsiasi numero corrispondente al codice restituito dal programma di installazione. Il numero dei codici restituiti può essere arbitrario.
- <descrizione>. Testo descrittivo del risultato dell'installazione. La descrizione può essere omessa.
Aggiungere la descrizione dei codici restituiti per la mancata riuscita dell'installazione. A questo scopo, aggiungere nel file le seguenti righe:
[SetupProcessResult_ErrorCodes]

<codice restituito>=[<descrizione>]

<codice restituito 1>=[<descrizione>]

…

La sintassi di queste righe è identica a quella delle righe contenenti i codici restituiti per la riuscita dell'installazione.
Chiudere il file .kpd o .kud salvando tutte le modifiche.

Infine, le informazioni sui risultati dell'installazione dell'applicazione definita dall'utente verranno inserite nei registri di Kaspersky Security Center e saranno visualizzate nell'elenco degli eventi, nei rapporti e nei registri delle attività.

Inizio pagina

[Topic 215458]

Definizione dell'indirizzo del server proxy KSN per i pacchetti di installazione

In caso di variazione dell'indirizzo o del dominio di Administration Server, è possibile definire l'indirizzo del server proxy KSN per il pacchetto di installazione.

Per definire l'indirizzo del server proxy KSN per il pacchetto di installazione:

Nella struttura della console, nella cartella Installazione remota fare doppio clic sulla sottocartella Pacchetti di installazione.
Nel menu visualizzato selezionare Proprietà.
Nella finestra delle proprietà visualizzata selezionare la sottosezione Generale.
Nella sottosezione Generale della finestra delle proprietà inserire l'indirizzo del server proxy KSN.

I pacchetti di installazione utilizzeranno questo indirizzo come indirizzo predefinito.

Inizio pagina

[Topic 55959]

Ricezione delle versioni aggiornate delle applicazioni

Kaspersky Security Center consente di ricevere versioni aggiornate delle applicazioni aziendali archiviate nei server Kaspersky.

Per ricevere versioni aggiornate delle applicazioni aziendali di Kaspersky:

Eseguire una delle seguenti operazioni:
- Nella struttura della console selezionare il nodo con il nome dell'Administration Server richiesto, assicurarsi che la scheda Monitoraggio sia selezionata e nella sezione Distribuzione fare clic sul collegamento Sono disponibili nuove versioni delle applicazioni Kaspersky.
  Il collegamento Sono disponibili nuove versioni delle applicazioni Kaspersky diventa disponibile quando Administration Server rileva una nuova versione di un'applicazione aziendale in un server Kaspersky.
- Nella struttura della console selezionare Avanzate → Installazione remota → Pacchetti di installazione e nell'area di lavoro fare clic su Azioni aggiuntive, quindi nell'elenco a discesa selezionare Visualizza le versioni correnti delle applicazioni Kaspersky.
Viene visualizzato l'elenco delle versioni correnti delle applicazioni Kaspersky.
È possibile filtrare l'elenco delle applicazioni Kaspersky per semplificare la ricerca dell'applicazione richiesta.
Nella parte superiore della finestra Versioni correnti delle applicazioni, fare clic sul collegamento Filtro per filtrare l'elenco delle applicazioni in base ai seguenti criteri:
- Componenti. Utilizzare questo criterio per filtrare l'elenco delle applicazioni Kaspersky in base alle aree di protezione utilizzate nella rete.
- Tipo di software scaricato. Utilizzare questo criterio per filtrare l'elenco delle applicazioni Kaspersky in base al tipo di applicazione.
- Prodotti software e aggiornamenti da visualizzare. Utilizzare questo criterio per visualizzare le applicazioni Kaspersky disponibili in base alle versioni specifiche.
- Lingue visualizzate per software e aggiornamenti. Utilizzare questo criterio per visualizzare le applicazioni Kaspersky con una lingua di localizzazione specifica.
Fare clic sul pulsante Applica per applicare i filtri selezionati.
Selezionare l'applicazione desiderata dall'elenco.
Scaricare il pacchetto di distribuzione dell'applicazione facendo clic sul collegamento nella stringa Indirizzo Web pacchetto di distribuzione.
Gli aggiornamenti delle applicazioni gestite potrebbero richiedere l'installazione di una versione minima specifica di Kaspersky Security Center. Se questa versione è successiva alla versione corrente, gli aggiornamenti vengono visualizzati ma non possono essere approvati. Inoltre, nessun pacchetto di installazione può essere creato da tali aggiornamenti finché non si esegue l'upgrade di Kaspersky Security Center. Viene richiesto di eseguire l'upgrade dell'istanza di Kaspersky Security Center alla versione minima richiesta.

Se viene visualizzato il pulsante Scarica le applicazioni e crea i pacchetti di installazione per l'applicazione selezionata, è possibile fare clic sul pulsante per scaricare il pacchetto di distribuzione dell'applicazione e creare automaticamente un pacchetto di installazione. Kaspersky Security Center avvierà il download del pacchetto di distribuzione dell'applicazione in Administration Server, nella cartella condivisa specificata durante l'installazione di Kaspersky Security Center. Il pacchetto di installazione creato automaticamente viene visualizzato nella cartella Installazione remota della struttura della console, nella sottocartella Pacchetti di installazione.

Dopo la chiusura della finestra Versioni correnti delle applicazioni, il collegamento Sono disponibili nuove versioni delle applicazioni Kaspersky scompare dalla sezione Distribuzione.

È possibile creare pacchetti di installazione per le nuove versioni delle applicazioni e gestire i nuovi pacchetti di installazione creati nella cartella Installazione remota della struttura della console, nella sottocartella Pacchetti di installazione.

È anche possibile aprire la finestra Versioni correnti delle applicazioni facendo clic sul collegamento Visualizza le versioni correnti delle applicazioni Kaspersky nell'area di lavoro della cartella Pacchetti di installazione.

Vedere anche:

Sostituzione di applicazioni di protezione di terzi

Installazione delle applicazioni tramite un'attività di installazione remota

Installazione delle applicazioni tramite l'Installazione remota guidata

Visualizzazione di un rapporto sulla distribuzione della protezione

Utilizzo dei plug-in di gestione

Rimozione remota delle applicazioni

Utilizzo dei pacchetti di installazione

Preparazione di un dispositivo Windows per l'installazione remota

Preparazione di un dispositivo Linux e installazione di Network Agent in un dispositivo Linux da remoto

Preparazione di un dispositivo macOS per l'installazione remota di Network Agent

Creazione di un pacchetto di installazione

Inizio pagina

[Topic 12883]

Preparazione di un dispositivo Windows per l'installazione remota

L'installazione remota dell'applicazione in un dispositivo client può restituire un errore per i seguenti motivi:

L'attività è già stata eseguita nel dispositivo.
In questo caso, non è necessario eseguire nuovamente l'attività.
All'avvio di un'attività, il dispositivo era spento.
In questo caso, accendere il dispositivo e avviare nuovamente l'attività.
Non è stata stabilita la connessione tra l'Administration Server e il Network Agent installato nel dispositivo client.
Per determinare la causa del problema, utilizzare l'utilità per la diagnostica remota dei dispositivi client (klactgui).
Se nel dispositivo non è installato alcun Network Agent, durante l'installazione remota possono verificarsi i seguenti problemi:
- Il dispositivo client ha l'opzione Disattiva il Simple File Sharing abilitata.
- Il servizio Server non è in esecuzione nel dispositivo client.
- Le porte richieste sono chiuse nel dispositivo client.
- L'account utilizzato per l'esecuzione dell'attività dispone di privilegi insufficienti.
Per evitare problemi che possono verificarsi durante l'installazione dell'applicazione in un dispositivo client senza Network Agent installato, è necessario procedere come descritto nella distribuzione forzata tramite l'attività di installazione remota di Kaspersky Security Center.

In precedenza, veniva utilizzata l'utilità riprep per preparare un dispositivo per l'installazione remota. Questo è ormai considerato un metodo obsoleto per la configurazione dei sistemi operativi. L'utilizzo dell'utilità riprep non è consigliabile nei sistemi operativi più recenti di Windows XP e Windows Server 2003 R2.

Inizio pagina

[Topic 137593]

Preparazione di un dispositivo Linux e installazione di Network Agent in un dispositivo Linux da remoto

L'installazione di Network Agent comprende due passaggi:

Una preparazione per il dispositivo Linux
Installazione remota di Network Agent

Se si desidera installare Network Agent nei dispositivi con il sistema operativo RED OS 7.3.4 o versione successiva o MSVSPHERE 9.2 o versione successiva, installare il pacchetto libxcrypt-compat per il corretto funzionamento di Network Agent.

Una preparazione per il dispositivo Linux

Per preparare un dispositivo Linux per l'installazione remota di Network Agent:

Accertarsi che il seguente software sia installato nel dispositivo Linux di destinazione.
- Sudo (per Ubuntu 10.04, la versione di Sudo è 1.7.2p1 o successiva)
- Interprete del linguaggio Perl versione 5.10 o successiva
Testare la configurazione del dispositivo:
1. Verificare se è possibile connettersi al dispositivo tramite un client SSH (ad esempio, PuTTY).
  Se non è possibile connettersi al dispositivo, aprire il file /etc/ssh/sshd_config e verificare che per le seguenti impostazioni siano specificati i valori elencati:
  
  PasswordAuthentication no
  
  ChallengeResponseAuthentication yes
  
  Non modificare il file /etc/ssh/sshd_config se è possibile connettersi al dispositivo senza problemi; in caso contrario, è possibile che si verifichi un errore di autenticazione SSH durante l'esecuzione di un'attività di installazione remota.
  
  Salvare il file (se necessario) e riavviare il servizio SSH utilizzando il comando sudo service ssh restart.
2. Disabilitare la password sudo per l'account utente con cui deve essere eseguita la connessione del dispositivo.
3. Utilizzare il comando visudo in sudo per aprire il file di configurazione sudoers.
  Nel file aperto, aggiungere la seguente riga alla fine del file: <nome utente> ALL = (ALL) NOPASSWD: ALL. In questo caso, <username> è l'account utente che deve essere utilizzato per la connessione del dispositivo tramite SSH. Se si utilizza il sistema operativo Astra Linux, nel file /etc/sudoers aggiungere l'ultima riga con il seguente testo: %astra-admin ALL=(ALL:ALL) NOPASSWD: ALL
4. Salvare e chiudere il file sudoers.
5. Eseguire di nuovo la connessione al dispositivo tramite SSH e verificare che il servizio Sudo non richieda l'immissione di una password. A tale scopo, utilizzare il comando sudo whoami.
Aprire il file /etc/systemd/logind.conf, quindi eseguire una delle seguenti operazioni:
- Specificare "no" come valore per l'impostazione KillUserProcesses: KillUserProcesses=no.
- Per l'impostazione KillExcludeUsers digitare il nome utente dell'account con il quale deve essere eseguita l'installazione remota, ad esempio, KillExcludeUsers=root.
Se nel dispositivo di destinazione viene eseguito Astra Linux, aggiungere la stringa export PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin nel file /home/<nome utente >/.bashrc, dove <nome utente> è l'account utente da utilizzare per la connessione del dispositivo tramite SSH.

Per applicare l'impostazione modificata, riavviare il dispositivo Linux o eseguire il seguente comando:

$ sudo systemctl restart systemd-logind.service
Se si desidera installare Network Agent nei dispositivi con sistema operativo SUSE Linux Enterprise Server 15, installare il pacchetto insserv-compat prima di configurare Network Agent.
Se si desidera installare Network Agent nei dispositivi con il sistema operativo Astra Linux in esecuzione in modalità ambiente software chiuso, eseguire passaggi aggiuntivi per preparare i dispositivi Astra Linux.

Installazione remota di Network Agent

Per installare Network Agent nei dispositivi Linux da remoto:

Scaricare e creare un pacchetto di installazione:
1. Prima di installare il pacchetto nel dispositivo, verificare di avere già installato tutte le dipendenze (programmi e librerie) per questo pacchetto.
  È possibile visualizzare le dipendenze per ciascun pacchetto autonomamente, utilizzando le utilità specifiche per la distribuzione Linux in cui deve essere installato il pacchetto. Per informazioni dettagliate sulle utilità, fare riferimento alla documentazione del sistema operativo.
2. Scaricare il pacchetto di installazione di Network Agent utilizzando l'interfaccia dell'applicazione o dal sito Web di Kaspersky.
3. Per creare un pacchetto di installazione remota, utilizzare i seguenti file:
  - klnagent.kpd
  - akinstall.sh
  - Pacchetto .deb o .rpm di Network Agent
Crea un'attività di installazione remota con le seguenti impostazioni:
- Nella pagina Impostazioni della Creazione guidata nuova attività, selezionare la casella di controllo Utilizzo delle risorse del sistema operativo tramite Administration Server. Deselezionare tutte le altre caselle di controllo.
- Nella pagina Selezione di un account per l'esecuzione dell'attività, specificare le impostazioni dell'account utente utilizzato per la connessione del dispositivo tramite SSH.
Eseguire l'attività di installazione remota. Utilizzare l'opzione per il comando su per preservare l'ambiente: -m, -p, --preserve-environment.

Inizio pagina

[Topic 228278]

Preparazione di un dispositivo che esegue SUSE Linux Enterprise Server 15 per l'installazione di Network Agent

Per installare Network Agent in un dispositivo con il sistema operativo SUSE Linux Enterprise Server 15,

Prima dell'installazione di Network Agent, eseguire il seguente comando:

$ sudo zypper install insserv-compat

Questo consente di installare il pacchetto insserv-compat e di configurare correttamente Network Agent.

Eseguire il comando rpm -q insserv-compat per verificare se il pacchetto è già installato.

Se la rete include molti dispositivi che eseguono SUSE Linux Enterprise Server 15, è possibile utilizzare il software apposito per la configurazione e la gestione dell'infrastruttura aziendale. Utilizzando questo software, è possibile installare automaticamente il pacchetto insserv-compat in tutti i dispositivi necessari contemporaneamente. È ad esempio possibile utilizzare Puppet, Ansible, Chef o è possibile creare il proprio script, usando il metodo più conveniente.

Se il dispositivo non dispone delle chiavi di firma GPG per SUSE Linux Enterprise, è possibile che venga visualizzato il seguente avviso: Package header is not signed! Selezionare l'opzione i per ignorare l'avviso.

Oltre all'installazione del pacchetto insserv-compat, assicurarsi di aver preparato in modo esaustivo i dispositivi Linux. Successivamente, distribuire e installare Network Agent.

Inizio pagina

[Topic 199934]

Preparazione di un dispositivo macOS per l'installazione remota di Network Agent

Per preparare un dispositivo macOS per l'installazione remota di Network Agent:

Accertarsi che Sudo sia installato nel dispositivo macOS di destinazione.
Testare la configurazione del dispositivo:
1. Assicurarsi che la porta 22 sia aperta sul dispositivo client. A tale scopo, in Preferenze di sistema, aprire il riquadro Condivisione, quindi verificare che la casella di controllo Accesso remoto sia selezionata.
  È possibile connettersi al dispositivo client tramite Secure Shell (SSH) solo attraverso la porta 22. Non è possibile modificare il numero di porta.
  
  È possibile utilizzare il comando ssh <nome_dispositivo> per accedere in remoto al dispositivo macOS. Nel riquadro Condivisione è possibile utilizzare l'opzione Consenti accesso per per impostare l'ambito degli utenti a cui è consentito l'accesso al dispositivo macOS.
2. Disabilitare la password sudo per l'account utente con cui deve essere eseguita la connessione del dispositivo.
  Utilizzare il comando sudo visudo in Terminale per aprire il file di configurazione sudoers. Nella voce User privilege specification del file aperto specificare quanto segue: username ALL = (ALL) NOPASSWD: ALL. In questo caso, username è l'account utente che deve essere utilizzato per la connessione del dispositivo tramite SSH.
3. Salvare e chiudere il file sudoers.
4. Eseguire di nuovo la connessione al dispositivo tramite SSH e verificare che il servizio Sudo non richieda l'immissione di una password. A tale scopo, utilizzare il comando sudo whoami.
Scaricare e creare un pacchetto di installazione:
1. Scaricare il pacchetto di installazione di Network Agent utilizzando uno dei seguenti metodi:
  - Nella struttura della console, aprendo il menu di scelta rapida in Installazione remota → Pacchetti di installazione e selezionando Mostra versioni correnti delle applicazioni per scegliere tra i pacchetti disponibili
  - Scaricando la versione adeguata di Network Agent dal sito Web del Servizio di assistenza tecnica all'indirizzo https://support.kaspersky.com/
  - Richiedendo il pacchetto di installazione agli specialisti del Servizio di assistenza tecnica
2. Per creare un pacchetto di installazione remota, utilizzare i seguenti file:
  - klnagent.kud
  - install.sh
  - klnagentmac.dmg
Crea un'attività di installazione remota con le seguenti impostazioni:
- Nella pagina Impostazioni della Creazione guidata nuova attività, selezionare la casella di controllo Utilizzando le risorse del sistema operativo tramite Administration Server. Deselezionare tutte le altre caselle di controllo.
- Nella pagina Selezione di un account per l'esecuzione dell'attività specificare le impostazioni dell'account utente utilizzato per la connessione del dispositivo tramite SSH.

Il dispositivo client è pronto per l'installazione remota di Network Agent tramite l'attività corrispondente che è stata creata.

Inizio pagina

[Topic 3612]

Applicazioni Kaspersky: licensing e attivazione

In questa sezione vengono descritte le funzionalità di Kaspersky Security Center relative all'utilizzo delle chiavi di licenza delle applicazioni Kaspersky gestite.

Kaspersky Security Center consente la distribuzione centralizzata delle chiavi di licenza per le applicazioni Kaspersky nei dispositivi client, il monitoraggio del relativo utilizzo e il rinnovo delle licenze.

Quando si aggiunge una chiave di licenza utilizzando Kaspersky Security Center, le impostazioni della chiave di licenza vengono salvate nell'Administration Server. In base a queste informazioni, l'applicazione genera un rapporto sull'utilizzo delle chiavi di licenza e segnala all'amministratore la scadenza delle licenze e la violazione delle limitazioni di licenza specificate nelle proprietà delle chiavi di licenza. È possibile configurare le notifiche dell'utilizzo delle chiavi di licenza nelle impostazioni di Administration Server.

In questa sezione

Visualizzazione delle informazioni sulle chiavi di licenza in uso

Aggiunta di una chiave di licenza all'archivio dell'Administration Server

Aggiunta di una chiave di licenza di Administration Server

Rimozione di una chiave di licenza di Administration Server

Distribuzione di una chiave di licenza ai dispositivi client

Creazione e visualizzazione di un rapporto sull'utilizzo delle chiavi di licenza

Visualizzazione delle informazioni sulle chiavi di licenza dell'applicazione

Scenario: Installazione e configurazione iniziale di Kaspersky Security Center Web Console

Vedere anche:

Licenze e funzionalità di Kaspersky Security Center 14.2

Inizio pagina

[Topic 180068_1]

Licensing delle applicazioni gestite

Le applicazioni Kaspersky installate nei dispositivi gestiti devono essere concesse in licenza applicando un codice di attivazione o un file chiave a ognuna delle applicazioni. È possibile distribuire un codice di attivazione o un file chiave nei seguenti modi:

Distribuzione automatica
Il pacchetto di installazione di un'applicazione gestita
Attività Aggiungi chiave di licenza per un'applicazione gestita
Attivazione manuale di un'applicazione gestita

È possibile aggiungere una nuova chiave di licenza attiva o di riserva con uno dei metodi sopra elencati. Un'applicazione Kaspersky utilizza una chiave attiva al momento e memorizza una chiave di riserva da applicare dopo la scadenza della chiave attiva. L'applicazione per la quale si aggiunge una chiave di licenza definisce se la chiave è attiva o aggiuntiva. La definizione della chiave non dipende dal metodo utilizzato per aggiungere una nuova chiave di licenza.

Distribuzione automatica

Se si utilizzano diverse applicazioni gestite ed è necessario distribuire un file chiave specifico o un codice di attivazione specifico nei dispositivi, valutare altre modalità di distribuzione del codice di attivazione o del file chiave in questione.

Kaspersky Security Center consente di distribuire automaticamente le chiavi di licenza disponibili nei dispositivi. Ad esempio, nell'archivio dell'Administration Server sono presenti tre chiavi di licenza. È stata selezionata la casella di controllo Distribuisci automaticamente la chiave di licenza nei dispositivi gestiti per tutte e tre le chiavi di licenza. Un'applicazione di protezione Kaspersky, ad esempio Kaspersky Endpoint Security for Windows, è installata nei dispositivi dell'organizzazione. Viene rilevato un nuovo dispositivo a cui deve essere distribuita una chiave di licenza. L'applicazione stabilisce, ad esempio, che due delle chiavi di licenza dell'archivio possono essere distribuite al dispositivo: la chiave di licenza denominata Key_1 e la chiave di licenza denominata Key_2. Una di queste chiavi di licenza viene distribuita nel dispositivo. In questo caso non è possibile prevedere quale delle due chiavi di licenza verrà distribuita nel dispositivo poiché la distribuzione automatica delle chiavi di licenza non offre nessuna attività di amministrazione.

Quando una chiave di licenza viene distribuita, i dispositivi vengono ricalcolati per questa chiave di licenza. È necessario accertarsi che il numero di dispositivi in cui è stata distribuita la chiave di licenza non superi la limitazione licenza. Se il numero di dispositivi supera la limitazione licenza, a tutti i dispositivi non coperti dalla licenza verrà assegnato lo stato Critico.

Prima della distribuzione, è necessario aggiungere il codice di attivazione o il file chiave all'archivio di Administration Server.

Istruzioni dettagliate:

Administration Console:
- Aggiunta di una chiave di licenza all'archivio dell'Administration Server
- Distribuzione automatica di una chiave di licenza
o
Kaspersky Security Center Web Console:
- Aggiunta di una chiave di licenza all'archivio dell'Administration Server
- Distribuzione automatica di una chiave di licenza

Si noti che una chiave di licenza distribuita automaticamente potrebbe non essere visualizzata nell'archivio dell'Administration Server virtuale nei seguenti casi:

La chiave di licenza non è valida per l'applicazione.
L'Administration Server virtuale non dispone di dispositivi gestiti.
La chiave di licenza è già stata utilizzata per i dispositivi sotto la gestione di un altro Administration Server virtuale ed è stato raggiunto il limite del numero di dispositivi.

Aggiunta di un file chiave o di un codice di attivazione al pacchetto di installazione di un'applicazione gestita

Per motivi di sicurezza, questa opzione non è consigliata. Un codice di attivazione o un file chiave di licenza aggiunto a un pacchetto di installazione può essere compromesso.

Se si installa un'applicazione gestita utilizzando un pacchetto di installazione, è possibile specificare un codice di attivazione o un file chiave nel pacchetto di installazione o nel criterio dell'applicazione. La chiave di licenza verrà distribuita nei dispositivi gestiti alla successiva sincronizzazione del dispositivo con Administration Server.

Istruzioni dettagliate:

Administration Console:
- Creazione di un pacchetto di installazione
- Installazione delle applicazioni nei dispositivi client
o
Kaspersky Security Center Web Console: Aggiunta di una chiave di licenza a un pacchetto di installazione

Distribuzione tramite l'attività di aggiunta della chiave di licenza per un'applicazione gestita

Se si sceglie di utilizzare l'attività Aggiungi chiave di licenza per un'applicazione gestita, è possibile selezionare la chiave di licenza che deve essere distribuita nei dispositivi e selezionare i dispositivi nella modalità più opportuna, ad esempio selezionando un gruppo di amministrazione o una selezione dispositivi.

Prima della distribuzione, è necessario aggiungere il codice di attivazione o il file chiave all'archivio di Administration Server.

Istruzioni dettagliate:

Administration Console:
- Aggiunta di una chiave di licenza all'archivio dell'Administration Server
- Distribuzione di una chiave di licenza ai dispositivi client
o
Kaspersky Security Center Web Console:
- Aggiunta di una chiave di licenza all'archivio dell'Administration Server
- Distribuzione di una chiave di licenza ai dispositivi client

Aggiunta manuale di un codice di attivazione o di un file chiave ai dispositivi

È possibile attivare l'applicazione Kaspersky installata in locale utilizzando gli strumenti disponibili nell'interfaccia dell'applicazione. Fare riferimento alla documentazione dell'applicazione installata.

Vedere anche

Visualizzazione delle informazioni sulle chiavi di licenza in uso

Aggiunta di una chiave di licenza all'archivio dell'Administration Server

Aggiunta di una chiave di licenza di Administration Server

Rimozione di una chiave di licenza di Administration Server

Distribuzione di una chiave di licenza ai dispositivi client

Creazione e visualizzazione di un rapporto sull'utilizzo delle chiavi di licenza

Visualizzazione delle informazioni sulle chiavi di licenza dell'applicazione

Licenze e funzionalità di Kaspersky Security Center 14.2

Inizio pagina

[Topic 3613]

Visualizzazione delle informazioni sulle chiavi di licenza in uso

Per visualizzare le informazioni sulle chiavi di licenza in uso,

Nella struttura della console selezionare la cartella Licenze di Kaspersky.

Nell'area di lavoro della cartella verrà visualizzato un elenco delle chiavi di licenza utilizzate nei dispositivi client.

Accanto a ognuna delle chiavi di licenza è visualizzata un'icona, che corrisponde al tipo di utilizzo:

- Le informazioni sulla chiave di licenza attualmente in uso vengono ricevute da un dispositivo client connesso ad Administration Server. Il file di questa chiave di licenza è memorizzato all'esterno dell'Administration Server.
- La chiave di licenza è memorizzata nell'archivio di Administration Server. La distribuzione automatica è disabilitata per questa chiave di licenza.
- La chiave di licenza è memorizzata nell'archivio di Administration Server. La distribuzione automatica è abilitata per questa chiave di licenza.

È possibile visualizzare le informazioni sulle chiavi di licenza utilizzate per l'applicazione in un dispositivo client aprendo la sezione Applicazioni della finestra delle proprietà del dispositivo client.

Per definire le impostazioni aggiornate delle chiavi di licenza dell'Administration Server virtuale, l'Administration Server invia una richiesta ai server di attivazione di Kaspersky almeno una volta al giorno. Se non è possibile accedere ai server utilizzando il DNS di sistema, l'applicazione utilizza i server DNS pubblici.

Se si riceve una chiave di licenza da un dispositivo client, non è possibile esportarla come file.

Vedere anche

Aggiunta di una chiave di licenza all'archivio dell'Administration Server

Aggiunta di una chiave di licenza di Administration Server

Rimozione di una chiave di licenza di Administration Server

Distribuzione di una chiave di licenza ai dispositivi client

Creazione e visualizzazione di un rapporto sull'utilizzo delle chiavi di licenza

Visualizzazione delle informazioni sulle chiavi di licenza dell'applicazione

Licenze e funzionalità di Kaspersky Security Center 14.2

Inizio pagina

[Topic 3615]

Aggiunta di una chiave di licenza all'archivio dell'Administration Server

Per aggiungere una chiave di licenza all'archivio dell'Administration Server:

Nella struttura della console selezionare la cartella Licenze di Kaspersky.
Avviare l'attività di aggiunta della chiave di licenza in uno dei seguenti modi:
- Selezionare Aggiungi codice di attivazione o file chiave nel menu di scelta rapida dell'elenco delle chiavi di licenza.
- Facendo clic sul collegamento Aggiungi codice di attivazione o file chiave nell'area di lavoro dell'elenco delle chiavi di licenza.
- Fare clic sul pulsante Aggiungi codice di attivazione o file chiave.
Verrà visualizzata l'Aggiunta guidata chiave di licenza.
Selezionare la modalità di attivazione di Administration Server: tramite codice di attivazione o file chiave.
Specificare il codice di attivazione o un file chiave.
Selezionare l'opzione Distribuisci automaticamente la chiave di licenza nei dispositivi gestiti se si desidera distribuire immediatamente una chiave di licenza attinente nella rete. Se non si seleziona questa opzione, è possibile distribuire manualmente una chiave di licenza in un secondo momento.

Di conseguenza, il file chiave viene scaricato e la procedura Aggiunta guidata chiave di licenza viene terminata. Adesso è possibile visualizzare la chiave di licenza aggiunta nell'elenco delle licenze Kaspersky.

Vedere anche

Visualizzazione delle informazioni sulle chiavi di licenza in uso

Aggiunta di una chiave di licenza di Administration Server

Rimozione di una chiave di licenza di Administration Server

Distribuzione di una chiave di licenza ai dispositivi client

Creazione e visualizzazione di un rapporto sull'utilizzo delle chiavi di licenza

Visualizzazione delle informazioni sulle chiavi di licenza dell'applicazione

Licenze e funzionalità di Kaspersky Security Center 14.2

Inizio pagina

[Topic 270011]

Aggiunta di una chiave di licenza di Administration Server

Per aggiungere una chiave di licenza di Administration Server:

Dal menu di scelta rapida di Administration Server selezionare Proprietà.
Nella finestra delle proprietà di Administration Server che verrà visualizzata selezionare la sezione Chiavi di licenza.
Nella sezione Chiave di licenza attiva, fare clic sul pulsante Modifica.
Nella finestra visualizzata, aggiungere una chiave di licenza facendo clic sul pulsante Aggiungi.
Verrà visualizzata l'Aggiunta guidata chiave di licenza.

Al termine della procedura guidata, è possibile verificare se le funzionalità sono visualizzate in Administration Console in base alla licenza corrispondente.

Inizio pagina

[Topic 88413]

Rimozione di una chiave di licenza di Administration Server

Per rimuovere una chiave di licenza di Administration Server:

Dal menu di scelta rapida di Administration Server selezionare Proprietà.
Nella finestra delle proprietà di Administration Server che verrà visualizzata selezionare la sezione Chiavi di licenza.
Rimuovere la chiave di licenza facendo clic sul pulsante Rimuovi.

La chiave di licenza verrà rimossa.

Se è stata aggiunta una chiave di licenza di riserva, questa diventa automaticamente la chiave di licenza attiva quando viene rimossa la precedente chiave di licenza attiva.

Dopo che la chiave di licenza attiva di Administration Server è stata rimossa, Vulnerability e patch management e Mobile Device Management non saranno più disponibili. È possibile aggiungere nuovamente una chiave di licenza rimossa o aggiungerne una nuova.

Vedere anche

Visualizzazione delle informazioni sulle chiavi di licenza in uso

Aggiunta di una chiave di licenza all'archivio dell'Administration Server

Aggiunta di una chiave di licenza di Administration Server

Distribuzione di una chiave di licenza ai dispositivi client

Creazione e visualizzazione di un rapporto sull'utilizzo delle chiavi di licenza

Visualizzazione delle informazioni sulle chiavi di licenza dell'applicazione

Licenze e funzionalità di Kaspersky Security Center 14.2

Inizio pagina

[Topic 3617]

Distribuzione di una chiave di licenza ai dispositivi client

Kaspersky Security Center consente la distribuzione della chiave di licenza ai dispositivi client tramite l'attività di distribuzione della chiave di licenza.

Prima della distribuzione, aggiungere una chiave di licenza all'archivio dell'Administration Server.

Per distribuire una chiave di licenza ai dispositivi client:

Nella struttura della console selezionare la cartella Licenze di Kaspersky.
Nell'area di lavoro dell'elenco delle chiavi di licenza, fare clic sul pulsante Distribuisci automaticamente la chiave di licenza nei dispositivi gestiti.
Viene avviata la Creazione guidata attività di attivazione dell'applicazione. Procedere con la procedura guidata utilizzando il pulsante Avanti.
Nell'elenco delle applicazioni, selezionare l'applicazione per la quale si desidera creare un'attività.
Nel passaggio Aggiungi chiave della procedura guidata, aggiungere la chiave di licenza utilizzando una delle seguenti opzioni:
- Selezionare l'opzione Codice di attivazione per aggiungere un codice di attivazione dall'archivio di Kaspersky Security Center.
  Fare clic su Seleziona. Nella finestra visualizzata, selezionare il codice di attivazione, quindi fare clic su OK.
- Selezionare l'opzione File chiave o chiave, quindi effettuare le seguenti operazioni:
  1. Fare clic su Seleziona.
  2. Nel menu contestuale, selezionare una delle opzioni:
    - File chiave dalla cartella.
      Nella finestra visualizzata, selezionare il file chiave dal dispositivo, quindi fare clic su Apri.
    - Chiave dall'archivio di Kaspersky Security Center.
      Nella finestra visualizzata, selezionare la chiave dall'archivio di Kaspersky Security Center, quindi fare clic su OK.
Se si desidera sostituire la chiave di licenza attiva, deselezionare la casella di controllo Usa come chiave di riserva.
Ad esempio, questo è necessario quando l'organizzazione cambia ed è richiesta la chiave di un'altra organizzazione nel dispositivo o se la chiave è stata riemessa e una nuova licenza scade prima della licenza corrente. Per evitare errori, è necessario deselezionare la casella di controllo Usa come chiave di riserva.

Per ulteriori informazioni sui problemi che possono verificarsi durante l'aggiunta di una chiave di licenza a Kaspersky Security Center Windows e sui modi per risolverli, fare riferimento alla Knowledge Base di Kaspersky Security Center.
Controllare le informazioni sulla chiave di licenza, quindi fare clic su Avanti.
In questo passaggio della procedura guidata, selezionare i dispositivi a cui si desidera assegnare l'attività di aggiunta della chiave. È possibile specificare i dispositivi (fino a 1000 dispositivi) in uno dei seguenti modi:
- Selezionare i dispositivi della rete rilevati da Administration Server. In questo caso l'attività viene assegnata a dispositivi specifici. I dispositivi specifici possono includere i dispositivi nei gruppi di amministrazione, nonché i dispositivi non assegnati.
- Specificare gli indirizzi dei dispositivi manualmente o importare gli indirizzi da un elenco. È possibile specificare nomi NetBIOS, nomi DNS, indirizzi IP e subnet IP dei dispositivi a cui si desidera assegnare l'attività.
- Assegnare un'attività a una selezione dispositivi. In questo caso l'attività viene assegnata ai dispositivi inclusi in una selezione creata precedentemente. È possibile specificare la selezione predefinita o una selezione personalizzata creata.
- Assegnare un'attività a un gruppo di amministrazione. In questo caso, l'attività viene assegnata ai dispositivi inclusi nel gruppo di amministrazione creato precedentemente.
Nel passaggio Configurare la pianificazione delle attività della procedura guidata, creare una pianificazione per l'avvio dell'attività:
- Avvio pianificato:
  - Una sola volta
    L'attività viene eseguita una volta, nella data e nell'ora specificate (per impostazione predefinita, il giorno in cui è stata creata l'attività).
  - Manualmente
    L'attività non viene eseguita automaticamente. È possibile avviarla solo manualmente.
    
    Per impostazione predefinita, questa opzione è selezionata.
  - Quando vengono scaricati nuovi aggiornamenti nell'archivio
    L'attività viene eseguita dopo il download degli aggiornamenti nell'archivio. È ad esempio possibile utilizzare questa pianificazione per l'attività Trova vulnerabilità e aggiornamenti richiesti.
  - Durante un'epidemia di virus
    L'attività viene eseguita dopo che si verifica un evento Epidemia di virus. Selezionare i tipi di applicazione da cui dovranno essere monitorate le epidemie di virus. Sono disponibili i seguenti tipi di applicazione:
    - Anti-virus per workstation e file server
    - Anti-virus per la difesa perimetrale
    - Anti-virus per i sistemi di posta
    Per impostazione predefinita, sono selezionati tutti i tipi di applicazione.
    
    Può essere utile eseguire differenti attività a seconda del tipo di applicazione di protezione che segnala un'epidemia di virus. In questo caso, rimuovere la selezione dei tipi di applicazione non necessari.
  - Al completamento di un'altra attività
    L'attività corrente viene avviata dopo il completamento di un'altra attività. È possibile selezionare la modalità di completamento dell'attività precedente (correttamente o con errori) per l'attivazione dell'avvio dell'attività corrente. È ad esempio possibile eseguire l'attività Gestisci dispositivi con l'opzione Accendi il dispositivo e, al termine, eseguire l'attività Scansione virus. Questo parametro funziona solo se entrambe le attività sono assegnate agli stessi dispositivi.
- Esegui attività non effettuate
  Questa opzione determina il comportamento di un'attività se un dispositivo client non è visibile nella rete al momento dell'avvio dell'attività.
  
  Se questa opzione è abilitata, il sistema tenta di avviare l'attività alla successiva esecuzione di un'applicazione Kaspersky in un dispositivo client. Se la pianificazione dell'attività è Manualmente, Una sola volta o Immediatamente, l'attività viene avviata non appena il dispositivo diventa visibile nella rete o subito dopo che il dispositivo viene incluso nell'ambito dell'attività.
  
  Se questa opzione è disabilitata, solo le attività pianificate vengono eseguite nei dispositivi client. Per i tipi di pianificazione Manualmente, Una sola volta e Immediatamente, le attività vengono eseguite solo nei dispositivi client visibili nella rete. È ad esempio possibile disabilitare questa opzione per un'attività con un notevole utilizzo di risorse che si desidera eseguire solo in orario non lavorativo.
  
  Per impostazione predefinita, questa opzione è disabilitata.
- Usa automaticamente il ritardo casuale per l'avvio delle attività
  Se questa opzione è abilitata, l'attività viene avviata nei dispositivi client in modo casuale all'interno di un intervallo di tempo specificato (avvio distribuito dell'attività). L'avvio distribuito dell'attività consente di evitare che Administration Server riceva numerose richieste simultanee da parte dei dispositivi client durante l'esecuzione di un'attività pianificata.
  
  Il periodo di avvio distribuito viene calcolato automaticamente durante la creazione di un'attività, in base al numero di dispositivi client a cui è assegnata l'attività. Successivamente, l'attività viene sempre eseguita all'ora di inizio calcolata. Tuttavia, quando si modificano le impostazioni dell'attività o l'attività viene avviata manualmente, il valore calcolato dell'ora di inizio dell'attività cambia.
  
  Se questa opzione è disabilitata, l'attività viene avviata nei dispositivi client in base alla pianificazione.
- Usa ritardo casuale per l'avvio delle attività con un intervallo di (min.)
  Se questa opzione è abilitata, l'attività viene avviata nei dispositivi client in modo casuale all'interno dell'intervallo di tempo specificato. L'avvio distribuito dell'attività consente di evitare che Administration Server riceva numerose richieste simultanee da parte dei dispositivi client durante l'esecuzione di un'attività pianificata.
  
  Se questa opzione è disabilitata, l'attività viene avviata nei dispositivi client in base alla pianificazione.
  
  Per impostazione predefinita, questa opzione è disabilitata. Il periodo di tempo predefinito è 1 minuto.
Nel passaggio Definire il nome dell'attività della procedura guidata, specificare il nome dell'attività. Il nome di un'attività non può superare i 100 caratteri e non può includere caratteri speciali ("*<>?\:|).
Nel passaggio Completare la creazione dell'attività della procedura guidata fare clic sul pulsante Fine per chiudere la procedura guidata.
Se si desidera che l'attività venga avviata al termine della Creazione guidata, selezionare la casella di controllo Esegui l'attività al termine della procedura guidata.

Le attività create tramite la Creazione guidata attività di attivazione dell'applicazione sono attività per dispositivi specifici memorizzate nella cartella Attività della struttura della console.

È inoltre possibile creare un'attività di distribuzione della chiave di licenza di gruppo o locale utilizzando la Creazione guidata attività per un gruppo di amministrazione e per un dispositivo client.

Vedere anche

Visualizzazione delle informazioni sulle chiavi di licenza in uso

Aggiunta di una chiave di licenza all'archivio dell'Administration Server

Aggiunta di una chiave di licenza di Administration Server

Rimozione di una chiave di licenza di Administration Server

Creazione e visualizzazione di un rapporto sull'utilizzo delle chiavi di licenza

Visualizzazione delle informazioni sulle chiavi di licenza dell'applicazione

Licenze e funzionalità di Kaspersky Security Center 14.2

Inizio pagina

[Topic 11511]

Distribuzione automatica di una chiave di licenza

Kaspersky Security Center consente la distribuzione automatica delle chiavi di licenza ai dispositivi gestiti, se sono presenti nell'archivio delle chiavi di licenza in Administration Server. La distribuzione automatica delle chiavi di licenza non si applica ai dispositivi nella cartella Dispositivi non assegnati.

Per distribuire automaticamente una chiave di licenza ai dispositivi gestiti:

Nella struttura della console selezionare la cartella Licenze di Kaspersky.
Nell'area di lavoro della cartella selezionare la chiave di licenza da distribuire automaticamente ai dispositivi.
Aprire la finestra delle proprietà della chiave di licenza selezionata in uno dei seguenti modi:
- Selezionando Proprietà nel menu di scelta rapida della chiave di licenza.
- Facendo clic sul collegamento Visualizza proprietà della chiave di licenza nella finestra di informazioni per la chiave di licenza selezionata.
Nella finestra delle proprietà della chiave di licenza visualizzata selezionare la casella di controllo Chiave di licenza distribuita automaticamente. Chiudere la finestra delle proprietà della chiave di licenza.

La chiave di licenza verrà automaticamente distribuita a tutti i dispositivi compatibili.

La distribuzione della chiave di licenza viene eseguita tramite Network Agent. Non vengono create attività di distribuzione della chiave di licenza per l'applicazione.

Durante la distribuzione automatica di una chiave di licenza, viene presa in considerazione la limitazione relativa al licensing sul numero di dispositivi. La limitazione relativa al licensing è impostata nelle proprietà della chiave di licenza. Se viene raggiunta la limitazione relativa al licensing, la distribuzione di questa chiave di licenza nei dispositivi si interrompe automaticamente.

L'Administration Server virtuale distribuisce automaticamente le chiavi di licenza dal proprio archivio e dall'archivio di Administration Server. È consigliabile:

Utilizzare l'attività Aggiungi chiave di licenza per selezionare la chiave di licenza da distribuire nei dispositivi.
Evitare di disabilitare l'opzione Consenti la distribuzione automatica delle chiavi di licenza di questo Administration Server virtuale nei relativi dispositivi nelle impostazioni dell'Administration Server virtuale. In caso contrario, l'Administration Server virtuale non distribuirà le chiavi di licenza ai dispositivi, comprese le chiavi di licenza dall'archivio di Administration Server.

Se si seleziona la casella di controllo Chiave di licenza distribuita automaticamente nella finestra delle proprietà della chiave di licenza, nella rete viene immediatamente distribuita una chiave di licenza. Se non si seleziona questa opzione, è possibile distribuire manualmente una chiave di licenza in un secondo momento.

Vedere anche:

Visualizzazione delle informazioni sulle chiavi di licenza in uso

Aggiunta di una chiave di licenza all'archivio dell'Administration Server

Aggiunta di una chiave di licenza di Administration Server

Rimozione di una chiave di licenza di Administration Server

Distribuzione di una chiave di licenza ai dispositivi client

Creazione e visualizzazione di un rapporto sull'utilizzo delle chiavi di licenza

Visualizzazione delle informazioni sulle chiavi di licenza dell'applicazione

Licenze e funzionalità di Kaspersky Security Center 14.2

Inizio pagina

[Topic 3618]

Creazione e visualizzazione di un rapporto sull'utilizzo delle chiavi di licenza

Per creare un rapporto sull'utilizzo delle chiavi di licenza nei dispositivi client:

Nella struttura della console selezionare il nodo con il nome dell'Administration Server desiderato.
Nell'area di lavoro del nodo selezionare la scheda Rapporti.
Selezionare il modello di rapporto denominato Rapporto sull'utilizzo delle chiavi di licenza o creare un nuovo modello di rapporto dello stesso tipo.

Nell'area di lavoro del rapporto sull'utilizzo delle chiavi di licenza verranno visualizzate informazioni sulle chiavi di licenza attive e di riserva utilizzate nei dispositivi client. Il rapporto contiene inoltre informazioni sui dispositivi in cui vengono utilizzate le chiavi di licenza e sulle limitazioni specificate nelle proprietà di tali chiavi di licenza.

Vedere anche

Visualizzazione delle informazioni sulle chiavi di licenza in uso

Aggiunta di una chiave di licenza all'archivio dell'Administration Server

Aggiunta di una chiave di licenza di Administration Server

Rimozione di una chiave di licenza di Administration Server

Distribuzione di una chiave di licenza ai dispositivi client

Visualizzazione delle informazioni sulle chiavi di licenza dell'applicazione

Licenze e funzionalità di Kaspersky Security Center 14.2

Inizio pagina

[Topic 222233]

Visualizzazione delle informazioni sulle chiavi di licenza dell'applicazione

Per sapere quali chiavi di licenza sono in uso per un'applicazione Kaspersky:

Nella struttura della console di Kaspersky Security Center selezionare il nodo Dispositivi gestiti e passare alla scheda Dispositivi.
Fare clic con il pulsante destro del mouse per aprire il menu di scelta rapida del dispositivo desiderato, quindi selezionare Proprietà.
Nella finestra delle proprietà del dispositivo visualizzata selezionare la sezione Applicazioni.
Nell'elenco delle applicazioni visualizzato selezionare l'applicazione di cui si desidera visualizzare le chiavi di licenza, quindi fare clic sul pulsante Proprietà.
Nella finestra delle proprietà dell'applicazione visualizzata selezionare la sezione Chiavi di licenza.
Le informazioni vengono visualizzate nell'area di lavoro di questa sezione.

Inizio pagina

[Topic 275779]

Esportazione di un file di chiave di licenza

Se la chiave di licenza è stata eliminata accidentalmente e si desidera ripristinarla, è possibile esportare un file della chiave di licenza da un altro Administration Server.

Per esportare un file della chiave di licenza, è necessario disporre del diritto Esporta file chiave nell'area funzionale Caratteristiche generali: Key management.

Se si riceve una chiave di licenza da un dispositivo client, non è possibile esportarla.

Per esportare una chiave di licenza:

Nella struttura della console selezionare la cartella Licenze di Kaspersky.
Nell'elenco, selezionare la chiave di licenza che si desidera esportare come file.
Nella casella delle informazioni visualizzata, fare clic sul collegamento Esporta file chiave.
Nella finestra visualizzata, specificare il percorso della cartella in cui si desidera salvare un file della chiave di licenza, quindi specificare un nome file. Successivamente, fai clic su Salva.

Il file della chiave di licenza in formato .key viene esportato nella cartella selezionata.

Se la chiave di licenza il cui file è stato esportato è stata aggiunta all'archivio di Administration Server come codice di attivazione e si desidera aggiungere il file della chiave di licenza esportato all'archivio di un altro Administration Server, è necessario aggiungerlo come codice di attivazione, non come file chiave. In caso contrario, si verifica un errore. È necessario aprire il file della chiave di licenza esportato in un qualsiasi editor di testo e quindi copiare il codice di attivazione.

Inizio pagina

[Topic 171272]

Configurazione della protezione di rete

Questa sezione contiene informazioni sulla configurazione manuale di criteri e attività, sui ruoli utente, sulla creazione di una struttura di gruppi di amministrazione e sulla gerarchia delle attività.

In questa sezione

Configurazione e propagazione dei criteri: approccio incentrato sui dispositivi

Informazioni sui metodi di gestione della protezione incentrati sui dispositivi e incentrati sugli utenti

Configurazione manuale del criterio di Kaspersky Endpoint Security

Configurazione manuale dell'attività di gruppo di aggiornamento per Kaspersky Endpoint Security

Configurazione manuale dell'attività di gruppo per la scansione di un dispositivo con Kaspersky Endpoint Security

Pianificazione dell'attività Trova vulnerabilità e aggiornamenti richiesti

Configurazione manuale dell'attività di gruppo per l'installazione degli aggiornamenti e la correzione delle vulnerabilità

Impostazione del numero massimo di eventi nell'archivio eventi

Impostazione del periodo di archiviazione massimo per le informazioni sulle vulnerabilità corrette

Gestione di attività

Creazione di una gerarchia di gruppi di amministrazione subordinati a un Administration Server virtuale

Regole di spostamento dei dispositivi

Clonazione delle regole di spostamento dei dispositivi

Classificazione del software

Prerequisiti per l'installazione delle applicazioni nei dispositivi di un'organizzazione client

Visualizzazione e modifica delle impostazioni locali delle applicazioni

Vedere anche:

Configurazione e propagazione dei criteri: approccio incentrato sui dispositivi

Configurazione e propagazione dei criteri: approccio incentrato sull'utente

Inizio pagina

[Topic 179344]

Scenario: Configurazione della protezione di rete

L'avvio rapido guidato crea criteri e attività con le impostazioni predefinite. Queste impostazioni possono risultare non ottimali o addirittura non consentite dall'organizzazione. Pertanto, è consigliabile ottimizzare tali criteri e attività e creare altri criteri e attività, se necessario per la rete.

Prerequisiti

Prima di iniziare, verificare di avere:

Installato Kaspersky Security Center Administration Server
Installato Kaspersky Security Center Web Console (facoltativo)
completato lo scenario di installazione principale di Kaspersky Security Center
completato l'Avvio rapido guidato o creato manualmente i seguenti criteri e attività nel gruppo di amministrazione Dispositivi gestiti:
- Criterio di Kaspersky Endpoint Security
- Attività di gruppo per l'aggiornamento di Kaspersky Endpoint Security
- Criterio di Network Agent
- Attività Trova vulnerabilità e aggiornamenti richiesti

La configurazione della protezione della rete procede per fasi:

Installazione e propagazione dei criteri e dei profili criterio delle applicazioni Kaspersky
Per configurare e propagare le impostazioni per le applicazioni Kaspersky installate nei dispositivi gestiti, è possibile utilizzare due diversi metodi di gestione della protezione: quello incentrato sui dispositivi o quello incentrato sugli utenti. Questi due metodi possono anche essere combinati. Per l'implementazione della gestione della protezione incentrata sui dispositivi, è possibile utilizzare gli strumenti offerti in Administration Console basata su Microsoft Management Console o Kaspersky Security Center Web Console. La gestione della protezione incentrata sugli utenti può essere implementata solo tramite Kaspersky Security Center Web Console.
Configurazione delle attività per la gestione remota delle applicazioni Kaspersky
Controllare le attività create con l'avvio rapido guidato e, se necessario, ottimizzarle.

Istruzioni dettagliate:
- Administration Console:
  - Configurazione dell'attività di gruppo per l'aggiornamento di Kaspersky Endpoint Security
  - Pianificazione dell'attività Trova vulnerabilità e aggiornamenti richiesti
- Kaspersky Security Center Web Console:
  - Configurazione dell'attività di gruppo per l'aggiornamento di Kaspersky Endpoint Security
  - Impostazioni dell'attività Trova vulnerabilità e aggiornamenti richiesti
Se necessario, creare attività aggiuntive per gestire le applicazioni Kaspersky installate nei dispositivi client.
Valutazione e limitazione del carico di eventi nel database
Le informazioni sugli eventi che si verificano durante il funzionamento delle applicazioni gestite vengono trasferite da un dispositivo client e registrate nel database di Administration Server. Per ridurre il carico su Administration Server, valutare e limitare il numero massimo di eventi che possono essere archiviati nel database.

Istruzioni dettagliate:
- Administration Console: Impostazione del numero massimo di eventi
- Kaspersky Security Center Web Console: Impostazione del numero massimo di eventi

Risultati

Quando viene completato questo scenario, la rete sarà protetta tramite la configurazione delle applicazioni Kaspersky, delle attività e degli eventi ricevuti da parte di Administration Server:

Le applicazioni Kaspersky sono configurate in base ai criteri e ai profili criterio.
Le applicazioni vengono gestite attraverso un set di attività.
Viene impostato il numero massimo di eventi che è possibile archiviare nel database.

Al termine della configurazione della protezione di rete, è possibile procedere alla configurazione degli aggiornamenti standard nei database e nelle applicazioni Kaspersky.

Per informazioni dettagliate su come configurare le risposte automatiche alle minacce rilevate da Kaspersky Sandbox, fare riferimento alla Guida in linea di Kaspersky Sandbox 2.0.

Vedere anche:

Scenario: Installazione e configurazione iniziale di Kaspersky Security Center Web Console

Scenario: Aggiornamento periodico di database e applicazioni Kaspersky

Inizio pagina

[Topic 177128]

Configurazione e propagazione dei criteri: approccio incentrato sui dispositivi

Al termine di questo scenario, le applicazioni saranno configurate in tutti i dispositivi gestiti in base ai criteri delle applicazioni e ai profili criterio specificati.

Prerequisiti

Prima di iniziare, verificare di aver installato Kaspersky Security Center Administration Server e Kaspersky Security Center Web Console (opzionale). Se è stato installato Kaspersky Security Center Web Console, è inoltre consigliabile valutare la gestione della protezione incentrata sugli utenti come opzione alternativa o aggiuntiva rispetto all'approccio incentrato sui dispositivi.

Passaggi

Lo scenario di gestione incentrata sui dispositivi delle applicazioni Kaspersky comprende i seguenti passaggi:

Configurazione dei criteri delle applicazioni
Configurare le impostazioni per le applicazioni Kaspersky installate nei dispositivi gestiti tramite la creazione di un criterio per ogni applicazione. Questo set di criteri sarà propagato ai dispositivi client.

Quando si configura la protezione della rete in Avvio rapido guidato, Kaspersky Security Center crea il criterio predefinito per le seguenti applicazioni:
- Kaspersky Endpoint Security for Windows: per dispositivi client basati su Windows
- Kaspersky Endpoint Security for Linux: per dispositivi client basati su Linux
Se è stata completata la configurazione tramite questa procedura guidata, non è necessario creare un nuovo criterio per questa applicazione. Passare alla configurazione manuale del criterio di Kaspersky Endpoint Security.

Se si dispone di una struttura gerarchica con più Administration Server e/o gruppi di amministrazione, per impostazione predefinita gli Administration Server secondari e i gruppi di amministrazione figlio ereditano i criteri dall'Administration Server primario. È possibile forzare l'ereditarietà da parte dei gruppi figlio e degli Administration Server secondari per impedire eventuali modifiche delle impostazioni configurate nel criterio upstream. Se si desidera forzare l'ereditarietà solo di una parte delle impostazioni, è possibile bloccarle nel criterio upstream. Le restanti impostazioni sbloccate saranno disponibili per la modifica nei criteri downstream. La gerarchia di criteri creata consente di gestire in modo efficace i dispositivi nei gruppi di amministrazione.

Istruzioni dettagliate:
- Administration Console: Creazione di un criterio
- Kaspersky Security Center Web Console: Creazione di un criterio
Creazione dei profili criterio (facoltativo)
Se si desidera applicare differenti impostazioni dei criteri ai dispositivi all'interno di un singolo gruppo di amministrazione, creare profili criterio per tali dispositivi. Un profilo criterio è un sottoinsieme denominato di impostazioni dei criteri. Questo sottoinsieme viene distribuito nei dispositivi di destinazione insieme al criterio, integrandolo in una condizione specifica definita condizione di attivazione del profilo. I profili contengono solo le impostazioni diverse dal criterio "di base" che è attivo nel dispositivo gestito.

Utilizzando le condizioni di attivazione del profilo, è possibile applicare diversi profili criterio, ad esempio ai dispositivi appartenenti a un determinato gruppo di protezione o a un'unità specifica di Active Directory, con una specifica configurazione hardware o contrassegnati con tag specifici. Utilizzare i tag per filtrare i dispositivi che soddisfano i criteri specificati. È ad esempio possibile creare un tag denominato Windows, contrassegnare tutti i dispositivi con sistema operativo Windows con questo tag e quindi specificare il tag come condizione di attivazione per un profilo criterio. Come risultato, le applicazioni Kaspersky installate in tutti i dispositivi che eseguono Windows verranno gestite dal profilo criterio corrispondente.

Istruzioni dettagliate:
- Administration Console:
  - Creazione di un profilo criterio
  - Creazione di una regola di attivazione del profilo criterio
- Kaspersky Security Center Web Console:
  - Creazione di un profilo criterio
  - Creazione di una regola di attivazione del profilo criterio
Propagazione di criteri e profili criterio nei dispositivi gestiti
Per impostazione predefinita, Administration Server si sincronizza automaticamente con i dispositivi gestiti ogni 15 minuti. È possibile ignorare la sincronizzazione automatica ed eseguire manualmente la sincronizzazione utilizzando il comando Forza sincronizzazione. Anche la sincronizzazione viene forzata dopo aver creato o modificato un criterio o un profilo criterio. Durante la sincronizzazione, i criteri e i profili criterio nuovi o modificati vengono propagati ai dispositivi gestiti.

Se si utilizza Kaspersky Security Center Web Console, è possibile verificare se a un dispositivo sono stati inviati criteri e profili criterio. Kaspersky Security Center specifica la data e l'ora di invio nelle proprietà del dispositivo.

Istruzioni dettagliate:
- Administration Console: Sincronizzazione forzata
- Kaspersky Security Center Web Console: Sincronizzazione forzata

Risultati

Al termine dello scenario incentrato sui dispositivi, le applicazioni Kaspersky vengono configurate in base alle impostazioni specificate e propagate tramite la gerarchia di criteri.

I criteri delle applicazioni e i profili criterio configurati verranno applicati automaticamente ai nuovi dispositivi aggiunti ai gruppi di amministrazione.

Vedere anche:

Gruppi di amministrazione

Criteri

Profili criterio

Gerarchia dei criteri

Informazioni sui ruoli utente

Scenario: Installazione e configurazione iniziale di Kaspersky Security Center Web Console

Inizio pagina

[Topic 166721]

Informazioni sui metodi di gestione della protezione incentrati sui dispositivi e incentrati sugli utenti

È possibile gestire le impostazioni di protezione dal punto di vista delle funzionalità del dispositivo e dal punto di vista dei ruoli utente. Il primo metodo è denominato gestione della protezione incentrata sui dispositivi e il secondo è denominato gestione della protezione incentrata sugli utenti. Per applicare impostazioni dell'applicazione diverse a diversi dispositivi è possibile utilizzare uno o entrambi i tipi di gestione insieme. Per l'implementazione della gestione della protezione incentrata sui dispositivi, è possibile utilizzare gli strumenti offerti in Administration Console basata su Microsoft Management Console o Kaspersky Security Center Web Console. La gestione della protezione incentrata sugli utenti può essere implementata solo tramite Kaspersky Security Center Web Console.

La gestione della protezione incentrata sui dispositivi consente di applicare diverse impostazioni dell'applicazione di protezione ai dispositivi gestiti in base alle funzionalità specifiche del dispositivo. È ad esempio possibile applicare impostazioni diverse ai dispositivi allocati in diversi gruppi di amministrazione. È inoltre possibile differenziare i dispositivi in base all'utilizzo di tali dispositivi in Active Directory o alle relative specifiche hardware.

La gestione della protezione incentrata sugli utenti consente di applicare diverse impostazioni dell'applicazione di protezione a diversi ruoli utente. È possibile creare diversi ruoli utente, assegnare un ruolo utente appropriato a ciascun utente e definire diverse impostazioni dell'applicazione per i dispositivi di proprietà di utenti con ruoli diversi. È ad esempio possibile applicare differenti impostazioni dell'applicazione ai dispositivi degli addetti alla contabilità e degli specialisti delle risorse umane (HR). Di conseguenza, quando viene implementata la gestione della protezione incentrata sugli utenti, ciascun reparto (reparto account e reparto HR) dispone della propria configurazione delle impostazioni per le applicazioni Kaspersky. Una configurazione delle impostazioni definisce le impostazioni delle applicazioni che possono essere modificate dagli utenti e quelle che vengono forzatamente impostate e bloccate dall'amministratore.

Utilizzando la gestione della protezione incentrata sugli utenti è possibile applicare impostazioni specifiche di un'applicazione per singoli utenti. Questo può essere necessario quando un dipendente ha un ruolo esclusivo nell'azienda o quando si desidera monitorare gli incidenti di sicurezza relativi ai dispositivi di una persona specifica. A seconda del ruolo di questo dipendente nell'azienda, è possibile espanderne o limitarne i diritti di modifica delle impostazioni dell'applicazione. È ad esempio possibile espandere i diritti di un amministratore di sistema che gestisce i dispositivi client in una sede locale.

È inoltre possibile combinare gli approcci di gestione della protezione incentrata sui dispositivi e incentrata sugli utenti. È ad esempio possibile configurare uno specifico criterio dell'applicazione per ogni gruppo di amministrazione e quindi creare profili criterio per uno o più ruoli utente dell'azienda. In questo caso criteri e profili criterio vengono applicati nel seguente ordine:

Vengono applicati i criteri creati per la gestione della protezione incentrata sui dispositivi.
Questi vengono modificati dai profili criterio secondo le priorità dei profili criterio.
I criteri vengono modificati dai profili criterio associati ai ruoli utente.

Vedere anche:

Configurazione del criterio nella sezione Protezione minacce avanzata

Inizio pagina

[Topic 92418]

Configurazione manuale del criterio di Kaspersky Endpoint Security

Questa sezione fornisce raccomandazioni su come configurare il criterio di Kaspersky Endpoint Security, creato dall'Avvio rapido guidato. È possibile eseguire la configurazione nella finestra delle proprietà del criterio.

Durante la modifica di un'impostazione, tenere presente che è necessario fare clic sull'icona di blocco sopra l'impostazione appropriata per consentire l'utilizzo del relativo valore su una workstation.

In questa sezione

Configurazione del criterio nella sezione Protezione minacce essenziale

Configurazione del criterio nella sezione Impostazioni generali

Configurazione del criterio nella sezione Configurazione eventi

Vedere anche:

Configurazione e propagazione dei criteri: approccio incentrato sui dispositivi

Inizio pagina

[Topic 175185]

Configurazione del criterio nella sezione Protezione minacce avanzata

Per una descrizione completa delle impostazioni in questa sezione, fare riferimento alla documentazione di Kaspersky Endpoint Security for Windows.

Nella sezione Protezione minacce avanzata è possibile configurare l'utilizzo di Kaspersky Security Network per Kaspersky Endpoint Security for Windows. È inoltre possibile configurare i moduli di Kaspersky Endpoint Security for Windows, ad esempio Rilevamento del Comportamento, Prevenzione Exploit, Prevenzione Intrusioni Host e Motore di Remediation.

Nella sottosezione Kaspersky Security Network è consigliabile abilitare l'opzione Kaspersky Security Network. L'utilizzo di questa opzione consente di ridistribuire e ottimizzare il traffico nella rete. Se l'opzione Kaspersky Security Network è disabilitata, è possibile abilitare l'uso diretto dei server KSN.

Vedere anche:

Inizio pagina

[Topic 92419]

Configurazione del criterio nella sezione Protezione minacce essenziale

Per una descrizione completa delle impostazioni in questa sezione, fare riferimento alla documentazione di Kaspersky Endpoint Security for Windows.

Nella sezione Protezione minacce essenziale della finestra delle proprietà del criterio, si consiglia di specificare impostazioni aggiuntive nelle sottosezioni Firewall e Protezione minacce file.

La sottosezione Firewall contiene le impostazioni che consentono di controllare le attività di rete delle applicazioni sui dispositivi client. Un dispositivo client utilizza una rete a cui è assegnato uno dei seguenti stati: pubblico, locale o attendibile. A seconda dello stato della rete, Kaspersky Endpoint Security può consentire o negare le attività di rete su un dispositivo. Quando si aggiunge una nuova rete all'organizzazione, è necessario assegnare uno stato di rete appropriato a questa. Ad esempio, se il dispositivo client è un laptop, si consiglia che questo dispositivo utilizzi la rete pubblica o attendibile, poiché il laptop non è sempre connesso alla rete locale. Nella sottosezione Firewall, è possibile verificare se sono stati assegnati correttamente gli stati alle reti utilizzate nell'organizzazione.

Per controllare l'elenco delle reti:

Nelle proprietà del criterio, passare a Protezione minacce essenziale → Firewall.
Nella sezione Reti disponibili, fare clic sul pulsante Impostazioni.
Nella finestra Firewall visualizzata, passare alla scheda Reti per visualizzare l'elenco delle reti.

Nella sottosezione Protezione minacce file, è possibile disabilitare la scansione delle unità di rete. La scansione delle unità di rete può comportare un carico significativo per le unità di rete. È più pratico eseguire la scansione indiretta sui file server.

Per disabilitare la scansione delle unità di rete:

Nelle proprietà del criterio, passare a Protezione minacce essenziale → Protezione minacce file.
Nella sezione Livello di sicurezza, fare clic sul pulsante Impostazioni.
Nella finestra Protezione minacce file visualizzata, nella scheda Generali, deselezionare la casella di controllo Tutte le unità di rete.

Vedere anche:

Inizio pagina

[Topic 92421]

Configurazione del criterio nella sezione Impostazioni generali

Per una descrizione completa delle impostazioni in questa sezione, fare riferimento alla documentazione di Kaspersky Endpoint Security for Windows.

Nella sezione Impostazioni generali della finestra delle proprietà del criterio, si consiglia di specificare impostazioni aggiuntive nelle sottosezioni Rapporti e archivi e Interfaccia.

Nella sottosezione Rapporti e archivi, passare alla sezione Trasferimento dei dati ad Administration Server. La casella di controllo Informazioni sulle applicazioni avviate specifica se il database di Administration Server salva informazioni su tutte le versioni di tutti i moduli software nei dispositivi connessi alla rete. Se questa casella di controllo è selezionata, le informazioni salvate possono richiedere una quantità significativa di spazio su disco nel database di Kaspersky Security Center (decine di gigabyte). Deselezionare la casella di controllo Informazioni sulle applicazioni avviate se è selezionata nel criterio di livello superiore.

Se Administration Console gestisce la protezione dalle minacce nella rete dell'organizzazione in modalità centralizzata, disabilitare la visualizzazione dell'interfaccia utente di Kaspersky Endpoint Security for Windows sulle workstation. A tale scopo, nella sottosezione Interfaccia, passare alla sezione Interazione con l'utente, quindi selezionare Non visualizzare.

Per abilitare la protezione tramite password sulle workstation, nella sottosezione Interfaccia, passare alla sezione Protezione tramite password, fare clic sul pulsante Impostazioni, quindi selezionare la casella di controllo Abilita protezione tramite password.

Vedere anche:

Inizio pagina

[Topic 92424]

Configurazione del criterio nella sezione Configurazione eventi

Nella sezione Configurazione eventi è consigliabile disabilitare il salvataggio di qualsiasi evento in Administration Server, tranne i seguenti:

Nella scheda Critico:
- L'esecuzione automatica dell'applicazione è disabilitata
- Accesso negato
- Avvio dell'applicazione non consentito
- Disinfezione non attuabile
- Contratto di licenza con l'utente finale violato
- Impossibile caricare il modulo di criptaggio
- Impossibile avviare due attività contemporaneamente
- È stata rilevata una minaccia attiva. Si consiglia di avviare Disinfezione avanzata
- Attacco di rete rilevato
- Non tutti i componenti sono stati aggiornati
- Errore di attivazione
- Errore durante l'abilitazione della modalità portatile
- Errore durante l'interazione con Kaspersky Security Center
- Errore durante la disabilitazione della modalità portatile
- Errore durante la modifica dei componenti dell'applicazione
- Errore durante l'applicazione delle regole di criptaggio/decriptaggio dei file
- Il criterio non può essere applicato
- Processo terminato
- Attività di rete bloccata
Nella scheda Errore funzionale: Impostazioni attività non valide. Impostazioni non applicate
Nella scheda Avviso:
- L'Auto-difesa è disabilitata
- Chiave di riserva errata
- L'utente ha scelto di non applicare il criterio di criptaggio
Nella scheda Informazioni: Avvio dell'applicazione non consentito in modalità di test

Vedere anche:

Inizio pagina

[Topic 92425]

Configurazione manuale dell'attività di gruppo di aggiornamento per Kaspersky Endpoint Security

L'opzione di pianificazione ottimale e consigliata per Kaspersky Endpoint Security versione 10 e successive è Quando vengono scaricati nuovi aggiornamenti nell'archivio quando la casella di controllo Usa automaticamente il ritardo casuale per l'avvio delle attività è selezionata.

Vedere anche:

Inizio pagina

[Topic 92426]

Configurazione manuale dell'attività di gruppo per la scansione di un dispositivo con Kaspersky Endpoint Security

L'Avvio rapido guidato crea un'attività di gruppo per la scansione di un dispositivo. Per impostazione predefinita, all'attività viene assegnata una pianificazione Esegui il venerdì alle 19:00 con un'impostazione casuale automatica e la casella di controllo Esegui attività non effettuate è deselezionata.

Di conseguenza, se i dispositivi in un'organizzazione vengono spenti ad esempio il venerdì alle 18:30, l'attività di scansione del dispositivo non verrà eseguita. È necessario impostare la pianificazione appropriata per questa attività in base alle regole per l'ambiente di lavoro adottate nell'organizzazione.

Vedere anche:

Scenario: Individuazione e correzione delle vulnerabilità del software di terze parti

Inizio pagina

[Topic 92427]

Pianificazione dell'attività Trova vulnerabilità e aggiornamenti richiesti

L'Avvio rapido guidato crea l'attività Trova vulnerabilità e aggiornamenti richiesti per Network Agent. Per impostazione predefinita, all'attività viene assegnata una pianificazione Esegui il martedì alle 19:00 con un'impostazione casuale automatica e la casella di controllo Esegui attività non effettuate è selezionata.

Se le regole dell'organizzazione per l'ambiente di lavoro prevedono lo spegnimento di tutti i dispositivi in tale orario, l'attività Trova vulnerabilità e aggiornamenti richiesti verrà eseguita dopo la riaccensione dei dispositivi, il mercoledì mattina. Un'attività di questo tipo potrebbe essere indesiderabile perché una Scansione vulnerabilità può aumentare il carico sui sottosistemi del disco e della CPU. È necessario impostare la pianificazione appropriata per l'attività in base alle regole per l'ambiente di lavoro adottate nell'organizzazione.

Vedere anche:

Inizio pagina

[Topic 92428]

Configurazione manuale dell'attività di gruppo per l'installazione degli aggiornamenti e la correzione delle vulnerabilità

L'Avvio rapido guidato crea un'attività di gruppo per l'installazione degli aggiornamenti e la correzione delle vulnerabilità per Network Agent. Per impostazione predefinita, l'attività è impostata per l'esecuzione ogni giorno alle 01:00, con un'impostazione casuale automatica, e l'opzione Esegui attività non effettuate non è abilitata.

Se le regole dell'organizzazione per l'ambiente di lavoro prevedono lo spegnimento dei dispositivi durante la notte, l'installazione degli aggiornamenti non verrà eseguita. È necessario impostare la pianificazione appropriata per l'attività Scansione vulnerabilità in base alle regole per l'ambiente di lavoro adottate nell'organizzazione. È anche importante tenere presente che l'installazione degli aggiornamenti può richiedere il riavvio del dispositivo.

Vedere anche:

Inizio pagina

[Topic 181228]

Impostazione del numero massimo di eventi nell'archivio eventi

Nella sezione Archivio eventi della finestra delle proprietà di Administration Server è possibile modificare le impostazioni per l'archiviazione degli eventi nel database di Administration Server, limitando il numero di record degli eventi e il periodo di archiviazione dei record. Quando si specifica il numero massimo di eventi, l'applicazione calcola approssimativamente la quantità di spazio di archiviazione necessario per il numero specificato. È possibile utilizzare questo calcolo approssimativo per valutare se è necessario liberare spazio su disco per evitare l'overflow del database. La capacità predefinita del database di Administration Server è di 400.000 eventi. La capacità massima consigliata del database è di 45 milioni di eventi.

L'applicazione controlla il database ogni 10 minuti. Se il numero di eventi raggiunge il valore massimo specificato più 10.000, l'applicazione elimina gli eventi meno recenti in modo che rimanga solo il numero massimo di eventi specificato.

Quando l'Administration Server elimina gli eventi meno recenti, non può salvare i nuovi eventi nel database. Durante questo periodo di tempo, le informazioni sugli eventi rifiutati vengono scritte nel registro eventi Kaspersky. I nuovi eventi vengono accodati e quindi salvati nel database al termine dell'operazione di eliminazione.

Per limitare il numero di eventi che è possibile archiviare nell'archivio eventi di Administration Server:

Fare clic con il pulsante destro del mouse su Administration Server, quindi selezionare Proprietà.
Verrà visualizzata la finestra delle proprietà di Administration Server.
Nell'area di lavoro della sezione Archivio eventi specificare il numero massimo di eventi archiviati nel database.
Fare clic su OK.

È inoltre possibile modificare le impostazioni di qualsiasi attività per salvare gli eventi relativi all'avanzamento dell'attività oppure salvare solo i risultati dell'esecuzione dell'attività. In tal modo si riduce il numero di eventi nel database, si aumenta la velocità di esecuzione degli scenari associati all'analisi della tabella degli eventi nel database e si limita il rischio che gli eventi critici vengano sovrascritti da un ampio numero di eventi.

Vedere anche:

Creazione dell'attività di Administration Server

Inizio pagina

[Topic 222383]

Impostazione del periodo di archiviazione massimo per le informazioni sulle vulnerabilità corrette

Per impostare il periodo di archiviazione massimo nel database per le informazioni sulle vulnerabilità già corrette nei dispositivi gestiti:

Fare clic con il pulsante destro del mouse su Administration Server, quindi selezionare Proprietà.
Verrà visualizzata la finestra delle proprietà di Administration Server.
Nell'area di lavoro della sezione Archivio eventi specificare il periodo di archiviazione massimo per le informazioni sulle vulnerabilità corrette nel database.
Per impostazione predefinita, il periodo di archiviazione è di 90 giorni.
Fare clic su OK.

Il periodo di archiviazione massimo per le informazioni sulle vulnerabilità corrette si limita al numero di giorni specificato. Successivamente, l'attività di manutenzione di Administration Server eliminerà le informazioni obsolete dal database.

Inizio pagina

[Topic 3772]

Gestione di attività

Kaspersky Security Center consente di gestire le applicazioni installate nei dispositivi creando ed eseguendo varie attività. Le attività sono necessarie per l'installazione, l'avvio e l'arresto delle applicazioni, la scansione dei file, l'aggiornamento dei database e dei moduli software, oltre che per eseguire altre azioni sulle applicazioni.

Le attività sono suddivise nei seguenti tipi:

Attività di gruppo. Attività eseguite nei dispositivi del gruppo di amministrazione selezionato.
Attività di Administration Server. Attività eseguite in Administration Server.
Attività per dispositivi specifici. Attività eseguite su dispositivi selezionati, indipendentemente dalla loro appartenenza a un gruppo di amministrazione.
Attività locali. Attività eseguite in un dispositivo specifico.

È possibile creare un attività dell'applicazione solo se il plug-in di gestione dell'applicazione corrispondente è installato nella workstation dell'amministratore.

È possibile compilare un elenco di dispositivi (fino a 1000 dispositivi) per cui creare un'attività in uno dei seguenti modi:

Selezionando i dispositivi della rete individuati da Administration Server.
Specificando manualmente un elenco di dispositivi. È possibile utilizzare un indirizzo IP (o un intervallo IP), un nome NetBIOS o un nome DNS come indirizzo del dispositivo.
Importare un elenco di dispositivi da un file .txt che contiene gli indirizzi dei dispositivi da aggiungere (ogni indirizzo deve essere specificato su una riga distinta).
Se si importa un elenco di dispositivi da un file o se ne crea uno manualmente e i dispositivi vengono identificati con i rispettivi nomi, l'elenco deve contenere solo dispositivi per cui sono già state immesse le informazioni nel database di Administration Server al momento della connessione dei dispositivi o durante la device discovery.

Per ogni applicazione è possibile creare attività di gruppo, attività per dispositivi specifici o attività locali.

Lo scambio di informazioni sulle attività tra un'applicazione installata in un dispositivo e il database di Kaspersky Security Center avviene al momento della connessione di Network Agent ad Administration Server.

È possibile apportare modifiche alle impostazioni delle attività, visualizzarne l'avanzamento, copiarle, esportarle, importarle ed eliminarle.

Le attività vengono avviate in un dispositivo solo se l'applicazione per cui l'attività è stata creata è in esecuzione. Quando l'applicazione non è in esecuzione, tutte le attività in esecuzione vengono annullate.

I risultati delle attività completate sono salvati nei registri eventi di Microsoft Windows e di Kaspersky Security Center, sia in modo centralizzato in Administration Server che localmente in ogni dispositivo.

Non includere dati privati nelle impostazioni dell'attività. Ad esempio, non specificare la password dell'amministratore del dominio.

Dettagli della gestione delle attività per le applicazioni con supporto multi-tenancy

Un'attività di gruppo per un'applicazione con supporto multi-tenancy viene applicata all'applicazione a seconda della gerarchia di Administration Server e dispositivi client. L'Administration Server virtuale da cui viene creata l'attività deve essere nello stesso gruppo di amministrazione o in un gruppo di amministrazione di livello inferiore rispetto al dispositivo client in cui è installata l'applicazione.

Negli eventi che corrispondono ai risultati dell'esecuzione dell'attività, per un amministratore di un provider di servizi vengono visualizzate le informazioni sul dispositivo in cui è stata eseguita l'attività. Al contrario, per un amministratore del tenant viene visualizzato Nodo multi-tenant.

In questa sezione

Creazione di un'attività

Creazione di un'attività per dispositivi specifici

Creazione di un'attività locale

Visualizzazione di un'attività di gruppo ereditata nell'area di lavoro di un gruppo nidificato

Accensione automatica dei dispositivi prima dell'avvio di un'attività

Spegnimento automatico di un dispositivo dopo il completamento di un'attività

Limitazione del tempo di esecuzione delle attività

Esportazione di un'attività

Importazione di un'attività

Conversione di attività

Avvio e arresto manuale di un'attività

Sospensione e ripresa manuale di un'attività

Monitoraggio dell'esecuzione delle attività

Visualizzazione dei risultati dell'esecuzione delle attività memorizzati in Administration Server

Configurazione di filtri per le informazioni sui risultati dell'esecuzione delle attività

Modifica di un'attività. Rollback delle modifiche

Confronto delle attività

Account per l'avvio delle attività

Esportazione delle cronologia di esecuzione delle attività

Procedura guidata per la modifica della password delle attività

Vedere anche:

Informazioni sulle applicazioni multi-tenant

Inizio pagina

[Topic 3773]

Creazione di un'attività

In Administration Console è possibile creare le attività direttamente nella cartella del gruppo di amministrazione per cui è necessario creare un'attività di gruppo o nell'area di lavoro della cartella Attività.

Per creare un'attività di gruppo nella cartella di un gruppo di amministrazione:

Nella struttura della console selezionare il gruppo di amministrazione per cui si desidera creare un'attività.
Nell'area di lavoro del gruppo selezionare la scheda Attività.
Eseguire la creazione dell'attività facendo clic sul pulsante Crea attività.

Verrà avviata la Creazione guidata nuova attività. Seguire le istruzioni della procedura guidata.

Per creare un'attività nell'area di lavoro della cartella Attività:

Nella struttura della console selezionare la cartella Attività.
Eseguire la creazione dell'attività facendo clic sul pulsante Fine.

Verrà avviata la Creazione guidata nuova attività. Seguire le istruzioni della procedura guidata.

Non includere dati privati nelle impostazioni dell'attività. Ad esempio, non specificare la password dell'amministratore del dominio.

Vedere anche

Inizio pagina

[Topic 3778]

Creazione dell'attività di Administration Server

Administration Server esegue le seguenti attività:

Invia rapporti
Scarica aggiornamenti nell'archivio dell'Administration Server
Backup dei dati di Administration Server
Manutenzione di Administration Server
Esegui sincronizzazione di Windows Update
Crea pacchetto di installazione in base all'immagine del sistema operativo del dispositivo
Installa l'applicazione in remoto
Disinstalla l'applicazione in remoto
Distribuisci pacchetto di installazione
Installa l'applicazione negli Administration Server secondari in remoto

In un Administration Server virtuale sono disponibili solo l'attività di invio automatico dei rapporti e l'attività di creazione del pacchetto di installazione dall'immagine del sistema operativo di un dispositivo di riferimento. L'archivio dell'Administration Server virtuale visualizza gli aggiornamenti scaricati nell'Administration Server primario. Il backup dei dati dell'Administration Server virtuale viene eseguito durante il backup dei dati dell'Administration Server primario.

Per creare l'attività di Administration Server:

Nella struttura della console selezionare la cartella Attività.
Avviare la creazione dell'attività in uno dei seguenti modi:
- Selezionando Nuovo → Attività nel menu di scelta rapida della cartella Attività nella struttura della console.
- Facendo clic sul pulsante Crea attività nell'area di lavoro della cartella Attività.

Verrà avviata la Creazione guidata nuova attività. Seguire le istruzioni della procedura guidata.

Le attività Scarica aggiornamenti nell'archivio dell'Administration Server, Esegui sincronizzazione di Windows Update, Manutenzione Administration Server e Backup dei dati di Administration Server possono essere create una sola volta. Se le attività Scarica gli aggiornamenti nell'archivio dell'Administration Server, Manutenzione Administration Server, Backup dei dati di Administration Server ed Esegui sincronizzazione di Windows Update sono già state create per Administration Server, non verranno visualizzate nella finestra di selezione del tipo di attività della Creazione guidata nuova attività.

Vedere anche:

Inizio pagina

[Topic 3779]

Creazione di un'attività per dispositivi specifici

In Kaspersky Security Center è possibile creare attività per dispositivi specifici. I dispositivi di un set possono essere inclusi in vari gruppi di amministrazione o non appartenere ad alcun gruppo. Kaspersky Security Center può eseguire le seguenti attività principali per dispositivi specifici:

Installazione remota di un'applicazione
Invia messaggio all'utente
Modifica di Administration Server
Gestisci dispositivi
Verifica aggiornamenti
Distribuzione dei pacchetti di installazione
Installa l'applicazione negli Administration Server secondari in remoto
Disinstallazione di un'applicazione in remoto

Per creare un'attività per dispositivi specifici:

Nella struttura della console selezionare la cartella Attività.
Avviare la creazione dell'attività in uno dei seguenti modi:
- Selezionando Nuovo → Attività nel menu di scelta rapida della cartella Attività nella struttura della console.
- Facendo clic sul pulsante Crea attività nell'area di lavoro della cartella Attività.

Verrà avviata la Creazione guidata nuova attività. Seguire le istruzioni della procedura guidata.

Vedere anche:

Inizio pagina

[Topic 3780]

Creazione di un'attività locale

Per creare un'attività locale per un dispositivo:

Selezionare la scheda Dispositivi nell'area di lavoro del gruppo che include il dispositivo.
Dall'elenco dei dispositivi nella scheda Dispositivi selezionare il dispositivo per cui è necessario creare un'attività locale.
Avviare la creazione dell'attività per il dispositivo selezionato in uno dei seguenti modi:
- Fare clic sul pulsante Esegui azione e selezionare Crea attività nell'elenco a discesa.
- Fare clic sul collegamento Crea attività nell'area di lavoro del dispositivo.
- Utilizzare le proprietà del dispositivo come segue:
  1. Nel menu di scelta rapida del dispositivo selezionare Proprietà.
  2. Nella finestra delle proprietà del dispositivo visualizzata selezionare la sezione Attività, quindi fare clic su Aggiungi.

Verrà avviata la Creazione guidata nuova attività. Seguire le istruzioni della procedura guidata.

Le istruzioni dettagliate su come creare e configurare le attività locali sono fornite nelle Guide delle rispettive applicazioni Kaspersky.

Vedere anche:

Inizio pagina

[Topic 3783]

Visualizzazione di un'attività di gruppo ereditata nell'area di lavoro di un gruppo nidificato

Per abilitare la visualizzazione delle attività ereditate di un gruppo nidificato nell'area di lavoro:

Selezionare la scheda Attività nell'area di lavoro di un gruppo nidificato.
Nell'area di lavoro della scheda Attività fare clic sul pulsante Mostra attività ereditate.

Le attività ereditate verranno visualizzate nell'elenco delle attività con una delle seguenti icone:

– Se sono stati ereditati da un gruppo creato nell'Administration Server primario.
– Se sono stati ereditati da un gruppo di livello superiore.

Se è abilitata la modalità di ereditarietà, le attività ereditate possono essere modificate solo nel gruppo in cui sono state create. Le attività ereditate non possono essere modificate nel gruppo che eredita le attività.

Vedere anche:

Inizio pagina

[Topic 3784]

Accensione automatica dei dispositivi prima dell'avvio di un'attività

Kaspersky Security Center non esegue attività sui dispositivi spenti. È possibile configurare Kaspersky Security Center per l'accensione automatica di questi dispositivi prima di avviare un'attività, utilizzando la funzione Wake-on-LAN.

Per configurare l'accensione automatica dei dispositivi prima dell'avvio di un'attività:

Nella finestra delle proprietà dell'attività selezionare la sezione Pianificazione.
Per configurare le azioni sui dispositivi, fare clic sul collegamento Avanzate.
Nella finestra Avanzate visualizzata selezionare la casella di controllo Accendi i dispositivi utilizzando la funzione Wake-on-LAN prima di avviare l'attività (min) e specificare l'intervallo di tempo in minuti.

Di conseguenza, per il numero di minuti specificato prima dell'avvio dell'attività, Kaspersky Security Center accende i dispositivi e carica il sistema operativo su questi utilizzando la funzione Wake-on-LAN. Al termine dell'attività, i dispositivi vengono automaticamente spenti se gli utenti del dispositivo non accedono al sistema. Si noti che Kaspersky Security Center spegne automaticamente solo i dispositivi accesi utilizzando la funzione Wake-on-LAN.

Kaspersky Security Center può avviare automaticamente i sistemi operativi solo sui dispositivi che supportano lo standard Wake-on-LAN (WoL).

Vedere anche:

Inizio pagina

[Topic 3785]

Spegnimento automatico di un dispositivo dopo il completamento di un'attività

Kaspersky Security Center consente di configurare un'attività in modo che i dispositivi a cui è distribuita vengano spenti automaticamente dopo il completamento dell'attività.

Per spegnere automaticamente un dispositivo dopo il completamento di un'attività:

Nella finestra delle proprietà dell'attività selezionare la sezione Pianificazione.
Fare clic sul collegamento Avanzate per aprire la finestra per la configurazione delle azioni sui dispositivi.
Nella finestra Avanzate visualizzata selezionare la casella di controllo Spegni i dispositivi dopo il completamento dell'attività.

Vedere anche:

Inizio pagina

[Topic 3786]

Limitazione del tempo di esecuzione delle attività

Per limitare il tempo di esecuzione di un'attività nei dispositivi:

Nella finestra delle proprietà dell'attività selezionare la sezione Pianificazione.
Fare clic su Avanzate per aprire la finestra per la configurazione delle azioni nei dispositivi client.
Nella finestra Avanzate visualizzata selezionare la casella di controllo Arresta se l'attività viene eseguita per più di (min) e specificare l'intervallo di tempo in minuti.

Se l'attività non è ancora stata completata nel dispositivo al termine dell'intervallo di tempo specificato, Kaspersky Security Center interrompe automaticamente l'attività.

Vedere anche:

Inizio pagina

[Topic 3789]

Esportazione di un'attività

È possibile esportare in un file attività di gruppo e attività per dispositivi specifici. Le attività di Administration Server non sono disponibili per l'esportazione.

Per esportare un'attività:

Nel menu di scelta rapida dell'attività selezionare Tutte le attività → Esporta.
Nella finestra Salva con nome visualizzata specificare il percorso e il nome del file.
Fare clic sul pulsante Salva.

I diritti degli utenti locali non vengono esportati.

Vedere anche:

Inizio pagina

[Topic 3790]

Importazione di un'attività

È possibile importare attività di gruppo e attività per dispositivi specifici. Le attività di Administration Server non sono disponibili per l'importazione.

Per importare un'attività:

Selezionare l'elenco in cui deve essere importata l'attività:
- Per importare l'attività nell'elenco delle attività di gruppo, selezionare la scheda Attività nell'area di lavoro del gruppo di amministrazione desiderato.
- Per importare un'attività nell'elenco delle attività per dispositivi specifici, selezionare la cartella Attività nella struttura della console.
Selezionare una delle seguenti opzioni per importare l'attività:
- Nel menu di scelta rapida dell'elenco dell'attività selezionare Tutte le attività → Importa.
- Fare clic sul collegamento Importa attività da file nella sezione di gestione dell'elenco attività.
Nella finestra visualizzata specificare il percorso del file da cui si desidera importare un'attività.
Fare clic sul pulsante Apri.

L'attività verrà visualizzata nell'elenco delle attività.

Se l'attività appena importata ha un nome identico a un'attività esistente, il nome dell'attività importata viene espanso con l'indice (<numero progressivo successivo>), ad esempio: (1), (2).

Vedere anche:

Inizio pagina

[Topic 17337]

Conversione di attività

È possibile utilizzare Kaspersky Security Center per convertire le attività delle versioni precedenti delle applicazioni Kaspersky in attività delle versioni correnti delle stesse applicazioni.

La conversione è disponibile per le attività delle seguenti applicazioni:

Kaspersky Anti-Virus 6.0 for Windows Workstations MP4
Kaspersky Endpoint Security 8 for Windows
Kaspersky Endpoint Security 10 for Windows

Per convertire le attività:

Nella struttura della console selezionare un Administration Server per cui si desidera convertire le attività.
Nel menu di scelta rapida di Administration Server selezionare Tutte le attività → Conversione guidata criteri e attività.

Verrà avviata la Conversione guidata criteri e attività. Seguire le istruzioni della procedura guidata.

Al termine della procedura guidata vengono create nuove attività, che utilizzano le impostazioni delle attività delle versioni precedenti delle applicazioni.

Vedere anche:

Inizio pagina

[Topic 3791]

Avvio e arresto manuale di un'attività

È possibile avviare e arrestare manualmente le attività tramite uno dei seguenti metodi: dal menu di scelta rapida dell'attività o nella finestra delle proprietà del dispositivo client a cui è stata assegnata l'attività.

L'avvio di attività di gruppo dal menu di scelta rapida del dispositivo è consentito solo agli utenti appartenenti al gruppo KLAdmins.

Per avviare o arrestare un'attività dal menu di scelta rapida o dalla finestra delle proprietà dell'attività:

Selezionare un'attività nell'elenco delle attività.
Avviare o interrompere l'attività in uno dei seguenti modi:
- Selezionando Avvia o Arresta nel menu di scelta rapida dell'attività.
- Fare clic su Avvia o Arresta nella sezione Generale della finestra delle proprietà dell'attività.

Per avviare o arrestare un'attività dal menu di scelta rapida o dalla finestra delle proprietà del dispositivo client:

Selezionare il dispositivo nell'elenco dei dispositivi.
Avviare o interrompere l'attività in uno dei seguenti modi:
- Selezionare Tutte le attività → Esegui attività nel menu di scelta rapida del dispositivo. Selezionare l'attività di riferimento dall'elenco delle attività.
  L'elenco dei dispositivi a cui è assegnata l'attività verrà sostituito dal dispositivo selezionato. L'attività viene avviata.
- Fare clic sul pulsante di avvio () o sul pulsante di interruzione () nella sezione Attività della finestra delle proprietà del dispositivo.

Vedere anche:

Inizio pagina

[Topic 3792]

Sospensione e ripresa manuale di un'attività

Per sospendere o riprendere manualmente un'attività in esecuzione:

Selezionare un'attività nell'elenco delle attività.
Sospendere o riprendere l'attività in uno dei seguenti modi:
- Selezionando Sospendi o Riprendi nel menu di scelta rapida dell'attività.
- Selezionando la sezione Generale nella finestra delle proprietà dell'attività e facendo clic su Sospendi or Riprendi.

Vedere anche:

Inizio pagina

[Topic 3961]

Monitoraggio dell'esecuzione delle attività

Per monitorare l'esecuzione delle attività:

nella finestra delle proprietà dell'attività selezionare la sezione Generale.

Nella parte centrale della sezione Generale viene visualizzato lo stato corrente dell'attività.

Vedere anche:

Inizio pagina

[Topic 3794]

Visualizzazione dei risultati dell'esecuzione delle attività memorizzati in Administration Server

Kaspersky Security Center consente di visualizzare i risultati dell'esecuzione delle attività di gruppo, le attività per dispositivi specifici e le attività di Administration Server. Non possono essere visualizzati i risultati dell'esecuzione per le attività locali.

Per visualizzare i risultati di un'attività:

Nella finestra delle proprietà dell'attività selezionare la sezione Generale.
Fare clic sul collegamento Risultati per aprire la finestra Risultati attività.

Vedere anche:

Inizio pagina

[Topic 3795]

Configurazione di filtri per le informazioni sui risultati dell'esecuzione delle attività

Kaspersky Security Center consente di filtrare le informazioni relative ai risultati dell'esecuzione delle attività di gruppo, le attività per dispositivi specifici e le attività di Administration Server. Non sono disponibili filtri per le attività locali.

Per configurare i filtri per le informazioni sui risultati dell'esecuzione delle attività:

Nella finestra delle proprietà dell'attività selezionare la sezione Generale.
Fare clic sul collegamento Risultati per aprire la finestra Risultati attività.
La tabella superiore contiene un elenco di tutti i dispositivi a cui è assegnata l'attività. La tabella inferiore visualizza i risultati dell'attività eseguita nel dispositivo selezionato.
Fare clic con il pulsante destro del mouse sulla tabella desiderata per aprire il menu di scelta rapida e selezionare Filtro.
Nella finestra Imposta filtro visualizzata definire le impostazioni del filtro nelle sezioni Eventi, Dispositivi e Data/Ora. Fare clic su OK.

Nella finestra Risultati attività verranno visualizzate le informazioni che soddisfano le impostazioni specificate nel filtro.

Vedere anche:

Inizio pagina

[Topic 131027]

Modifica di un'attività. Rollback delle modifiche

Per modificare un'attività:

Nella struttura della console selezionare la cartella Attività.
Nell'area di lavoro della cartella Attività selezionare un'attività e passare alla finestra delle proprietà dell'attività utilizzando il menu di scelta rapida.
Apportare le modifiche desiderate.
Nella sezione Esclusioni dall'ambito dell'attività è possibile configurare l'elenco dei sottogruppi a cui non viene applicata l'attività.
Fare clic su Applica.

Le modifiche apportate all'attività saranno salvate nella finestra delle proprietà dell'attività, nella sezione Cronologia revisioni.

È possibile eseguire il rollback delle modifiche apportate all'attività, se necessario.

Per eseguire il rollback delle modifiche apportate a un'attività:

Nella struttura della console selezionare la cartella Attività.
Selezionare l'attività in cui è necessario eseguire il rollback delle modifiche e aprire la finestra delle proprietà dell'attività utilizzando il menu di scelta rapida.
Nella finestra delle proprietà dell'attività selezionare la sezione Cronologia revisioni.
Nell'elenco delle revisioni dell'attività selezionare il numero della revisione a cui eseguire il rollback delle modifiche.
Fare clic sul pulsante Avanzate e selezionare il valore Rollback nell'elenco a discesa.

Vedere anche:

Inizio pagina

[Topic 144974]

Confronto delle attività

È possibile confrontare attività dello stesso tipo: ad esempio, è possibile confrontare due attività di scansione malware, ma non è possibile confrontare un'attività di scansione malware e un'attività di installazione degli aggiornamenti. Dopo il confronto, è visualizzato un rapporto che indica quali impostazioni delle attività corrispondono e quali sono diverse. È possibile stampare il rapporto di confronto delle attività o salvarlo in un file. Potrebbe essere necessario un confronto delle attività quando a diverse unità di un'azienda sono assegnate varie attività dello stesso tipo. Ad esempio, per i dipendenti del reparto contabilità viene eseguita un'attività di scansione malware solo per i dischi locali dei dispositivi, mentre per i dipendenti del reparto vendite (che comunicano con i clienti) viene eseguita un'attività di scansione sia dei messaggi e-mail che dei dischi locali. Per notare velocemente tale differenza, non è necessario visualizzare tutte le impostazioni delle attività: è sufficiente confrontare le attività.

È possibile confrontare solo attività dello stesso tipo.

È possibile confrontare le attività solo in coppia.

È possibile confrontare le attività in uno dei seguenti modi: selezionando un'attività e confrontandola con un'altra o confrontando una coppia di attività dall'elenco delle attività.

Per selezionare un'attività e confrontarla con un'altra:

Nella struttura della console selezionare la cartella Attività.
Nell'area di lavoro della cartella Attività selezionare l'attività da confrontare con un'altra.
Nel menu di scelta rapida dell'attività selezionare Tutte le attività → Confronta con un'altra attività.
Nella finestra Selezionare un'attività selezionare l'attività per il confronto.
Fare clic su OK.

Verrà visualizzato un rapporto in formato HTML che confronta le due attività.

Per confrontare una coppia di attività dall'elenco delle attività:

Nella struttura della console selezionare la cartella Attività.
Nella cartella Attività, nell'elenco delle attività, premere il tasto MAIUSC o CTRL per selezionare due attività dello stesso tipo.
Nel menu di scelta rapida selezionare Confronta.

Verrà visualizzato un rapporto in formato HTML che confronta le attività selezionate.

Quando vengono confrontate le attività, se le password sono differenti nel rapporto di confronto attività verranno visualizzati degli asterischi (******).

Se nelle proprietà delle attività è stata modificata la password, nel rapporto di confronto delle revisioni verranno visualizzati degli asterischi (******).

Vedere anche:

Inizio pagina

[Topic 11352]

Account per l'avvio delle attività

È possibile specificare un account con cui eseguire l'attività.

Per eseguire un'attività di scansione su richiesta, ad esempio, sono necessari i diritti di accesso per l'oggetto sottoposto a scansione, mentre per eseguire un'attività di aggiornamento sono necessari i diritti utente per il server proxy. La possibilità di specificare un account per l'esecuzione dell'attività consente di evitare problemi relativi alle attività di scansione su richiesta e di aggiornamento se l'utente che esegue l'attività non dispone dei diritti di accesso richiesti.

Durante l'esecuzione delle attività di installazione o disinstallazione remota, viene utilizzato l'account specificato per scaricare nei dispositivi client i file necessari per installare o disinstallare un'applicazione nel caso Network Agent non sia installato o disponibile. Se Network Agent è installato e disponibile, l'account viene utilizzato se, in base alle impostazioni delle attività, il trasferimento dei file viene eseguito solo tramite le utilità di Microsoft Windows dalla cartella condivisa. In questo caso, l'account deve disporre dei seguenti diritti per il dispositivo:

Diritto di avviare le applicazioni in remoto.
Diritto di utilizzare la risorsa Admin$.
Diritto di accesso come servizio.

Se i file vengono inviati ai dispositivi tramite Network Agent, l'account non verrà utilizzato. Tutte le operazioni di copia e installazione dei file verranno eseguite da Network Agent (account LocalSystem).

Vedere anche:

Passaggio 1. Immissione delle credenziali

Inizio pagina

[Topic 295928]

Esportazione delle cronologia di esecuzione delle attività

Se si riscontrano problemi durante un'attività, potrebbe essere necessario indagare sulle cause sottostanti. A tale scopo, è possibile esportare e analizzare ulteriormente la cronologia di esecuzione delle attività.

Per esportare la cronologia di esecuzione delle attività:

Creare un file TXT vuoto in una directory sul dispositivo.
La cronologia di esecuzione delle attività verrà esportata in questo file.
Aprire la finestra dei risultati delle attività.
Nella parte superiore della finestra dei risultati delle attività, selezionare il dispositivo che presenta problemi.
Nella parte inferiore della finestra dei risultati delle attività, in cui viene visualizzata la cronologia delle esecuzioni per il dispositivo selezionato, selezionare uno o più eventi.
Per selezionare più eventi, utilizzare il tasto Maiusc o Ctrl.
Fare clic con il pulsante destro del mouse sugli eventi selezionati per aprire il menu di scelta rapida e selezionare Esporta.
Verrà avviata l'Esportazione guidata eventi.
Nella fase File di esportazione della procedura guidata, fare clic sul pulsante Sfoglia, quindi selezionare il file TXT creato per esportare la cronologia di esecuzione delle attività.
Se si desidera esportare solo gli eventi selezionati, abilitare l'opzione Esporta solo gli eventi selezionati.

Se si desidera esportare l'intera cronologia dell'esecuzione delle attività (tutti gli eventi), l'opzione Esporta solo gli eventi selezionati deve essere disabilitato.
Fare clic sul pulsante Avanti.
Nella fase Formato di esportazione della procedura guidata, abilitare una delle seguenti opzioni:
- Esporta come testo Unicode delimitato da tabulazioni
  Abilitare questa opzione se i dati esportati includono caratteri speciali e simboli di diverse lingue e si desidera garantire che tutti i caratteri vengano mantenuti correttamente quando il file TXT con i dati esportati viene aperto in applicazioni diverse.
- Esporta come testo delimitato da tabulazioni
  Abilitare questa opzione se si desidera mantenere la compatibilità con sistemi o applicazioni meno recenti che potrebbero non supportare Unicode.
Fare clic sul pulsante Avanti per terminare la procedura guidata.

La cronologia di esecuzione delle attività viene esportata nel file TXT selezionato.

Inizio pagina

[Topic 192305]

Procedura guidata per la modifica della password delle attività

Per un'attività non locale, è possibile specificare un account con il quale deve essere eseguita l'attività. È possibile specificare l'account durante la creazione dell'attività o nelle proprietà di un'attività esistente. Se l'account specificato è utilizzato conformemente alle istruzioni di sicurezza dell'organizzazione, queste istruzioni possono occasionalmente richiedere la modifica della password dell'account. Quando scade la password dell'account e viene impostata una nuova password, l'attività non verrà avviata fino a quando non viene specificata la nuova password valida nelle proprietà dell'attività.

La Procedura guidata per la modifica della password delle attività consente di sostituire automaticamente la vecchia password con la nuova in tutte le attività in cui è specificato l'account. In alternativa è possibile eseguire manualmente l'operazione nelle proprietà di ogni attività.

Per avviare la Procedura guidata per la modifica della password delle attività:

Nella struttura della console selezionare il nodo Attività.
Nel menu di scelta rapida del nodo selezionare Procedura guidata per la modifica della password delle attività.

Seguire le istruzioni della procedura guidata.

In questa sezione

Passaggio 2. Selezione di un'azione da eseguire

Passaggio 3. Visualizzazione dei risultati

Inizio pagina

[Topic 192383]

Passaggio 1. Immissione delle credenziali

Nei campi Account e Password specificare le nuove credenziali attualmente valide nel sistema (ad esempio in Active Directory). Quando si passa al passaggio successivo della procedura guidata, Kaspersky Security Center verifica se il nome dell'account specificato corrisponde al nome dell'account nelle proprietà di ogni attività non locale. Se il nome dell'account corrisponde, la password nelle proprietà dell'attività verrà automaticamente sostituita con quella nuova.

Se si compila il campo Password precedente (opzionale), Kaspersky Security Center sostituisce la password solo per le attività in cui si trovano sia il nome dell'account sia la password precedente. La sostituzione viene eseguita automaticamente. In tutti gli altri casi è necessario scegliere un'azione da eseguire nel passaggio successivo della procedura guidata.

Vedere anche:

Procedura guidata per la modifica della password delle attività

Passaggio 2. Selezione di un'azione da eseguire

Passaggio 3. Visualizzazione dei risultati

Inizio pagina

[Topic 192740]

Passaggio 2. Selezione di un'azione da eseguire

Se non è stata specificata la password precedente nel primo passaggio della procedura guidata o se la password precedente specificata non corrisponde alle password nelle attività, è necessario scegliere un'azione da eseguire per le attività rilevate.

Per ciascuna attività con lo stato Richiesta approvazione, decidere se rimuovere la password nelle proprietà dell'attività o sostituirla con quella nuova. Se si sceglie di rimuovere la password, l'attività viene eseguita con l'account predefinito.

Vedere anche:

Procedura guidata per la modifica della password delle attività

Passaggio 1. Immissione delle credenziali

Passaggio 3. Visualizzazione dei risultati

Inizio pagina

[Topic 192752]

Passaggio 3. Visualizzazione dei risultati

Nell'ultimo passaggio della procedura guidata, visualizzare i risultati per ciascuna attività rilevata. Per completare la procedura guidata, fare clic sul pulsante Fine.

Vedere anche:

Procedura guidata per la modifica della password delle attività

Passaggio 1. Immissione delle credenziali

Passaggio 2. Selezione di un'azione da eseguire

Inizio pagina

[Topic 38042]

Creazione di una gerarchia di gruppi di amministrazione subordinati a un Administration Server virtuale

Dopo la creazione dell'Administration Server virtuale, questo contiene per impostazione predefinita un gruppo di amministrazione denominato Dispositivi gestiti.

La procedura per la creazione di una gerarchia di gruppi di amministrazione subordinati a un Administration Server virtuale è identica alla procedura per la creazione di una gerarchia di gruppi di amministrazione subordinati all'Administration Server fisico.

Non è possibile aggiungere Administration Server secondari e virtuali ai gruppi di amministrazione subordinati a un Administration Server virtuale. Ciò è dovuto alle limitazioni degli Administration Server virtuali.

Vedere anche:

Gestione dei gruppi di amministrazione

Gerarchia di criteri tramite i profili criterio

Inizio pagina

[Topic 165762]

Criteri e profili criterio

In Kaspersky Security Center Web Console è possibile creare criteri per le applicazioni Kaspersky. Questa sezione descrive i criteri e i profili criterio e fornisce istruzioni per crearli e modificarli.

In questa sezione

Gestione dei criteri

Gestione dei profili criterio

Vedere anche:

Ereditarietà delle impostazioni dei criteri

Inizio pagina

[Topic 92432]

Gerarchia di criteri tramite i profili criterio

Questa sezione fornisce informazioni su come applicare i criteri ai dispositivi nei gruppi di amministrazione. Questa sezione fornisce anche informazioni sui profili dei criteri.

In questa sezione

Gerarchia dei criteri

Profili criterio

Inizio pagina

[Topic 92433]

Gerarchia dei criteri

In Kaspersky Security Center i criteri vengono utilizzati per definire una singola raccolta di impostazioni per più dispositivi. Ad esempio, l'ambito del criterio dell'applicazione P definito per il gruppo di amministrazione G include i dispositivi gestiti in cui è installata l'applicazione P che sono stati distribuiti nel gruppo G e in tutti i relativi sottogruppi, ad eccezione dei sottogruppi in cui la casella di controllo Eredita da gruppo padre è deselezionata nelle proprietà.

Un criterio differisce da qualsiasi impostazione locale in base alle icone di blocco () accanto alle relative impostazioni. Se un'impostazione (o un gruppo di impostazioni) è bloccata nelle proprietà del criterio, è necessario in primo luogo utilizzare questa impostazione (o gruppo di impostazioni) durante la creazione delle impostazioni da applicare e, in secondo luogo, scrivere le impostazioni o il gruppo di impostazioni nel criterio downstream.

La creazione delle impostazioni da applicare in un dispositivo può essere descritta come segue: i valori di tutte le impostazioni che non sono state bloccate vengono ottenuti dal criterio, quindi sono sovrascritti con i valori delle impostazioni locali. La raccolta risultante viene quindi sovrascritta con i valori delle impostazioni bloccate ottenuti dal criterio.

I criteri della stessa applicazione si influenzano reciprocamente attraverso la gerarchia dei gruppi di amministrazione: le impostazioni bloccate del criterio upstream sovrascrivono le stesse impostazioni del criterio downstream.

Esiste un criterio speciale per gli utenti fuori sede. Questo criterio ha effetto su un dispositivo quando il dispositivo passa in modalità fuori sede. I criteri fuori sede non influiscono sugli altri criteri attraverso la gerarchia dei gruppi di amministrazione.

Inizio pagina

[Topic 92434]

Profili criterio

L'applicazione dei criteri ai dispositivi solo tramite la gerarchia dei gruppi di amministrazione in molte circostanze può essere poco pratica. Può essere necessario creare più istanze di un singolo criterio con una o due impostazioni differenti per gruppi di amministrazione diversi e sincronizzare i contenuti di questi criteri in futuro.

Per contribuire a evitare tali problemi, Kaspersky Security Center supporta profili di criteri. Un profilo criterio è un sottoinsieme denominato di impostazioni dei criteri. Questo sottoinsieme viene distribuito nei dispositivi di destinazione insieme al criterio, integrandolo in una condizione specifica definita condizione di attivazione del profilo. I profili contengono solo le impostazioni diverse dal criterio "di base" che è attivo sul dispositivo client (computer o dispositivo mobile). L'attivazione di un profilo determina la modifica delle impostazioni del criterio attivo nel dispositivo prima dell'attivazione del profilo. Tali impostazioni assumono i valori specificati nel profilo.

Attualmente ai profili criterio si applicano le seguenti limitazioni:

Un criterio può includere al massimo 100 profili.
Un profilo criterio non può contenere altri profili.
Un profilo criterio non può contenere impostazioni di notifica.

Contenuto di un profilo

Un profilo criterio contiene i seguenti elementi:

Nome. I profili con nomi identici si influenzano reciprocamente attraverso la gerarchia dei gruppi di amministrazione con regole comuni.
Sottoinsieme di impostazioni dei criteri. A differenza del criterio, che contiene tutte le impostazioni, un profilo contiene solo le impostazioni che sono effettivamente richieste (le impostazioni bloccate).
Condizione di attivazione è un'espressione logica con le proprietà del dispositivo. Un profilo è attivo (integra il criterio) solo quando la condizione di attivazione del profilo diventa vera. In tutti gli altri casi, il profilo è inattivo e viene ignorato. Le seguenti proprietà del dispositivo possono essere incluse nell'espressione logica:
- Stato della modalità fuori sede.
- Proprietà dell'ambiente di rete - Nome della regola attiva per la connessione di Network Agent.
- Presenza o assenza dei tag specificati nel dispositivo.
- Posizione del dispositivo in un'unità di Active Directory: esplicita (il dispositivo è direttamente nell'unità organizzativa specificata) o implicita (il dispositivo è in un'unità organizzativa che è contenuta nell'unità organizzativa specificata a qualsiasi livello di annidamento).
- Appartenenza del dispositivo a un gruppo di protezione di Active Directory (esplicita o implicita).
- Appartenenza del proprietario del dispositivo a un gruppo di protezione di Active Directory (esplicita o implicita).
Casella di controllo per la disabilitazione del profilo. I profili disabilitati vengono sempre ignorati e le relative condizioni di attivazione non sono verificate.
Priorità del profilo. Le condizioni di attivazione di differenti profili sono indipendenti, quindi è possibile attivare contemporaneamente più profili. Se i profili attivi contengono raccolte di impostazioni che non si sovrappongono, non si verifica alcun problema. Se invece due profili attivi contengono valori diversi della stessa impostazione, si verifica un'ambiguità. Questa ambiguità deve essere evitata tramite le priorità dei profili: il valore della variabile ambigua viene ottenuto dal profilo che ha la priorità più alta (quello al livello superiore nell'elenco dei profili).

Comportamento dei profili quando i criteri si influenzano reciprocamente attraverso la gerarchia

I profili con lo stesso nome vengono uniti in base alle regole di unione dei criteri. I profili di un criterio upstream hanno una priorità più alta rispetto ai profili di un criterio downstream. Se la modifica delle impostazioni non è consentita nel criterio upstream (è bloccata), il criterio downstream utilizza le condizioni di attivazione del profilo di quello upstream. Se la modifica delle impostazioni è consentita nel criterio upstream, vengono utilizzate le condizioni di attivazione del profilo del criterio downstream.

Poiché un profilo criterio può contenere la proprietà Il dispositivo è offline nella relativa condizione di attivazione, i profili sostituiscono completamente la funzionalità dei criteri per gli utenti fuori sede, che non saranno non più supportati.

Un criterio per gli utenti fuori sede può contenere profili, ma questi profili possono essere attivati solo una volta che il dispositivo passa alla modalità fuori sede.

Inizio pagina

[Topic 179787]

Ereditarietà delle impostazioni dei criteri

Un criterio viene specificato per un gruppo di amministrazione. Le impostazioni dei criteri possono essere ereditate, ovvero ricevute nei sottogruppi (gruppi figlio) del gruppo di amministrazione per cui sono state impostate. Da questo momento in poi, un criterio per un gruppo padre viene denominato anche criterio principale.

È possibile abilitare o disabilitare due opzioni di ereditarietà: Eredita impostazioni dal criterio principalee Forza ereditarietà impostazioni nei criteri secondari:

Se si abilita l'opzione Eredita impostazioni dal criterio principale per un criterio secondario e si bloccano alcune impostazioni nel criterio principale, non è possibile modificare queste impostazioni per il gruppo figlio. Tuttavia, è possibile modificare le impostazioni che non sono bloccate nel criterio principale.
Se si disabilita l'opzione Eredita impostazioni dal criterio principale per un criterio secondario, è possibile modificare tutte le impostazioni nel gruppo figlio, anche se alcune impostazioni sono bloccate nel criterio principale.
Se si abilita Forza ereditarietà impostazioni nei criteri secondari nel gruppo padre, viene abilitata l'opzione Eredita impostazioni dal criterio principale per tutti i criteri secondari. In questo caso, non è possibile disabilitare questa opzione per nessun criterio secondario. Tutte le impostazioni bloccate nel criterio principale vengono ereditate forzatamente nei gruppi figlio e non è possibile modificare queste impostazioni nei gruppi figlio.
Nei criteri per il gruppo Dispositivi gestiti, l'opzione Eredita impostazioni dal criterio principale non influisce su alcuna impostazione, dal momento che il gruppo Dispositivi gestiti non dispone di gruppi upstream e non eredita criteri.

Per impostazione predefinita, l'opzione Eredita impostazioni dal criterio principale è abilitata per un nuovo criterio.

Se un criterio dispone di profili, tutti i criteri secondari ereditano tali profili.

Inizio pagina

[Topic 3746]

Gestione dei criteri

Le applicazioni installate nei dispositivi client sono configurate in modo centralizzato attraverso la definizione di criteri.

I criteri creati per le applicazioni in un gruppo di amministrazione sono visualizzati nell'area di lavoro, nella scheda Criteri. Prima del nome di ogni criterio viene visualizzata un'icona con il relativo stato.

Quando un criterio viene eliminato o revocato, l'applicazione continua a funzionare con le impostazioni specificate nel criterio. Successivamente tali impostazioni possono essere modificate manualmente.

L'applicazione di un criterio avviene come segue: se un dispositivo esegue attività residenti (attività di protezione in tempo reale), queste continueranno a essere eseguite con i nuovi valori delle impostazioni. Qualsiasi attività periodica avviata (scansione su richiesta, aggiornamento dei database dell'applicazione) continua a essere eseguita senza che i valori siano modificati. Al successivo avvio, verranno eseguite con i nuovi valori delle impostazioni.

I criteri per le applicazioni con supporto multi-tenancy vengono ereditati sia dai gruppi di amministrazione di livello inferiore che da quelli di livello superiore: il criterio viene propagato a tutti i dispositivi client in cui è installata l'applicazione.

Se gli Administration Server sono strutturati gerarchicamente, gli Administration Server secondari ricevono i criteri dall'Administration Server primario e li distribuiscono ai dispositivi client. Se l'ereditarietà è abilitata, le impostazioni dei criteri possono essere modificate nell'Administration Server primario. In seguito, qualsiasi modifica apportata alle impostazioni del criterio viene propagata ai criteri ereditati negli Administration Server secondari.

Se la connessione tra gli Administration Server primari e secondari si interrompe, il criterio nel server secondario continuerà a utilizzare le impostazioni applicate. Le impostazioni dei criteri modificate nell'Administration Server primario vengono distribuite a un Administration Server secondario una volta ristabilita la connessione.

Se l'eredità è disabilitata, le impostazioni dei criteri possono essere modificate in un Administration Server secondario indipendentemente dall'Administration Server primario.

Se la connessione tra un Administration Server e un dispositivo client si interrompe, il dispositivo client inizia a utilizzare il criterio fuori sede (se è stato definito) o il criterio continua a utilizzare le impostazioni applicate finché non viene ristabilita la connessione.

I risultati della distribuzione dei criteri all'Administration Server secondario sono visualizzati nella finestra delle proprietà del criterio della console nell'Administration Server primario.

I risultati della distribuzione dei criteri ai dispositivi client sono visualizzati nella finestra delle proprietà dei criteri dell'Administration Server a cui sono connessi.

Non utilizzare dati privati nelle impostazioni del criterio. Ad esempio, non specificare la password dell'amministratore del dominio.

In questa sezione

Creazione di un criterio

Visualizzazione dei criteri ereditati in un sottogruppo

Attivazione di un criterio

Attivazione automatica di un criterio quando si verifica un evento Epidemia di virus

Applicazione di un criterio fuori sede

Modifica di un criterio. Rollback delle modifiche

Visualizzazione del grafico dello stato di distribuzione dei criteri

Confronto dei criteri

Eliminazione di un criterio

Copia di un criterio

Esportazione di un criterio

Importazione di un criterio

Conversione di criteri

Vedere anche:

Informazioni sulle applicazioni multi-tenant

Inizio pagina

[Topic 3747]

Creazione di un criterio

In Administration Console è possibile creare i criteri direttamente nella cartella del gruppo di amministrazione per cui è necessario creare un criterio o nell'area di lavoro della cartella Criteri.

Per creare un criterio nella cartella di un gruppo di amministrazione:

Nella struttura della console selezionare il gruppo di amministrazione per cui si desidera creare un criterio.
Nell'area di lavoro del gruppo selezionare la scheda Criteri.
Eseguire la Creazione guidata nuovo criterio facendo clic sul pulsante Nuovo criterio.

Verrà avviata la Creazione guidata nuovo criterio. Seguire le istruzioni della procedura guidata.

Per creare un criterio nell'area di lavoro della cartella Criteri:

Nella struttura della console selezionare la cartella Criteri.
Eseguire la Creazione guidata nuovo criterio facendo clic sul pulsante Nuovo criterio.

Verrà avviata la Creazione guidata nuovo criterio. Seguire le istruzioni della procedura guidata.

È possibile creare diversi criteri per un'applicazione di un gruppo, ma può essere attivo un solo criterio alla volta. Quando si crea un nuovo criterio attivo, il criterio attivo precedente diventa inattivo.

Quando si crea un criterio, è possibile specificare un set minimo di parametri necessari per il corretto funzionamento dell'applicazione. Per tutti gli altri valori vengono utilizzati i valori predefiniti applicati durante l'installazione locale dell'applicazione. Dopo avere creato il criterio, è possibile modificarlo.

Non utilizzare dati privati nelle impostazioni del criterio. Ad esempio, non specificare la password dell'amministratore del dominio.

Le impostazioni delle applicazioni Kaspersky modificate in seguito all'applicazione dei criteri sono descritte in dettaglio nelle rispettive Guide.

Dopo la creazione del criterio, le impostazioni per cui non è consentita la modifica (contrassegnate con l'icona del lucchetto () diventano effettive nei dispositivi client indipendentemente dalle impostazioni precedentemente specificate per l'applicazione.

Vedere anche:

Configurazione e propagazione dei criteri: approccio incentrato sui dispositivi

Inizio pagina

[Topic 3754]

Visualizzazione dei criteri ereditati in un sottogruppo

Per abilitare la visualizzazione dei criteri ereditati per un gruppo di amministrazione nidificato:

Nella struttura della console selezionare il gruppo di amministrazione per cui visualizzare i criteri ereditati.
Nell'area di lavoro del gruppo selezionato selezionare la scheda Criteri.
Nel menu di scelta rapida dell'elenco dei criteri selezionare Visualizza → Criteri ereditati.

I criteri ereditati verranno visualizzati nell'elenco dei criteri con la seguente icona:

– Se sono stati ereditati da un gruppo creato nell'Administration Server primario.
– Se sono stati ereditati da un gruppo di livello superiore.

Se è abilitata la modalità di ereditarietà delle impostazioni, i criteri ereditati sono disponibili per la modifica solo nel gruppo in cui sono stati creati. La modifica dei criteri ereditati non è disponibile nel gruppo che li eredita.

Inizio pagina

[Topic 3755]

Attivazione di un criterio

Per rendere attivo un criterio per il gruppo selezionato:

Nell'area di lavoro del gruppo, nella scheda Criteri, selezionare il criterio da rendere attivo.
Per attivare il criterio, eseguire una delle seguenti azioni:
- Nel menu di scelta rapida del criterio selezionare Criterio attivo.
- Nella finestra delle proprietà del criterio aprire la sezione Generale, quindi selezionare Criterio attivo dal gruppo di impostazioni Stato criterio.

Il criterio diventerà attivo per il gruppo di amministrazione selezionato.

Quando un criterio è applicato a un numero elevato di dispositivi client, il carico di Administration Server e il traffico di rete aumentano significativamente per un certo periodo di tempo.

Inizio pagina

[Topic 3756]

Attivazione automatica di un criterio quando si verifica un evento Epidemia di virus

Per attivare automaticamente un criterio quando si verifica un evento Epidemia di virus:

Nella finestra delle proprietà di Administration Server aprire la sezione Epidemia di virus.
Aprire la finestra Attivazione dei criteri facendo clic sul collegamento Configura i criteri da attivare se si verifica un evento Epidemia di virus, quindi aggiungere il criterio all'elenco selezionato dei criteri attivati quando viene rilevata un'epidemia di virus.

Se un criterio è stato attivato per l'evento Epidemia di virus, è possibile ripristinare il criterio precedente solo utilizzando la modalità manuale.

Vedere anche

Gestione dei profili criterio

Inizio pagina

[Topic 3757]

Applicazione di un criterio fuori sede

Il criterio fuori sede viene applicato a un dispositivo se questo viene disconnesso dalla rete aziendale.

Per applicare un criterio fuori sede:

Nella finestra delle proprietà del criterio aprire la sezione Generale e nel gruppo di impostazioni Stato criterio selezionare Criterio fuori sede.

Il criterio fuori sede verrà applicato ai dispositivi se vengono disconnessi dalla rete aziendale.

Inizio pagina

[Topic 130755]

Modifica di un criterio. Rollback delle modifiche

Per modificare un criterio:

Nella struttura della console selezionare la cartella Criteri.
Nell'area di lavoro della cartella Criteri selezionare un criterio e passare alla finestra delle proprietà del criterio utilizzando il menu di scelta rapida.
Apportare le modifiche desiderate.
Fare clic su Applica.

Le modifiche apportate al criterio saranno salvate nelle proprietà del criterio, nella sezione Cronologia revisioni.

È possibile eseguire il rollback delle modifiche apportate al criterio, se necessario.

Per eseguire il rollback delle modifiche apportate al criterio:

Nella struttura della console selezionare la cartella Criteri.
Selezionare il criterio in cui è necessario eseguire il rollback delle modifiche e aprire la finestra delle proprietà del criterio utilizzando il menu di scelta rapida.
Nella finestra delle proprietà del criterio selezionare la sezione Cronologia revisioni.
Nell'elenco delle revisioni del criterio selezionare il numero della revisione a cui eseguire il rollback delle modifiche.
Fare clic sul pulsante Avanzate e selezionare il valore Rollback nell'elenco a discesa.

Inizio pagina

[Topic 283023]

Visualizzazione del grafico dello stato di distribuzione dei criteri

In Kaspersky Security Center, è possibile visualizzare i risultati dell'applicazione dei criteri in ogni dispositivo.

Per visualizzare lo stato di distribuzione dei criteri in ogni dispositivo:

Nell'area di lavoro del gruppo, nella scheda Criteri, selezionare il criterio di cui si desidera visualizzare lo stato di distribuzione.
Il grafico nel riquadro di destra mostra una panoramica dell'applicazione dei criteri.
Fare clic su Dettagli.
Verrà visualizzata la finestra Risultati dell'applicazione dei criteri.

È possibile esportare i risultati dell'applicazione dei criteri in un file CSV o TXT.

Inizio pagina

[Topic 143897]

Confronto dei criteri

È possibile confrontare due criteri per una singola applicazione gestita. Dopo il confronto, è visualizzato un rapporto che indica quali impostazioni dei criteri corrispondono e quali sono diverse. Potrebbe ad esempio essere necessario confrontare i criteri se diversi amministratori hanno creato nelle rispettive sedi più criteri per una singola applicazione gestita oppure se un singolo criterio di primo livello è stato ereditato da tutte le sedi locali e modificato per ciascuna sede. È possibile confrontare i criteri in uno dei seguenti modi: selezionando un criterio e confrontandolo con un altro o confrontando una coppia di criteri dall'elenco dei criteri.

È possibile confrontare solo i criteri con revisioni correnti nella cronologia delle revisioni.

Per confrontare un criterio con un altro:

Nella struttura della console selezionare la cartella Criteri.
Nell'area di lavoro della cartella Criteri selezionare il criterio che è necessario confrontare con un altro.
Dal menu di scelta rapida del criterio selezionare Confronta il criterio con un altro criterio.
Nella finestra Seleziona criterio selezionare il criterio con cui confrontare il criterio.
Fare clic su OK.

Per il confronto tra i due criteri per la stessa applicazione viene visualizzato un rapporto in formato HTML.

Per confrontare una coppia di criteri dall'elenco dei criteri:

Nella cartella Criteri, nell'elenco dei criteri, utilizzare il tasto MAIUSC o CTRL per selezionare due criteri per una singola applicazione gestita.
Nel menu di scelta rapida selezionare Confronta.

Per il confronto tra i due criteri per la stessa applicazione viene visualizzato un rapporto in formato HTML.

Il rapporto sul confronto delle impostazioni dei criteri per Kaspersky Endpoint Security for Windows fornisce anche informazioni sul confronto dei profili criterio. È possibile comprimere i risultati del confronto dei profili criterio. Per comprimere la sezione, fare clic sull'icona della freccia ( Icona Freccia su. ) accanto al nome della sezione.

Inizio pagina

[Topic 3758]

Eliminazione di un criterio

Per eliminare un criterio:

Nell'area di lavoro di un gruppo di amministrazione, nella scheda Criteri, selezionare il criterio da eliminare.
Eliminare il criterio in uno dei seguenti modi:
- Selezionando Elimina nel menu di scelta rapida del criterio.
- Facendo clic sul collegamento Elimina criterio nella finestra di informazioni per il criterio selezionato.

Inizio pagina

[Topic 3759]

Copia di un criterio

Per copiare un criterio:

Nell'area di lavoro del gruppo desiderato, nella scheda Criteri, selezionare un criterio.
Nel menu di scelta rapida del criterio selezionare Copia.
Nella struttura della console selezionare un gruppo a cui si desidera aggiungere il criterio.
È possibile aggiungere un criterio al gruppo da cui è stato copiato.
Dal menu di scelta rapida dell'elenco dei criteri per il gruppo selezionato, nella scheda Criteri selezionare Incolla.

Il criterio verrà copiato con tutte le relative impostazioni e sarà applicato ai dispositivi del gruppo in cui è stato copiato. Se si incolla il criterio nello stesso gruppo da cui è stato copiato, al nome del criterio viene aggiunto automaticamente l'indice (<numero progressivo successivo>), ad esempio (1), (2).

Un criterio attivo diventa inattivo durante la copia. Se necessario, è possibile renderlo attivo.

Inizio pagina

[Topic 3762]

Esportazione di un criterio

Per esportare un criterio:

Esportare un criterio in uno dei seguenti modi:
- Selezionando Tutte le attività → Esporta nel menu di scelta rapida del criterio.
- Facendo clic sul collegamento Esporta criterio in un file nella finestra di informazioni del criterio selezionato.
Nella finestra Salva con nome visualizzata specificare il percorso e il nome del file del criterio. Fare clic sul pulsante Salva.

Inizio pagina

[Topic 3763]

Importazione di un criterio

Per importare un criterio:

Nell'area di lavoro del gruppo desiderato, nella scheda Criteri, selezionare uno dei seguenti modi per l'importazione dei criteri:
- Selezionando Tutte le attività → Importa nel menu di scelta rapida dell'elenco dei criteri.
- Facendo clic sul pulsante Importa criteri da file nella sezione di gestione per l'elenco dei criteri.
Nella finestra visualizzata specificare il percorso del file da cui si desidera importare un criterio. Fare clic sul pulsante Apri.

Il criterio importato viene visualizzato nell'elenco dei criteri. Vengono importati anche le impostazioni e i profili del criterio. Indipendentemente dallo stato del criterio selezionato durante l'esportazione, il criterio importato è inattivo. È possibile modificare lo stato del criterio nelle proprietà del criterio.

Se il criterio appena importato ha un nome identico a quello di un criterio esistente, il nome del criterio importato viene espanso con l'indice (<numero progressivo successivo>), ad esempio: (1), (2).

Inizio pagina

[Topic 17335]

Conversione di criteri

Kaspersky Security Center è in grado di convertire i criteri delle versioni precedenti delle applicazioni Kaspersky gestite in versioni aggiornate delle stesse applicazioni. I criteri convertiti mantengono le impostazioni dell'amministratore corrente specificate prima dell'aggiornamento, oltre a includere nuove impostazioni dalle versioni aggiornate delle applicazioni. Se un criterio viene convertito in una versione aggiornata di un'applicazione Kaspersky gestita, non è possibile aprire il criterio in un Administration Server in cui è installata una versione precedente del plug-in dell'applicazione. I plug-in di gestione per le applicazioni Kaspersky determinano se la conversione è disponibile per i criteri di queste applicazioni. Per informazioni sulla conversione dei criteri di ciascuna applicazione Kaspersky supportata, fare riferimento alla relativa Guida nel seguente elenco:

Applicazioni Kaspersky per workstation:
Kaspersky Industrial CyberSecurity:
Applicazioni Kaspersky per dispositivi mobili:
- Kaspersky Endpoint Security for Android
- Kaspersky Security for iOS
Applicazioni Kaspersky per file server:
Applicazioni Kaspersky per macchine virtuali:
- Kaspersky Security for Virtualization Light Agent
- Kaspersky Security for Virtualization Agentless
Applicazioni Kaspersky per sistemi di posta e server SharePoint/di collaborazione:
- Kaspersky Security for Linux Mail Server
- Kaspersky Security for Microsoft Exchange Servers
Applicazioni Kaspersky per il rilevamento di attacchi mirati:
Applicazioni Kaspersky per dispositivi KasperskyOS:
- Kaspersky IoT Secure Gateway
- Kaspersky Security Management Suite (plug-in per Kaspersky Thin Client)

Per convertire i criteri:

Nella struttura della console selezionare un Administration Server per cui si desidera convertire i criteri.
Nel menu di scelta rapida di Administration Server selezionare Tutte le attività → Conversione guidata criteri e attività.

Verrà avviata la Conversione guidata criteri e attività. Seguire le istruzioni della procedura guidata.

Al termine della procedura guidata, vengono creati nuovi criteri che utilizzano le impostazioni dei criteri dell'amministratore corrente e le nuove impostazioni delle versioni aggiornate delle applicazioni Kaspersky.

Inizio pagina

[Topic 89257]

Gestione dei profili criterio

Questa sezione illustra la gestione dei profili criterio e fornisce informazioni sulla visualizzazione dei profili di un criterio, sulla modifica della priorità di un profilo criterio, sulla creazione di un profilo criterio, sulla modifica di un profilo criterio, sulla copia di un profilo criterio, sulla creazione di una regola di attivazione del profilo criterio e sull'eliminazione di un profilo criterio.

In questa sezione

Creazione di un profilo criterio

Modifica di un profilo criterio

Eliminazione di un profilo criterio

Creazione di una regola di attivazione del profilo criterio

Inizio pagina

[Topic 89258]

Gestione dei profili criterio

Profilo criterio è una raccolta denominata di impostazioni di un criterio attivato in un dispositivo client (computer o dispositivo mobile) quando il dispositivo soddisfa determinate regole di attivazione. L'attivazione di un profilo determina la modifica delle impostazioni del criterio attivo nel dispositivo prima dell'attivazione del profilo. Tali impostazioni assumono i valori specificati nel profilo.

I profili criterio sono necessari per consentire l'esecuzione dei dispositivi all'interno di un unico gruppo di amministrazione con diverse impostazioni del criterio. Ad esempio, può verificarsi una situazione in cui le impostazioni del criterio devono essere modificate per alcuni dispositivi in un gruppo di amministrazione. In questo caso, è possibile configurare profili criterio per tale criterio, in modo da poter modificare le impostazioni del criterio per determinati dispositivi nel gruppo di amministrazione. Il criterio vieta ad esempio l'esecuzione di un software di navigazione GPS in tutti i dispositivi nel gruppo di amministrazione Utenti. Il software di navigazione GPS è necessario in un solo dispositivo nel gruppo di amministrazione Utenti: quello di proprietà dell'utente che ha il ruolo di corriere. È possibile contrassegnare tale dispositivo semplicemente come "Corriere" e riconfigurare il profilo criterio in modo da consentire l'esecuzione del software di navigazione GPS solo nel dispositivo contrassegnato come "Corriere", mantenendo tutte le altre impostazioni del criterio. In questo caso, se un dispositivo contrassegnato come "Corriere" viene visualizzato nel gruppo di amministrazione Utenti, questo sarà autorizzato a eseguire il software di navigazione GPS. L'esecuzione del software di navigazione GPS continuerà a essere vietata negli altri dispositivi del gruppo di amministrazione Utenti, a meno che anche questi non siano contrassegnati come "Corriere".

I profili sono supportati solo dai seguenti criteri:

Criteri di Kaspersky Endpoint Security for Windows
Criteri di Kaspersky Endpoint Security for Mac
Criteri del plug-in di Kaspersky Mobile Device Management dalla versione 10 Service Pack 1 alla versione 10 Service Pack 3 Maintenance Release 1
Criteri del plug-in di Kaspersky Device Management for iOS
Criteri di Kaspersky Security for Virtualization 5.1 Light Agent for Windows
Criteri di Kaspersky Security for Virtualization 5.1 Light Agent for Linux

I profili criterio semplificano la gestione dei dispositivi client a cui si applicano i criteri:

Le impostazioni del profilo criterio possono differire dalle impostazioni del criterio.
Non è necessario gestire e applicare manualmente più istanze di un singolo criterio che variano solo per qualche impostazione.
Non è necessario allocare un criterio distinto per gli utenti fuori sede.
È possibile esportare e importare i profili criterio, nonché creare nuovi profili criterio in base a quelli esistenti.
Un singolo criterio può avere più profili criterio attivi. Solo i profili che soddisfano le regole di attivazione valide nel dispositivo saranno applicati a tale dispositivo.
I profili sono soggetti alla gerarchia dei criteri. Un criterio ereditato include tutti i profili del criterio di livello più elevato.

Priorità dei profili

I profili creati per un criterio vengono disposti in ordine di priorità decrescente. Ad esempio, se il profilo X si trova più in alto nell'elenco dei profili rispetto al profilo Y, avrà una priorità più alta rispetto a quest'ultimo. A un unico dispositivo possono essere applicati contemporaneamente diversi profili. Se i valori di un'impostazione differiscono in diversi profili, il valore del profilo con priorità più elevata verrà applicato nel dispositivo.

Regole per l'attivazione del profilo

Un profilo criterio viene attivato in un dispositivo client quando viene eseguita una regola di attivazione. Le regole di attivazione sono set di condizioni che, se soddisfatte, avviano il profilo criterio in un dispositivo. Una regola di attivazione può contenere le seguenti condizioni:

Network Agent in un dispositivo client si connette all'Administration Server con un determinato set di impostazioni di connessione, ad esempio indirizzo dell'Administration Server, numero di porta e così via.
Il dispositivo client è offline.
Al dispositivo client sono stati assegnati determinati tag.
Il dispositivo client è collocato in modo esplicito (il dispositivo viene immediatamente collocato nell'unità specificata) o implicito (il dispositivo è collocato in un'unità che si trova nell'unità specificata a qualsiasi livello di annidamento) in un'unità specifica di Active Directory, il dispositivo o il relativo proprietario si trova in un gruppo di protezione di Active Directory.
Il dispositivo client appartiene a un determinato proprietario o il proprietario del dispositivo fa parte di un gruppo di protezione interno di Kaspersky Security Center.
Al proprietario del dispositivo client è stato assegnato un ruolo specificato.

Criteri nella gerarchia dei gruppi di amministrazione

Se si crea un criterio in un gruppo di amministrazione di basso livello, il nuovo criterio eredita tutti i profili del criterio attivo dal gruppo di livello superiore. I profili con nomi identici vengono uniti. I profili criterio per il gruppo di livello superiore hanno una priorità più elevata. Nel gruppo di amministrazione A, ad esempio, il criterio P(A) dispone dei profili X1, X2 e X3 (in ordine di priorità decrescente). Nel gruppo di amministrazione B, che è un sottogruppo del gruppo A, il criterio P(B) è stato creato con i profili X2, X4, X5. Il criterio P(B) verrà quindi modificato con il criterio P(A) affinché l'elenco dei profili nel criterio P(B) venga visualizzato nel modo seguente: X1, X2, X3, X4, X5 (in ordine di priorità decrescente). La priorità del profilo X2 dipenderà dallo stato iniziale del profilo X2 del criterio P(B) e dal profilo X2 del criterio P(A). Dopo la creazione del criterio P(B), il criterio P(A) non verrà più visualizzato nel sottogruppo B.

Il criterio attivo viene ricalcolato ogni volta che si avvia Network Agent, si abilita o disabilita la modalità offline o si modifica l'elenco dei tag assegnati al dispositivo client. Ad esempio, le dimensioni della RAM sono state aumentate nel dispositivo che, a sua volta, ha attivato il profilo criterio applicato nei dispositivi con una RAM di grandi dimensioni.

Proprietà e limitazioni dei profili criterio

I profili dispongono delle seguenti proprietà:

I profili di un criterio inattivo non hanno impatto sui dispositivi client.
Se un criterio è impostato sullo stato Criterio fuori sede, anche i profili del criterio verranno applicati quando un dispositivo viene disconnesso dalla rete aziendale.
I profili non supportano l'analisi statica dell'accesso ai file eseguibili.
Un profilo criterio non può contenere impostazioni delle notifiche degli eventi.
Se la porta UDP 15000 viene utilizzata per la connessione di un dispositivo ad Administration Server, il profilo criterio corrispondente viene attivato entro un minuto dall'assegnazione di un tag al dispositivo.
È possibile utilizzare le regole per la connessione di Network Agent ad Administration Server quando si creano le regole di attivazione del profilo criterio.

Inizio pagina

[Topic 89259]

Creazione di un profilo criterio

La creazione del profilo è disponibile solo per i criteri delle seguenti applicazioni:

Kaspersky Endpoint Security 10 Service Pack 1 for Windows e versioni successive
Kaspersky Endpoint Security 10 Service Pack 1 for Mac
Plug-in di Kaspersky Mobile Device Management dalla versione 10 Service Pack 1 alla versione 10 Service Pack 3 Maintenance Release 1
Plug-in di Kaspersky Device Management for iOS
Kaspersky Security for Virtualization 5.1 Light Agent for Windows and Linux

Per creare un profilo criterio:

Nella struttura della console selezionare il gruppo di amministrazione per cui si desidera creare un profilo criterio.
Nell'area di lavoro del gruppo di amministrazione selezionare la scheda Criteri.
Selezionare un criterio e passare alla finestra delle proprietà del criterio utilizzando il menu di scelta rapida.
Aprire la sezione Profili criterio nella finestra delle proprietà del criterio e fare clic sul pulsante Aggiungi.
Verrà avviata la Creazione guidata nuovo profilo criterio.
Nella finestra Nome profilo criterio della procedura guidata specificare quanto segue:
1. Nome del profilo criterio
  Il nome del profilo non può contenere più di 100 caratteri.
2. Stato del profilo criterio (Abilitato o Disabilitato)
  È consigliabile creare e abilitare i profili criterio inattivi solo dopo aver completato la definizione delle impostazioni e delle condizioni di attivazione del profilo criterio.
Selezionare la casella di controllo Dopo aver chiuso la creazione guidata nuovo profilo criterio, passa alla configurazione della regola di attivazione del profilo criterio per avviare la Creazione guidata nuova regola di attivazione di un profilo criterio. Seguire i passaggi della procedura guidata.
Modificare le impostazioni del profilo criterio nella finestra delle proprietà del profilo criterio, in base alle esigenze.
Salvare le modifiche facendo clic su OK.
Il profilo verrà salvato. Il profilo verrà attivato nei dispositivi che soddisfano le regole di attivazione.

È possibile creare più profili per un singolo criterio. I profili creati per un criterio vengono visualizzati nelle proprietà del criterio nella sezione Profili criterio. È possibile modificare un profilo criterio, modificare la priorità del profilo o rimuovere il profilo.

Vedere anche:

Configurazione e propagazione dei criteri: approccio incentrato sui dispositivi

Inizio pagina

[Topic 89260]

Modifica di un profilo criterio

Modifica delle impostazioni di un profilo criterio

La possibilità di modificare un profilo criterio è disponibile solo per i criteri di Kaspersky Endpoint Security for Windows.

Per modificare un profilo criterio:

Nella struttura della console selezionare il gruppo di amministrazione per cui è necessario modificare il profilo criterio.
Nell'area di lavoro del gruppo selezionare la scheda Criteri.
Selezionare un criterio e passare alla finestra delle proprietà del criterio utilizzando il menu di scelta rapida.
Aprire la sezione Profili criterio nelle proprietà del criterio.
Questa sezione contiene un elenco dei profili creati per il criterio. I profili vengono visualizzati nell'elenco in base alle relative priorità.
Selezionare un profilo criterio, quindi fare clic sul pulsante Proprietà.
Configurare il profilo nella finestra delle proprietà:
- Se necessario, nella sezione Generale modificare il nome del profilo e abilitare o disabilitare il profilo utilizzando la casella di controllo Abilita profilo.
- Nella sezione Regole di attivazione modificare le regole di attivazione del profilo.
- Modificare le impostazioni del criterio nelle sezioni corrispondenti.
Fare clic su OK.

Le impostazioni modificate diventeranno effettive dopo la sincronizzazione del dispositivo con Administration Server (se il profilo criterio è attivo) o dopo l'esecuzione di una regola di attivazione (se il profilo criterio è inattivo).

Modifica della priorità di un profilo criterio

Le priorità dei profili criterio definiscono l'ordine di attivazione dei profili in un dispositivo client. Le priorità vengono utilizzate se sono impostate regole di attivazione identiche per profili criterio differenti.

Ad esempio, sono stati creati due profili criterio: Profilo 1 e Profilo 2 che differiscono per i rispettivi valori di un'unica impostazione (Valore 1 e Valore 2). La priorità del Profilo 1 è più elevata di quella del Profilo 2. Sono inoltre disponibili profili con priorità meno elevate di quella del Profilo 2. Le regole di attivazione per tali profili sono identiche.

Quando si attiva una regola di attivazione, verrà attivato il Profilo 1. L'impostazione nel dispositivo avrà il Valore 1. Se si rimuove il Profilo 1, il Profilo 2 avrà la priorità più elevata, pertanto l'impostazione avrà il Valore 2.

Nell'elenco dei profili criterio i profili sono visualizzati in base alle rispettive priorità. Il profilo con la priorità più elevata viene posizionato per primo. È possibile modificare la priorità di un profilo utilizzando i pulsanti della freccia verso l'alto Icona di una freccia blu rivolta verso l'alto. e della freccia verso il basso .

Inizio pagina

[Topic 89262]

Eliminazione di un profilo criterio

Per eliminare un profilo criterio:

Nella struttura della console selezionare il gruppo di amministrazione per cui si desidera eliminare il profilo criterio.
Nell'area di lavoro del gruppo di amministrazione selezionare la scheda Criteri.
Selezionare un criterio e passare alla finestra delle proprietà del criterio utilizzando il menu di scelta rapida.
Aprire la sezione Profili criterio nelle proprietà del criterio di Kaspersky Endpoint Security.
Selezionare il profilo criterio che si desidera eliminare e fare clic sul pulsante Elimina.

Il profilo criterio verrà eliminato. Lo stato attivo passerà a un altro profilo criterio per cui vengono attivate le regole di attivazione nel dispositivo client o al criterio.

Inizio pagina

[Topic 144953]

Creazione di una regola di attivazione del profilo criterio

Configurazione e propagazione dei criteri: approccio incentrato sui dispositivi

Per creare una regola di attivazione per un profilo criterio:

Nella struttura della console selezionare il gruppo di amministrazione per cui è necessario creare una regola di attivazione per un profilo criterio.
Nell'area di lavoro del gruppo selezionare la scheda Criteri.
Selezionare un criterio e passare alla finestra delle proprietà del criterio utilizzando il menu di scelta rapida.
Selezionare la sezione Profili criterio nella finestra delle proprietà del criterio.
Selezionare il profilo criterio per cui è necessario creare una regola di attivazione, quindi fare clic sul pulsante Proprietà.
Verrà visualizzata la finestra delle proprietà del profilo criterio.

Se l'elenco dei profili criterio è vuoto, è possibile creare un profilo criterio.
Selezionare la sezione Regole di attivazione e fare clic sul pulsante Aggiungi.
Verrà avviata la Creazione guidata nuova regola di attivazione di un profilo criterio.
Nella finestra Regole di attivazione del profilo criterio selezionare le caselle di controllo accanto alle condizioni che devono determinare l'attivazione del profilo criterio che si sta creando:
- Regole generali per l'attivazione del profilo criterio
  Selezionare questa casella di controllo per configurare le regole di attivazione del profilo criterio nel dispositivo in base allo stato della modalità offline del dispositivo, alla regola per la connessione ad Administration Server e ai tag assegnati al dispositivo.
- Regole per l'utilizzo di Active Directory
  Selezionare questa casella di controllo per configurare le regole per l'attivazione del profilo criterio nel dispositivo in base alla presenza del dispositivo in un'unità organizzativa di Active Directory o all'appartenenza del dispositivo (o del proprietario) a un gruppo di protezione di Active Directory.
- Regole per il proprietario di un dispositivo specifico
  Selezionare questa casella di controllo per configurare le regole per l'attivazione del profilo criterio nel dispositivo in base al proprietario del dispositivo.
- Regole per le specifiche hardware
  Selezionare questa casella di controllo per configurare le regole per l'attivazione del profilo criterio nel dispositivo in base al volume della memoria e al numero di processori logici.
Il numero delle pagine aggiuntive della procedura guidata dipende dalle impostazioni selezionate nel primo passaggio. È possibile modificare le regole di attivazione del profilo criterio in un secondo momento.
Nella finestra Condizioni generali specificare le seguenti impostazioni:
- Nel campo Il dispositivo è offline specificare nell'elenco a discesa la condizione per la presenza di un dispositivo nella rete:
  - Sì
    Il dispositivo si trova in una rete esterna, pertanto l'Administration Server non è disponibile.
  - No
    Il dispositivo è presente nella rete, pertanto Administration Server è disponibile.
  - Nessun valore selezionato
    Il criterio non verrà applicato.
- Nella casella Il dispositivo si trova nel percorso di rete specificato utilizzare gli elenchi a discesa per configurare l'attivazione dei profili criterio se la regola di connessione di Administration Server viene eseguita/non eseguita nel dispositivo:
  - Eseguita / Non eseguita
    Condizione di attivazione del profilo criterio (se la regola viene eseguita o meno).
  - Nome regola
    Descrizione del percorso di rete del dispositivo per la connessione ad Administration Server, le cui condizioni devono essere soddisfatte (o non devono essere soddisfatte) per l'attivazione del profilo criterio.
    
    È possibile creare o configurare una descrizione del percorso di rete dei dispositivi per la connessione a un Administration Server in una regola per il passaggio di Network Agent.
La finestra Condizioni generali viene visualizzata se è selezionata la casella di controllo Regole generali per l'attivazione del profilo criterio.
Nella finestra Condizioni basate sui tag specificare le seguenti impostazioni:
- Elenco di tag
  Nell'elenco di tag specificare una regola per l'inclusione dei dispositivi nel profilo criterio selezionando le caselle di controllo accanto ai tag appropriati.
  
  È possibile aggiungere nuovi tag all'elenco immettendoli nel campo sopra l'elenco e facendo clic sul pulsante Aggiungi.
  
  Il profilo criterio include i dispositivi con descrizioni che contengono tutti i tag selezionati. Se le caselle di controllo sono deselezionate, il criterio non viene applicato. Per impostazione predefinita, queste caselle di controllo sono deselezionate.
- Applica ai dispositivi senza i tag specificati
  Abilitare questa opzione se è necessario invertire la selezione di tag.
  
  Se questa opzione è abilitata, il profilo criterio include i dispositivi con descrizioni che non contengono alcuno dei tag selezionati. Se questa opzione è disabilitata, il criterio non viene applicato.
  
  Per impostazione predefinita, questa opzione è disabilitata.
La finestra Condizioni basate sui tag viene visualizzata se la casella di controllo Regole generali per l'attivazione del profilo criterio è selezionata.
Nella finestra Condizioni basate su Active Directory specificare le seguenti impostazioni:
- Appartenenza del proprietario del dispositivo al gruppo di protezione di Active Directory
  Se questa opzione è abilitata, il profilo criterio viene attivato nel dispositivo il cui proprietario appartiene al gruppo di protezione specificato. Se questa opzione è disabilitata, il criterio di attivazione del profilo non viene applicato. Per impostazione predefinita, questa opzione è disabilitata.
- Appartenenza del dispositivo al gruppo di protezione di Active Directory
  Se questa opzione è abilitata, il profilo criterio viene attivato nel dispositivo. Se questa opzione è disabilitata, il criterio di attivazione del profilo non viene applicato. Per impostazione predefinita, questa opzione è disabilitata.
- Allocazione del dispositivo nell'unità organizzativa di Active Directory
  Se questa opzione è abilitata, il profilo criterio viene attivato nel dispositivo incluso nell'unità organizzativa di Active Directory specificata. Se questa opzione è disabilitata, il criterio di attivazione del profilo non viene applicato.
  
  Per impostazione predefinita, questa opzione è disabilitata.
La finestra Condizioni basate su Active Directory viene visualizzata se è selezionata la casella di controllo Regole per l'utilizzo di Active Directory.
Nella finestra Condizioni basate sul proprietario del dispositivo specificare le seguenti impostazioni:
- Proprietario dispositivo
  Abilitare questa opzione per configurare e abilitare la regola di attivazione del profilo nel dispositivo in base al proprietario. Nell'elenco a discesa sotto la casella di controllo è possibile selezionare un criterio per l'attivazione del profilo:
  - Il dispositivo appartiene al proprietario specificato (segno "=").
  - Il dispositivo non appartiene al proprietario specificato (segno "#").
    Se questa opzione è abilitata, il profilo viene attivato nel dispositivo in base al criterio configurato. È possibile specificare il proprietario dispositivo quando l'opzione è abilitata. Se questa opzione è disabilitata, il criterio di attivazione del profilo non viene applicato. Per impostazione predefinita, questa opzione è disabilitata.
- Il proprietario del dispositivo fa parte di un gruppo di protezione interno
  Abilitare questa opzione per configurare e abilitare la regola di attivazione del profilo nel dispositivo in base all'appartenenza del proprietario a un gruppo di protezione interno di Kaspersky Security Center. Nell'elenco a discesa sotto la casella di controllo è possibile selezionare un criterio per l'attivazione del profilo:
  - Il proprietario dispositivo è un membro del gruppo di protezione specificato (segno "=").
  - Il proprietario dispositivo non è un membro del gruppo di protezione specificato (segno "#").
    Se questa opzione è abilitata, il profilo viene attivato nel dispositivo in base al criterio configurato. È possibile specificare un gruppo di protezione di Kaspersky Security Center. Se questa opzione è disabilitata, il criterio di attivazione del profilo non viene applicato. Per impostazione predefinita, questa opzione è disabilitata.
- Attiva il profilo criterio in base allo specifico ruolo del proprietario del dispositivo
  Selezionare questa opzione per configurare e abilitare la regola di attivazione del profilo nel dispositivo a seconda del ruolo del proprietario. Aggiungere manualmente il ruolo dall'elenco dei ruoli esistenti.
  
  Se questa opzione è abilitata, il profilo viene attivato nel dispositivo in base al criterio configurato.
La finestra Condizioni basate sul proprietario del dispositivo viene visualizzata se è selezionata la casella di controllo Regole per il proprietario di un dispositivo specifico.
Nella finestra Condizioni basate sulle specifiche delle apparecchiature specificare le seguenti impostazioni:
- Dimensione RAM (MB)
  Abilitare questa opzione per configurare e abilitare la regola di attivazione del profilo nel dispositivo in base al volume della RAM disponibile in tale dispositivo. Nell'elenco a discesa sotto la casella di controllo è possibile selezionare un criterio per l'attivazione del profilo:
  - Le dimensioni della RAM del dispositivo sono inferiori al valore specificato (segno "<").
  - Le dimensioni della RAM del dispositivo sono superiori al valore specificato (segno ">").
  Se questa opzione è abilitata, il profilo viene attivato nel dispositivo in base al criterio configurato. È possibile specificare il volume della RAM nel dispositivo. Se questa opzione è disabilitata, il criterio di attivazione del profilo non viene applicato. Per impostazione predefinita, questa opzione è disabilitata.
- Numero di processori logici
  Abilitare questa opzione per configurare e abilitare la regola di attivazione del profilo nel dispositivo in base al numero di processori logici nel dispositivo. Nell'elenco a discesa sotto la casella di controllo è possibile selezionare un criterio per l'attivazione del profilo:
  - Il numero di processori logici nel dispositivo è inferiore o uguale al valore specificato (segno "<").
  - Il numero di processori logici nel dispositivo è superiore o uguale al valore specificato (segno ">").
  Se questa opzione è abilitata, il profilo viene attivato nel dispositivo in base al criterio configurato. È possibile specificare il numero di processori logici nel dispositivo. Se questa opzione è disabilitata, il criterio di attivazione del profilo non viene applicato. Per impostazione predefinita, questa opzione è disabilitata.
La finestra Condizioni basate sulle specifiche delle apparecchiature viene visualizzata se è selezionata la casella di controllo Regole per le specifiche hardware.
Nella finestra Nome della regola di attivazione del profilo criterio, nel campo Nome regola, specificare un nome per la regola.

Il profilo verrà salvato. Il profilo sarà attivato nel dispositivo quando vengono attivate le regole di attivazione.

Le regole di attivazione del profilo criterio create per il profilo sono visualizzate nelle proprietà del profilo criterio nella sezione Regole di attivazione. È possibile modificare o rimuovere qualsiasi regola di attivazione del profilo criterio.

È possibile attivare contemporaneamente più regole di attivazione.

Vedere anche:

Inizio pagina

[Topic 92437]

Regole di spostamento dei dispositivi

È consigliabile automatizzare l'allocazione dei dispositivi ai gruppi di amministrazione utilizzando le regole di spostamento dei dispositivi. Una regola di spostamento dei dispositivi comprende tre elementi principali: nome, condizione di esecuzione (un'espressione logica con gli attributi del dispositivo) e gruppo di amministrazione di destinazione. Una regola sposta un dispositivo nel gruppo di amministrazione di destinazione se gli attributi del dispositivo soddisfano la condizione di esecuzione della regola.

Tutte le regole di spostamento dei dispositivi hanno priorità. L'Administration Server verifica se gli attributi del dispositivo soddisfano la condizione di esecuzione di ogni regola, in ordine di priorità crescente. Se gli attributi del dispositivo soddisfano la condizione di esecuzione di una regola, il dispositivo viene spostato nel gruppo di destinazione, quindi l'elaborazione della regola è completa per questo dispositivo. Se gli attributi del dispositivo soddisfano le condizioni di più regole, il dispositivo viene spostato nel gruppo di destinazione della regola con la priorità più alta (al livello più alto nell'elenco delle regole).

Le regole di spostamento dei dispositivi possono essere create implicitamente. Ad esempio, nelle proprietà di un pacchetto di installazione o di un'attività di installazione remota è possibile specificare il gruppo di amministrazione in cui deve essere spostato il dispositivo dopo l'installazione di Network Agent. Inoltre, le regole di spostamento dei dispositivi possono essere create esplicitamente dall'amministratore di Kaspersky Security Center nell'elenco delle regole di spostamento. L'elenco è disponibile in Administration Console, nelle proprietà del gruppo Dispositivi non assegnati.

Per impostazione predefinita, una regola di spostamento dei dispositivi viene utilizzata per l'allocazione iniziale una tantum dei dispositivi ai gruppi di amministrazione. La regola sposta i dispositivi dal gruppo Dispositivi non assegnati una sola volta. Se in precedenza un dispositivo era stato spostato da questa regola, la regola non lo sposterà di nuovo, anche se si reinserisce manualmente il dispositivo nel gruppo Dispositivi non assegnati. Questo è il modo consigliato per applicare le regole di spostamento.

È possibile spostare i dispositivi che sono già stati assegnati ad alcuni gruppi di amministrazione. A tale scopo, nelle proprietà di una regola deselezionare la casella di controllo Sposta solo i dispositivi che non appartengono a un gruppo di amministrazione.

L'applicazione delle regole di spostamento a dispositivi che sono già stati assegnati ad alcuni gruppi di amministrazione aumenta considerevolmente il carico sull'Administration Server.

La casella di controllo Sposta solo i dispositivi che non appartengono a un gruppo di amministrazione è bloccata nelle proprietà delle regole di spostamento create automaticamente. Tali regole vengono create quando si aggiunge l'attività Installa applicazione in remoto o si crea un pacchetto di installazione indipendente.

È possibile creare una regola di spostamento da applicare ripetutamente a un singolo dispositivo.

È consigliabile evitare di spostare ripetutamente un singolo dispositivo da un gruppo all'altro (ad esempio, per applicare uno speciale criterio al dispositivo, eseguire una speciale attività di gruppo o aggiornare il dispositivo attraverso un punto di distribuzione specifico).

Tali scenari non sono supportati, perché comportano un notevole aumento del carico su Administration Server e del traffico di rete. Questi scenari anche sono in conflitto con i principi operativi di Kaspersky Security Center (in particolare nell'area di diritti di accesso, eventi e rapporti). Un'altra soluzione deve ad esempio essere trovata attraverso l'utilizzo di profili criterio, attività per selezioni dispositivi, l'assegnazione di Network Agent in base allo scenario standard.

Vedere anche:

Scenario: Individuazione dei dispositivi nella rete

Creazione di regole per lo spostamento automatico dei dispositivi nei gruppi di amministrazione

Inizio pagina

[Topic 171107]

Clonazione delle regole di spostamento dei dispositivi

Quando è necessario creare più regole di spostamento dei dispositivi con impostazioni simili, è possibile clonare una regola esistente e quindi modificare le impostazioni della regola clonata. Ad esempio, questo è utile quando è necessario disporre di più regole identiche per lo spostamento dei dispositivi con diversi intervalli IP e gruppi di destinazione.

Per clonare una regola di spostamento dei dispositivi:

Aprire la finestra principale dell'applicazione.
Nella cartella Dispositivi non assegnati fare clic su Configura regole.
Verrà visualizzata la finestra Proprietà: Dispositivi non assegnati.
Nella sezione Sposta dispositivi selezionare la regola di spostamento dei dispositivi che si desidera clonare.
Fare clic su Clona regola.

Un duplicato della regola di spostamento dei dispositivi selezionata verrà aggiunta alla fine dell'elenco.

Una nuova regola viene creata nello stato disabilitato. È possibile modificare e abilitare la regola in qualsiasi momento.

Inizio pagina

[Topic 92438]

Classificazione del software

Lo strumento principale per monitorare l'esecuzione delle applicazioni sono le categorie Kaspersky (di seguito denominate anche categorie KL). Le categorie KL consentono agli amministratori di Kaspersky Security Center di semplificare il supporto della classificazione del software e ridurre al minimo il traffico verso i dispositivi gestiti.

È necessario creare categorie utente per le applicazioni che non possono essere classificate in alcuna delle categorie KL esistenti (ad esempio, per il software personalizzato). Le categorie utente vengono create in base al pacchetto di installazione di un'applicazione (MSI) o a una cartella con pacchetti di installazione.

Se è disponibile una raccolta di software di grandi dimensioni che non è stata classificata tramite le categorie KL, può essere utile creare una categoria aggiornata automaticamente. I checksum dei file eseguibili saranno aggiunti automaticamente a questa categoria a ogni modifica della cartella che contiene i pacchetti di distribuzione.

Non creare categorie di software aggiornate automaticamente per le cartelle Documenti, %windir%, %ProgramFiles% e %ProgramFiles(x86)%. Il pool di file in queste cartelle è soggetto a modifiche frequenti, il che comporta un aumento del carico su Administration Server e del traffico di rete. È necessario creare una cartella dedicata con la raccolta del software e aggiungere periodicamente nuovi elementi a tale raccolta.

Inizio pagina

[Topic 38045]

Prerequisiti per l'installazione delle applicazioni nei dispositivi di un'organizzazione client

Il processo di installazione remota delle applicazioni nei dispositivi di un'organizzazione client è identico al processo di installazione remota all'interno di un'organizzazione.

Per installare le applicazioni nei dispositivi di un'organizzazione client, è necessario eseguire le seguenti operazioni:

Prima di installare per la prima volta le applicazioni nei dispositivi dell'organizzazione client, installare Network Agent in tali dispositivi.
Durante la configurazione del pacchetto di installazione di Network Agent da parte del provider di servizi, in Kaspersky Security Center definire le seguenti impostazioni nella finestra delle proprietà del pacchetto di installazione:
- Nella stringa Administration Server della sezione Connessione specificare l'indirizzo dello stesso Administration Server virtuale specificato durante l'installazione locale di Network Agent nel punto di distribuzione.
- Nella sezione Avanzate selezionare la casella di controllo Esegui la connessione ad Administration Server utilizzando un gateway di connessione. Nella stringa Indirizzo gateway connessione specificare l'indirizzo del punto di distribuzione. È possibile utilizzare sia l'indirizzo IP che il nome del dispositivo nella rete Windows.
Selezionare Utilizzo delle risorse del sistema operativo tramite punti di distribuzione come metodo di download del pacchetto di installazione di Network Agent. È possibile selezionare il metodo di download come segue:
- Se si installa l'applicazione utilizzando l'attività di installazione remota, è possibile specificare il metodo di download in uno dei seguenti modi:
  - Durante la creazione dell'attività di installazione remota, nella finestra Impostazioni
  - Nella finestra delle proprietà dell'attività di installazione remota, nella sezione Impostazioni
- Se si installano le applicazioni utilizzando l'Installazione remota guidata, è possibile selezionare un metodo di download nella finestra Impostazioni della procedura guidata.
L'account utilizzato dal punto di distribuzione per l'autorizzazione deve avere accesso alla risorsa Admin$ in tutti i dispositivi client.

Inizio pagina

[Topic 3764]

Visualizzazione e modifica delle impostazioni locali delle applicazioni

Il sistema di amministrazione Kaspersky Security Center consente di gestire in remoto le impostazioni locali delle applicazioni nei dispositivi tramite Administration Console.

Le impostazioni locali delle applicazioni sono le impostazioni di un'applicazione specifiche per un dispositivo. È possibile utilizzare Kaspersky Security Center per impostare le impostazioni locali delle applicazioni per i dispositivi inclusi nei gruppi di amministrazione.

Le descrizioni dettagliate delle impostazioni delle applicazioni Kaspersky sono disponibili nelle rispettive Guide.

Per visualizzare o modificare le impostazioni locali di un'applicazione:

Nell'area di lavoro del gruppo a cui appartiene il dispositivo attinente selezionare la scheda Dispositivi.
Nella finestra delle proprietà del dispositivo, nella sezione Applicazioni, selezionare l'applicazione desiderata.
Aprire la finestra delle proprietà dell'applicazione facendo doppio clic sul nome dell'applicazione oppure facendo clic sul pulsante Proprietà.

Verrà visualizzata la finestra delle impostazioni locali dell'applicazione selezionata, in cui è possibile visualizzare e modificare tali impostazioni.

È possibile modificare i valori delle impostazioni le cui modifiche non sono state bloccate da un criterio di gruppo (ovvero, quelle non contrassegnate dall'icona del lucchetto () in un criterio).

Inizio pagina

[Topic 179056]

Aggiornamento di Kaspersky Security Center e delle applicazioni gestite

Questa sezione descrive le operazioni che è necessario eseguire per aggiornare Kaspersky Security Center e le applicazioni gestite.

In questa sezione

Scenario: Aggiornamento periodico di database e applicazioni Kaspersky

Informazioni sull'aggiornamento dei database, dei moduli software e delle applicazioni Kaspersky

Informazioni sull'utilizzo dei file diff per l'aggiornamento dei database e dei moduli del software Kaspersky

Abilitazione della funzionalità Download dei file diff

Creazione dell'attività per il download degli aggiornamenti nell'archivio di Administration Server

Creazione dell'attività Scarica aggiornamenti negli archivi dei punti di distribuzione

Configurazione dell'attività Scarica aggiornamenti nell'archivio di Administration Server

Verifica degli aggiornamenti scaricati

Configurazione di criteri di test e attività ausiliarie

Visualizzazione degli aggiornamenti scaricati

Installazione automatica degli aggiornamenti di Kaspersky Endpoint Security nei dispositivi

Modello offline per il download degli aggiornamenti

Abilitazione e disabilitazione del modello offline per il download degli aggiornamenti

Installazione automatica di aggiornamenti e patch per i componenti di Kaspersky Security Center

Abilitazione e disabilitazione dell'installazione automatica di aggiornamenti e patch per i componenti di Kaspersky Security Center

Distribuzione automatica degli aggiornamenti

Eliminazione di aggiornamenti software dall'archivio

Installazione patch per un'applicazione Kaspersky in modalità cluster

Inizio pagina

[Topic 180689]

Scenario: Aggiornamento periodico di database e applicazioni Kaspersky

Questa sezione fornisce uno scenario per l'aggiornamento periodico dei database, dei moduli software e delle applicazioni Kaspersky. Dopo aver completato lo scenario Configurazione della protezione di rete, è necessario mantenere l'affidabilità del sistema di protezione per assicurarsi che gli Administration Server e i dispositivi gestiti siano protetti da varie minacce, inclusi virus, attacchi di rete e attacchi di phishing.

La protezione della rete viene mantenuta aggiornata tramite aggiornamenti periodici dei seguenti elementi:

Database e moduli del software Kaspersky
Applicazioni Kaspersky installate, inclusi i componenti di Kaspersky Security Center e le applicazioni di protezione

Completando questo scenario, è possibile avere la certezza di quanto segue:

La rete è protetta dal software Kaspersky più recente, inclusi i componenti di Kaspersky Security Center e le applicazioni di protezione.
I database anti-virus e gli altri database Kaspersky di importanza critica per la sicurezza della rete sono sempre aggiornati.

Prerequisiti

I dispositivi gestiti devono disporre di una connessione ad Administration Server. Se non dispongono di una connessione, valutare se eseguire l'aggiornamento dei database, dei moduli software e delle applicazioni Kaspersky manualmente o direttamente dai server degli aggiornamenti Kaspersky.

Administration Server deve disporre di una connessione a Internet.

Prima di iniziare, verificare di avere:

Distribuito le applicazioni di protezione Kaspersky nei dispositivi gestiti in base allo scenario di distribuzione delle applicazioni Kaspersky tramite Kaspersky Security Center Web Console.
Creato e configurato tutti i criteri, i profili criterio e le attività richiesti in base allo scenario di configurazione della protezione di rete.
Assegnato un numero appropriato di punti di distribuzione in base al numero di dispositivi gestiti e alla topologia della rete.

L'aggiornamento dei database e delle applicazioni Kaspersky prevede diversi passaggi:

Scelta di uno schema di aggiornamento
Esistono diversi schemi che è possibile utilizzare per installare gli aggiornamenti dei componenti di Kaspersky Security Center e delle applicazioni di protezione. Scegliere lo schema o gli schemi più appropriati per i requisiti della rete.
Creazione dell'attività per il download degli aggiornamenti nell'archivio di Administration Server
Questa attività viene creata automaticamente dall'Avvio rapido guidato di Kaspersky Security Center. Se la procedura guidata non è stata eseguita, creare l'attività ora.

Questa attività è necessaria per scaricare gli aggiornamenti dai server di aggiornamento Kaspersky nell'archivio di Administration Server, nonché per aggiornare i database e i moduli software Kaspersky per Kaspersky Security Center. Dopo aver scaricato gli aggiornamenti, questi possono essere propagati ai dispositivi gestiti.

Se nella rete sono stati assegnati punti di distribuzione, gli aggiornamenti vengono scaricati automaticamente dall'archivio di Administration Server agli archivi dei punti di distribuzione. In questo caso, i dispositivi gestiti inclusi nell'ambito di un punto di distribuzione scaricano gli aggiornamenti dall'archivio del punto di distribuzione anziché dall'archivio di Administration Server.

Istruzioni dettagliate:
- Administration Console: Creazione dell'attività per il download degli aggiornamenti nell'archivio dell'Administration Server
- Kaspersky Security Center Web Console: Creazione dell'attività per il download degli aggiornamenti nell'archivio dell'Administration Server
Creazione dell'attività per il download degli aggiornamenti negli archivi dei punti di distribuzione (facoltativo)
Per impostazione predefinita, gli aggiornamenti vengono scaricati nei punti di distribuzione dall'Administration Server. È possibile configurare Kaspersky Security Center per scaricare gli aggiornamenti nei punti di distribuzione direttamente dai server di aggiornamento Kaspersky. Il download negli archivi dei punti di distribuzione è preferibile se il traffico tra Administration Server e punti di distribuzione è superiore rispetto a quello del traffico tra i punti di distribuzione e i server di aggiornamento Kaspersky oppure se Administration Server non dispone di accesso a Internet.

Quando nella rete sono stati assegnati punti di distribuzione ed è stata creata l'attività Scarica aggiornamenti negli archivi dei punti di distribuzione, i punti di distribuzione scaricano gli aggiornamenti dai server di aggiornamento Kaspersky e non dall'archivio dell'Administration Server.

Istruzioni dettagliate:
- Administration Console: Creazione dell'attività per il download degli aggiornamenti negli archivi dei punti di distribuzione
- Kaspersky Security Center Web Console: Creazione dell'attività per il download degli aggiornamenti negli archivi dei punti di distribuzione
Configurazione dei punti di distribuzione
Quando nella rete sono stati assegnati punti di distribuzione, verificare che l'opzione Distribuisci aggiornamenti sia abilitata nelle proprietà di tutti i punti di distribuzione richiesti. Quando questa opzione è disabilitata per un punto di distribuzione, i dispositivi inclusi nell'ambito del punto di distribuzione scaricano gli aggiornamenti dall'archivio di Administration Server.

Se si desidera che i dispositivi gestiti ricevano gli aggiornamenti solo dai punti di distribuzione, abilitare l'opzione Distribuisci i file solo tramite punti di distribuzione nel criterio di Network Agent.
Ottimizzazione del processo di aggiornamento utilizzando il modello offline di download degli aggiornamenti o i file diff (facoltativo)
È possibile ottimizzare il processo di aggiornamento utilizzando il modello offline di download degli aggiornamenti (abilitato per impostazione predefinita) oppure i file diff. Per ogni segmento di rete, è necessario scegliere quale di queste due funzionalità abilitare, perché non possono funzionare contemporaneamente.

Quando il modello offline di download degli aggiornamenti è abilitato, Network Agent scarica gli aggiornamenti richiesti nel dispositivo gestito una volta che gli aggiornamenti sono stati scaricati nell'archivio di Administration Server, prima che l'applicazione di protezione li richieda. Questo migliora l'affidabilità del processo di aggiornamento. Per utilizzare questa funzionalità, abilitare l'opzione Scarica aggiornamenti e database anti-virus da Administration Server anticipatamente (scelta consigliata) nel criterio di Network Agent.

Se non si utilizza il modello offline di download degli aggiornamenti, è possibile ottimizzare il traffico tra Administration Server e i dispositivi gestiti tramite i file diff. Quando questa funzionalità è abilitata, Administration Server o un punto di distribuzione scarica file diff anziché interi file di database o moduli software Kaspersky. Un file diff descrive le differenze tra due versioni di un file di un database o un modulo software. Pertanto, un file diff occupa meno spazio di un intero file. Questo comporta una riduzione del traffico tra Administration Server o i punti di distribuzione e i dispositivi gestiti. Per utilizzare questa funzionalità, abilitare l'opzione Scarica file diff nelle proprietà dell'attività Scarica aggiornamenti nell'archivio dell'Administration Server e/o dell'attività Scarica aggiornamenti negli archivi dei punti di distribuzione.

Istruzioni dettagliate:
- Utilizzo dei file diff per l'aggiornamento dei database e dei moduli del software Kaspersky
- Administration Console: Abilitazione e disabilitazione del modello offline per il download degli aggiornamenti
- Kaspersky Security Center Web Console: Abilitazione e disabilitazione del modello offline per il download degli aggiornamenti
Verifica degli aggiornamenti scaricati (facoltativo)
Prima di installare gli aggiornamenti scaricati, è possibile verificare gli aggiornamenti tramite l'attività di Verifica aggiornamenti. Questa attività esegue in sequenza le attività di aggiornamento dei dispositivi e le attività di scansione malware configurate tramite le impostazioni per il gruppo specificato di dispositivi di test. Una volta ottenuti i risultati delle attività, Administration Server avvia o blocca la propagazione degli aggiornamenti ai dispositivi rimanenti.

L'attività Verifica aggiornamenti può essere eseguita durante l'esecuzione dell'attività Scarica aggiornamenti nell'archivio dell'Administration Server. Nelle proprietà dell'attività Scarica aggiornamenti nell'archivio dell'Administration Server abilitare l'opzione Verifica gli aggiornamenti prima della distribuzione in Administration Console o l'opzione Eseguire la verifica degli aggiornamenti in Kaspersky Security Center 13.1 Web Console.

Istruzioni dettagliate:
- Administration Console: Verifica degli aggiornamenti scaricati
- Kaspersky Security Center Web Console: Verifica degli aggiornamenti scaricati
Approvazione e rifiuto degli aggiornamenti software
Per impostazione predefinita, gli aggiornamenti software scaricati hanno lo stato Indefinito. È possibile modificare lo stato in Approvato o Rifiutato. Gli aggiornamenti approvati vengono sempre installati. Se un aggiornamento richiede la visualizzazione e l'accettazione dei termini del Contratto di licenza con l'utente finale, è prima necessario accettare i termini. Successivamente, l'aggiornamento può essere propagato ai dispositivi gestiti. Gli aggiornamenti indefiniti possono essere installati solo in Network Agent e negli altri componenti di Kaspersky Security Center in conformità con le impostazioni del criterio di Network Agent. Gli aggiornamenti per cui è stato impostato lo stato Rifiutato non verranno installati nei dispositivi. Se in precedenza era stato installato un aggiornamento rifiutato per un'applicazione di protezione, Kaspersky Security Center tenterà di disinstallare l'aggiornamento da tutti i dispositivi. Gli aggiornamenti per i componenti di Kaspersky Security Center non possono essere disinstallati.

Istruzioni dettagliate:
- Administration Console: Approvazione e rifiuto degli aggiornamenti software
- Kaspersky Security Center Web Console: Approvazione e rifiuto degli aggiornamenti software
Configurazione dell'installazione automatica di aggiornamenti e patch per i componenti di Kaspersky Security Center
Gli aggiornamenti scaricati e le patch scaricate per Network Agent e altri componenti di Kaspersky Security Center vengono installati automaticamente. Se l'opzione Installa automaticamente le patch e gli aggiornamenti applicabili per i componenti con lo stato Indefinito è stata mantenuta abilitata nelle proprietà di Network Agent, tutti gli aggiornamenti verranno installati automaticamente dopo essere stati scaricati nell'archivio (o in diversi archivi). Se questa opzione è disabilitata, le patch di Kaspersky che sono state scaricate e contrassegnate con lo stato Indefinito saranno installate solo dopo che si modifica il relativo stato in Approvato.

Istruzioni dettagliate:
- Administration Console: Abilitazione e disabilitazione dell'installazione automatica di aggiornamenti e patch per i componenti di Kaspersky Security Center
- Kaspersky Security Center Web Console: Abilitazione e disabilitazione dell'installazione automatica di aggiornamenti e patch per i componenti di Kaspersky Security Center
Installazione degli aggiornamenti per Administration Server
Gli aggiornamenti software per Administration Server non dipendono dagli stati degli aggiornamenti. Non vengono installati automaticamente e devono prima essere approvati dall'amministratore nella scheda Monitoraggio di Administration Console (Administration Server <nome server> → Monitoraggio) o nella sezione Notifiche di Kaspersky Security Center Web Console (Monitoraggio e generazione dei rapporti → Notifiche). Successivamente, l'amministratore deve eseguire esplicitamente l'installazione degli aggiornamenti.
Configurazione dell'installazione automatica degli aggiornamenti per le applicazioni di protezione
Creare le Attività di aggiornamento per le applicazioni gestite per garantire aggiornamenti tempestivi alle applicazioni, ai moduli software e ai database Kaspersky, inclusi i database anti-virus. Per garantire aggiornamenti tempestivi, è consigliabile selezionare l'opzione Quando vengono scaricati nuovi aggiornamenti nell'archivio durante la configurazione della pianificazione dell'attività.

Se la rete include dispositivi solo IPv6 e si desidera aggiornare regolarmente le applicazioni di protezione installate in tali dispositivi, assicurarsi che Administration Server (versione non precedente alla 13.2) e Network Agent (versione non precedente alla 13.2) siano installati nei dispositivi gestiti.

Per impostazione predefinita, gli aggiornamenti per Kaspersky Endpoint Security for Windows e Kaspersky Endpoint Security for Linux vengono installati solo dopo aver modificato lo stato degli aggiornamenti in Approvato. È possibile modificare le impostazioni di aggiornamento nell'attività di aggiornamento.

Se un aggiornamento richiede la visualizzazione e l'accettazione dei termini del Contratto di licenza con l'utente finale, è prima necessario accettare i termini. Successivamente, l'aggiornamento può essere propagato ai dispositivi gestiti.

Istruzioni dettagliate:
- Administration Console: Installazione automatica degli aggiornamenti di Kaspersky Endpoint Security nei dispositivi
- Kaspersky Security Center Web Console: Installazione automatica degli aggiornamenti di Kaspersky Endpoint Security nei dispositivi

Risultati

Al termine dello scenario, Kaspersky Security Center è configurato per aggiornare i database Kaspersky e le applicazioni Kaspersky installate dopo che gli aggiornamenti vengono scaricati nell'archivio di Administration Server o negli archivi dei punti di distribuzione. È quindi possibile procedere al monitoraggio dello stato della rete.

Vedere anche:

Scenario: Aggiornamento periodico di database e applicazioni Kaspersky

Inizio pagina

[Topic 46875]

Informazioni sull'aggiornamento dei database, dei moduli software e delle applicazioni Kaspersky

Per assicurarsi che la protezione dei propri Administration Server e dispositivi gestiti sia aggiornata, è necessario garantire aggiornamenti tempestivi dei seguenti componenti:

Database e moduli del software Kaspersky

Prima di scaricare i database e i moduli software di Kaspersky, Kaspersky Security Center verifica se i server Kaspersky sono accessibili. Se non è possibile accedere ai server utilizzando il DNS di sistema, l'applicazione utilizza i server DNS pubblici. Ciò è necessario per garantire che i database anti-virus siano aggiornati e per mantenere il livello di sicurezza per i dispositivi gestiti.

Applicazioni Kaspersky installate, inclusi i componenti di Kaspersky Security Center e le applicazioni di protezione

In base alla configurazione della propria rete è possibile utilizzare i seguenti schemi di download e distribuzione degli aggiornamenti richiesti ai dispositivi gestiti:

Utilizzando un'unica attività: Scarica aggiornamenti nell'archivio dell'Administration Server
Utilizzando due attività:
- L'attività Scarica aggiornamenti nell'archivio dell'Administration Server
- L'attività Scarica aggiornamenti negli archivi dei punti di distribuzione
Manualmente attraverso una cartella locale, una cartella condivisa o un server FTP
Direttamente dai server di aggiornamento Kaspersky a Kaspersky Endpoint Security nei dispositivi gestiti
Tramite una cartella locale o di rete se Administration Server non dispone della connessione a Internet

Utilizzo dell'attività Scarica aggiornamenti nell'archivio dell'Administration Server

In questo schema Kaspersky Security Center scarica gli aggiornamenti tramite l'attività Scarica aggiornamenti nell'archivio dell'Administration Server. Nelle reti piccole che contengono meno di 300 dispositivi gestiti in un singolo segmento di rete o meno di 10 dispositivi gestiti in ciascun segmento di rete, gli aggiornamenti vengono distribuiti nei dispositivi gestiti direttamente dall'archivio di Administration Server (vedere la figura di seguito).

Attività di download degli aggiornamenti nell'archivio dell'Administration Server senza punti di distribuzione.

Aggiornamento tramite l'attività Scarica aggiornamenti nell'archivio dell'Administration Server senza punti di distribuzione

Per impostazione predefinita, Administration Server comunica con i server di aggiornamento Kaspersky e scarica gli aggiornamenti utilizzando il protocollo HTTPS. È possibile configurare Administration Server per fare in modo che utilizzi il protocollo HTTP anziché HTTPS.

Se la rete contiene più di 300 dispositivi gestiti in un singolo segmento di rete o se la rete è composta da più segmenti di rete con più di 9 dispositivi gestiti in ciascun segmento di rete, è consigliabile utilizzare i punti di distribuzione per propagare gli aggiornamenti ai dispositivi gestiti (vedere la figura di seguito). I punti di distribuzione riducono il carico per Administration Server e ottimizzano il traffico tra Administration Server e dispositivi gestiti. È possibile calcolare il numero e la configurazione dei punti di distribuzione richiesti per la rete.

In questo schema gli aggiornamenti vengono scaricati automaticamente dall'archivio di Administration Server agli archivi dei punti di distribuzione. I dispositivi gestiti inclusi nell'ambito di un punto di distribuzione scaricano gli aggiornamenti dall'archivio del punto di distribuzione anziché dall'archivio di Administration Server.

Aggiornamento dell'Administration Server mediante il download degli aggiornamenti nell'archivio dell'Administration Server.

Aggiornamento tramite l'attività Scarica aggiornamenti nell'archivio dell'Administration Server con punti di distribuzione

Al completamento dell'attività Scarica aggiornamenti nell'archivio dell'Administration Server, i seguenti aggiornamenti vengono scaricati nell'archivio dell'Administration Server:

Moduli del software e database Kaspersky per Kaspersky Security Center
Questi aggiornamenti vengono installati automaticamente.
Moduli del software e database Kaspersky per le applicazioni di protezione nei dispositivi gestiti
Questi aggiornamenti vengono installati tramite l'attività di aggiornamento per Kaspersky Endpoint Security for Windows.
Aggiornamenti per Administration Server
Questi aggiornamenti non vengono installati automaticamente. L'amministratore deve approvare esplicitamente ed eseguire l'installazione degli aggiornamenti.

Sono necessari i diritti di amministratore locale per l'installazione delle patch nell'Administration Server.
Aggiornamenti per i componenti di Kaspersky Security Center
Per impostazione predefinita, questi aggiornamenti vengono installati automaticamente. È possibile modificare le impostazioni nel criterio di Network Agent.
Aggiornamenti per le applicazioni di protezione
Per impostazione predefinita, Kaspersky Endpoint Security for Windows installa solo gli aggiornamenti approvati. È possibile approvare gli aggiornamenti tramite Administration Console o tramite Kaspersky Security Center Web Console. Gli aggiornamenti vengono installati attraverso l'attività di aggiornamento e possono essere configurati nelle proprietà di questa attività.

L'attività Scarica aggiornamenti nell'archivio di Administration Server non è disponibile negli Administration Server virtuali. L'archivio dell'Administration Server virtuale visualizza gli aggiornamenti scaricati nell'Administration Server primario.

È possibile configurare la verifica della possibilità di utilizzare gli aggiornamenti e degli eventuali errori in un set di dispositivi di test. Se la verifica ha esito positivo, gli aggiornamenti vengono distribuiti agli altri dispositivi gestiti.

Ogni applicazione Kaspersky richiede gli aggiornamenti necessari da Administration Server. Administration Server aggrega tali richieste e scarica solo gli aggiornamenti che sono richiesti da un'applicazione. Questo garantisce che gli stessi aggiornamenti non vengano scaricati più volte e che gli aggiornamenti non necessari non vengano scaricati affatto. Durante l'esecuzione dell'attività Scarica aggiornamenti nell'archivio dell'Administration Server, Administration Server invia automaticamente le seguenti informazioni ai server di aggiornamento Kaspersky per garantire il download delle versioni appropriate dei moduli software e dei database Kaspersky:

Versione e ID applicazione
ID di installazione dell'applicazione
ID chiave attiva
ID di esecuzione dell'attività Scarica aggiornamenti nell'archivio dell'Administration Server

Le informazioni trasmesse non contengono dati personali o altri dati riservati. AO Kaspersky Lab protegge le informazioni in base ai requisiti previsti dalla legge.

Tramite due attività: l'attività Scarica aggiornamenti nell'archivio dell'Administration Server e l'attività Scarica aggiornamenti negli archivi dei punti di distribuzione

È possibile scaricare gli aggiornamenti negli archivi dei punti di distribuzione direttamente dai server di aggiornamento Kaspersky anziché dall'archivio di Administration Server, quindi distribuire gli aggiornamenti ai dispositivi gestiti (vedere la figura di seguito). Il download negli archivi dei punti di distribuzione è preferibile se il traffico tra Administration Server e punti di distribuzione è superiore rispetto a quello del traffico tra i punti di distribuzione e i server di aggiornamento Kaspersky oppure se Administration Server non dispone di accesso a Internet.

L'aggiornamento dell'Administration Server avviene scaricando gli aggiornamenti negli archivi dei punti di distribuzione.

Aggiornamento tramite l'attività Scarica aggiornamenti nell'archivio dell'Administration Server e l'attività Scarica aggiornamenti negli archivi dei punti di distribuzione

Per impostazione predefinita, Administration Server e i punti di distribuzione comunicano con i server di aggiornamento Kaspersky e scaricano gli aggiornamenti utilizzando il protocollo HTTPS. È possibile configurare Administration Server e/o i punti di distribuzione per fare in modo che utilizzino il protocollo HTTP anziché HTTPS.

Per implementare questo schema, creare l'attività Scarica aggiornamenti negli archivi dei punti di distribuzione oltre all'attività Scarica aggiornamenti nell'archivio dell'Administration Server. In seguito, i punti di distribuzione scaricheranno gli aggiornamenti dai server di aggiornamento Kaspersky e non dall'archivio di Admnistration Server.

I dispositivi dei punti di distribuzione che eseguono macOS non possono scaricare gli aggiornamenti dai server di aggiornamento Kaspersky.

Se uno o più dispositivi che eseguono macOS rientrano nell'ambito dell'attività Scarica aggiornamenti negli archivi dei punti di distribuzione, l'attività viene completata con lo stato Non riuscito, anche se è stata completata correttamente in tutti i dispositivi Windows.

Anche l'attività Scarica aggiornamenti nell'archivio dell'Administration Server è richiesta per questo schema, poiché questa attività è utilizzata per scaricare i moduli software e i database Kaspersky per Kaspersky Security Center.

Manualmente attraverso una cartella locale, una cartella condivisa o un server FTP

Se i dispositivi client non hanno una connessione ad Administration Server, è possibile utilizzare una cartella locale o una risorsa condivisa come sorgente per l'aggiornamento di database, moduli software e applicazioni Kaspersky. In questo schema è necessario copiare gli aggiornamenti richiesti dall'archivio di Administration Server in un'unità rimovibile, quindi copiare gli aggiornamenti nella cartella locale o nella risorsa condivisa specificata come sorgente degli aggiornamenti nelle impostazioni di Kaspersky Endpoint Security (vedere la figura di seguito).

Aggiornare tramite una cartella locale o una risorsa condivisa.

Aggiornamento tramite una cartella locale, una cartella condivisa o un server FTP

Per ulteriori informazioni sulle sorgenti degli aggiornamenti in Kaspersky Endpoint Security, consultare le seguenti Guide:

Direttamente dai server di aggiornamento Kaspersky a Kaspersky Endpoint Security nei dispositivi gestiti

Nei dispositivi gestiti, è possibile configurare Kaspersky Endpoint Security per ricevere gli aggiornamenti direttamente dai server di aggiornamento Kaspersky (vedere la figura di seguito).

Aggiornamento diretto dai server di aggiornamento.

Aggiornamento delle applicazioni di protezione direttamente dai server di aggiornamento Kaspersky

In questo schema, l'applicazione di protezione non utilizza gli archivi forniti da Kaspersky Security Center. Per ricevere gli aggiornamenti direttamente dai server di aggiornamento Kaspersky, specificare i server di aggiornamento Kaspersky come sorgente degli aggiornamenti nell'interfaccia dell'applicazione di protezione. Per ulteriori informazioni su queste impostazioni, consultare le seguenti Guide:

Tramite una cartella locale o di rete se Administration Server non dispone della connessione a Internet

Se Administration Server non dispone della connessione a Internet, è possibile configurare l'attività Scarica aggiornamenti nell'archivio dell'Administration Server per scaricare gli aggiornamenti da una cartella locale o di rete. In questo caso, di tanto in tanto è necessario copiare i file di aggiornamento necessari nella cartella specificata. È ad esempio possibile copiare i file di aggiornamento necessari da una delle seguenti origini:

Administration Server con una connessione Internet (vedere la figura seguente)
Poiché un Administration Server scarica solo gli aggiornamenti richiesti dalle applicazioni di protezione, i set di applicazioni di protezione gestiti dagli Administration Server (quello con una connessione Internet e quello senza connessione), devono corrispondere.

Se l'Administration Server utilizzato per scaricare gli aggiornamenti dispone della versione 13.2 o precedente, aprire le proprietà dell'attività Scarica aggiornamenti nell'archivio dell'Administration Server, quindi abilitare l'opzione Scarica gli aggiornamenti utilizzando lo schema precedente.

Aggiornamento tramite una cartella locale o di rete se Administration Server non dispone di una connessione Internet
Kaspersky Update Utility
Poiché questa utilità utilizza il vecchio schema per scaricare gli aggiornamenti, aprire le proprietà dell'attività Scarica aggiornamenti nell'archivio dell'Administration Server, quindi abilitare l'opzione Scarica gli aggiornamenti utilizzando lo schema precedente.

Vedere anche:

Inizio pagina

[Topic 175487]

Informazioni sull'utilizzo dei file diff per l'aggiornamento dei database e dei moduli del software Kaspersky

Quando Kaspersky Security Center scarica gli aggiornamenti dai server di aggiornamento Kaspersky, ottimizza il traffico utilizzando file diff. È anche possibile abilitare l'utilizzo dei file diff da parte dei dispositivi (Administration Server, punti di distribuzione e dispositivi client) che recuperano gli aggiornamenti da altri dispositivi della rete.

Informazioni sulla funzionalità Download dei file diff

Un file diff descrive le differenze tra due versioni di un file di un database o un modulo software. L'utilizzo dei file diff riduce il traffico all'interno della rete aziendale, poiché i file diff occupano meno spazio rispetto ai file completi di database e moduli software. Se è abilitata la funzionalità Download dei file diff in un Administration Server o un punto di distribuzione, i file diff vengono salvati in questo Administration Server o punto di distribuzione. Come risultato, i dispositivi che recuperano gli aggiornamenti da questo Administration Server o punto di distribuzione possono utilizzare i file diff salvati per l'aggiornamento dei database e dei moduli software.

Per ottimizzare l'utilizzo dei file diff, è consigliabile sincronizzare la pianificazione di aggiornamento dei dispositivi con la pianificazione di aggiornamento dell'Administration Server o del punto di distribuzione da cui i dispositivi recuperano gli aggiornamenti. Il traffico può comunque essere ridotto anche se i dispositivi vengono aggiornati con una frequenza notevolmente inferiore a quella dell'Administration Server o del punto di distribuzione da cui i dispositivi recuperano gli aggiornamenti.

La funzionalità Download dei file diff può essere abilitata solo negli Administration Server e nei punti di distribuzione versione 11 e successive. Per salvare i file diff in Administration Server e punti di distribuzione di versioni precedenti, eseguirne l'upgrade alla versione 11 o successiva.

La funzionalità Download dei file diff è incompatibile con il modello offline per il download degli aggiornamenti. In altre parole, i Network Agent che utilizzano il modello offline di download degli aggiornamenti non scaricano i file diff anche se la funzionalità Download dei file diff è stata attivata nell'Administration Server o nel punto di distribuzione che fornisce gli aggiornamenti a questi Network Agent.

I punti di distribuzione non utilizzano la modalità IP multicast per la distribuzione automatica dei file diff.

Vedere anche:

Scenario: Aggiornamento periodico di database e applicazioni Kaspersky

Abilitazione della funzionalità Download dei file diff

Inizio pagina

[Topic 219783]

Abilitazione della funzionalità Download dei file diff

Prerequisiti

I prerequisiti per lo scenario sono i seguenti:

È stato eseguito l'upgrade di Administration Server e punti di distribuzione alla versione 11 o successiva.
Il modello offline per il download degli aggiornamenti è disabilitato nelle impostazioni del criterio di Network Agent.

Passaggi

Abilitazione della funzionalità in Administration Server
Abilitare la funzionalità nelle impostazioni di un'attività Scarica aggiornamenti nell'archivio dell'Administration Server.
Abilitazione della funzionalità per un punto di distribuzione
Abilitare la funzionalità per un punto di distribuzione che riceve gli aggiornamenti tramite un'attività Scarica aggiornamenti negli archivi dei punti di distribuzione.

Successivamente abilitare la funzionalità per un punto di distribuzione che riceve gli aggiornamenti da Administration Server.

La funzionalità è abilitata nelle impostazioni del criterio di Network Agent e, se sono stati assegnati manualmente punti di distribuzione e se si desidera sostituire le impostazioni del criterio, nella sezione Punti di distribuzione.

Per verificare che la funzionalità Download dei file diff sia abilitata correttamente, è possibile misurare il traffico interno prima e dopo l'esecuzione dello scenario.

Vedere anche:

Informazioni sull'utilizzo dei file diff per l'aggiornamento dei database e dei moduli del software Kaspersky

Scenario: Aggiornamento periodico di database e applicazioni Kaspersky

Informazioni sull'aggiornamento dei database, dei moduli software e delle applicazioni Kaspersky

Inizio pagina

[Topic 3411]

Creazione dell'attività per il download degli aggiornamenti nell'archivio di Administration Server

Verifica degli aggiornamenti scaricati

L'attività Scarica aggiornamenti nell'archivio di Administration Server viene creata automaticamente dall'Avvio rapido guidato di Kaspersky Security Center. È possibile creare una sola attività Scarica aggiornamenti nell'archivio di Administration Server. Di conseguenza, è possibile creare un'attività Scarica aggiornamenti nell'archivio di Administration Server solo se tale attività è stata rimossa dall'elenco di attività di Administration Server.

Per creare un'attività Scarica aggiornamenti nell'archivio di Administration Server:

Nella struttura della console selezionare la cartella Attività.
Avviare la creazione dell'attività in uno dei seguenti modi:
- Nel menu di scelta rapida della cartella Attività nella struttura della console selezionare Nuovo → Attività.
- Nell'area di lavoro della cartella Attività fare clic sul pulsante Crea attività.
Verrà avviata la Creazione guidata nuova attività. Seguire le istruzioni della procedura guidata.
Nella pagina Selezionare il tipo di attività della procedura guidata selezionare Scarica aggiornamenti nell'archivio dell'Administration Server.
Nella pagina Impostazioni della procedura guidata specificare le impostazioni dell'attività nel modo seguente:
- Sorgenti degli aggiornamenti
  È possibile utilizzare le seguenti risorse come sorgenti degli aggiornamenti per l'Administration Server:
  - Server degli aggiornamenti Kaspersky
    I server HTTP(S) di Kaspersky da cui le applicazioni Kaspersky scaricano gli aggiornamenti per i database e i moduli delle applicazioni. Per impostazione predefinita, Administration Server comunica con i server di aggiornamento Kaspersky e scarica gli aggiornamenti utilizzando il protocollo HTTPS. È possibile configurare Administration Server per fare in modo che utilizzi il protocollo HTTP anziché HTTPS.
    
    Opzione selezionata per impostazione predefinita.
  - Administration Server primario
    Questa risorsa si applica alle attività create per un Administration Server secondario o virtuale.
  - Cartella locale o di rete
    Un'unità locale o una cartella di rete che contiene gli aggiornamenti più recenti. Una cartella di rete può essere un server FTP o HTTP oppure una condivisione SMB. Se una cartella di rete richiede l'autenticazione, è supportato solo il protocollo SMB. Quando si seleziona una cartella locale, è necessario specificare una cartella nel dispositivo in cui è installato Administration Server.
    
    Una cartella di rete o un server FTP o HTTP utilizzato da una sorgente degli aggiornamenti deve contenere una struttura di cartelle (con gli aggiornamenti) che corrisponde alla struttura creata durante l'utilizzo dei server di aggiornamento Kaspersky.
- Altre impostazioni:
  - Forza aggiornamento degli Administration Server secondari
    Se questa opzione è abilitata, Administration Server avvia le attività di aggiornamento negli Administration Server secondari non appena vengono scaricati nuovi aggiornamenti. Le attività di aggiornamento vengono avviate utilizzando la sorgente dell'aggiornamento configurata nelle proprietà dell'attività negli Administration Server secondari.
    
    Se questa opzione è disabilitata, le attività di aggiornamento negli Administration Server secondari vengono avviate in base alla relativa pianificazione.
    
    Per impostazione predefinita, questa opzione è disabilitata.
  - Copia gli aggiornamenti scaricati in cartelle aggiuntive
    Dopo avere ricevuto gli aggiornamenti, l'Administration Server li copia nelle cartelle specificate. Utilizzare questa opzione se si desidera gestire manualmente la distribuzione degli aggiornamenti nella rete.
    
    Questa opzione può ad esempio essere utilizzata nella seguente situazione: la rete dell'organizzazione è composta da diverse subnet indipendenti e i dispositivi in ciascuna subnet non hanno accesso ad altre subnet. I dispositivi in tutte le subnet hanno tuttavia accesso a una condivisione di rete comune. In questo caso, è possibile impostare Administration Server in una delle subnet per il download degli aggiornamenti dai server di aggiornamento Kaspersky, abilitare questa opzione e quindi specificare la condivisione di rete. Nelle attività di download degli aggiornamenti nell'archivio per gli altri Administration Server specificare la stessa condivisione di rete come sorgente degli aggiornamenti.
    
    Per impostazione predefinita, questa opzione è disabilitata.
    - Non forzare l'aggiornamento dei dispositivi e degli Administration Server secondari prima del completamento della copia
      Le attività di download degli aggiornamenti nei dispositivi client e negli Administration Server secondari vengono avviate solo una volta che gli aggiornamenti sono stati copiati dalla cartella degli aggiornamenti principale nelle cartelle degli aggiornamenti aggiuntive.
      
      Questa opzione deve essere abilitata se i dispositivi client e gli Administration Server secondari scaricano gli aggiornamenti da cartelle di rete aggiuntive.
      
      Per impostazione predefinita, questa opzione è disabilitata.
  - Scarica gli aggiornamenti utilizzando lo schema precedente
    A partire dalla versione 14, Kaspersky Security Center scarica gli aggiornamenti dei database e dei moduli software utilizzando il nuovo schema. Affinché l'applicazione possa scaricare gli aggiornamenti utilizzando il nuovo schema, la sorgente degli aggiornamenti deve contenere i file di aggiornamento con i metadati compatibili con il nuovo schema. Se la sorgente degli aggiornamenti contiene i file di aggiornamento con i metadati compatibili solo con lo schema precedente, abilitare l'opzione Scarica gli aggiornamenti utilizzando lo schema precedente. In caso contrario, l'attività di download degli aggiornamenti avrà esito negativo.
    
    È ad esempio necessario abilitare questa opzione quando una cartella locale o di rete è specificata come sorgente degli aggiornamenti e i file di aggiornamento in questa cartella sono stati scaricati da una delle seguenti applicazioni:
    - Kaspersky Update Utility
      Questa utilità scarica gli aggiornamenti utilizzando lo schema precedente.
    - Kaspersky Security Center 13.2 o versione precedente
      Ad esempio, Administration Server 1 non dispone di una connessione Internet. In questo caso, è possibile scaricare gli aggiornamenti utilizzando un Administration Server 2 dotato di una connessione Internet, quindi posizionare gli aggiornamenti in una cartella locale o di rete per utilizzarlo come sorgente degli aggiornamenti per Administration Server 1. Se Administration Server 2 dispone della versione 13.2 ò precedente, abilitare l'opzione Scarica gli aggiornamenti utilizzando lo schema precedente nell'attività per Administration Server 1.
    Per impostazione predefinita, questa opzione è disabilitata.
Nella pagina Configurare la pianificazione delle attività della procedura guidata è possibile creare una pianificazione per l'avvio dell'attività. Se necessario, specificare le seguenti impostazioni:
- Avvio pianificato:
  Selezionare la pianificazione per l'esecuzione dell'attività e configurare la pianificazione selezionata.
  - Ogni N ore
    L'attività viene eseguita periodicamente, con l'intervallo specificato in ore, a partire dalla data e dall'ora specificate.
    
    Per impostazione predefinita, l'attività viene eseguita ogni sei ore, a partire dalla data e dall'ora di sistema correnti.
  - Ogni N giorni
    L'attività viene eseguita periodicamente, con l'intervallo specificato in giorni. È inoltre possibile specificare data e ora della prima esecuzione dell'attività. Queste opzioni aggiuntive diventano disponibili se sono supportate dall'applicazione per cui viene creata l'attività.
    
    Per impostazione predefinita, l'attività viene eseguita ogni giorno, a partire dalla data e dall'ora di sistema correnti.
  - Ogni N settimane
    L'attività viene eseguita periodicamente, con l'intervallo specificato in settimane, nel giorno della settimana specificato e all'ora specificata.
    
    Per impostazione predefinita, l'attività viene eseguita ogni lunedì all'ora di sistema corrente.
  - Ogni N minuti
    L'attività viene eseguita periodicamente, con l'intervallo specificato in minuti, a partire dall'ora specificata nel giorno in cui viene creata l'attività.
    
    Per impostazione predefinita, l'attività viene eseguita ogni 30 minuti, a partire dall'ora di sistema corrente.
  - Giornaliera (ora legale non supportata)
    L'attività viene eseguita periodicamente, con l'intervallo specificato in giorni. Questa pianificazione non supporta l'ora legale. In altre parole, se l'orologio del sistema si sposta avanti o indietro di un'ora all'inizio o alla fine dell'ora legale, l'ora di inizio effettiva dell'attività non cambia.
    
    Non è consigliabile utilizzare questa pianificazione. È necessaria per la compatibilità con le versioni precedenti di Kaspersky Security Center.
    
    Per impostazione predefinita, l'attività viene avviata ogni giorno all'ora di sistema corrente.
  - Settimanale
    L'attività viene eseguita ogni settimana nel giorno specificato e all'ora specificata.
  - In base ai giorni della settimana
    L'attività viene eseguita periodicamente, nei giorni specificati della settimana, all'ora specificata.
    
    Per impostazione predefinita, l'attività viene eseguita ogni venerdì alle 18:00:00.
  - Mensile
    L'attività viene eseguita periodicamente, nel giorno del mese specificato, all'ora specificata.
    
    Nei mesi che non comprendono il giorno specificato, l'attività viene eseguita l'ultimo giorno.
    
    Per impostazione predefinita, l'attività viene eseguita il primo giorno di ogni mese, all'ora di sistema corrente.
  - Manualmente
    L'attività non viene eseguita automaticamente. È possibile avviarla solo manualmente.
    
    Per impostazione predefinita, questa opzione è selezionata.
  - Ogni mese nei giorni specificati delle settimane selezionate
    L'attività viene eseguita periodicamente, nei giorni specificati di ogni mese, all'ora specificata.
    
    Per impostazione predefinita, non sono selezionati giorni del mese. L'ora di inizio predefinita è le 18:00.
  - Durante un'epidemia di virus
    L'attività viene eseguita dopo che si verifica un evento Epidemia di virus. Selezionare i tipi di applicazione da cui dovranno essere monitorate le epidemie di virus. Sono disponibili i seguenti tipi di applicazione:
    - Anti-virus per workstation e file server
    - Anti-virus per la difesa perimetrale
    - Anti-virus per i sistemi di posta
    Per impostazione predefinita, sono selezionati tutti i tipi di applicazione.
    
    Può essere utile eseguire differenti attività a seconda del tipo di applicazione di protezione che segnala un'epidemia di virus. In questo caso, rimuovere la selezione dei tipi di applicazione non necessari.
  - Al completamento di un'altra attività
    L'attività corrente viene avviata dopo il completamento di un'altra attività. È possibile selezionare la modalità di completamento dell'attività precedente (correttamente o con errori) per l'attivazione dell'avvio dell'attività corrente. È ad esempio possibile eseguire l'attività Gestisci dispositivi con l'opzione Accendi il dispositivo e, al termine, eseguire l'attività Scansione virus. Questo parametro funziona solo se entrambe le attività sono assegnate agli stessi dispositivi.
- Esegui attività non effettuate
  Questa opzione determina il comportamento di un'attività se un dispositivo client non è visibile nella rete al momento dell'avvio dell'attività.
  
  Se questa opzione è abilitata, il sistema tenta di avviare l'attività alla successiva esecuzione di un'applicazione Kaspersky in un dispositivo client. Se la pianificazione dell'attività è Manualmente, Una sola volta o Immediatamente, l'attività viene avviata non appena il dispositivo diventa visibile nella rete o subito dopo che il dispositivo viene incluso nell'ambito dell'attività.
  
  Se questa opzione è disabilitata, solo le attività pianificate vengono eseguite nei dispositivi client. Per i tipi di pianificazione Manualmente, Una sola volta e Immediatamente, le attività vengono eseguite solo nei dispositivi client visibili nella rete. È ad esempio possibile disabilitare questa opzione per un'attività con un notevole utilizzo di risorse che si desidera eseguire solo in orario non lavorativo.
  
  Per impostazione predefinita, questa opzione è disabilitata.
- Usa automaticamente il ritardo casuale per l'avvio delle attività
  Se questa opzione è abilitata, l'attività viene avviata nei dispositivi client in modo casuale all'interno di un intervallo di tempo specificato (avvio distribuito dell'attività). L'avvio distribuito dell'attività consente di evitare che Administration Server riceva numerose richieste simultanee da parte dei dispositivi client durante l'esecuzione di un'attività pianificata.
  
  Il periodo di avvio distribuito viene calcolato automaticamente durante la creazione di un'attività, in base al numero di dispositivi client a cui è assegnata l'attività. Successivamente, l'attività viene sempre eseguita all'ora di inizio calcolata. Tuttavia, quando si modificano le impostazioni dell'attività o l'attività viene avviata manualmente, il valore calcolato dell'ora di inizio dell'attività cambia.
  
  Se questa opzione è disabilitata, l'attività viene avviata nei dispositivi client in base alla pianificazione.
- Usa ritardo casuale per l'avvio delle attività con un intervallo di (min.)
  Se questa opzione è abilitata, l'attività viene avviata nei dispositivi client in modo casuale all'interno dell'intervallo di tempo specificato. L'avvio distribuito dell'attività consente di evitare che Administration Server riceva numerose richieste simultanee da parte dei dispositivi client durante l'esecuzione di un'attività pianificata.
  
  Se questa opzione è disabilitata, l'attività viene avviata nei dispositivi client in base alla pianificazione.
  
  Per impostazione predefinita, questa opzione è disabilitata. Il periodo di tempo predefinito è 1 minuto.
Nella pagina Definire il nome dell'attività della procedura guidata specificare il nome dell'attività che si intende creare. Il nome di un'attività non può superare i 100 caratteri e non può includere caratteri speciali ("*<>?\:|).
Nella pagina Completare la creazione dell'attività della procedura guidata fare clic sul pulsante Fine per chiudere la procedura guidata.
Se si desidera che l'attività venga avviata al termine della procedura guidata, selezionare la casella di controllo Esegui l'attività al termine della procedura guidata.

Al termine della procedura guidata, l'attività Scarica aggiornamenti nell'archivio di Administration Server viene visualizzata nell'elenco delle attività di Administration Server nell'area di lavoro.

Oltre alle impostazioni specificate durante la creazione dell'attività, è possibile modificare altre proprietà di un'attività creata.

Quando Administration Server esegue l'attività Scarica aggiornamenti nell'archivio di Administration Server, gli aggiornamenti dei database e dei moduli software vengono scaricati dalla sorgente degli aggiornamenti e archiviati nella cartella condivisa di Administration Server. Se questa attività viene creata per un gruppo di amministrazione, verrà applicata solo ai Network Agent inclusi nel gruppo di amministrazione specificato.

Gli aggiornamenti vengono distribuiti nei dispositivi client e negli Administration Server secondari dalla cartella condivisa di Administration Server.

Vedere anche:

Impostazioni dell'attività Scarica aggiornamenti nell'archivio dell'Administration Server

Scenario: Aggiornamento periodico di database e applicazioni Kaspersky

Inizio pagina

[Topic 137601]

Creazione dell'attività Scarica aggiornamenti negli archivi dei punti di distribuzione

Impostazioni dell'attività Scarica aggiornamenti negli archivi dei punti di distribuzione

I dispositivi dei punti di distribuzione che eseguono macOS non possono scaricare gli aggiornamenti dai server di aggiornamento Kaspersky.

È possibile creare l'attività Scarica aggiornamenti negli archivi dei punti di distribuzione per un gruppo di amministrazione. L'attività verrà eseguita per i punti di distribuzione inclusi nel gruppo di amministrazione specificato.

È ad esempio possibile utilizzare questa attività se il costo del traffico tra l'Administration Server e i punti di distribuzione è superiore rispetto a quello del traffico tra i punti di distribuzione e i server di aggiornamento Kaspersky oppure se l'Administration Server non dispone di accesso a Internet.

Per creare l'attività Scarica aggiornamenti negli archivi dei punti di distribuzione per un gruppo di amministrazione selezionato:

Nella struttura della console selezionare la cartella Attività.
Nell'area di lavoro di questa cartella fare clic sul pulsante Nuova attività.
Verrà avviata la Creazione guidata nuova attività. Seguire le istruzioni della procedura guidata.
Nella pagina Selezionare il tipo di attività della procedura guidata selezionare il nodo Kaspersky Security Center Administration Server, espandere la cartella Avanzate, quindi selezionare l'attività Scarica aggiornamenti negli archivi dei punti di distribuzione.
Nella pagina Impostazioni della procedura guidata specificare le impostazioni dell'attività nel modo seguente:
- Sorgenti degli aggiornamenti
  È possibile utilizzare le seguenti risorse come sorgenti degli aggiornamenti per il punto di distribuzione:
  - Server degli aggiornamenti Kaspersky
    I server HTTP(S) di Kaspersky da cui le applicazioni Kaspersky scaricano gli aggiornamenti per i database e i moduli delle applicazioni.
    
    Questa opzione è selezionata per impostazione predefinita.
  - Administration Server primario
    Questa risorsa si applica alle attività create per un Administration Server secondario o virtuale.
  - Cartella locale o di rete
    Un'unità locale o una cartella di rete che contiene gli aggiornamenti più recenti. Una cartella di rete può essere un server FTP o HTTP oppure una condivisione SMB. Se una cartella di rete richiede l'autenticazione, è supportato solo il protocollo SMB. Quando si seleziona una cartella locale, è necessario specificare una cartella nel dispositivo in cui è installato Administration Server.
    
    Una cartella di rete o un server FTP o HTTP utilizzato da una sorgente degli aggiornamenti deve contenere una struttura di cartelle (con gli aggiornamenti) che corrisponde alla struttura creata durante l'utilizzo dei server di aggiornamento Kaspersky.
- Cartella per l'archiviazione degli aggiornamenti
  Il percorso della cartella specificata per l'archiviazione degli aggiornamenti salvati. È possibile copiare il percorso della cartella specificata negli appunti. Non è possibile modificare il percorso di una cartella specificata per un'attività di gruppo.
- Scarica gli aggiornamenti utilizzando lo schema precedente
  A partire dalla versione 14, Kaspersky Security Center scarica gli aggiornamenti dei database e dei moduli software utilizzando il nuovo schema. Affinché l'applicazione possa scaricare gli aggiornamenti utilizzando il nuovo schema, la sorgente degli aggiornamenti deve contenere i file di aggiornamento con i metadati compatibili con il nuovo schema. Se la sorgente degli aggiornamenti contiene i file di aggiornamento con i metadati compatibili solo con lo schema precedente, abilitare l'opzione Scarica gli aggiornamenti utilizzando lo schema precedente. In caso contrario, l'attività di download degli aggiornamenti avrà esito negativo.
  
  È ad esempio necessario abilitare questa opzione quando una cartella locale o di rete è specificata come sorgente degli aggiornamenti e i file di aggiornamento in questa cartella sono stati scaricati da una delle seguenti applicazioni:
  - Kaspersky Update Utility
    Questa utilità scarica gli aggiornamenti utilizzando lo schema precedente.
  - Kaspersky Security Center 13.2 o versione precedente
    Un punto di distribuzione è ad esempio configurato per acquisire gli aggiornamenti da una cartella locale o di rete. In questo caso, è possibile scaricare gli aggiornamenti utilizzando un Administration Server dotato di una connessione Internet, quindi posizionare gli aggiornamenti nella cartella locale nel punto di distribuzione. Se la versione di Administration Server è la 13.2 o precedente, abilitare l'opzione Scarica gli aggiornamenti utilizzando lo schema precedente nell'attività Scarica aggiornamenti negli archivi dei punti di distribuzione.
  Per impostazione predefinita, questa opzione è disabilitata.
Nella pagina Selezionare un gruppo di amministrazione della procedura guidata fare clic su Sfoglia e selezionare il gruppo di amministrazione a cui si applica l'attività.
Nella pagina Configurare la pianificazione delle attività della procedura guidata è possibile creare una pianificazione per l'avvio dell'attività. Se necessario, specificare le seguenti impostazioni:
- Avvio pianificato:
  Selezionare la pianificazione per l'esecuzione dell'attività e configurare la pianificazione selezionata.
  - Ogni N ore
    L'attività viene eseguita periodicamente, con l'intervallo specificato in ore, a partire dalla data e dall'ora specificate.
    
    Per impostazione predefinita, l'attività viene eseguita ogni sei ore, a partire dalla data e dall'ora di sistema correnti.
  - Ogni N giorni
    L'attività viene eseguita periodicamente, con l'intervallo specificato in giorni. È inoltre possibile specificare data e ora della prima esecuzione dell'attività. Queste opzioni aggiuntive diventano disponibili se sono supportate dall'applicazione per cui viene creata l'attività.
    
    Per impostazione predefinita, l'attività viene eseguita ogni giorno, a partire dalla data e dall'ora di sistema correnti.
  - Ogni N settimane
    L'attività viene eseguita periodicamente, con l'intervallo specificato in settimane, nel giorno della settimana specificato e all'ora specificata.
    
    Per impostazione predefinita, l'attività viene eseguita ogni lunedì all'ora di sistema corrente.
  - Ogni N minuti
    L'attività viene eseguita periodicamente, con l'intervallo specificato in minuti, a partire dall'ora specificata nel giorno in cui viene creata l'attività.
    
    Per impostazione predefinita, l'attività viene eseguita ogni 30 minuti, a partire dall'ora di sistema corrente.
  - Giornaliera (ora legale non supportata)
    L'attività viene eseguita periodicamente, con l'intervallo specificato in giorni. Questa pianificazione non supporta l'ora legale. In altre parole, se l'orologio del sistema si sposta avanti o indietro di un'ora all'inizio o alla fine dell'ora legale, l'ora di inizio effettiva dell'attività non cambia.
    
    Non è consigliabile utilizzare questa pianificazione. È necessaria per la compatibilità con le versioni precedenti di Kaspersky Security Center.
    
    Per impostazione predefinita, l'attività viene avviata ogni giorno all'ora di sistema corrente.
  - Settimanale
    L'attività viene eseguita ogni settimana nel giorno specificato e all'ora specificata.
  - In base ai giorni della settimana
    L'attività viene eseguita periodicamente, nei giorni specificati della settimana, all'ora specificata.
    
    Per impostazione predefinita, l'attività viene eseguita ogni venerdì alle 18:00:00.
  - Mensile
    L'attività viene eseguita periodicamente, nel giorno del mese specificato, all'ora specificata.
    
    Nei mesi che non comprendono il giorno specificato, l'attività viene eseguita l'ultimo giorno.
    
    Per impostazione predefinita, l'attività viene eseguita il primo giorno di ogni mese, all'ora di sistema corrente.
  - Manualmente
    L'attività non viene eseguita automaticamente. È possibile avviarla solo manualmente.
    
    Per impostazione predefinita, questa opzione è selezionata.
  - Ogni mese nei giorni specificati delle settimane selezionate
    L'attività viene eseguita periodicamente, nei giorni specificati di ogni mese, all'ora specificata.
    
    Per impostazione predefinita, non sono selezionati giorni del mese. L'ora di inizio predefinita è le 18:00.
  - Durante un'epidemia di virus
    L'attività viene eseguita dopo che si verifica un evento Epidemia di virus. Selezionare i tipi di applicazione da cui dovranno essere monitorate le epidemie di virus. Sono disponibili i seguenti tipi di applicazione:
    - Anti-virus per workstation e file server
    - Anti-virus per la difesa perimetrale
    - Anti-virus per i sistemi di posta
    Per impostazione predefinita, sono selezionati tutti i tipi di applicazione.
    
    Può essere utile eseguire differenti attività a seconda del tipo di applicazione di protezione che segnala un'epidemia di virus. In questo caso, rimuovere la selezione dei tipi di applicazione non necessari.
  - Al completamento di un'altra attività
    L'attività corrente viene avviata dopo il completamento di un'altra attività. È possibile selezionare la modalità di completamento dell'attività precedente (correttamente o con errori) per l'attivazione dell'avvio dell'attività corrente. È ad esempio possibile eseguire l'attività Gestisci dispositivi con l'opzione Accendi il dispositivo e, al termine, eseguire l'attività Scansione virus. Questo parametro funziona solo se entrambe le attività sono assegnate agli stessi dispositivi.
- Esegui attività non effettuate
  Questa opzione determina il comportamento di un'attività se un dispositivo client non è visibile nella rete al momento dell'avvio dell'attività.
  
  Se questa opzione è abilitata, il sistema tenta di avviare l'attività alla successiva esecuzione di un'applicazione Kaspersky in un dispositivo client. Se la pianificazione dell'attività è Manualmente, Una sola volta o Immediatamente, l'attività viene avviata non appena il dispositivo diventa visibile nella rete o subito dopo che il dispositivo viene incluso nell'ambito dell'attività.
  
  Se questa opzione è disabilitata, solo le attività pianificate vengono eseguite nei dispositivi client. Per i tipi di pianificazione Manualmente, Una sola volta e Immediatamente, le attività vengono eseguite solo nei dispositivi client visibili nella rete. È ad esempio possibile disabilitare questa opzione per un'attività con un notevole utilizzo di risorse che si desidera eseguire solo in orario non lavorativo.
  
  Per impostazione predefinita, questa opzione è disabilitata.
- Usa automaticamente il ritardo casuale per l'avvio delle attività
  Se questa opzione è abilitata, l'attività viene avviata nei dispositivi client in modo casuale all'interno di un intervallo di tempo specificato (avvio distribuito dell'attività). L'avvio distribuito dell'attività consente di evitare che Administration Server riceva numerose richieste simultanee da parte dei dispositivi client durante l'esecuzione di un'attività pianificata.
  
  Il periodo di avvio distribuito viene calcolato automaticamente durante la creazione di un'attività, in base al numero di dispositivi client a cui è assegnata l'attività. Successivamente, l'attività viene sempre eseguita all'ora di inizio calcolata. Tuttavia, quando si modificano le impostazioni dell'attività o l'attività viene avviata manualmente, il valore calcolato dell'ora di inizio dell'attività cambia.
  
  Se questa opzione è disabilitata, l'attività viene avviata nei dispositivi client in base alla pianificazione.
- Usa ritardo casuale per l'avvio delle attività con un intervallo di (min.)
  Se questa opzione è abilitata, l'attività viene avviata nei dispositivi client in modo casuale all'interno dell'intervallo di tempo specificato. L'avvio distribuito dell'attività consente di evitare che Administration Server riceva numerose richieste simultanee da parte dei dispositivi client durante l'esecuzione di un'attività pianificata.
  
  Se questa opzione è disabilitata, l'attività viene avviata nei dispositivi client in base alla pianificazione.
  
  Per impostazione predefinita, questa opzione è disabilitata. Il periodo di tempo predefinito è 1 minuto.
Nella pagina Definire il nome dell'attività della procedura guidata specificare il nome dell'attività che si intende creare. Il nome di un'attività non può superare i 100 caratteri e non può includere caratteri speciali ("*<>?\:|).
Nella pagina Completare la creazione dell'attività della procedura guidata fare clic sul pulsante Fine per chiudere la procedura guidata.
Se si desidera che l'attività venga avviata al termine della procedura guidata, selezionare la casella di controllo Esegui l'attività al termine della procedura guidata.

Al termine della procedura guidata, Scarica aggiornamenti negli archivi dei punti di distribuzione compare nell'elenco delle attività di Network Agent nel gruppo di amministrazione di destinazione e nell'area di lavoro Attività della console.

Oltre alle impostazioni specificate durante la creazione dell'attività, è possibile modificare altre proprietà di un'attività creata.

Quando si esegue l'attività Scarica aggiornamenti negli archivi dei punti di distribuzione, gli aggiornamenti dei database e dei moduli software vengono scaricati dalla sorgente degli aggiornamenti e archiviati nella cartella condivisa. Gli aggiornamenti scaricati verranno utilizzati solo dai punti di distribuzione inclusi nel gruppo di amministrazione specificato e che non hanno alcuna attività di download degli aggiornamenti esplicitamente configurata.

Nella finestra delle proprietà di Administration Server, nel riquadro Sezioni selezionare Punti di distribuzione. Nelle proprietà di ciascun punto di distribuzione, nella sezione Sorgente degli aggiornamenti è possibile specificare la sorgente degli aggiornamenti (Recupera da Administration Server o Usa attività per il download forzato degli aggiornamenti). Per impostazione predefinita, è selezionata l'opzione Recupera da Administration Server per un punto di distribuzione assegnato automaticamente o manualmente. Tali punti di distribuzione utilizzeranno i risultati dell'attività Scarica aggiornamenti negli archivi dei punti di distribuzione.

Le proprietà di ogni punto di distribuzione specificano la cartella di rete che è stata configurata per tale punto di distribuzione singolarmente. I nomi delle cartelle possono variare per diversi punti di distribuzione. Per questo motivo, non è consigliabile modificare la cartella di rete nelle proprietà dell'attività se l'attività viene creata per un gruppo di dispositivi.

Se si sta creando un'attività locale per un dispositivo, è possibile modificare la cartella di rete con gli aggiornamenti nelle proprietà dell'attività Scarica aggiornamenti negli archivi dei punti di distribuzione.

Vedere anche:

Scenario: Aggiornamento periodico di database e applicazioni Kaspersky

Inizio pagina

[Topic 13191]

Configurazione dell'attività Scarica aggiornamenti nell'archivio di Administration Server

Per configurare l'attività Scarica aggiornamenti nell'archivio di Administration Server:

Nell'area di lavoro della cartella Attività della struttura della console selezionare Scarica aggiornamenti nell'archivio dell'Administration Server nell'elenco delle attività.
Aprire la finestra delle proprietà dell'attività in uno dei seguenti modi:
- Selezionando Proprietà nel menu di scelta rapida dell'attività.
- Facendo clic sul collegamento Configura attività nella finestra di informazioni dell'attività selezionata.

Verrà visualizzata la finestra delle proprietà dell'attività Scarica aggiornamenti nell'archivio di Administration Server. In questa finestra è possibile configurare il modo in cui gli aggiornamenti vengono scaricati nell'archivio di Administration Server.

Vedere anche:

Impostazioni dell'attività Scarica aggiornamenti nell'archivio dell'Administration Server

Scenario: Aggiornamento periodico di database e applicazioni Kaspersky

Inizio pagina

[Topic 5251]

Verifica degli aggiornamenti scaricati

Prima di installare gli aggiornamenti nei dispositivi gestiti, è possibile verificare la possibilità di utilizzare gli aggiornamenti e gli eventuali errori tramite l'attività Verifica aggiornamenti. L'attività di Verifica aggiornamentii viene eseguita automaticamente nell'ambito dell'attività Scarica aggiornamenti nell'archivio dell'Administration Server. Administration Server scarica gli aggiornamenti dalla sorgente, li salva nell'archivio temporaneo ed esegue l'attività Verifica aggiornamenti. Se l'attività viene completata correttamente, gli aggiornamenti sono copiati dall'archivio temporaneo nella cartella condivisa di Administration Server (<cartella di installazione di Kaspersky Security Center>\Share\Updates). Vengono distribuiti a tutti i dispositivi client per cui l'Administration Server opera come sorgente degli aggiornamenti.

Se i risultati dell'attività Verifica aggiornamenti mostrano che gli aggiornamenti presenti nell'archivio temporaneo non sono corretti o se l'attività Verifica aggiornamenti viene completata con un errore, gli aggiornamenti non vengono copiati nella cartella condivisa. L'Administration Server mantiene il set di aggiornamenti precedente. Inoltre, le attività con il tipo di pianificazione Quando vengono scaricati nuovi aggiornamenti nell'archivio non vengono avviate. Tali operazioni vengono eseguite al successivo avvio dell'attività Scarica aggiornamenti nell'archivio dell'Administration Server, se la scansione dei nuovi aggiornamenti viene completata correttamente.

Un set di aggiornamenti è considerato non valido se viene soddisfatta una delle seguenti condizioni in almeno un dispositivo di test:

Si è verificato un errore dell'attività di aggiornamento.
Lo stato della protezione in tempo reale dell'applicazione di protezione è cambiato dopo l'applicazione degli aggiornamenti.
È stato rilevato un oggetto infetto durante l'esecuzione dell'attività di scansione su richiesta.
Si è verificato un errore di runtime di un'applicazione Kaspersky.

Se nei dispositivi di test non si verifica alcuna delle condizioni elencate, il set di aggiornamenti viene considerato valido e l'attività Verifica aggiornamenti viene considerata completata correttamente.

Prima di iniziare a creare l'attività Verifica aggiornamenti, eseguire i prerequisiti:

Creare un gruppo di amministrazione con diversi dispositivi di test. Sarà necessario questo gruppo per verificare i relativi aggiornamenti.
È consigliabile utilizzare dispositivi con il livello di protezione più affidabile e con la configurazione delle applicazioni più diffusa nella rete. Questo approccio aumenta la qualità e la probabilità di rilevamento dei virus durante le scansioni e riduce al minimo il rischio di falsi positivi. Se vengono rilevati virus nei dispositivi di test, l'attività Verifica aggiornamenti viene considerata non riuscita.
Creare le attività Aggiornamento e Scansione malware per un'applicazione supportata da Kaspersky Security Center, ad esempio Kaspersky Endpoint Security for Windows o Kaspersky Security for Windows Server. Quando si creano le attività Aggiornamento e Scansione malware, specificare il gruppo di amministrazione con i dispositivi di test.
L'attività Verifica aggiornamenti esegue in sequenza le attività Aggiornamento e Scansione malware nei dispositivi di test per verificare che tutti gli aggiornamenti siano validi. Inoltre, durante la creazione dell'attività Verifica aggiornamenti, è necessario specificare le attività Aggiornamento e Scansione malware.
Creare l'attività Scarica aggiornamenti nell'archivio dell'Administration Server.

Per fare in modo che Kaspersky Security Center verifichi gli aggiornamenti scaricati prima di distribuirli ai dispositivi client:

Nell'area di lavoro della cartella Attività selezionare l'attività Scarica aggiornamenti nell'Scarica aggiornamenti nell'archivio dell'Administration Server nell'elenco delle attività.
Aprire la finestra delle proprietà dell'attività in uno dei seguenti modi:
- Selezionando Proprietà nel menu di scelta rapida dell'attività.
- Facendo clic sul collegamento Configura attività nella finestra di informazioni dell'attività selezionata.
Se l'attività di Verifica aggiornamenti esiste, fare clic sul pulsante Sfoglia. Nella finestra visualizzata selezionare l'attività Verifica aggiornamenti nel gruppo di amministrazione con dispositivi di test.
Se non è stata creata l'attività di Verifica aggiornamenti in precedenza, fare clic sul pulsante Crea.
Verrà avviata la Creazione guidata attività di Verifica aggiornamenti. Seguire le istruzioni della procedura guidata.
Fare clic su OK per chiudere la finestra delle proprietà dell'attività Scarica aggiornamenti nell'archivio dell'Administration Server.

La verifica automatica degli aggiornamenti è abilitata. Adesso è possibile eseguire l'attività Scarica aggiornamenti nell'archivio dell'Administration Server, che inizierà dalla verifica degli aggiornamenti.

Vedere anche:

Scenario: Aggiornamento periodico di database e applicazioni Kaspersky

Inizio pagina

[Topic 52515]

Configurazione di criteri di test e attività ausiliarie

Durante la creazione di un'attività Verifica aggiornamenti, Administration Server genera criteri di test, attività ausiliarie di aggiornamento di gruppo e attività di scansione su richiesta.

Le attività ausiliarie di aggiornamento di gruppo e le attività di scansione su richiesta richiedono alcuni minuti. Queste attività vengono eseguite durante l'esecuzione dell'attività Verifica aggiornamenti. L'attività Verifica aggiornamenti viene eseguita durante l'esecuzione dell'attività Scarica aggiornamenti nell'archivio. La durata dell'attività Scarica aggiornamenti nell'archivio comprende anche le attività ausiliarie di aggiornamento di gruppo e le attività di scansione su richiesta.

È possibile modificare le impostazioni dei criteri di testo e delle attività ausiliarie.

Per modificare le impostazioni di un criterio di testo o di un'attività ausiliaria:

Nella struttura della console selezionare un gruppo per cui è stata creata l'attività Verifica aggiornamenti.
Nell'area di lavoro del gruppo selezionare una delle seguenti schede:
- Criteri, se si desidera modificare le impostazioni dei criteri di test.
- Attività, se si desidera modificare le impostazioni delle attività ausiliarie.
Nell'area di lavoro della scheda selezionare un criterio o un'attività di cui si desidera modificare le impostazioni.
Aprire la finestra delle proprietà del criterio (attività) in uno dei seguenti modi:
- Selezionando Proprietà nel menu di scelta rapida del criterio (attività).
- Facendo clic sul collegamento Configura criterio (Configura attività) nella finestra di informazioni per il criterio selezionato (attività).

Per verificare correttamente gli aggiornamenti, impostare le seguenti limitazioni alla modifica dei criteri di test e delle attività ausiliarie:

Nelle impostazioni delle attività ausiliarie:
- Salvare tutte le attività con livelli di importanza Evento critico ed Errore funzionale in Administration Server. Utilizzando questo tipo di eventi, Administration Server analizza l'esecuzione delle applicazioni.
- Utilizzare Administration Server come sorgente degli aggiornamenti.
- Specificare il tipo di pianificazione dell'attività: Manualmente.
Nelle impostazioni dei criteri di test:
- Disabilitare le tecnologie di accelerazione della scansione iChecker e iSwift (Protezione minacce essenziale → Protezione minacce file → Impostazioni → Avanzate → Tecnologie di scansione).
- Selezionare le azioni da eseguire sugli oggetti infetti: Disinfetta; elimina se la disinfezione fallisce / Disinfetta; blocca se la disinfezione fallisce / Blocca. (Protezione minacce essenziale → Protezione minacce file → Azione se viene rilevata una minaccia).
Nelle impostazioni dei criteri di test e delle attività ausiliarie:
Se è necessario il riavvio del dispositivo dopo l'installazione degli aggiornamenti dei moduli software, questo deve essere eseguito immediatamente. Se il dispositivo non viene riavviato, non è possibile testare questo tipo di aggiornamenti. Per alcune applicazioni, l'installazione di aggiornamenti che richiedono un riavvio potrebbe essere proibita o configurata in modo da richiedere la conferma dell'utente. Queste limitazioni dovrebbero essere disabilitate nelle impostazioni dei criteri di test e delle attività ausiliarie.

Vedere anche:

Scenario: Aggiornamento periodico di database e applicazioni Kaspersky

Inizio pagina

[Topic 3413]

Visualizzazione degli aggiornamenti scaricati

Per visualizzare l'elenco degli aggiornamenti scaricati:

Nella struttura della console selezionare la sottocartella Aggiornamenti per moduli software e database Kaspersky nella cartella Archivi.

L'area di lavoro della cartella Aggiornamenti per moduli software e database Kaspersky mostra l'elenco degli aggiornamenti salvati in Administration Server.

Vedere anche:

Scenario: Aggiornamento periodico di database e applicazioni Kaspersky

Inizio pagina

[Topic 89280]

Installazione automatica degli aggiornamenti di Kaspersky Endpoint Security nei dispositivi

È possibile configurare gli aggiornamenti automatici dei database e dei moduli software di Kaspersky Endpoint Security nei dispositivi client.

Per configurare il download e l'installazione automatica degli aggiornamenti di Kaspersky Endpoint Security nei dispositivi client:

Nella struttura della console selezionare la cartella Attività.
Creare un'attività Aggiornamento in uno dei seguenti modi:
- Selezionando Nuovo → Attività nel menu di scelta rapida della cartella Attività nella struttura della console.
- Facendo clic sul pulsante Nuova attività nell'area di lavoro della cartella Attività.
Verrà avviata la Creazione guidata nuova attività. Seguire le istruzioni della procedura guidata.
Nella pagina Selezionare il tipo di attività della procedura guidata selezionare Kaspersky Endpoint Security come tipo di attività, quindi selezionare Aggiornamento come sottotipo di attività.
Seguire le rimanenti istruzioni della procedura guidata.
Al termine della procedura guidata, verrà creata un'attività di aggiornamento per Kaspersky Endpoint Security. L'attività creata viene visualizzata nell'elenco di attività nell'area di lavoro della cartella Attività.
Nell'area di lavoro della cartella Attività selezionare un'attività di aggiornamento creata.
Dal menu di scelta rapida dell'attività selezionare Proprietà.
Nella finestra delle proprietà dell'attività visualizzata, nel riquadro Sezioni, selezionare Opzioni.
Nella sezione Opzioni è possibile definire le impostazioni dell'attività di aggiornamento in modalità locale o mobile:
- Impostazioni di aggiornamento per la modalità locale: viene stabilita la connessione tra il dispositivo e Administration Server.
- Impostazioni di aggiornamento per la modalità mobile: non viene stabilita alcuna connessione tra Kaspersky Security Center e il dispositivo (ad esempio, quando il dispositivo non è connesso a Internet).
Fare clic sul pulsante Impostazioni per selezionare la sorgente degli aggiornamenti.
Selezionare l'opzione Scarica gli aggiornamenti dei moduli dell'applicazione per scaricare e installare gli aggiornamenti dei moduli software oltre ai database dell'applicazione.
Se la casella di controllo è selezionata, Kaspersky Endpoint Security invia una notifica all'utente per informarlo degli aggiornamenti dei moduli software disponibili e include gli aggiornamenti dei moduli software nel pacchetto di aggiornamento durante l'esecuzione dell'attività di aggiornamento. Configurare l'utilizzo dei moduli di aggiornamento:
- Installa gli aggiornamenti critici e approvati. Se sono disponibili aggiornamenti per i moduli software, Kaspersky Endpoint Security li installa automaticamente con lo stato Critico. Gli aggiornamenti rimanenti saranno installati dopo essere stati approvati dall'amministratore.
- Installa solo gli aggiornamenti approvati. Se sono disponibili aggiornamenti per i moduli software, Kaspersky Endpoint Security li installa una volta che la relativa installazione è stata approvata. Saranno installati in locale tramite l'interfaccia dell'applicazione o mediante Kaspersky Security Center.
Se l'aggiornamento dei moduli software richiede la visualizzazione e l'accettazione delle condizioni del Contratto di licenza e dell'Informativa sulla privacy, l'applicazione installa gli aggiornamenti dopo che le condizioni del Contratto di licenza e dell'Informativa sulla privacy sono state accettate dall'utente.
Selezionare l'opzione Copia aggiornamenti nella cartella per fare in modo che l'applicazione salvi gli aggiornamenti scaricati in una cartella, quindi fare clic sul pulsante Sfoglia per specificare la cartella.
Fare clic su OK.

Quando è in esecuzione l'attività Aggiornamento, l'applicazione invia richieste ai server di aggiornamento Kaspersky.

Alcuni aggiornamenti richiedono l'installazione delle versioni più recenti dei plug-in di gestione.

Vedere anche:

Scenario: Aggiornamento periodico di database e applicazioni Kaspersky

Inizio pagina

[Topic 101873]

Modello offline per il download degli aggiornamenti

Network Agent nei dispositivi gestiti talvolta potrebbero non connettersi ad Administration Server per ricevere gli aggiornamenti. Ad esempio, un Network Agent potrebbe essere stato installato in un computer portatile che a volte non dispone di una connessione Internet e dell'accesso alla rete locale. Inoltre, l'amministratore può limitare il tempo per la connessione dei dispositivi alla rete. In questi casi, Network Agent non possono ricevere gli aggiornamenti dall'Administration Server in base alla pianificazione esistente. Se è stato configurato l'aggiornamento di applicazioni gestite (ad esempio, Kaspersky Endpoint Security) tramite Network Agent, ogni aggiornamento richiede una connessione all'Administration Server. Quando non viene stabilita la connessione tra Network Agent e l'Administration Server, l'aggiornamento non è possibile. È possibile configurare la connessione tra Network Agent e l'Administration Server in modo che Network Agent si connetta all'Administration Server a intervalli di tempo specificati. Nel caso peggiore, se gli intervalli di connessione specificati corrispondono a periodi in cui la connessione non è disponibile, i database non saranno mai aggiornati. Inoltre, possono verificarsi problemi quando più applicazioni gestite tentano di accedere contemporaneamente all'Administration Server per ricevere gli aggiornamenti. In questo caso, l'Administration Server può smettere di rispondere alle richieste (in modo simile a un attacco DDoS).

Per evitare problemi di questo tipo, in Kaspersky Security Center è implementato un modello offline per il download degli aggiornamenti e dei moduli delle applicazioni gestite. Questo modello offre un meccanismo per la distribuzione degli aggiornamenti, indipendentemente dai problemi temporanei causati dall'inaccessibilità dei canali di comunicazione di Administration Server. Il modello consente inoltre di ridurre il carico sull'Administration Server.

Funzionamento del modello offline per il download degli aggiornamenti

Quando Administration Server riceve gli aggiornamenti, segnala a Network Agent (nei dispositivi in cui è installato) gli aggiornamenti che saranno necessari per le applicazioni gestite. Quando Network Agent riceve le informazioni su questi aggiornamenti, scarica anticipatamente i file appropriati da Administration Server. Alla prima connessione con Network Agent, Administration Server avvia un download degli aggiornamenti. Una volta che Network Agent ha scaricato tutti gli aggiornamenti in un dispositivo client, tali aggiornamenti diventano disponibili per le applicazioni nel dispositivo.

Quando un'applicazione gestita in un dispositivo client tenta di accedere a Network Agent per gli aggiornamenti, questo Network Agent verifica se dispone di tutti gli aggiornamenti richiesti. Se gli aggiornamenti sono stati ricevuti da Administration Server non più di 25 ore prima del momento in cui vengono richiesti dall'applicazione gestita, il Network Agent non si connette ad Administration Server, ma fornisce all'applicazione gestita gli aggiornamenti dalla cache locale. La connessione con Administration Server potrebbe non essere stabilita quando Network Agent fornisce gli aggiornamenti alle applicazioni nei dispositivi client, ma la connessione non è necessaria per l'aggiornamento.

Per distribuire il carico sull'Administration Server, Network Agent si connette all'Administration Server e scarica gli aggiornamenti in ordine casuale durante l'intervallo di tempo specificato dall'Administration Server. Questo intervallo di tempo dipende dal numero di dispositivi con Network Agent installato che scaricano aggiornamenti e dalle dimensioni di tali aggiornamenti. Per ridurre il carico sull'Administration Server, è possibile utilizzare Network Agent come punti di distribuzione.

Se il modello offline di download degli aggiornamenti è disabilitato, gli aggiornamenti vengono distribuiti in base alla pianificazione dell'attività di download degli aggiornamenti.

Per impostazione predefinita, il modello offline per il download degli aggiornamenti è abilitato.

Il modello offline per il download degli aggiornamenti viene utilizzato solo con i dispositivi gestiti in cui per l'attività di recupero degli aggiornamenti da parte delle applicazioni gestite è selezionato il tipo di pianificazione Quando vengono scaricati nuovi aggiornamenti nell'archivio. Per altri dispositivi gestiti, viene utilizzato lo schema standard per il recupero degli aggiornamenti da Administration Server in tempo reale.

È consigliabile disabilitare il modello offline per il download degli aggiornamenti utilizzando le impostazioni dei criteri di Network Agent per i gruppi di amministrazione appropriati nei seguenti casi: qualora per le applicazioni gestite sia impostato il recupero degli aggiornamenti dai server di Kaspersky o da una cartella di rete (invece che da Administration Server) e se per l'attività di download degli aggiornamenti è selezionato il tipo di pianificazione Quando vengono scaricati nuovi aggiornamenti nell'archivio.

Vedere anche:

Abilitazione e disabilitazione del modello offline per il download degli aggiornamenti

Scenario: Aggiornamento periodico di database e applicazioni Kaspersky

Inizio pagina

[Topic 102163]

Abilitazione e disabilitazione del modello offline per il download degli aggiornamenti

È consigliabile evitare di disabilitare il modello offline per il download degli aggiornamenti. Se viene disabilitato possono verificarsi errori durante l'invio degli aggiornamenti ai dispositivi. In alcuni casi è possibile che uno specialista del Servizio di assistenza tecnica di Kaspersky consigli di deselezionare la casella di controllo Scarica aggiornamenti e database anti-virus da Administration Server anticipatamente. Sarà quindi necessario accertarsi che l'attività per la ricezione degli aggiornamenti per le applicazioni Kaspersky sia stata configurata.

Per abilitare o disabilitare il modello offline per il download degli aggiornamenti per un gruppo di amministrazione:

Nella struttura della console selezionare il gruppo di amministrazione per cui è necessario abilitare il modello offline per il download degli aggiornamenti.
Nell'area di lavoro del gruppo aprire la scheda Criteri.
Nella scheda Criteri selezionare il criterio di Network Agent.
Nel menu di scelta rapida del criterio selezionare Proprietà.
Aprire la finestra delle proprietà del criterio di Network Agent.
Nella finestra delle proprietà del criterio selezionare la sezione Gestire patch e aggiornamenti.
Selezionare o deselezionare la casella di controllo Scarica aggiornamenti e database anti-virus da Administration Server anticipatamente (scelta consigliata) per abilitare o disabilitare, rispettivamente, il modello offline di download degli aggiornamenti.
Per impostazione predefinita, il modello offline per il download degli aggiornamenti è abilitato.

Il modello offline per il download degli aggiornamenti verrà abilitato o disabilitato.

Vedere anche:

Modello offline per il download degli aggiornamenti

Scenario: Aggiornamento periodico di database e applicazioni Kaspersky

Inizio pagina

[Topic 154857]

Installazione automatica di aggiornamenti e patch per i componenti di Kaspersky Security Center

Per impostazione predefinita, gli aggiornamenti e le patch scaricati e installati automaticamente per i seguenti componenti dell'applicazione:

Network Agent per Windows
Administration Console
Server per dispositivi mobili Exchange
Server per dispositivi mobili MDM iOS

L'installazione automatica di aggiornamenti e patch per i componenti di Kaspersky Security Center è disponibile solo per i dispositivi che eseguono Windows. È possibile disabilitare l'installazione automatica di aggiornamenti e patch per questi componenti. In questo caso, tutti gli aggiornamenti e le patch scaricati verranno installati solo dopo l'impostazione dello stato su Approvato. Gli aggiornamenti e le patch con lo stato Indefinito non verranno installati.

Vedere anche:

Abilitazione e disabilitazione dell'installazione automatica di aggiornamenti e patch per i componenti di Kaspersky Security Center

Scenario: Aggiornamento periodico di database e applicazioni Kaspersky

Inizio pagina

[Topic 154853]

Abilitazione e disabilitazione dell'installazione automatica di aggiornamenti e patch per i componenti di Kaspersky Security Center

L'installazione automatica degli aggiornamenti e delle patch per i componenti di Kaspersky Security Center è abilitata per impostazione predefinita durante l'installazione di Network Agent nel dispositivo. È possibile disabilitarla durante l'installazione di Network Agent o disabilitarla in un secondo momento utilizzando un criterio.

Per disabilitare l'installazione automatica di aggiornamenti e patch per i componenti di Kaspersky Security Center durante l'installazione locale di Network Agent in un dispositivo:

Avviare l'installazione locale di Network Agent nel dispositivo.
Durante il passaggio Impostazioni avanzate deselezionare la casella di controllo Installa automaticamente gli aggiornamenti applicabili e le patch per i componenti con stato Indefinito.
Seguire le istruzioni della procedura guidata.

Nel dispositivo verrà installato Network Agent con l'installazione automatica di aggiornamenti e patch disabilitata per i componenti di Kaspersky Security Center. È possibile abilitare l'installazione automatica di aggiornamenti e patch in un secondo momento utilizzando un criterio.

Per disabilitare l'installazione automatica di aggiornamenti e patch per i componenti di Kaspersky Security Center durante l'installazione di Network Agent nel dispositivo tramite un pacchetto di installazione:

Nella struttura della console selezionare la cartella Installazione remota → Pacchetti di installazione.
Nel menu di scelta rapida del pacchetto Kaspersky Security Center Network Agent <numero di versione> selezionare Proprietà.
Nelle proprietà del pacchetto di installazione, nella sezione Impostazioni deselezionare la casella di controllo Installa automaticamente le patch e gli aggiornamenti applicabili per i componenti con lo stato Indefinito.

Network Agent con l'installazione automatica di aggiornamenti e patch disabilitata per i componenti di Kaspersky Security Center verrà installato da questo pacchetto. È possibile abilitare l'installazione automatica di aggiornamenti e patch in un secondo momento utilizzando un criterio.

Se questa casella di controllo è stata selezionata o deselezionata durante l'installazione di Network Agent nel dispositivo, successivamente è possibile abilitare (o disabilitare) l'aggiornamento automatico utilizzando il criterio di Network Agent.

Per abilitare o disabilitare l'installazione automatica di aggiornamenti e patch per i componenti di Kaspersky Security Center utilizzando il criterio di Network Agent:

Nella struttura della console selezionare il gruppo di amministrazione per cui è necessario abilitare o disabilitare l'installazione automatica di aggiornamenti e patch.
Nell'area di lavoro del gruppo aprire la scheda Criteri.
Nella scheda Criteri selezionare il criterio di Network Agent.
Nel menu di scelta rapida del criterio selezionare Proprietà.
Aprire la finestra delle proprietà del criterio di Network Agent.
Nella finestra delle proprietà del criterio selezionare la sezione Gestire patch e aggiornamenti.
Selezionare o deselezionare la casella di controllo Installa automaticamente le patch e gli aggiornamenti applicabili per i componenti con lo stato Indefinito per abilitare o disabilitare, rispettivamente, l'applicazione automatica di patch e aggiornamenti.
Impostare il lucchetto per questa casella di controllo.

Il criterio verrà applicato ai dispositivi selezionati e l'installazione automatica di aggiornamenti e patch per i componenti di Kaspersky Security Center verrà abilitata (o disabilitata) in tali dispositivi.

Vedere anche:

Installazione automatica di aggiornamenti e patch per i componenti di Kaspersky Security Center

Scenario: Aggiornamento periodico di database e applicazioni Kaspersky

Inizio pagina

[Topic 3415]

Distribuzione automatica degli aggiornamenti

Kaspersky Security Center consente la distribuzione e l'installazione automatica degli aggiornamenti nei dispositivi client e negli Administration Server secondari.

In questa sezione

Distribuzione automatica degli aggiornamenti ai dispositivi client

Distribuzione automatica degli aggiornamenti agli Administration Server secondari

Assegnazione automatica di punti di distribuzione

Assegnazione manuale di un punto di distribuzione a un dispositivo

Rimozione di un dispositivo dall'elenco dei punti di distribuzione

Download degli aggiornamenti tramite punti di distribuzione

Vedere anche:

Scenario: Aggiornamento periodico di database e applicazioni Kaspersky

Inizio pagina

[Topic 3416]

Distribuzione automatica degli aggiornamenti ai dispositivi client

Per distribuire automaticamente gli aggiornamenti dell'applicazione selezionata ai dispositivi client subito dopo che vengono scaricati nell'archivio di Administration Server:

Eseguire la connessione ad Administration Server che gestisce i dispositivi client.
Creare un'attività di distribuzione degli aggiornamenti per i dispositivi client selezionati in uno dei seguenti modi:
- Se è necessario distribuire gli aggiornamenti ai dispositivi client che appartengono a un gruppo di amministrazione selezionato, creare un'attività per il gruppo selezionato.
- Se è necessario distribuire gli aggiornamenti ai dispositivi client che appartengono ad altri gruppi di amministrazione o che non appartengono ad alcun gruppo, creare un'attività per dispositivi specifici.
Verrà avviata la Creazione guidata nuova attività. Seguire le relative istruzioni ed eseguire le azioni seguenti:
1. Nella finestra della procedura guidata Tipo di attività, nel nodo dell'applicazione desiderata, selezionare l'attività di distribuzione degli aggiornamenti.
  Il nome dell'attività di distribuzione degli aggiornamenti visualizzato nella finestra Tipo di attività dipende dall'applicazione per cui si crea tale attività. Per informazioni dettagliate sui nomi delle attività di aggiornamento per le applicazioni Kaspersky selezionate, vedere la Guida corrispondente.
2. Nella finestra della procedura guidata Pianificazione, nel campo Avvio pianificato, selezionare Quando vengono scaricati nuovi aggiornamenti nell'archivio.

La nuova attività di distribuzione degli aggiornamenti creata verrà avviata per i dispositivi selezionati ogni volta che gli aggiornamenti vengono scaricati nell'archivio di Administration Server.

Se è già stata creata un'attività di distribuzione degli aggiornamenti per l'applicazione desiderata per dispositivi selezionati, per distribuire automaticamente gli aggiornamenti ai dispositivi client, nella sezione Pianificazione della finestra delle proprietà dell'attività selezionare l'opzione di avvio Quando vengono scaricati nuovi aggiornamenti nell'archivio nel campo Avvio pianificato.

Vedere anche:

Scenario: Aggiornamento periodico di database e applicazioni Kaspersky

Inizio pagina

[Topic 3418]

Distribuzione automatica degli aggiornamenti agli Administration Server secondari

Per distribuire gli aggiornamenti dell'applicazione selezionata agli Administration Server secondari subito dopo che questi vengono scaricati nell'archivio dell'Administration Server primario:

Nella struttura della console, nel nodo dell'Administration Server primario, selezionare la cartella Attività.
Nell'elenco delle attività nell'area di lavoro selezionare l'attività di Administration Server Scarica aggiornamenti nell'archivio di Administration Server.
Aprire la sezione Impostazioni dell'attività selezionata in uno dei seguenti modi:
- Selezionando Proprietà nel menu di scelta rapida dell'attività.
- Facendo clic sul collegamento Modifica impostazioni nella finestra di informazioni dell'attività selezionata.
Nella sezione Impostazioni della finestra delle proprietà dell'attività selezionare Altre impostazioni, quindi fare clic sul collegamento Configura.
Nella finestra Altre impostazioni visualizzata selezionare la casella di controllo Forza aggiornamento degli Administration Server secondari.
Nelle impostazioni dell'attività di download degli aggiornamenti di Administration Server, nella scheda Impostazioni della finestra delle proprietà dell'attività, selezionare la casella di controllo Forza aggiornamento degli Administration Server secondari.

Dopo che l'Administration Server primario recupera gli aggiornamenti, le attività di download degli aggiornamenti verranno avviate automaticamente negli Administration Server secondari, indipendentemente dalla relativa pianificazione.

L'Administration Server primario aggiorna i database anti-virus in base alle applicazioni installate negli Administration Server secondari. Non è richiesta l'installazione di plug-in aggiuntivi né la creazione di pacchetti di installazione nell'Administration Server primario.

Vedere anche:

Scenario: Aggiornamento periodico di database e applicazioni Kaspersky

Inizio pagina

[Topic 193351]

Assegnazione automatica di punti di distribuzione

È consigliabile assegnare automaticamente i punti di distribuzione. Kaspersky Security Center selezionerà autonomamente a quali dispositivi assegnare i punti di distribuzione.

Per assegnare automaticamente i punti di distribuzione:

Aprire la finestra principale dell'applicazione.
Nella struttura della console selezionare il nodo con il nome dell'Administration Server per cui si desidera assegnare automaticamente i punti di distribuzione.
Dal menu di scelta rapida di Administration Server fare clic su Proprietà.
Nella finestra delle proprietà di Administration Server, nel riquadro Sezioni selezionare Punti di distribuzione.
Nella parte destra della finestra selezionare l'opzione Assegna i punti di distribuzione automaticamente.
Se è abilitata l'assegnazione automatica dei dispositivi come punti di distribuzione, non è possibile configurare i punti di distribuzione manualmente, né modificare l'elenco dei punti di distribuzione.
Fare clic su OK.

Administration Server assegna e configura i punti di distribuzione automaticamente.

Vedere anche:

Scenario: Aggiornamento periodico di database e applicazioni Kaspersky

Inizio pagina

[Topic 3420]

Assegnazione manuale di un punto di distribuzione a un dispositivo

Scenario: Aggiornamento periodico di database e applicazioni Kaspersky

Kaspersky Security Center consente di assegnare ai dispositivi il ruolo di punti di distribuzione.

È consigliabile assegnare automaticamente i punti di distribuzione. In questo caso, Kaspersky Security Center selezionerà autonomamente a quali dispositivi assegnare i punti di distribuzione. Tuttavia, se per qualche motivo non è possibile assegnare automaticamente i punti di distribuzione (se ad esempio si desidera utilizzare i server assegnati in modo esclusivo), è possibile assegnare i punti di distribuzione manualmente dopo averne calcolato il numero ed eseguito la configurazione.

I dispositivi che operano come punti di distribuzione devono essere protetti, anche da un punto di vista fisico, da qualsiasi accesso non autorizzato.

Per assegnare manualmente a un dispositivo il ruolo di punto di distribuzione:

Nella struttura della console selezionare il nodo Administration Server.
Dal menu di scelta rapida di Administration Server selezionare Proprietà.
Nella finestra delle proprietà di Administration Server selezionare la sezione Punti di distribuzione e fare clic sul pulsante Aggiungi. Questo pulsante è disponibile se è stata selezionata l'opzione Assegna i punti di distribuzione manualmente.
Verrà visualizzata la finestra Aggiungi punto di distribuzione.
Nella finestra Aggiungi punto di distribuzione eseguire le seguenti azioni:
1. Selezionare un dispositivo che opererà come punto di distribuzione (selezionarne uno in un gruppo di amministrazione o specificare l'Indirizzo IP di un dispositivo). Quando si seleziona un dispositivo, tenere presenti le funzionalità operative dei punti di distribuzione e i requisiti definiti per il dispositivo che opera come punto di distribuzione.
2. Indicare i dispositivi specifici a cui il punto di distribuzione distribuirà gli aggiornamenti. È possibile specificare un gruppo di amministrazione o una descrizione del percorso di rete.
Fare clic su OK.
Il punto di distribuzione aggiunto sarà visualizzato nell'elenco dei punti di distribuzione, nella sezione Punti di distribuzione.
Selezionare il nuovo punto di distribuzione aggiunto nell'elenco e fare clic sul pulsante Proprietà per aprire la relativa finestra delle proprietà.
Configurare il punto di distribuzione nella finestra delle proprietà:
- La sezione Generale contiene le impostazioni per l'interazione tra il punto di distribuzione e i dispositivi client.
  - Porta SSL
    Numero della porta SSL per la connessione criptata tra i dispositivi client e il punto di distribuzione tramite SSL.
    
    Per impostazione predefinita, viene utilizzata la porta 13000.
  - Usa multicast
    Se questa opzione è abilitata, verrà utilizzata la modalità IP multicast per la distribuzione automatica dei pacchetti di installazione ai dispositivi client del gruppo.
    
    Il multicast IP riduce il tempo necessario per installare un'applicazione da un pacchetto di installazione in un gruppo di dispositivi client, ma aumenta il tempo di installazione quando si installa un'applicazione in un singolo dispositivo client.
  - Indirizzo IP multicast
    Indirizzo IP che verrà utilizzato per la modalità multicast. È possibile definire un indirizzo IP nell'intervallo da 224.0.0.0 a 239.255.255.255
    
    Per impostazione predefinita Kaspersky Security Center assegna automaticamente un indirizzo IP multicast univoco all'interno dell'intervallo specificato.
  - Numero di porta IP multicast
    Numero di porta per la modalità IP multicast.
    
    Il numero di porta predefinito è 15001. Se il dispositivo in cui è installato Administration Server è specificato come punto di distribuzione, per impostazione predefinita viene utilizzata la porta 13001 per la connessione SSL.
  - Distribuisci aggiornamenti
    Gli aggiornamenti vengono distribuiti ai dispositivi gestiti dalle seguenti sorgenti:
    - Questo punto di distribuzione se l'opzione è abilitata.
    - Altri punti di distribuzione, Administration Server o server degli aggiornamenti Kaspersky se l'opzione è disabilitata.
    Se si utilizzano i punti di distribuzione per distribuire gli aggiornamenti, è possibile risparmiare traffico riducendo il numero di download. È inoltre possibile alleggerire il carico su Administration Server e ridistribuirlo tra i punti di distribuzione. È possibile calcolare il numero di punti di distribuzione per la propria rete in modo da ottimizzare il traffico e il carico.
    
    Se si disabilita questa opzione, il numero di download degli aggiornamenti e il carico su Administration Server potrebbero aumentare. Per impostazione predefinita, questa opzione è abilitata.
  - Distribuisci pacchetti di installazione
    I pacchetti di installazione vengono distribuiti ai dispositivi gestiti dalle seguenti sorgenti:
    - Questo punto di distribuzione se l'opzione è abilitata.
    - Altri punti di distribuzione, Administration Server o server degli aggiornamenti Kaspersky se l'opzione è disabilitata.
    Se si utilizzano i punti di distribuzione per distribuire i pacchetti di installazione, è possibile risparmiare traffico riducendo il numero di download. È inoltre possibile alleggerire il carico su Administration Server e ridistribuirlo tra i punti di distribuzione. È possibile calcolare il numero di punti di distribuzione per la propria rete in modo da ottimizzare il traffico e il carico.
    
    Se si disabilita questa opzione, il numero di download dei pacchetti di installazione e il carico su Administration Server potrebbero aumentare. Per impostazione predefinita, questa opzione è abilitata.
  - Utilizzare questo punto di distribuzione come server push
    In Kaspersky Security Center un punto di distribuzione può fungere da server push per i dispositivi gestiti tramite il protocollo mobile. È ad esempio necessario abilitare un server push se si desidera forzare la sincronizzazione dei dispositivi KasperskyOS con Administration Server. Un server push ha lo stesso ambito dei dispositivi gestiti del punto di distribuzione in cui è abilitato il server push. Se sono stati assegnati più punti di distribuzione per lo stesso gruppo di amministrazione, è possibile abilitare il server push in ciascuno dei punti di distribuzione. In questo caso, Administration Server bilancia il carico tra i punti di distribuzione.
    
    Se si gestiscono dispositivi in cui è installato KasperskyOS o si prevede di farlo, è necessario utilizzare un punto di distribuzione come server push. È inoltre possibile utilizzare un punto di distribuzione come server push se si desidera inviare notifiche push ai dispositivi client.
  - Porta server push
    La porta nel punto di distribuzione che i dispositivi client utilizzeranno per la connessione. Per impostazione predefinita, viene utilizzata la porta 13295.
- Nella sezione Ambito specificare l'ambito in cui il punto di distribuzione distribuirà gli aggiornamenti (gruppi di amministrazione e/o percorso di rete).
- Nella sezione Proxy KSN è possibile configurare l'applicazione per l'utilizzo del punto di distribuzione per l'inoltro delle richieste KSN dai dispositivi gestiti.
  - Abilita proxy KSN da parte del punto di distribuzione
    Il servizio proxy KSN viene eseguito nel dispositivo utilizzato come punto di distribuzione. Utilizzare questa funzionalità per ridistribuire e ottimizzare il traffico nella rete.
    
    Il punto di distribuzione invia le statistiche KSN, elencate nell'informativa di Kaspersky Security Network, a Kaspersky. Per impostazione predefinita, l'informativa KSN è disponibile in %ProgramFiles%\Kaspersky Lab\Kaspersky Security Center\ksneula.
    
    Per impostazione predefinita, questa opzione è disabilitata. L'attivazione di questa opzione ha effetto solo se le opzioni Usa Administration Server come server proxy e Accetto di utilizzare Kaspersky Security Network sono abilitate nella finestra delle proprietà di Administration Server.
    
    È possibile assegnare il nodo di un cluster attivo-passivo a un punto di distribuzione e abilitare il proxy KSN in tale nodo.
  - Inoltra richieste KSN ad Administration Server
    Il punto di distribuzione inoltra le richieste KSN dai dispositivi gestiti ad Administration Server.
    
    Per impostazione predefinita, questa opzione è abilitata.
  - Accedi a KSN Cloud/KSN Privato direttamente tramite Internet
    Il punto di distribuzione inoltra le richieste KSN dai dispositivi gestiti a KSN Cloud o KSN Privato. Anche le richieste KSN generate nello stesso punto di distribuzione vengono inviate direttamente a KSN Cloud o KSN Privato.
    
    I punti di distribuzione in cui è installato Network Agent versione 11 (o precedente) non possono accedere direttamente a KSN Privato. Se si desidera riconfigurare i punti di distribuzione per inviare richieste KSN a KSN Privato, abilitare l'opzione Inoltra richieste KSN ad Administration Server per ciascun punto di distribuzione.
    
    I punti di distribuzione in cui è installato Network Agent versione 12 (o successive) possono accedere direttamente a KSN Privato.
  - Ignora impostazioni del server proxy durante la connessione a KSN Privato
    Abilitare questa opzione se le impostazioni del server proxy sono configurate nelle proprietà del punto di distribuzione o nel criterio di Network Agent ma l'architettura di rete richiede l'utilizzo diretto di KSN Privato. In caso contrario, le richieste dalle applicazioni gestite non possono raggiungere KSN Privato.
    
    Questa opzione è disponibile se si seleziona l'opzione Accedi a KSN Cloud/KSN Privato direttamente tramite Internet.
  - Porta TCP
    Numero della porta TCP utilizzata dai dispositivi gestiti per la connessione al server proxy KSN. Il numero di porta predefinito è 13111.
  - Porta UDP
    Se è necessario che Network Agent si connetta ad Administration server attraverso una porta UDP, abilitare l'opzione Usa porta UDP e specificare il numero in Porta UDP. Per impostazione predefinita, questa opzione è abilitata. La porta UDP predefinita per la connessione ad Administration Server è 15000.
- Nella sezione Device discovery configurare il polling dei domini Windows, di Active Directory e degli intervalli IP da parte del punto di distribuzione.
  - Domini Windows
    È possibile abilitare la device discovery per i domini Windows e impostare la pianificazione per l'individuazione.
  - Active Directory
    È possibile abilitare il polling della rete per Active Directory e impostare la pianificazione per il polling.
    
    Se si utilizza un punto di distribuzione Windows, è possibile selezionare una delle seguenti opzioni:
    - Esegui il polling del dominio Active Directory corrente.
    - Esegui il polling della foresta di dominio Active Directory.
    - Esegui il polling dei domini Active Directory selezionati. Se si seleziona questa opzione, aggiungere uno o più domini Active Directory all'elenco.
    Se si utilizza un punto di distribuzione Linux con Network Agent versione 15 installato, è possibile eseguire il polling solo dei domini Active Directory per i quali si specificano l'indirizzo e le credenziali utente. Il polling del dominio Active Directory corrente e della foresta di domini Active Directory non è disponibile.
  - Intervalli IP
    Adesso è possibile abilitare Device discovery per gli intervalli IPv4 e le reti IPv6.
    
    Se si abilita l'opzione Abilita polling intervallo, è possibile aggiungere gli intervalli esaminati e impostare la relativa pianificazione. È possibile aggiungere intervalli IP all'elenco degli intervalli esaminati.
    
    Se si abilita l'opzione Usa Zeroconf per il polling delle reti IPv6, il punto di distribuzione esegue automaticamente il polling della rete IPv6 utilizzando le reti zero-configuration (definite anche Zeroconf). In questo caso, gli intervalli IP specificati vengono ignorati perché il punto di distribuzione esegue il polling dell'intera rete. L'opzione Usa Zeroconf per il polling delle reti IPv6 è disponibile se nel punto di distribuzione viene eseguito Linux. Per utilizzare il polling ipv6 Zeroconf, è necessario installare l'utilità avahi-browse nel punto di distribuzione.
- Nella sezione Avanzate specificare la cartella che il punto di distribuzione deve utilizzare per archiviare i dati distribuiti.
  - Usa cartella predefinita
    Se questa opzione è selezionata, l'applicazione utilizza la cartella di installazione di Network Agent nel punto di distribuzione.
  - Usa cartella specificata
    Se questa opzione è selezionata, nel campo sottostante è possibile specificare il percorso della cartella. È possibile specificare una cartella locale nel punto di distribuzione oppure una cartella in qualsiasi dispositivo nella rete aziendale.
    
    L'account utente utilizzato nel punto di distribuzione per eseguire Network Agent deve disporre di accesso in lettura e scrittura alla cartella specificata.

I dispositivi selezionati opereranno come punti di distribuzione.

Solo i dispositivi con un sistema operativo Windows possono determinare il percorso di rete. Non è possibile determinare il percorso di rete per i dispositivi che eseguono altri sistemi operativi.

Vedere anche:

Inizio pagina

[Topic 101498]

Rimozione di un dispositivo dall'elenco dei punti di distribuzione

Per rimuovere un dispositivo dall'elenco dei punti di distribuzione:

Nella struttura della console selezionare il nodo Administration Server.
Dal menu di scelta rapida di Administration Server selezionare Proprietà.
Nella finestra delle proprietà di Administration Server, nella sezione Punti di distribuzione, selezionare il dispositivo che opera come punto di distribuzione e fare clic sul pulsante Rimuovi.

Il dispositivo verrà rimosso dall'elenco dei punti di distribuzione e smetterà di operare come punto di distribuzione.

Non è possibile rimuovere un dispositivo dall'elenco dei punti di distribuzione se è stato assegnato automaticamente da Administration Server.

Vedere anche:

Scenario: Aggiornamento periodico di database e applicazioni Kaspersky

Inizio pagina

[Topic 13460]

Download degli aggiornamenti tramite punti di distribuzione

Kaspersky Security Center consente ai punti di distribuzione di ricevere aggiornamenti dall'Administration Server, dai server di Kaspersky o da una cartella locale o di rete.

Se non è necessario specificare una sorgente degli aggiornamenti, è consigliabile utilizzare l'attività Scarica aggiornamenti negli archivi dei punti di distribuzione per un gruppo di amministrazione. Per informazioni dettagliate, fare riferimento al seguente argomento: Creazione dell'attività Scarica aggiornamenti negli archivi dei punti di distribuzione.

Per configurare il download degli aggiornamenti per un punto di distribuzione:

Nella struttura della console selezionare il nodo Administration Server.
Dal menu di scelta rapida di Administration Server selezionare Proprietà.
Nella finestra delle proprietà di Administration Server, nella sezione Punti di distribuzione selezionare il punto di distribuzione tramite il quale verranno inviati gli aggiornamenti ai dispositivi client nel gruppo.
Fare clic sul pulsante Proprietà per aprire la finestra delle proprietà del punto di distribuzione selezionato.
Nella finestra delle proprietà del punto di distribuzione selezionare la sezione Sorgenti degli aggiornamenti.
Selezionare una sorgente degli aggiornamenti per il punto di distribuzione:
- Per consentire al punto di distribuzione di ricevere gli aggiornamenti da Administration Server, selezionare Recupera da Administration Server:
  - Scarica file diff
    Questa opzione consente di abilitare la funzionalità di download dei file diff.
    
    Per impostazione predefinita, questa opzione è abilitata.
- Per consentire al punto di distribuzione di ricevere aggiornamenti utilizzando un'attività, selezionare Usa attività per il download forzato degli aggiornamenti:
  - Se l'attività è già presente nel dispositivo, fare clic sul pulsante Sfoglia, quindi selezionare l'attività nell'elenco visualizzato.
  - Se l'attività non è ancora presente nel dispositivo, fare clic sul pulsante Nuova attività per creare un'attività. Verrà avviata la Creazione guidata nuova attività. Seguire le istruzioni della procedura guidata.
  L'attività Scarica aggiornamenti negli archivi dei punti di distribuzione è un'attività locale. È necessario creare una nuova attività per ogni dispositivo che opera come punto di distribuzione.

Il punto di distribuzione riceverà gli aggiornamenti dalla sorgente specificata.

Vedere anche:

Scenario: Aggiornamento periodico di database e applicazioni Kaspersky

Inizio pagina

[Topic 91260]

Eliminazione di aggiornamenti software dall'archivio

Per eliminare gli aggiornamenti software dall'archivio di Administration Server:

Nella cartella Avanzate → Gestione applicazioni della struttura della console selezionare la sottocartella Aggiornamenti software.
Nell'area di lavoro della cartella Aggiornamenti software selezionare l'aggiornamento che si desidera eliminare.
Dal menu di scelta rapida dell'aggiornamento selezionare Elimina file di aggiornamento.

Gli aggiornamenti software verranno eliminati dall'archivio di Administration Server.

Vedere anche:

Scenario: Aggiornamento periodico di database e applicazioni Kaspersky

Inizio pagina

[Topic 138256]

Installazione patch per un'applicazione Kaspersky in modalità cluster

Kaspersky Security Center supporta solo l'installazione manuale delle patch per le applicazioni Kaspersky in modalità cluster.

Per installare una patch per un'applicazione Kaspersky:

Scaricare la patch in ogni nodo del cluster.
Eseguire l'installazione della patch nel nodo attivo.
Attendere il completamento dell'installazione della patch.
Eseguire la patch in tutti i sottonodi del cluster consecutivamente.
Se si esegue la patch dalla riga di comando, utilizzare il parametro -CLUSTER_SECONDARY_NODE.

A questo punto, la patch è installata in tutti i nodi del cluster.
Eseguire manualmente i servizi cluster di Kaspersky.

Ogni nodo del cluster è visualizzato in Administration Console come un dispositivo con Network Agent installato.

Per informazioni sulle patch installate, controllare la cartella Aggiornamenti software o il rapporto sulle versioni degli aggiornamenti per i moduli software delle applicazioni Kaspersky.

Vedere anche:

Regolazione delle impostazioni generali di un Administration Server

Scenario: Aggiornamento periodico di database e applicazioni Kaspersky

Inizio pagina

[Topic 52336]

Gestione delle applicazioni di terzi nei dispositivi client

Kaspersky Security Center consente di gestire le applicazioni sviluppate da Kaspersky e altri produttori e installate nei dispositivi client.

L'amministratore può eseguire le seguenti azioni:

Creare categorie di applicazioni in base ai criteri specificati.
Gestire categorie di applicazioni utilizzando regole create appositamente.
Gestire le applicazioni in esecuzione nei dispositivi.
Eseguire l'inventario e mantenere un registro del software installato nei dispositivi.
Correggere le vulnerabilità del software installato nei dispositivi.
Installare aggiornamenti da Windows Update e altri produttori di software nei dispositivi.
Monitorare l'utilizzo delle chiavi di licenza per i gruppi di applicazioni concesse in licenza.

In questa sezione

Installazione degli aggiornamenti software di terze parti

Correzione delle vulnerabilità del software di terze parti

Gruppi di applicazioni

Inizio pagina

[Topic 52464]

Installazione degli aggiornamenti software di terze parti

Kaspersky Security Center consente di gestire gli aggiornamenti del software installato nei dispositivi client e di correggere le vulnerabilità delle applicazioni Microsoft e di altri produttori di software tramite l'installazione degli aggiornamenti richiesti.

Kaspersky Security Center cerca gli aggiornamenti tramite l'attività di ricerca degli aggiornamenti e li scarica nell'archivio degli aggiornamenti. Al termine della ricerca degli aggiornamenti, l'applicazione fornisce all'amministratore informazioni sugli aggiornamenti disponibili e sulle vulnerabilità delle applicazioni che possono essere corrette tramite tali aggiornamenti.

Le informazioni sugli aggiornamenti disponibili per Microsoft Windows sono fornite dal servizio Windows Update. Administration Server può essere utilizzato come server WSUS (Windows Server Update Services). Per utilizzare Administration Server come server WSUS, è necessario configurare la sincronizzazione degli aggiornamenti con Windows Update. Dopo avere configurato la sincronizzazione dei dati con Windows Update, Administration Server fornisce gli aggiornamenti ai servizi Windows Update nei dispositivi in modalità centralizzata e in base alla frequenza impostata.

È inoltre possibile gestire gli aggiornamenti software tramite un criterio di Network Agent. A tale scopo, è necessario creare un criterio di Network Agent e configurare l'aggiornamento del software nelle finestre corrispondenti della Creazione guidata nuovo criterio.

L'amministratore può visualizzare un elenco degli aggiornamenti disponibili nella sottocartella Aggiornamenti software inclusa nella cartella Gestione applicazioni. Questa cartella contiene un elenco degli aggiornamenti per le applicazioni Microsoft e di altri produttori di software recuperati da Administration Server che possono essere distribuiti ai dispositivi. Dopo avere visualizzato le informazioni sugli aggiornamenti disponibili, l'amministratore può installarli nei dispositivi.

Kaspersky Security Center aggiorna alcune applicazioni rimuovendo la versione precedente dell'applicazione e installando la nuova.

Può essere richiesta l'interazione con l'utente quando si aggiorna un'applicazione di terze parti o si corregge una vulnerabilità in un'applicazione di terze parti in un dispositivo gestito. All'utente può ad esempio essere richiesto di chiudere l'applicazione di terze parti se aperta al momento.

Verificare che l'opzione Visualizza Vulnerability e patch management sia abilitata nella finestra Configura interfaccia per gli Administration Server primari e secondari. In caso contrario, l'attività di ricerca degli aggiornamenti gestisce solo gli aggiornamenti WSUS.

Per motivi di sicurezza, tutti gli aggiornamenti software di terzi installati utilizzando la funzionalità Vulnerability e patch management vengono automaticamente analizzati alla ricerca di malware dalle tecnologie Kaspersky. Queste tecnologie vengono utilizzate per il controllo automatico dei file e includono la scansione virus, l'analisi statica, l'analisi dinamica, l'analisi del comportamento nell'ambiente sandbox e il machine learning.

Gli esperti Kaspersky non eseguono l’analisi manuale degli aggiornamenti software di terzi installati utilizzando la funzionalità Vulnerability e patch management. Inoltre, gli esperti di Kaspersky non ricercano vulnerabilità (note o sconosciute) o funzionalità non documentate in tali aggiornamenti, né eseguono altri tipi di analisi degli aggiornamenti diversi da quelli specificati nel paragrafo precedente.

Prima di installare gli aggiornamenti in tutti i dispositivi, è possibile eseguire un'installazione di test per verificare che gli aggiornamenti installati non causino problemi di funzionamento delle applicazioni nei dispositivi.

In questa sezione

Visualizzazione delle informazioni sugli aggiornamenti disponibili per le applicazioni di terze parti

Approvazione e rifiuto degli aggiornamenti software

Sincronizzazione degli aggiornamenti da Windows Update con Administration Server

Installazione manuale degli aggiornamenti nei dispositivi

Configurazione degli aggiornamenti di Windows in un criterio di Network Agent

Inizio pagina

[Topic 183968]

Scenario: Aggiornamento di software di terze parti

Questa sezione fornisce uno scenario per l'aggiornamento del software di terze parti installato nei dispositivi client. Il software di terze parti include le applicazioni Microsoft e di altri fornitori di software. Gli aggiornamenti per le applicazioni Microsoft sono forniti dal servizio Windows Update.

Prerequisiti

Administration Server deve disporre di una connessione a Internet per installare gli aggiornamenti di software di terze parti diverso dal software Microsoft.

Per impostazione predefinita, non è richiesta la connessione Internet per l'installazione degli aggiornamenti software Microsoft nei dispositivi gestiti da parte di Administration Server. I dispositivi gestiti possono ad esempio scaricare gli aggiornamenti software Microsoft direttamente dai server Microsoft Update o da Windows Server con Microsoft Windows Server Update Services (WSUS) distribuito nella rete dell'organizzazione. Administration Server deve essere connesso a Internet quando si utilizza Administration Server come server WSUS.

Passaggi

L'aggiornamento del software di terze parti prevede diversi passaggi:

Ricerca degli aggiornamenti richiesti
Per trovare gli aggiornamenti software di terze parti richiesti per i dispositivi gestiti, eseguire l'attività Trova vulnerabilità e aggiornamenti richiesti. Al termine di questa attività, Kaspersky Security Center riceve gli elenchi delle vulnerabilità rilevate e degli aggiornamenti richiesti per il software di terze parti installato nei dispositivi specificati nelle proprietà dell'attività.

L'attività Trova vulnerabilità e aggiornamenti richiesti viene creata automaticamente dall'Avvio rapido guidato di Administration Server. Se non è stata eseguita la procedura guidata, creare l'attività o eseguire l'Avvio rapido guidato.

Istruzioni dettagliate:
- Administration Console: Scansione delle applicazioni per rilevare la presenza di vulnerabilità, Pianificazione dell'attività Trova vulnerabilità e aggiornamenti richiesti
- Kaspersky Security Center Web Console: Creazione dell'attività Trova vulnerabilità e aggiornamenti richiesti, Impostazioni dell'attività Trova vulnerabilità e aggiornamenti richiesti
Analisi dell'elenco degli aggiornamenti rilevati
Visualizzare l'elenco Aggiornamenti software e decidere quali aggiornamenti si desidera installare. Per visualizzare informazioni dettagliate su ciascun aggiornamento, fare clic sul nome dell'aggiornamento nell'elenco. Per ogni aggiornamento nell'elenco, è anche possibile visualizzare le statistiche sull'installazione dell'aggiornamento nei dispositivi client.

Istruzioni dettagliate:
- Administration Console: Visualizzazione delle informazioni sugli aggiornamenti disponibili
- Kaspersky Security Center Web Console: Visualizzazione delle informazioni sugli aggiornamenti software di terze parti disponibili
Configurazione dell'installazione degli aggiornamenti
Quando Kaspersky Security Center ha ricevuto l'elenco degli aggiornamenti software di terze parti, è possibile installarli nei dispositivi client utilizzando l'attività Installa aggiornamenti richiesti e correggi vulnerabilità o l'attività Installa aggiornamenti di Windows Update. Creare una di queste attività. È possibile creare queste attività nella scheda Attività o utilizzando l'elenco Aggiornamenti software.

L'attività Installa aggiornamenti richiesti e correggi vulnerabilità viene utilizzata per installare gli aggiornamenti per le applicazioni Microsoft, inclusi gli aggiornamenti forniti dal servizio Windows Update, e gli aggiornamenti del software di altri produttori. Questa attività può essere creata solo se si dispone della licenza per la funzionalità Vulnerability e patch management.

L'attività Installa aggiornamenti di Windows Update non richiede una licenza, ma può essere utilizzata per installare solo gli aggiornamenti di Windows Update.

Per installare alcuni aggiornamenti software, è necessario accettare il Contratto di licenza con l'utente finale (EULA) per il software da installare. Se non si accetta il Contratto di licenza con l'utente finale, l'aggiornamento software non verrà installato.

È possibile avviare un'attività di installazione degli aggiornamenti in base a una pianificazione. Quando si specifica la pianificazione dell'attività, assicurarsi che l'attività di installazione degli aggiornamenti venga avviata dopo il completamento dell'attività Trova vulnerabilità e aggiornamenti richiesti.

Istruzioni dettagliate:
- Administration Console: Correzione delle vulnerabilità delle applicazioni, Visualizzazione delle informazioni sugli aggiornamenti disponibili
- Kaspersky Security Center Web Console: Creazione dell'attività Installa aggiornamenti richiesti e correggi vulnerabilità, Creazione dell'attività Installa aggiornamenti di Windows Update, Visualizzazione delle informazioni sugli aggiornamenti software di terze parti disponibili
Pianificazione delle attività
Per assicurarsi che l'elenco degli aggiornamenti sia sempre aggiornato, pianificare l'attività Trova vulnerabilità e aggiornamenti richiesti affinché venga eseguita periodicamente in modo automatico. Per impostazione predefinita, l'attività Trova vulnerabilità e aggiornamenti richiesti è impostata per l'avvio manuale.

Se è stata creata l'attività Installa aggiornamenti richiesti e correggi vulnerabilità, è possibile pianificarla in modo che venga eseguita con la stessa frequenza dell'attività Trova vulnerabilità e aggiornamenti richiesti o con una frequenza inferiore. Quando si pianifica l'attività Installa aggiornamenti di Windows Update, tenere presente che per questa attività è necessario definire l'elenco degli aggiornamenti ogni volta prima di avviare l'attività.

Durante la pianificazione delle attività, assicurarsi che un'attività di installazione degli aggiornamenti venga avviata dopo il completamento dell'attività Trova vulnerabilità e aggiornamenti richiesti.
Approvazione e rifiuto degli aggiornamenti software (facoltativo)
Se è stata creata l'attività Installa aggiornamenti richiesti e correggi vulnerabilità, è possibile specificare le regole per l'installazione degli aggiornamenti nelle proprietà dell'attività. Se è stata creata l'attività Installa aggiornamenti di Windows Update, ignorare questo passaggio.

Per ciascuna regola, è possibile definire gli aggiornamenti da installare in base allo stato dell'aggiornamento: Indefinito, Approvato o Rifiutato. Ad esempio, è possibile creare un'attività specifica per i server e impostare una regola per questa attività in modo da consentire l'installazione solo degli aggiornamenti di Windows Update e solo di quelli con stato Approvato. Successivamente, si imposta manualmente lo stato Approvato per gli aggiornamenti da installare. In questo caso, gli aggiornamenti di Windows Update con stato Indefinito o Rifiutato non verranno installati nei server specificati nell'attività.

L'utilizzo dello stato Approvato per gestire l'installazione degli aggiornamenti è efficace per una piccola quantità di aggiornamenti. Per installare più aggiornamenti, utilizzare le regole che è possibile configurare nell'attività Installa aggiornamenti richiesti e correggi vulnerabilità. È consigliabile impostare lo stato Approvato solo per gli aggiornamenti specifici che non soddisfano i criteri specificati nelle regole. Quando si approva manualmente una grande quantità di aggiornamenti, le prestazioni di Administration Server si riducono e questo può causare un sovraccarico di Administration Server.

Per impostazione predefinita, gli aggiornamenti software scaricati hanno lo stato Indefinito. È possibile modificare lo stato in Approvato o Rifiutato nell'elenco Aggiornamenti software (Operazioni → Gestione patch → Aggiornamenti software).

Istruzioni dettagliate:
- Administration Console: Approvazione e rifiuto degli aggiornamenti software
- Kaspersky Security Center Web Console: Approvazione e rifiuto degli aggiornamenti software di terze parti
Configurazione di Administration Server per operare come server WSUS (Windows Server Update Services) (facoltativo)
Per impostazione predefinita, gli aggiornamenti di Windows Update vengono scaricati nei dispositivi gestiti dai server Microsoft. È possibile modificare questa impostazione per utilizzare Administration Server come server WSUS. In questo caso, Administration Server sincronizza i dati sugli aggiornamenti con Windows Update con la frequenza specificata e fornisce gli aggiornamenti in modalità centralizzata a Windows Update nei dispositivi nella rete.

Per utilizzare Administration Server come server WSUS, creare l'attività Esegui sincronizzazione di Windows Update e selezionare la casella di controllo Usa Administration Server come server WSUS nel criterio di Network Agent.

Istruzioni dettagliate:
- Administration Console: Sincronizzazione degli aggiornamenti da Windows Update con Administration Server, Configurazione degli aggiornamenti di Windows in un criterio di Network Agent
- Kaspersky Security Center Web Console: Creazione dell'attività Esegui sincronizzazione di Windows Update
Esecuzione di un'attività di installazione degli aggiornamenti
Avviare l'attività Installa aggiornamenti richiesti e correggi vulnerabilità o l'attività Installa aggiornamenti di Windows Update. Quando si avviano queste attività, gli aggiornamenti vengono scaricati e installati nei dispositivi gestiti. Al termine dell'attività, assicurarsi che questa abbia lo stato Completato nell'elenco attività.
Creare il rapporto sui risultati dell'installazione degli aggiornamenti del software di terze parti (facoltativo)
Per visualizzare le statistiche dettagliate sull'installazione degli aggiornamenti, creare il Rapporto sui risultati dell'installazione degli aggiornamenti software di terze parti.

Istruzioni dettagliate:
- Administration Console: Creazione e visualizzazione di un rapporto
- Kaspersky Security Center Web Console: Generazione e visualizzazione di un rapporto

Risultati

Se è stata creata e configurata l'attività Installa aggiornamenti richiesti e correggi vulnerabilità, gli aggiornamenti vengono installati automaticamente nei dispositivi gestiti. Quando i nuovi aggiornamenti vengono scaricati nell'archivio dell'Administration Server, Kaspersky Security Center verifica se soddisfano i criteri specificati nelle regole per gli aggiornamenti. Tutti i nuovi aggiornamenti che soddisfano i criteri verranno installati automaticamente alla successiva esecuzione dell'attività.

Se è stata creata l'attività Installa aggiornamenti di Windows Update, vengono installati solo gli aggiornamenti specificati nelle proprietà dell'attività Installa aggiornamenti di Windows Update. Se in seguito si desidera installare i nuovi aggiornamenti scaricati nell'archivio dell'Administration Server, è necessario aggiungere gli aggiornamenti richiesti all'elenco degli aggiornamenti nell'attività esistente o creare una nuova attività Installa aggiornamenti di Windows Update.

Vedere anche

Visualizzazione delle informazioni sugli aggiornamenti disponibili per le applicazioni di terze parti

Approvazione e rifiuto degli aggiornamenti software

Sincronizzazione degli aggiornamenti da Windows Update con Administration Server

Installazione manuale degli aggiornamenti nei dispositivi

Configurazione degli aggiornamenti di Windows in un criterio di Network Agent

Informazioni sulle applicazioni di terze parti

Inizio pagina

[Topic 61490]

Visualizzazione delle informazioni sugli aggiornamenti disponibili per le applicazioni di terze parti

Per visualizzare un elenco degli aggiornamenti disponibili per le applicazioni di terze parti installate nei dispositivi client:

Nella cartella Avanzate → Gestione applicazioni della struttura della console selezionare la sottocartella Aggiornamenti software.

Nell'area di lavoro della cartella è possibile visualizzare un elenco degli aggiornamenti disponibili per le applicazioni installate nei dispositivi.

Per visualizzare le proprietà di un aggiornamento:

nell'area di lavoro della cartella Aggiornamenti software selezionare Proprietà nel menu di scelta rapida dell'aggiornamento.

Nella finestra delle proprietà dell'aggiornamento è possibile visualizzare le seguenti informazioni:

Nella sezione Generale è possibile visualizzare lo Stato di approvazione dell'aggiornamento:
- Indefinito: l'aggiornamento è disponibile nell'elenco degli aggiornamenti, ma non è approvato per l'installazione.
- Approvato: l'aggiornamento è disponibile nell'elenco degli aggiornamenti e approvato per l'installazione.
- Rifiutato: l'aggiornamento viene rifiutato per l'installazione.
Nella sezione Attributi è possibile visualizzare i valori del campo Installazione automatica:
- Il valore Automaticamente viene visualizzato se l'attività Installa aggiornamenti richiesti e correggi vulnerabilità può installare gli aggiornamenti per l'applicazione. L'attività installa automaticamente i nuovi aggiornamenti dall'indirizzo Web fornito dal produttore del software di terze parti.
- Il valore Manualmente viene visualizzato se Kaspersky Security Center non riesce a installare automaticamente gli aggiornamenti per l'applicazione. È possibile installare gli aggiornamenti manualmente.
Il campo Installazione automatica non viene visualizzato per gli aggiornamenti delle applicazioni Windows.
Elenco dei dispositivi client a cui è destinato l'aggiornamento.
Elenco degli eventuali componenti di sistema (prerequisiti) che devono essere installati prima dell'aggiornamento.
Vulnerabilità del software che l'aggiornamento consente di correggere.

Vedere anche:

Scenario: Aggiornamento periodico di database e applicazioni Kaspersky

Inizio pagina

[Topic 155093]

Approvazione e rifiuto degli aggiornamenti software

Le impostazioni di un'attività di installazione degli aggiornamenti possono richiedere l'approvazione degli aggiornamenti da installare. È possibile approvare gli aggiornamenti da installare e rifiutare quelli che non devono essere installati.

Ad esempio, potrebbe essere utile controllare prima l'installazione degli aggiornamenti in un ambiente di test e verificare che non interferiscano con l'utilizzo dei dispositivi e solo successivamente consentire l'installazione degli aggiornamenti nei dispositivi client.

L'utilizzo dello stato Approvato per gestire l'installazione degli aggiornamenti di terze parti è efficace per una piccola quantità di aggiornamenti. Per installare più aggiornamenti di terze parti, utilizzare le regole che è possibile configurare nell'attività Installa aggiornamenti richiesti e correggi vulnerabilità. È consigliabile impostare lo stato Approvato solo per gli aggiornamenti specifici che non soddisfano i criteri specificati nelle regole. Quando si approva manualmente una grande quantità di aggiornamenti, le prestazioni di Administration Server si riducono e questo può causare un sovraccarico di Administration Server.

Per approvare o rifiutare uno o più aggiornamenti:

Nella struttura della console selezionare il nodo Avanzate → Gestione applicazioni → Aggiornamenti software.
Nell'area di lavoro della cartella Aggiornamenti software fare clic sul pulsante Aggiorna nell'angolo superiore destro. Viene visualizzato un elenco degli aggiornamenti.
Selezionare gli aggiornamenti che si desidera accettare o rifiutare.
Nella parte destra dell'area di lavoro verrà visualizzata la finestra di informazioni relativa agli oggetti selezionati.
Nell'elenco a discesa Stato di approvazione dell'aggiornamento selezionare Approvato per approvare gli aggiornamenti selezionati o Rifiutato per rifiutare gli aggiornamenti selezionati.
Il valore predefinito è Indefinito.

Gli aggiornamenti per cui si imposta lo stato Approvato verranno inseriti in una coda per l'installazione.

Gli aggiornamenti per cui si imposta lo stato Rifiutato verranno disinstallati (se possibile) da tutti i dispositivi in cui erano installati in precedenza. Inoltre, non verranno installati in altri dispositivi in futuro.

Alcuni aggiornamenti per le applicazioni Kaspersky non possono essere disinstallati. Se si imposta lo stato Rifiutato per tali aggiornamenti, Kaspersky Security Center non li disinstallerà dai dispositivi in cui erano installati in precedenza. Tuttavia, tali aggiornamenti non verranno installati in altri dispositivi in futuro. Se un aggiornamento per le applicazioni Kaspersky non può essere disinstallato, questa proprietà è visualizzata nella finestra delle proprietà dell'aggiornamento: nel riquadro Sezioni selezionare Generale e nell'area di lavoro verrà visualizzata la proprietà in Requisiti per l'installazione. Se si imposta lo stato Rifiutato per gli aggiornamenti software di terze parti, tali aggiornamenti non verranno installati nei dispositivi in cui l'installazione era stata pianificata ma non ancora eseguita. Gli aggiornamenti rimarranno nei dispositivi in cui erano già installati. Se è necessario eliminarli, è possibile eliminarli manualmente in locale.

Vedere anche:

Passaggio 1. Stabilire se ridurre o meno il traffico

Inizio pagina

[Topic 61470]

Sincronizzazione degli aggiornamenti da Windows Update con Administration Server

Se è stata selezionata l'opzione Usa Administration Server come server WSUS nella finestra Impostazioni per la gestione degli aggiornamenti dell'Avvio rapido guidato, l'attività di sincronizzazione di Windows Update viene creata automaticamente. È possibile eseguire l'attività nella cartella Attività. La funzionalità di aggiornamento del software Microsoft è disponibile solo dopo il completamento dell'attività Esegui sincronizzazione di Windows Update.

Gli aggiornamenti software Microsoft possono superare i 10 GB. Assicurarsi che il database di Administration Server sia in grado di ospitare tali volumi; in caso contrario, l'attività Esegui sincronizzazione di Windows Update non riuscirà. Il database Microsoft SQL Express non è supportato per l'attività Esegui sincronizzazione di Windows Update.

L'attività Esegui sincronizzazione di Windows Update scarica solo metadati dai server Microsoft. Se la rete non utilizza un server WSUS, ogni dispositivo client scarica gli aggiornamenti Microsoft da server esterni in modo indipendente.

Per creare un'attività per la sincronizzazione di Windows Update con Administration Server:

Nella cartella Avanzate → Gestione applicazioni della struttura della console selezionare la sottocartella Aggiornamenti software.
Fare clic sul pulsante Azioni aggiuntive e selezionare Configura sincronizzazione di Windows Update nell'elenco a discesa.
La procedura guidata crea l'attività Esegui sincronizzazione di Windows Update visualizzata nella cartella Attività.

Viene avviata la Creazione guidata attività di recupero dati da Windows Update Center. Seguire le istruzioni della procedura guidata.

È inoltre possibile creare l'attività di sincronizzazione di Windows Update nella cartella Attività facendo clic su Crea attività.

Microsoft elimina periodicamente gli aggiornamenti obsoleti dai server dell'azienda in modo che il numero degli aggiornamenti correnti sia sempre compreso tra 200.000 e 300.000. Per ridurre l'utilizzo dello spazio su disco e le dimensioni del database, Kaspersky Security Center elimina gli aggiornamenti obsoleti che non sono più presenti nei server di aggiornamento di Microsoft.

Durante l'esecuzione dell'attività Esegui sincronizzazione di Windows Update l'applicazione riceve un elenco degli aggiornamenti correnti da un server di aggiornamento Microsoft. Kaspersky Security Center compila quindi un elenco degli aggiornamenti che sono diventati obsoleti. Al successivo avvio dell'attività Trova vulnerabilità e aggiornamenti richiesti, Kaspersky Security Center contrassegna tutti gli aggiornamenti obsoleti e ne imposta l'ora di eliminazione. Al successivo avvio dell'attività Esegui sincronizzazione di Windows Update, vengono eliminati tutti gli aggiornamenti contrassegnati per l'eliminazione 30 giorni prima. Kaspersky Security Center verifica inoltre se sono presenti aggiornamenti obsoleti contrassegnati per l'eliminazione più di 180 giorni prima ed elimina gli aggiornamenti meno recenti.

Quando viene completata l'attività Esegui sincronizzazione di Windows Update e gli aggiornamenti obsoleti vengono eliminati, il database può ancora salvare i codici hash relativi ai file degli aggiornamenti eliminati, nonché i file corrispondenti nei file %AllUsersProfile%\Application Data\KasperskyLab\adminkit\1093\.working\wusfiles files (se sono stati scaricati in precedenza). È possibile eseguire l'attività Manutenzione di Administration Server per eliminare i record obsoleti dal database e dai file corrispondenti.

In questa sezione

Passaggio 2. Applicazioni

Passaggio 3. Categorie di aggiornamenti

Passaggio 4. Lingue degli aggiornamenti

Passaggio 5. Selezione dell'account per l'avvio dell'attività

Passaggio 6. Configurazione di una pianificazione di avvio delle attività

Passaggio 7. Definizione del nome dell'attività

Passaggio 8. Completamento della creazione dell'attività

Vedere anche:

Sincronizzazione degli aggiornamenti da Windows Update con Administration Server

Inizio pagina

[Topic 150232]

Passaggio 1. Stabilire se ridurre o meno il traffico

Quando Kaspersky Security Center sincronizza gli aggiornamenti con i server di Microsoft Windows Update, le informazioni su tutti i file vengono salvate nel database di Administration Server. Anche tutti i file richiesti per un aggiornamento vengono scaricati nell'unità durante l'interazione con l'Agente di Windows Update. In particolare, Kaspersky Security Center salva le informazioni sui file per l'aggiornamento rapido nel database e li scarica se necessario. Il download dei file per l'aggiornamento rapido comporta una riduzione dello spazio su disco.

Per evitare la diminuzione dello spazio su disco e ridurre il traffico, è possibile disabilitare l'opzione Scarica i file di installazione rapida.

Se l'opzione è selezionata, i file degli aggiornamenti rapidi vengono scaricati durante l'esecuzione dell'attività. Per impostazione predefinita, questa opzione non è selezionata.

Vedere anche:

Sincronizzazione degli aggiornamenti da Windows Update con Administration Server

Inizio pagina

[Topic 150233]

Passaggio 2. Applicazioni

In questa sezione è possibile selezionare le applicazioni per cui saranno scaricati gli aggiornamenti.

Se la casella di controllo Tutte le applicazioni è selezionata, verranno scaricati gli aggiornamenti per tutte le applicazioni esistenti e per tutte le applicazioni che potrebbero essere rilasciate in futuro.

Per impostazione predefinita, la casella di controllo Tutte le applicazioni è selezionata.

Vedere anche:

Sincronizzazione degli aggiornamenti da Windows Update con Administration Server

Inizio pagina

[Topic 150238]

Passaggio 3. Categorie di aggiornamenti

In questa sezione è possibile selezionare le categorie di aggiornamenti che verranno scaricati in Administration Server.

Se la casella di controllo Tutte le categorie è selezionata, gli aggiornamenti verranno scaricati per tutte le categorie di aggiornamenti esistenti e per tutte le categorie che possono presentarsi in futuro.

Per impostazione predefinita, la casella di controllo Tutte le categorie è selezionata.

Vedere anche:

Inizio pagina

[Topic 150240]

Passaggio 4. Lingue degli aggiornamenti

Sincronizzazione degli aggiornamenti da Windows Update con Administration Server

In questa finestra è possibile selezionare le lingue di localizzazione degli aggiornamenti che verranno scaricati in Administration Server. Selezionare una delle seguenti opzioni per il download delle lingue di localizzazione degli aggiornamenti:

Scarica tutte le lingue, incluse quelle nuove
Se questa opzione è selezionata, tutte le lingue di localizzazione disponibili degli aggiornamenti verranno scaricate in Administration Server. Per impostazione predefinita, questa opzione è selezionata.
Scarica le lingue selezionate
Se questa opzione è selezionata, è possibile selezionare dall'elenco le lingue di localizzazione degli aggiornamenti da scaricare in Administration Server.

Vedere anche:

Inizio pagina

[Topic 150258]

Passaggio 5. Selezione dell'account per l'avvio dell'attività

Sincronizzazione degli aggiornamenti da Windows Update con Administration Server

Nella finestra Selezione di un account per l'esecuzione dell'attività è possibile specificare l'account da utilizzare durante l'esecuzione dell'attività. Selezionare una delle seguenti opzioni:

Account predefinito
L'attività verrà eseguita tramite lo stesso account dell'applicazione che esegue l'attività.

Per impostazione predefinita, questa opzione è selezionata.
Specifica account
Compilare i campi Account e Password per specificare i dettagli di un account con cui viene eseguita l'attività. L'account deve disporre di diritti sufficienti per questa attività.
- Account
  Account tramite il quale viene eseguita l'attività.
- Password
  Password dell'account con cui verrà eseguita l'attività.

Vedere anche:

Inizio pagina

[Topic 150260]

Passaggio 6. Configurazione di una pianificazione di avvio delle attività

Sincronizzazione degli aggiornamenti da Windows Update con Administration Server

Nella pagina Configurare la pianificazione delle attività della procedura guidata è possibile creare una pianificazione per l'avvio delle attività. Se necessario, specificare le seguenti impostazioni:

Avvio pianificato:
Selezionare la pianificazione per l'esecuzione dell'attività e configurare la pianificazione selezionata.
- Ogni N ore
  L'attività viene eseguita periodicamente, con l'intervallo specificato in ore, a partire dalla data e dall'ora specificate.
  
  Per impostazione predefinita, l'attività viene eseguita ogni sei ore, a partire dalla data e dall'ora di sistema correnti.
- Ogni N giorni
  L'attività viene eseguita periodicamente, con l'intervallo specificato in giorni. È inoltre possibile specificare data e ora della prima esecuzione dell'attività. Queste opzioni aggiuntive diventano disponibili se sono supportate dall'applicazione per cui viene creata l'attività.
  
  Per impostazione predefinita, l'attività viene eseguita ogni giorno, a partire dalla data e dall'ora di sistema correnti.
- Ogni N settimane
  L'attività viene eseguita periodicamente, con l'intervallo specificato in settimane, nel giorno della settimana specificato e all'ora specificata.
  
  Per impostazione predefinita, l'attività viene eseguita ogni lunedì all'ora di sistema corrente.
- Ogni N minuti
  L'attività viene eseguita periodicamente, con l'intervallo specificato in minuti, a partire dall'ora specificata nel giorno in cui viene creata l'attività.
  
  Per impostazione predefinita, l'attività viene eseguita ogni 30 minuti, a partire dall'ora di sistema corrente.
- Giornaliera (ora legale non supportata)
  L'attività viene eseguita periodicamente, con l'intervallo specificato in giorni. Questa pianificazione non supporta l'ora legale. In altre parole, se l'orologio del sistema si sposta avanti o indietro di un'ora all'inizio o alla fine dell'ora legale, l'ora di inizio effettiva dell'attività non cambia.
  
  Non è consigliabile utilizzare questa pianificazione. È necessaria per la compatibilità con le versioni precedenti di Kaspersky Security Center.
  
  Per impostazione predefinita, l'attività viene avviata ogni giorno all'ora di sistema corrente.
- Settimanale
  L'attività viene eseguita ogni settimana nel giorno specificato e all'ora specificata.
- In base ai giorni della settimana
  L'attività viene eseguita periodicamente, nei giorni specificati della settimana, all'ora specificata.
  
  Per impostazione predefinita, l'attività viene eseguita ogni venerdì alle 18:00:00.
- Mensile
  L'attività viene eseguita periodicamente, nel giorno del mese specificato, all'ora specificata.
  
  Nei mesi che non comprendono il giorno specificato, l'attività viene eseguita l'ultimo giorno.
  
  Per impostazione predefinita, l'attività viene eseguita il primo giorno di ogni mese, all'ora di sistema corrente.
- Manualmente
  L'attività non viene eseguita automaticamente. È possibile avviarla solo manualmente.
  
  Per impostazione predefinita, questa opzione è selezionata.
- Una sola volta
  L'attività viene eseguita una volta, nella data e nell'ora specificate (per impostazione predefinita, il giorno in cui è stata creata l'attività).
- Ogni mese nei giorni specificati delle settimane selezionate
  L'attività viene eseguita periodicamente, nei giorni specificati di ogni mese, all'ora specificata.
  
  Per impostazione predefinita, non sono selezionati giorni del mese. L'ora di inizio predefinita è le 18:00.
- Durante un'epidemia di virus
  L'attività viene eseguita dopo che si verifica un evento Epidemia di virus. Selezionare i tipi di applicazione da cui dovranno essere monitorate le epidemie di virus. Sono disponibili i seguenti tipi di applicazione:
  - Anti-virus per workstation e file server
  - Anti-virus per la difesa perimetrale
  - Anti-virus per i sistemi di posta
  Per impostazione predefinita, sono selezionati tutti i tipi di applicazione.
  
  Può essere utile eseguire differenti attività a seconda del tipo di applicazione di protezione che segnala un'epidemia di virus. In questo caso, rimuovere la selezione dei tipi di applicazione non necessari.
- Al completamento di un'altra attività
  L'attività corrente viene avviata dopo il completamento di un'altra attività. È possibile selezionare la modalità di completamento dell'attività precedente (correttamente o con errori) per l'attivazione dell'avvio dell'attività corrente. È ad esempio possibile eseguire l'attività Gestisci dispositivi con l'opzione Accendi il dispositivo e, al termine, eseguire l'attività Scansione virus. Questo parametro funziona solo se entrambe le attività sono assegnate agli stessi dispositivi.
Esegui attività non effettuate
Questa opzione determina il comportamento di un'attività se un dispositivo client non è visibile nella rete al momento dell'avvio dell'attività.

Se questa opzione è abilitata, il sistema tenta di avviare l'attività alla successiva esecuzione di un'applicazione Kaspersky in un dispositivo client. Se la pianificazione dell'attività è Manualmente, Una sola volta o Immediatamente, l'attività viene avviata non appena il dispositivo diventa visibile nella rete o subito dopo che il dispositivo viene incluso nell'ambito dell'attività.

Se questa opzione è disabilitata, solo le attività pianificate vengono eseguite nei dispositivi client. Per i tipi di pianificazione Manualmente, Una sola volta e Immediatamente, le attività vengono eseguite solo nei dispositivi client visibili nella rete. È ad esempio possibile disabilitare questa opzione per un'attività con un notevole utilizzo di risorse che si desidera eseguire solo in orario non lavorativo.

Per impostazione predefinita, questa opzione è disabilitata.
Usa automaticamente il ritardo casuale per l'avvio delle attività
Se questa opzione è abilitata, l'attività viene avviata nei dispositivi client in modo casuale all'interno di un intervallo di tempo specificato (avvio distribuito dell'attività). L'avvio distribuito dell'attività consente di evitare che Administration Server riceva numerose richieste simultanee da parte dei dispositivi client durante l'esecuzione di un'attività pianificata.

Il periodo di avvio distribuito viene calcolato automaticamente durante la creazione di un'attività, in base al numero di dispositivi client a cui è assegnata l'attività. Successivamente, l'attività viene sempre eseguita all'ora di inizio calcolata. Tuttavia, quando si modificano le impostazioni dell'attività o l'attività viene avviata manualmente, il valore calcolato dell'ora di inizio dell'attività cambia.

Se questa opzione è disabilitata, l'attività viene avviata nei dispositivi client in base alla pianificazione.
Usa ritardo casuale per l'avvio delle attività con un intervallo di (min.)
Se questa opzione è abilitata, l'attività viene avviata nei dispositivi client in modo casuale all'interno dell'intervallo di tempo specificato. L'avvio distribuito dell'attività consente di evitare che Administration Server riceva numerose richieste simultanee da parte dei dispositivi client durante l'esecuzione di un'attività pianificata.

Se questa opzione è disabilitata, l'attività viene avviata nei dispositivi client in base alla pianificazione.

Per impostazione predefinita, questa opzione è disabilitata. Il periodo di tempo predefinito è 1 minuto.

Vedere anche:

Sincronizzazione degli aggiornamenti da Windows Update con Administration Server

Inizio pagina

[Topic 150263]

Passaggio 7. Definizione del nome dell'attività

Nella finestra Definire il nome dell'attività specificare il nome dell'attività che si intende creare. Il nome di un'attività non può superare i 100 caratteri e non può includere caratteri speciali ("*<>?\:|). Il valore predefinito è Esegui sincronizzazione di Windows Update.

Vedere anche:

Sincronizzazione degli aggiornamenti da Windows Update con Administration Server

Inizio pagina

[Topic 150264]

Passaggio 8. Completamento della creazione dell'attività

Nella finestra Completare la creazione dell'attività fare clic sul pulsante Fine per completare la procedura guidata.

Se si desidera che l'attività venga avviata al termine della procedura guidata, selezionare la casella di controllo Esegui l'attività al termine della procedura guidata.

La nuova attività di sincronizzazione di Windows Update creata verrà visualizzata nell'elenco delle attività nella cartella Attività della struttura della console.

Vedere anche:

Inizio pagina

[Topic 61471]

Installazione manuale degli aggiornamenti nei dispositivi

Se è stato selezionato Cerca e installa gli aggiornamenti richiesti nella pagina Impostazioni per la gestione degli aggiornamenti dell'Avvio rapido guidato, verrà creata automaticamente l'attività Installa aggiornamenti richiesti e correggi vulnerabilità. È possibile eseguire o interrompere l'attività nella cartella Dispositivi gestiti, nella scheda Attività.

Se è stato selezionato Cerca gli aggiornamenti richiesti nell'Avvio rapido guidato, è possibile installare gli aggiornamenti software nei dispositivi client tramite l'attività Installa aggiornamenti richiesti e correggi vulnerabilità.

È possibile eseguire qualsiasi delle seguenti operazioni:

Creare un'attività per l'installazione degli aggiornamenti.
Aggiungere una regola per l'installazione di un aggiornamento a un'attività per l'installazione di aggiornamenti.
Configurare un'installazione di test degli aggiornamenti, nelle impostazioni di un'attività per l'installazione di aggiornamenti.

Installazione degli aggiornamenti tramite la creazione di un'attività di installazione

È possibile eseguire qualsiasi delle seguenti operazioni:

Creare un'attività per l'installazione di determinati aggiornamenti.
Selezionare un aggiornamento e creare un'attività per l'installazione di tale aggiornamento e degli aggiornamenti analoghi.

Per installare specifici aggiornamenti:

Nella cartella Avanzate → Gestione applicazioni della struttura della console selezionare la sottocartella Aggiornamenti software.
Nell'area di lavoro selezionare gli aggiornamenti che si desidera installare.
Eseguire una delle seguenti operazioni:
- Fare clic con il pulsante destro del mouse su uno degli aggiornamenti selezionati nell'elenco e quindi scegliere Installa aggiornamento → Nuova attività.
- Fare clic sul collegamento Installa aggiornamento (crea attività) nella finestra di informazioni degli aggiornamenti selezionati.
Scegliere l'operazione da eseguire quando viene richiesto se installare tutti gli aggiornamenti precedenti dell'applicazione. Fare clic su Sì se si desidera installare in modo incrementale le versioni successive dell'applicazione, se questo è necessario per l'installazione degli aggiornamenti selezionati. Fare clic su No se si desidera eseguire l'aggiornamento delle applicazioni in modo diretto, senza installare le versioni successive. Se l'installazione degli aggiornamenti selezionati non è possibile senza installare le versioni precedenti delle applicazioni, l'aggiornamento dell'applicazione non riesce.
Viene avviata la Creazione guidata attività di installazione aggiornamenti e correzione vulnerabilità. Seguire le istruzioni della procedura guidata.
Nella pagina Selezione dell'opzione per il riavvio del sistema operativo della procedura guidata selezionare l'azione da eseguire quando il sistema operativo nei dispositivi client deve essere riavviato dopo l'operazione:
- Non riavviare il dispositivo
  I dispositivi client non vengono riavviati automaticamente al termine dell'operazione. Per completare l'operazione, è necessario riavviare un dispositivo (ad esempio, manualmente o tramite l'attività di gestione di un dispositivo). Le informazioni sul riavvio richiesto vengono salvate nei risultati dell'attività e nello stato del dispositivo. Questa opzione è adatta per le attività nei server e negli altri dispositivi per cui il funzionamento continuo è di importanza critica.
- Riavvia il dispositivo
  I dispositivi client vengono sempre riavviati automaticamente quando è richiesto un riavvio per il completamento dell'operazione. Questa opzione è utile per le attività nei dispositivi per cui sono previste pause periodiche durante la relativa esecuzione (chiusura o riavvio).
- Richiedi l'intervento dell'utente
  Sarà visualizzata una notifica del riavvio sullo schermo del dispositivo client e verrà richiesto all'utente di riavviare il dispositivo manualmente. Per questa opzione è possibile definire alcune impostazioni avanzate: il testo del messaggio per l'utente, la frequenza di visualizzazione del messaggio e l'intervallo di tempo al termine del quale sarà forzato il riavvio (senza la conferma dell'utente). Questa opzione è adatta per le workstation in cui gli utenti devono essere in grado di selezionare l'orario che preferiscono per un riavvio del sistema.
  
  Per impostazione predefinita, questa opzione è selezionata.
  - Ripeti la richiesta ogni (min.)
    Se questa opzione è abilitata, l'applicazione richiede all'utente di riavviare il sistema operativo con la frequenza specificata.
    
    Per impostazione predefinita, questa opzione è abilitata. L'intervallo predefinito è di 5 minuti. I valori disponibili sono compresi tra 1 e 1440 minuti.
    
    Se questa opzione è disabilitata, la richiesta viene visualizzata una sola volta.
  - Riavvia dopo (min.)
    Dopo la richiesta all'utente, l'applicazione forza il riavvio del sistema operativo al termine dell'intervallo di tempo specificato.
    
    Per impostazione predefinita, questa opzione è abilitata. Il ritardo predefinito è di 30 minuti. I valori disponibili sono compresi tra 1 e 1440 minuti.
- Forza chiusura delle applicazioni nelle sessioni bloccate
  L'esecuzione di applicazioni potrebbe impedire il riavvio del dispositivo client. Ad esempio, se un documento viene modificato in un'applicazione per l'elaborazione di testo e non viene salvato, l'applicazione non consente il riavvio del dispositivo.
  
  Se questa opzione è abilitata, viene forzata la chiusura di tali applicazioni in un dispositivo bloccato prima del riavvio del dispositivo. Come risultato, gli utenti possono perdere le modifiche non salvate.
  
  Se questa opzione è disabilitata, un dispositivo bloccato non viene riavviato. Lo stato dell'attività nel dispositivo indica che è necessario un riavvio del dispositivo. Gli utenti devono chiudere manualmente tutte le applicazioni in esecuzione nei dispositivi bloccati e riavviare questi dispositivi.
  
  Per impostazione predefinita, questa opzione è disabilitata.
Nella pagina Configurare la pianificazione delle attività della procedura guidata è possibile creare una pianificazione per l'avvio dell'attività. Se necessario, specificare le seguenti impostazioni:
- Avvio pianificato:
  Selezionare la pianificazione per l'esecuzione dell'attività e configurare la pianificazione selezionata.
  - Ogni N ore
    L'attività viene eseguita periodicamente, con l'intervallo specificato in ore, a partire dalla data e dall'ora specificate.
    
    Per impostazione predefinita, l'attività viene eseguita ogni sei ore, a partire dalla data e dall'ora di sistema correnti.
  - Ogni N giorni
    L'attività viene eseguita periodicamente, con l'intervallo specificato in giorni. È inoltre possibile specificare data e ora della prima esecuzione dell'attività. Queste opzioni aggiuntive diventano disponibili se sono supportate dall'applicazione per cui viene creata l'attività.
    
    Per impostazione predefinita, l'attività viene eseguita ogni giorno, a partire dalla data e dall'ora di sistema correnti.
  - Ogni N settimane
    L'attività viene eseguita periodicamente, con l'intervallo specificato in settimane, nel giorno della settimana specificato e all'ora specificata.
    
    Per impostazione predefinita, l'attività viene eseguita ogni lunedì all'ora di sistema corrente.
  - Ogni N minuti
    L'attività viene eseguita periodicamente, con l'intervallo specificato in minuti, a partire dall'ora specificata nel giorno in cui viene creata l'attività.
    
    Per impostazione predefinita, l'attività viene eseguita ogni 30 minuti, a partire dall'ora di sistema corrente.
  - Giornaliera (ora legale non supportata)
    L'attività viene eseguita periodicamente, con l'intervallo specificato in giorni. Questa pianificazione non supporta l'ora legale. In altre parole, se l'orologio del sistema si sposta avanti o indietro di un'ora all'inizio o alla fine dell'ora legale, l'ora di inizio effettiva dell'attività non cambia.
    
    Non è consigliabile utilizzare questa pianificazione. È necessaria per la compatibilità con le versioni precedenti di Kaspersky Security Center.
    
    Per impostazione predefinita, l'attività viene avviata ogni giorno all'ora di sistema corrente.
  - Settimanale
    L'attività viene eseguita ogni settimana nel giorno specificato e all'ora specificata.
  - In base ai giorni della settimana
    L'attività viene eseguita periodicamente, nei giorni specificati della settimana, all'ora specificata.
    
    Per impostazione predefinita, l'attività viene eseguita ogni venerdì alle 18:00:00.
  - Mensile
    L'attività viene eseguita periodicamente, nel giorno del mese specificato, all'ora specificata.
    
    Nei mesi che non comprendono il giorno specificato, l'attività viene eseguita l'ultimo giorno.
    
    Per impostazione predefinita, l'attività viene eseguita il primo giorno di ogni mese, all'ora di sistema corrente.
  - Manualmente
    L'attività non viene eseguita automaticamente. È possibile avviarla solo manualmente.
    
    Per impostazione predefinita, questa opzione è selezionata.
  - Ogni mese nei giorni specificati delle settimane selezionate
    L'attività viene eseguita periodicamente, nei giorni specificati di ogni mese, all'ora specificata.
    
    Per impostazione predefinita, non sono selezionati giorni del mese. L'ora di inizio predefinita è le 18:00.
  - Durante un'epidemia di virus
    L'attività viene eseguita dopo che si verifica un evento Epidemia di virus. Selezionare i tipi di applicazione da cui dovranno essere monitorate le epidemie di virus. Sono disponibili i seguenti tipi di applicazione:
    - Anti-virus per workstation e file server
    - Anti-virus per la difesa perimetrale
    - Anti-virus per i sistemi di posta
    Per impostazione predefinita, sono selezionati tutti i tipi di applicazione.
    
    Può essere utile eseguire differenti attività a seconda del tipo di applicazione di protezione che segnala un'epidemia di virus. In questo caso, rimuovere la selezione dei tipi di applicazione non necessari.
  - Al completamento di un'altra attività
    L'attività corrente viene avviata dopo il completamento di un'altra attività. È possibile selezionare la modalità di completamento dell'attività precedente (correttamente o con errori) per l'attivazione dell'avvio dell'attività corrente. È ad esempio possibile eseguire l'attività Gestisci dispositivi con l'opzione Accendi il dispositivo e, al termine, eseguire l'attività Scansione virus. Questo parametro funziona solo se entrambe le attività sono assegnate agli stessi dispositivi.
- Esegui attività non effettuate
  Questa opzione determina il comportamento di un'attività se un dispositivo client non è visibile nella rete al momento dell'avvio dell'attività.
  
  Se questa opzione è abilitata, il sistema tenta di avviare l'attività alla successiva esecuzione di un'applicazione Kaspersky in un dispositivo client. Se la pianificazione dell'attività è Manualmente, Una sola volta o Immediatamente, l'attività viene avviata non appena il dispositivo diventa visibile nella rete o subito dopo che il dispositivo viene incluso nell'ambito dell'attività.
  
  Se questa opzione è disabilitata, solo le attività pianificate vengono eseguite nei dispositivi client. Per i tipi di pianificazione Manualmente, Una sola volta e Immediatamente, le attività vengono eseguite solo nei dispositivi client visibili nella rete. È ad esempio possibile disabilitare questa opzione per un'attività con un notevole utilizzo di risorse che si desidera eseguire solo in orario non lavorativo.
  
  Per impostazione predefinita, questa opzione è disabilitata.
- Usa automaticamente il ritardo casuale per l'avvio delle attività
  Se questa opzione è abilitata, l'attività viene avviata nei dispositivi client in modo casuale all'interno di un intervallo di tempo specificato (avvio distribuito dell'attività). L'avvio distribuito dell'attività consente di evitare che Administration Server riceva numerose richieste simultanee da parte dei dispositivi client durante l'esecuzione di un'attività pianificata.
  
  Il periodo di avvio distribuito viene calcolato automaticamente durante la creazione di un'attività, in base al numero di dispositivi client a cui è assegnata l'attività. Successivamente, l'attività viene sempre eseguita all'ora di inizio calcolata. Tuttavia, quando si modificano le impostazioni dell'attività o l'attività viene avviata manualmente, il valore calcolato dell'ora di inizio dell'attività cambia.
  
  Se questa opzione è disabilitata, l'attività viene avviata nei dispositivi client in base alla pianificazione.
- Usa ritardo casuale per l'avvio delle attività con un intervallo di (min.)
  Se questa opzione è abilitata, l'attività viene avviata nei dispositivi client in modo casuale all'interno dell'intervallo di tempo specificato. L'avvio distribuito dell'attività consente di evitare che Administration Server riceva numerose richieste simultanee da parte dei dispositivi client durante l'esecuzione di un'attività pianificata.
  
  Se questa opzione è disabilitata, l'attività viene avviata nei dispositivi client in base alla pianificazione.
  
  Per impostazione predefinita, questa opzione è disabilitata. Il periodo di tempo predefinito è 1 minuto.
Nella pagina Definire il nome dell'attività della procedura guidata specificare il nome dell'attività che si intende creare. Il nome di un'attività non può superare i 100 caratteri e non può includere caratteri speciali ("*<>?\:|).
Nella pagina Completare la creazione dell'attività della procedura guidata fare clic sul pulsante Fine per chiudere la procedura guidata.
Se si desidera che l'attività venga avviata al termine della procedura guidata, selezionare la casella di controllo Esegui l'attività al termine della procedura guidata.

Al termine della procedura guidata, l'attività Installa aggiornamenti richiesti e correggi vulnerabilità verrà visualizzata nella cartella Attività.

È possibile abilitare l’installazione automatica dei componenti di sistema (prerequisiti) prima dell’installazione di un aggiornamento nelle proprietà dell’attività Installa aggiornamenti richiesti e correggi vulnerabilità. Quando si abilita questa opzione, tutti i componenti di sistema vengono installati prima dell'aggiornamento. Nelle proprietà dell'aggiornamento è disponibile un elenco dei componenti necessari.

Nelle proprietà dell'attività Installa aggiornamenti richiesti e correggi vulnerabilità, è possibile consentire l'installazione di aggiornamenti che eseguono l'upgrade a una nuova versione dell'applicazione.

Se le impostazioni dell'attività specificano regole per l'installazione di aggiornamenti di terze parti, Administration Server scarica tutti gli aggiornamenti appropriati dai siti Web dei relativi produttori. Gli aggiornamenti vengono salvati nell'archivio di Administration Server e quindi sono distribuiti e installati nei dispositivi a cui sono applicabili.

Se le impostazioni dell'attività specificano regole per l'installazione di aggiornamenti Microsoft e Administration Server opera come server WSUS, Administration Server scarica tutti gli aggiornamenti appropriati nell'archivio e quindi li distribuisce ai dispositivi gestiti. Se la rete non utilizza un server WSUS, ogni dispositivo client scarica gli aggiornamenti Microsoft da server esterni in modo indipendente.

Per installare uno specifico aggiornamento e quelli analoghi:

Nella cartella Avanzate → Gestione applicazioni della struttura della console selezionare la sottocartella Aggiornamenti software.
Nell'area di lavoro selezionare l'aggiornamento che si desidera installare.
Fare clic sul pulsante Esegui Installazione guidata aggiornamenti.
Verrà avviata l'Installazione guidata aggiornamenti.

Le funzionalità dell'Installazione guidata aggiornamenti sono disponibili solo con la licenza Vulnerability e patch management.

Seguire le istruzioni della procedura guidata.
Nella pagina Cerca attività di installazione degli aggiornamenti esistenti specificare le seguenti impostazioni:
- Cerca attività per l'installazione dell'aggiornamento
  Se questa opzione è abilitata, l'Installazione guidata aggiornamenti cerca le attività esistenti per l'installazione dell'aggiornamento selezionato.
  
  Se questa opzione è disabilitata o se la ricerca non recupera attività applicabili, l'Installazione guidata aggiornamenti richiede di creare una regola o un'attività per l'installazione dell'aggiornamento.
  
  Per impostazione predefinita, questa opzione è abilitata.
- Approva installazione dell'aggiornamento
  L'aggiornamento selezionato verrà approvato per l'installazione. Abilitare questa opzione se alcune delle regole applicate per l'installazione degli aggiornamenti consentono solo l'installazione degli aggiornamenti approvati.
  
  Per impostazione predefinita, questa opzione è disabilitata.
Se si sceglie di eseguire la ricerca delle attività esistenti di installazione degli aggiornamenti e la ricerca recupera alcune attività, è possibile visualizzare le proprietà di queste attività o avviarle manualmente. Non sono necessarie ulteriori operazioni.
Altrimenti, fare clic sul pulsante Nuova attività di installazione degli aggiornamenti.
Selezionare il tipo di regola di installazione da aggiungere alla nuova attività e fare clic sul pulsante Fine.
Scegliere l'operazione da eseguire quando viene richiesto se installare tutti gli aggiornamenti precedenti dell'applicazione. Fare clic su Sì se si desidera installare in modo incrementale le versioni successive dell'applicazione, se questo è necessario per l'installazione degli aggiornamenti selezionati. Fare clic su No se si desidera eseguire l'aggiornamento delle applicazioni in modo diretto, senza installare le versioni successive. Se l'installazione degli aggiornamenti selezionati non è possibile senza installare le versioni precedenti delle applicazioni, l'aggiornamento dell'applicazione non riesce.
Viene avviata la Creazione guidata attività di installazione aggiornamenti e correzione vulnerabilità. Seguire le istruzioni della procedura guidata.
Nella pagina Selezione dell'opzione per il riavvio del sistema operativo della procedura guidata selezionare l'azione da eseguire quando il sistema operativo nei dispositivi client deve essere riavviato dopo l'operazione:
- Non riavviare il dispositivo
  I dispositivi client non vengono riavviati automaticamente al termine dell'operazione. Per completare l'operazione, è necessario riavviare un dispositivo (ad esempio, manualmente o tramite l'attività di gestione di un dispositivo). Le informazioni sul riavvio richiesto vengono salvate nei risultati dell'attività e nello stato del dispositivo. Questa opzione è adatta per le attività nei server e negli altri dispositivi per cui il funzionamento continuo è di importanza critica.
- Riavvia il dispositivo
  I dispositivi client vengono sempre riavviati automaticamente quando è richiesto un riavvio per il completamento dell'operazione. Questa opzione è utile per le attività nei dispositivi per cui sono previste pause periodiche durante la relativa esecuzione (chiusura o riavvio).
- Richiedi l'intervento dell'utente
  Sarà visualizzata una notifica del riavvio sullo schermo del dispositivo client e verrà richiesto all'utente di riavviare il dispositivo manualmente. Per questa opzione è possibile definire alcune impostazioni avanzate: il testo del messaggio per l'utente, la frequenza di visualizzazione del messaggio e l'intervallo di tempo al termine del quale sarà forzato il riavvio (senza la conferma dell'utente). Questa opzione è adatta per le workstation in cui gli utenti devono essere in grado di selezionare l'orario che preferiscono per un riavvio del sistema.
  
  Per impostazione predefinita, questa opzione è selezionata.
  - Ripeti la richiesta ogni (min.)
    Se questa opzione è abilitata, l'applicazione richiede all'utente di riavviare il sistema operativo con la frequenza specificata.
    
    Per impostazione predefinita, questa opzione è abilitata. L'intervallo predefinito è di 5 minuti. I valori disponibili sono compresi tra 1 e 1440 minuti.
    
    Se questa opzione è disabilitata, la richiesta viene visualizzata una sola volta.
  - Riavvia dopo (min.)
    Dopo la richiesta all'utente, l'applicazione forza il riavvio del sistema operativo al termine dell'intervallo di tempo specificato.
    
    Per impostazione predefinita, questa opzione è abilitata. Il ritardo predefinito è di 30 minuti. I valori disponibili sono compresi tra 1 e 1440 minuti.
- Forza chiusura delle applicazioni nelle sessioni bloccate
  L'esecuzione di applicazioni potrebbe impedire il riavvio del dispositivo client. Ad esempio, se un documento viene modificato in un'applicazione per l'elaborazione di testo e non viene salvato, l'applicazione non consente il riavvio del dispositivo.
  
  Se questa opzione è abilitata, viene forzata la chiusura di tali applicazioni in un dispositivo bloccato prima del riavvio del dispositivo. Come risultato, gli utenti possono perdere le modifiche non salvate.
  
  Se questa opzione è disabilitata, un dispositivo bloccato non viene riavviato. Lo stato dell'attività nel dispositivo indica che è necessario un riavvio del dispositivo. Gli utenti devono chiudere manualmente tutte le applicazioni in esecuzione nei dispositivi bloccati e riavviare questi dispositivi.
  
  Per impostazione predefinita, questa opzione è disabilitata.
Nella pagina Selezionare i dispositivi a cui assegnare l'attività della procedura guidata selezionare una delle seguenti opzioni:
- Selezionare i dispositivi della rete rilevati da Administration Server
  L'attività viene assegnata a dispositivi specifici. I dispositivi specifici possono includere i dispositivi nei gruppi di amministrazione, nonché i dispositivi non assegnati.
  
  Questa opzione può ad esempio essere utilizzata in un'attività per l'installazione di Network Agent nei dispositivi non assegnati.
- Specificare gli indirizzi dei dispositivi manualmente o importare gli indirizzi da un elenco
  È possibile specificare nomi NetBIOS, nomi DNS, indirizzi IP e subnet IP dei dispositivi a cui si desidera assegnare l'attività.
  
  Questa opzione può essere utilizzata per eseguire un'attività per una subnet specifica. È ad esempio possibile installare una determinata applicazione nei dispositivi degli addetti alla contabilità o eseguire la scansione dei dispositivi in una subnet potenzialmente infetta.
- Assegnare un'attività a una selezione dispositivi
  L'attività viene assegnata ai dispositivi inclusi in una selezione dispositivi. È possibile specificare una delle selezioni esistenti.
  
  Questa opzione può ad esempio essere utilizzata per eseguire un'attività nei dispositivi con una versione specifica del sistema operativo.
- Assegnare un'attività a un gruppo di amministrazione
  L'attività viene assegnata ai dispositivi inclusi in un gruppo di amministrazione. È possibile specificare uno dei gruppi esistenti o crearne uno nuovo.
  
  Questa opzione può ad esempio essere utilizzata per eseguire un'attività di invio di un messaggio agli utenti se il messaggio è specifico per i dispositivi inclusi in un determinato gruppo di amministrazione.
  
  Se un'attività è assegnata a un gruppo di amministrazione, la scheda Sicurezza non viene visualizzata nella finestra delle proprietà dell'attività perché le attività di gruppo sono soggette alle impostazioni di protezione dei gruppi ai quali si applicano.
Nella pagina Configurare la pianificazione delle attività della procedura guidata è possibile creare una pianificazione per l'avvio dell'attività. Se necessario, specificare le seguenti impostazioni:
- Avvio pianificato:
  Selezionare la pianificazione per l'esecuzione dell'attività e configurare la pianificazione selezionata.
  - Ogni N ore
    L'attività viene eseguita periodicamente, con l'intervallo specificato in ore, a partire dalla data e dall'ora specificate.
    
    Per impostazione predefinita, l'attività viene eseguita ogni sei ore, a partire dalla data e dall'ora di sistema correnti.
  - Ogni N giorni
    L'attività viene eseguita periodicamente, con l'intervallo specificato in giorni. È inoltre possibile specificare data e ora della prima esecuzione dell'attività. Queste opzioni aggiuntive diventano disponibili se sono supportate dall'applicazione per cui viene creata l'attività.
    
    Per impostazione predefinita, l'attività viene eseguita ogni giorno, a partire dalla data e dall'ora di sistema correnti.
  - Ogni N settimane
    L'attività viene eseguita periodicamente, con l'intervallo specificato in settimane, nel giorno della settimana specificato e all'ora specificata.
    
    Per impostazione predefinita, l'attività viene eseguita ogni lunedì all'ora di sistema corrente.
  - Ogni N minuti
    L'attività viene eseguita periodicamente, con l'intervallo specificato in minuti, a partire dall'ora specificata nel giorno in cui viene creata l'attività.
    
    Per impostazione predefinita, l'attività viene eseguita ogni 30 minuti, a partire dall'ora di sistema corrente.
  - Giornaliera (ora legale non supportata)
    L'attività viene eseguita periodicamente, con l'intervallo specificato in giorni. Questa pianificazione non supporta l'ora legale. In altre parole, se l'orologio del sistema si sposta avanti o indietro di un'ora all'inizio o alla fine dell'ora legale, l'ora di inizio effettiva dell'attività non cambia.
    
    Non è consigliabile utilizzare questa pianificazione. È necessaria per la compatibilità con le versioni precedenti di Kaspersky Security Center.
    
    Per impostazione predefinita, l'attività viene avviata ogni giorno all'ora di sistema corrente.
  - Settimanale
    L'attività viene eseguita ogni settimana nel giorno specificato e all'ora specificata.
  - In base ai giorni della settimana
    L'attività viene eseguita periodicamente, nei giorni specificati della settimana, all'ora specificata.
    
    Per impostazione predefinita, l'attività viene eseguita ogni venerdì alle 18:00:00.
  - Mensile
    L'attività viene eseguita periodicamente, nel giorno del mese specificato, all'ora specificata.
    
    Nei mesi che non comprendono il giorno specificato, l'attività viene eseguita l'ultimo giorno.
    
    Per impostazione predefinita, l'attività viene eseguita il primo giorno di ogni mese, all'ora di sistema corrente.
  - Manualmente (opzione selezionata per impostazione predefinita)
    L'attività non viene eseguita automaticamente. È possibile avviarla solo manualmente.
    
    Per impostazione predefinita, questa opzione è selezionata.
  - Ogni mese nei giorni specificati delle settimane selezionate
    L'attività viene eseguita periodicamente, nei giorni specificati di ogni mese, all'ora specificata.
    
    Per impostazione predefinita, non sono selezionati giorni del mese. L'ora di inizio predefinita è le 18:00.
  - Durante un'epidemia di virus
    L'attività viene eseguita dopo che si verifica un evento Epidemia di virus. Selezionare i tipi di applicazione da cui dovranno essere monitorate le epidemie di virus. Sono disponibili i seguenti tipi di applicazione:
    - Anti-virus per workstation e file server
    - Anti-virus per la difesa perimetrale
    - Anti-virus per i sistemi di posta
    Per impostazione predefinita, sono selezionati tutti i tipi di applicazione.
    
    Può essere utile eseguire differenti attività a seconda del tipo di applicazione di protezione che segnala un'epidemia di virus. In questo caso, rimuovere la selezione dei tipi di applicazione non necessari.
  - Al completamento di un'altra attività
    L'attività corrente viene avviata dopo il completamento di un'altra attività. È possibile selezionare la modalità di completamento dell'attività precedente (correttamente o con errori) per l'attivazione dell'avvio dell'attività corrente. È ad esempio possibile eseguire l'attività Gestisci dispositivi con l'opzione Accendi il dispositivo e, al termine, eseguire l'attività Scansione virus. Questo parametro funziona solo se entrambe le attività sono assegnate agli stessi dispositivi.
- Esegui attività non effettuate
  Questa opzione determina il comportamento di un'attività se un dispositivo client non è visibile nella rete al momento dell'avvio dell'attività.
  
  Se questa opzione è abilitata, il sistema tenta di avviare l'attività alla successiva esecuzione di un'applicazione Kaspersky in un dispositivo client. Se la pianificazione dell'attività è Manualmente, Una sola volta o Immediatamente, l'attività viene avviata non appena il dispositivo diventa visibile nella rete o subito dopo che il dispositivo viene incluso nell'ambito dell'attività.
  
  Se questa opzione è disabilitata, solo le attività pianificate vengono eseguite nei dispositivi client. Per i tipi di pianificazione Manualmente, Una sola volta e Immediatamente, le attività vengono eseguite solo nei dispositivi client visibili nella rete. È ad esempio possibile disabilitare questa opzione per un'attività con un notevole utilizzo di risorse che si desidera eseguire solo in orario non lavorativo.
  
  Per impostazione predefinita, questa opzione è disabilitata.
- Usa ritardo casuale per l'avvio delle attività con un intervallo di (min.)
  Se questa opzione è abilitata, l'attività viene avviata nei dispositivi client in modo casuale all'interno di un intervallo di tempo specificato (avvio distribuito dell'attività). L'avvio distribuito dell'attività consente di evitare che Administration Server riceva numerose richieste simultanee da parte dei dispositivi client durante l'esecuzione di un'attività pianificata.
  
  Il periodo di avvio distribuito viene calcolato automaticamente durante la creazione di un'attività, in base al numero di dispositivi client a cui è assegnata l'attività. Successivamente, l'attività viene sempre eseguita all'ora di inizio calcolata. Tuttavia, quando si modificano le impostazioni dell'attività o l'attività viene avviata manualmente, il valore calcolato dell'ora di inizio dell'attività cambia.
  
  Se questa opzione è disabilitata, l'attività viene avviata nei dispositivi client in base alla pianificazione.
- Usa ritardo casuale per l'avvio delle attività con un intervallo di (min.)
  Se questa opzione è abilitata, l'attività viene avviata nei dispositivi client in modo casuale all'interno dell'intervallo di tempo specificato. L'avvio distribuito dell'attività consente di evitare che Administration Server riceva numerose richieste simultanee da parte dei dispositivi client durante l'esecuzione di un'attività pianificata.
  
  Se questa opzione è disabilitata, l'attività viene avviata nei dispositivi client in base alla pianificazione.
  
  Per impostazione predefinita, questa opzione è disabilitata. Il periodo di tempo predefinito è 1 minuto.
Nella pagina Definire il nome dell'attività della procedura guidata specificare il nome dell'attività che si intende creare. Il nome di un'attività non può superare i 100 caratteri e non può includere caratteri speciali ("*<>?\:|).
Nella pagina Completare la creazione dell'attività della procedura guidata fare clic sul pulsante Fine per chiudere la procedura guidata.
Se si desidera che l'attività venga avviata al termine della procedura guidata, selezionare la casella di controllo Esegui l'attività al termine della procedura guidata.

Al termine della procedura guidata, verrà creata l'attività Installa aggiornamenti richiesti e correggi vulnerabilità, che sarà visualizzata nella cartella Attività.

Oltre alle impostazioni specificate durante la creazione dell'attività, è possibile modificare altre proprietà di un'attività creata.

L'upgrade a una nuova versione dell'applicazione può causare un malfunzionamento delle applicazioni dipendenti nei dispositivi.

Installazione di un aggiornamento tramite l'aggiunta di una regola a un'attività di installazione esistente

Per installare un aggiornamento tramite l'aggiunta di una regola a un'attività di installazione esistente:

Nella cartella Avanzate → Gestione applicazioni della struttura della console selezionare la sottocartella Aggiornamenti software.
Nell'area di lavoro selezionare l'aggiornamento che si desidera installare.
Fare clic sul pulsante Esegui Installazione guidata aggiornamenti.
Verrà avviata l'Installazione guidata aggiornamenti.

Le funzionalità dell'Installazione guidata aggiornamenti sono disponibili solo con la licenza Vulnerability e patch management.

Seguire le istruzioni della procedura guidata.
Nella pagina Cerca attività di installazione degli aggiornamenti esistenti specificare le seguenti impostazioni:
- Cerca attività per l'installazione dell'aggiornamento
  Se questa opzione è abilitata, l'Installazione guidata aggiornamenti cerca le attività esistenti per l'installazione dell'aggiornamento selezionato.
  
  Se questa opzione è disabilitata o se la ricerca non recupera attività applicabili, l'Installazione guidata aggiornamenti richiede di creare una regola o un'attività per l'installazione dell'aggiornamento.
  
  Per impostazione predefinita, questa opzione è abilitata.
- Approva installazione dell'aggiornamento
  L'aggiornamento selezionato verrà approvato per l'installazione. Abilitare questa opzione se alcune delle regole applicate per l'installazione degli aggiornamenti consentono solo l'installazione degli aggiornamenti approvati.
  
  Per impostazione predefinita, questa opzione è disabilitata.
Se si sceglie di eseguire la ricerca delle attività esistenti di installazione degli aggiornamenti e la ricerca recupera alcune attività, è possibile visualizzare le proprietà di queste attività o avviarle manualmente. Non sono necessarie ulteriori operazioni.
In caso contrario, fare clic sul pulsante Aggiungi una regola di installazione degli aggiornamenti.
Selezionare l'attività a cui aggiungere una regola, quindi fare clic sul pulsante Aggiungi regola.
È inoltre possibile visualizzare le proprietà delle attività esistenti, avviarle manualmente o creare una nuova attività.
Selezionare il tipo di regola da aggiungere all'attività selezionata e fare clic sul pulsante Fine.
Scegliere l'operazione da eseguire quando viene richiesto se installare tutti gli aggiornamenti precedenti dell'applicazione. Fare clic su Sì se si desidera installare in modo incrementale le versioni successive dell'applicazione, se questo è necessario per l'installazione degli aggiornamenti selezionati. Fare clic su No se si desidera eseguire l'aggiornamento delle applicazioni in modo diretto, senza installare le versioni successive. Se l'installazione degli aggiornamenti selezionati non è possibile senza installare le versioni precedenti delle applicazioni, l'aggiornamento dell'applicazione non riesce.

Una nuova regola per l'installazione dell'aggiornamento viene aggiunta all'attività Installa aggiornamenti richiesti e correggi vulnerabilità esistente.

Configurazione di un'installazione di test degli aggiornamenti

Per configurare un'installazione di test degli aggiornamenti:

Nella struttura della console selezionare l'attività Installa aggiornamenti richiesti e correggi vulnerabilità nella cartella Dispositivi gestiti, nella scheda Attività.
Dal menu di scelta rapida dell'attività selezionare Proprietà.
Verrà visualizzata la finestra delle proprietà dell'attività Installa aggiornamenti richiesti e correggi vulnerabilità.
Nella finestra delle proprietà dell'attività, nella sezione Installazione di test, selezionare una delle opzioni disponibili per l'installazione di test:
- Non eseguire scansione. Selezionare questa opzione se non si desidera eseguire un'installazione di test degli aggiornamenti.
- Esegui scansione nei dispositivi selezionati. Selezionare questa opzione se si desidera testare l'installazione degli aggiornamenti nei dispositivi selezionati. Fare clic sul pulsante Aggiungi e selezionare i dispositivi in cui si desidera eseguire l'installazione di test degli aggiornamenti.
- Esegui scansione nei dispositivi del gruppo specificato. Selezionare questa opzione se si desidera testare l'installazione degli aggiornamenti in un gruppo di dispositivi. Nel campo Specificare un gruppo di test specificare un gruppo di dispositivi in cui si desidera eseguire un'installazione di test.
- Esegui scansione nella percentuale di dispositivi specificata. Selezionare questa opzione se si desidera testare l'installazione solo su una parte dei dispositivi di destinazione. Nel campo Percentuale di dispositivi di test su tutti i dispositivi di destinazione specificare la percentuale dei dispositivi in cui si desidera eseguire un'installazione di test degli aggiornamenti.
Dopo avere selezionato qualsiasi opzione tranne Non eseguire scansione, nel campo Tempo disponibile per decidere se continuare l'installazione, in ore specificare il numero di ore tra l'installazione di test degli aggiornamenti e l'avvio dell'installazione degli aggiornamenti in tutti i dispositivi.

Vedere anche:

Inizio pagina

[Topic 61495]

Configurazione degli aggiornamenti di Windows in un criterio di Network Agent

Per configurare gli aggiornamenti di Windows in un criterio di Network Agent:

Nella struttura della console selezionare Dispositivi gestiti.
Nell'area di lavoro selezionare la scheda Criteri.
Selezionare un criterio di Network Agent.
Nel menu di scelta rapida del criterio selezionare Proprietà.
Verrà visualizzata la finestra delle proprietà del criterio di Network Agent.
Nel riquadro Sezioni selezionare Vulnerabilità e aggiornamenti software.
Selezionare l'opzione Usa Administration Server come server WSUS server per scaricare gli aggiornamenti di Windows in Administration Server e quindi distribuirli nei dispositivi client tramite Network Agent.
Se questa opzione non è selezionata, gli aggiornamenti di Windows vengono scaricati in Administration Server. In questo caso, i dispositivi client ricevono gli aggiornamenti di Windows direttamente dai server Microsoft.
Selezionare il set di aggiornamenti che gli utenti possono installare manualmente nei propri dispositivi tramite Windows Update.
Nei dispositivi che eseguono Windows 10, se Windows Update ha già rilevato aggiornamenti per il dispositivo, la nuova opzione selezionata in Consentire agli utenti di gestire l'installazione degli aggiornamenti Windows Update verrà applicata solo dopo l'installazione degli aggiornamenti rilevati.

Selezionare un elemento nell'elenco a discesa:
- Consentire agli utenti di installare tutti gli aggiornamenti Windows Update applicabili
  Gli utenti possono installare nei propri dispositivi tutti gli aggiornamenti di Microsoft Windows Update applicabili.
  
  Selezionare questa opzione se non si desidera interferire nell'installazione degli aggiornamenti.
  
  Quando l'utente installa manualmente gli aggiornamenti di Microsoft Windows Update, gli aggiornamenti possono essere scaricati dai server Microsoft anziché da Administration Server. Questo è possibile se Administration Server non ha ancora scaricato gli aggiornamenti. Il download degli aggiornamenti dai server Microsoft comporta un traffico aggiuntivo.
- Consentire agli utenti di installare solo gli aggiornamenti Windows Update approvati
  Gli utenti possono installare nei propri dispositivi tutti gli aggiornamenti di Microsoft Windows Update applicabili e approvati dall'amministratore.
  
  Ad esempio, potrebbe essere utile controllare prima l'installazione degli aggiornamenti in un ambiente di test e verificare che non interferiscano con l'utilizzo dei dispositivi e solo successivamente consentire l'installazione degli aggiornamenti approvati nei dispositivi client.
  
  Quando l'utente installa manualmente gli aggiornamenti di Microsoft Windows Update, gli aggiornamenti possono essere scaricati dai server Microsoft anziché da Administration Server. Questo è possibile se Administration Server non ha ancora scaricato gli aggiornamenti. Il download degli aggiornamenti dai server Microsoft comporta un traffico aggiuntivo.
- Non consentire agli utenti di installare gli aggiornamenti Windows Update
  Gli utenti non possono installare manualmente gli aggiornamenti di Microsoft Windows Update nei propri dispositivi. Tutti gli aggiornamenti applicabili vengono installati in base alla configurazione specificata dall'amministratore.
  
  Selezionare questa opzione se si desidera gestire l'installazione degli aggiornamenti in modo centralizzato.
  
  È ad esempio possibile ottimizzare la pianificazione degli aggiornamenti in modo da evitare di sovraccaricare la rete. È possibile pianificare le installazioni degli aggiornamenti in orario non lavorativo, in modo che non interferiscano con la produttività degli utenti.
Selezionare la modalità di ricerca degli aggiornamenti di Windows:
- Attiva
  Se questa opzione è selezionata, Administration Server con il supporto di Network Agent avvia una richiesta da un Windows Update Agent nel dispositivo client alla sorgente degli aggiornamenti: server Windows Update o WSUS. Successivamente, Network Agent trasmette le informazioni ricevute da Windows Update Agent ad Administration Server.
  
  L'opzione è valida solo se l'opzione Stabilisci connessione al server degli aggiornamenti per aggiornare i dati dell'attività Trova vulnerabilità e aggiornamenti richiesti è selezionata.
  
  Per impostazione predefinita, questa opzione è selezionata.
- Passiva
  Se questa opzione è selezionata, Network Agent trasmette periodicamente ad Administration Server le informazioni sugli aggiornamenti recuperati durante l'ultima sincronizzazione di Windows Update Agent con la sorgente degli aggiornamenti. Se non viene eseguita la sincronizzazione di Windows Update Agent con una sorgente degli aggiornamenti, le informazioni sugli aggiornamenti in Administration Server diventano obsolete.
  
  Selezionare questa opzione se si desidera ottenere gli aggiornamenti dalla cache della memoria della sorgente degli aggiornamenti.
- Disabilitata
  Se questa opzione è selezionata, Administration Server non richiede informazioni sugli aggiornamenti.
  
  Selezionare questa opzione se, ad esempio, si desidera prima testare gli aggiornamenti nel dispositivo locale.
Selezionare l'opzione Esegui la scansione dei file eseguibili per rilevarne le vulnerabilità al momento dell'esecuzione se si desidera sottoporre a scansione i file eseguibili alla ricerca di vulnerabilità durante la loro esecuzione.
Assicurarsi che la modifica sia bloccata per tutte le impostazioni modificate. In caso contrario, le modifiche non verranno applicate.
Fare clic su Applica.

Vedere anche:

Scenario: Individuazione e correzione delle vulnerabilità del software di terze parti

Inizio pagina

[Topic 52462]

Correzione delle vulnerabilità del software di terze parti

Questa sezione descrive le funzionalità di Kaspersky Security Center relative alla correzione delle vulnerabilità del software installato nei dispositivi gestiti.

In questa sezione

Informazioni sulla ricerca e la correzione delle vulnerabilità del software

Visualizzazione delle informazioni sulle vulnerabilità del software

Visualizzazione delle statistiche delle vulnerabilità nei dispositivi gestiti

Scansione delle applicazioni per rilevare la presenza di vulnerabilità

Correzione delle vulnerabilità delle applicazioni

Correzione delle vulnerabilità in una rete isolata

Ignorare le vulnerabilità del software

Selezione di correzioni utente per le vulnerabilità del software di terze parti

Regole per l'installazione dell'aggiornamento

Inizio pagina

[Topic 184124]

Scenario: Individuazione e correzione delle vulnerabilità del software di terze parti

Questa sezione fornisce uno scenario per individuare e correggere le vulnerabilità nei dispositivi gestiti che eseguono Windows. È possibile individuare e correggere le vulnerabilità del software nel sistema operativo e nel software di terze parti, incluso il software Microsoft.

Prerequisiti

Kaspersky Security Center viene distribuito nell'organizzazione.
Nell'organizzazione sono presenti dispositivi gestiti che eseguono Windows.
È necessaria una connessione Internet affinché Administration Server esegua le seguenti attività:
- Per creare un elenco di correzioni consigliate per le vulnerabilità del software Microsoft. L'elenco viene creato e aggiornato regolarmente dagli specialisti Kaspersky.
- Per correggere le vulnerabilità in software di terze parti diverso dal software Microsoft.

Passaggi

L'individuazione e la correzione delle vulnerabilità del software prevede diversi passaggi:

Ricerca delle vulnerabilità del software installato nei dispositivi gestiti
Per individuare le vulnerabilità del software installato nei dispositivi gestiti, eseguire l'attività Trova vulnerabilità e aggiornamenti richiesti. Al termine di questa attività, Kaspersky Security Center riceve gli elenchi delle vulnerabilità rilevate e degli aggiornamenti richiesti per il software di terze parti installato nei dispositivi specificati nelle proprietà dell'attività.

L'attività Trova vulnerabilità e aggiornamenti richiesti viene creata automaticamente dall'Avvio rapido guidato di Kaspersky Security Center. Se la procedura guidata non è stata eseguita, avviarla ora o creare l'attività manualmente.

Istruzioni dettagliate:
- Administration Console: Scansione delle applicazioni per rilevare la presenza di vulnerabilità, Pianificazione dell'attività Trova vulnerabilità e aggiornamenti richiesti
- Kaspersky Security Center Web Console: Creazione dell'attività Trova vulnerabilità e aggiornamenti richiesti, Impostazioni dell'attività Trova vulnerabilità e aggiornamenti richiesti
Analisi dell'elenco delle vulnerabilità del software rilevate
Visualizzare l'elenco Vulnerabilità del software e decidere quali vulnerabilità devono essere corrette. Per visualizzare informazioni dettagliate su ciascuna vulnerabilità, fare clic sul nome della vulnerabilità nell'elenco. Per ogni vulnerabilità nell'elenco, è anche possibile visualizzare le statistiche sulla vulnerabilità nei dispositivi gestiti.

Istruzioni dettagliate:
- Administration Console: Visualizzazione delle informazioni sulle vulnerabilità del software, Visualizzazione delle statistiche delle vulnerabilità nei dispositivi gestiti
- Kaspersky Security Center Web Console: Visualizzazione delle informazioni sulle vulnerabilità del software, Visualizzazione delle statistiche delle vulnerabilità nei dispositivi gestiti
Configurazione della correzione delle vulnerabilità
Quando vengono rilevate le vulnerabilità del software, è possibile correggere le vulnerabilità del software nei dispositivi gestiti utilizzando l'attività Installa aggiornamenti richiesti e correggi vulnerabilità o l'attività Correggi vulnerabilità.

L'attività Installa aggiornamenti richiesti e correggi vulnerabilità viene utilizzata per aggiornare e correggere le vulnerabilità del software di terze parti, incluso il software Microsoft, installato nei dispositivi gestiti. Questa attività consente di installare più aggiornamenti e correggere più vulnerabilità in base a determinate regole. Questa attività può essere creata solo se si dispone della licenza per la funzionalità Vulnerability e patch management. Per correggere le vulnerabilità del software l'attività Installa aggiornamenti richiesti e correggi vulnerabilità utilizza gli aggiornamenti software consigliati.

L'attività Correggi vulnerabilità non richiede l'opzione di licenza per la funzionalità Vulnerability e patch management. Per utilizzare questa attività è necessario specificare manualmente le correzioni dell'utente per le vulnerabilità del software di terze parti elencato nelle impostazioni dell'attività. L'attività Correggi vulnerabilità utilizza le correzioni consigliate per il software Microsoft e le correzioni dell'utente per software di terze parti.

È possibile avviare la Correzione guidata vulnerabilità che crea automaticamente una di queste attività oppure è possibile creare una di queste attività manualmente.

Istruzioni dettagliate:
- Administration Console: Selezione di correzioni utente per le vulnerabilità del software di terze parti, Correzione delle vulnerabilità delle applicazioni
- Kaspersky Security Center Web Console: Selezione di correzioni utente per le vulnerabilità del software di terze parti, Correzione delle vulnerabilità del software di terze parti, Creazione dell'attività Installa aggiornamenti richiesti e correggi vulnerabilità
Pianificazione delle attività
Per assicurarsi che l'elenco delle vulnerabilità sia sempre aggiornato, pianificare l'attività Trova vulnerabilità e aggiornamenti richiesti affinché venga eseguita periodicamente in modo automatico. La frequenza media consigliata è una volta alla settimana.

Se è stata creata l'attività Installa aggiornamenti richiesti e correggi vulnerabilità, è possibile pianificarla in modo che venga eseguita con la stessa frequenza dell'attività Trova vulnerabilità e aggiornamenti richiesti o con una frequenza inferiore. Quando si pianifica l'attività Correggi vulnerabilità, tenere presente che è necessario selezionare le correzioni per il software Microsoft o specificare ogni volta le correzioni utente per il software di terze parti prima di avviare l'attività.

Quando si pianificano le attività, assicurarsi che al termine dell'attività Trova vulnerabilità e aggiornamenti richiesti venga avviata un'attività per correggere la vulnerabilità.
Ignorare le vulnerabilità del software (facoltativo)
Se lo si desidera, è possibile ignorare le vulnerabilità del software da correggere in tutti i dispositivi gestiti o solo nei dispositivi gestiti selezionati.

Istruzioni dettagliate:
- Administration Console: Ignorare le vulnerabilità del software
- Kaspersky Security Center Web Console: Ignorare le vulnerabilità del software
Esecuzione di un'attività di correzione della vulnerabilità
Avviare l'attività Installa aggiornamenti richiesti e correggi vulnerabilità o l'attività Correggi vulnerabilità. Al termine dell'attività, assicurarsi che questa abbia lo stato Completato nell'elenco attività.
Creare il rapporto sui risultati della correzione delle vulnerabilità del software (facoltativo)
Per visualizzare le statistiche dettagliate sulla correzione delle vulnerabilità, generare il Rapporto sulle vulnerabilità. Il rapporto visualizza informazioni sulle vulnerabilità del software che non sono state corrette. In tal modo è possibile avere un'idea sulla ricerca e la correzione delle vulnerabilità del software di terze parti, incluso il software Microsoft, presente nell'organizzazione.

Istruzioni dettagliate:
- Administration Console: Creazione e visualizzazione di un rapporto
- Kaspersky Security Center Web Console: Generazione e visualizzazione di un rapporto
Verifica della configurazione e individuazione e correzione delle vulnerabilità del software di terze parti
Assicurarsi di avere eseguito le seguenti operazioni:
- Avere ottenuto e rivisto l'elenco delle vulnerabilità del software nei dispositivi gestiti
- Avere eventualmente ignorato le vulnerabilità del software
- Avere configurato l'attività per correggere le vulnerabilità
- Avere pianificato le attività per individuare e correggere le vulnerabilità del software in modo che vengano avviate in sequenza
- Aver controllato che sia stata eseguita l'attività per correggere le vulnerabilità del software

Risultati

Se è stata creata e configurata l'attività Installa aggiornamenti richiesti e correggi vulnerabilità, le vulnerabilità vengono corrette automaticamente nei dispositivi gestiti. Quando viene eseguita, l'attività collega l'elenco degli aggiornamenti software disponibili alle regole specificate nelle impostazioni dell'attività. Tutti gli aggiornamenti software che soddisfano i criteri nelle regole verranno scaricati nell'archivio di Administration Server e verranno installati per correggere le vulnerabilità del software.

Se è stata creata l'attività Correggi vulnerabilità, vengono corrette solo le vulnerabilità del software nel software Microsoft.

Vedere anche:

Informazioni sulle applicazioni di terze parti

Inizio pagina

[Topic 183975]

Informazioni sulla ricerca e la correzione delle vulnerabilità del software

Kaspersky Security Center rileva e corregge le

vulnerabilità

del software nei dispositivi gestiti che eseguono i sistemi operativi delle famiglie Microsoft Windows. Le vulnerabilità vengono rilevate nel sistema operativo e nel software di terze parti, incluso il software Microsoft.

Individuazione delle vulnerabilità del software

Per individuare le vulnerabilità del software, Kaspersky Security Center utilizza le caratteristiche del database delle vulnerabilità note. Questo database viene creato dagli specialisti di Kaspersky. Contiene informazioni sulle vulnerabilità, come la descrizione della vulnerabilità, la data di rilevamento della vulnerabilità, il livello di criticità della vulnerabilità. Per informazioni dettagliate sulle vulnerabilità del software, visitare il sito Web di Kaspersky.

Kaspersky Security Center utilizza l'attività Trova vulnerabilità e aggiornamenti richiesti per rilevare le vulnerabilità del software.

In alcuni casi le vulnerabilità rilevate in un sistema operativo Microsoft Windows possono essere corrette utilizzando uno dei seguenti metodi:

Installazione di un aggiornamento per il sistema operativo.
Aggiornamento del sistema operativo a una versione più recente (ad esempio da Windows 10 a Windows 11).

In questo scenario KSC mostra due voci per la stessa vulnerabilità.

Correzione delle vulnerabilità del software

Per correggere le vulnerabilità del software Kaspersky Security Center utilizza gli aggiornamenti software rilasciati dai relativi fornitori. I metadati degli aggiornamenti software vengono scaricati nell'archivio di Administration Server a seguito dell'esecuzione delle seguenti attività:

Scarica aggiornamenti nell'archivio dell'Administration Server. Questa attività ha lo scopo di scaricare i metadati degli aggiornamenti per software Kaspersky e di terze parti. Questa attività viene creata automaticamente dall'Avvio rapido guidato di Kaspersky Security Center. È possibile creare manualmente l'attività Scarica aggiornamenti nell'archivio dell'Administration Server.
Esegui sincronizzazione di Windows Update. Questa attività ha lo scopo di scaricare i metadati degli aggiornamenti per il software Microsoft.

Gli aggiornamenti software per correggere le vulnerabilità possono essere rappresentati come patch o pacchetti o di distribuzione completi. Gli aggiornamenti software che correggono le vulnerabilità del software vengono denominati correzioni. Le correzioni consigliate sono quelle consigliate per l'installazione dagli specialisti di Kaspersky. Le correzioni dell'utente sono quelle specificate manualmente per l'installazione da parte degli utenti. Per installare una correzione dell'utente, è necessario creare un pacchetto di installazione contenente questa correzione.

Se si dispone della licenza di Kaspersky Security Center con la funzionalità Vulnerability e patch management, per correggere le vulnerabilità del software è possibile utilizzare l'attività Installa aggiornamenti richiesti e correggi vulnerabilità. Questa attività corregge automaticamente più vulnerabilità installando le correzioni consigliate. Per questa attività è possibile configurare manualmente determinate regole per correggere più vulnerabilità.

Se non si dispone della licenza di Kaspersky Security Center con la funzionalità Vulnerability e patch management, per correggere le vulnerabilità del software è possibile utilizzare l'attività Correggi vulnerabilità. Tramite questa attività è possibile correggere le vulnerabilità installando le correzioni consigliate per il software Microsoft e le correzioni dell'utente per altri software di terze parti.

Per correggere alcune vulnerabilità del software, è necessario accettare il Contratto di licenza con l'utente finale (EULA) per l'installazione del software, se è richiesta l'accettazione del Contratto di licenza con l'utente finale. Se non si accetta il Contratto di licenza con l'utente finale, la vulnerabilità del software non viene corretta.

Vedere anche:

Scenario: Individuazione e correzione delle vulnerabilità del software di terze parti

Inizio pagina

[Topic 61501]

Visualizzazione delle informazioni sulle vulnerabilità del software

Per visualizzare un elenco delle vulnerabilità rilevate nei dispositivi client:

Nella cartella Avanzate → Gestione applicazioni della struttura della console selezionare la sottocartella Vulnerabilità del software.

La pagina visualizza un elenco delle vulnerabilità nelle applicazioni rilevate nei dispositivi gestiti.

Per ottenere informazioni su una vulnerabilità selezionata:

Selezionare Proprietà dal menu di scelta rapida della vulnerabilità.

Verrà visualizzata la finestra delle proprietà della vulnerabilità, in cui sono visualizzate le seguenti informazioni:

Applicazione in cui è stata rilevata la vulnerabilità.
Elenco di dispositivi in cui è stata rilevata la vulnerabilità.
Informazioni sull'applicazione o meno di una correzione per la vulnerabilità.

Per visualizzare il rapporto su tutte le vulnerabilità rilevate:

Nella cartella Vulnerabilità del software fare clic sul collegamento Visualizza rapporto sulle vulnerabilità.

Verrà generato un rapporto sulle vulnerabilità nelle applicazioni installate nei dispositivi. È possibile visualizzare questo rapporto nel nodo con il nome dell'Administration Server corrispondente, aprendo la scheda Rapporti.

Vedere anche:

Scenario: Individuazione e correzione delle vulnerabilità del software di terze parti

Inizio pagina

[Topic 191658]

Visualizzazione delle statistiche delle vulnerabilità nei dispositivi gestiti

È possibile visualizzare le statistiche per ogni vulnerabilità del software nei dispositivi gestiti. Le statistiche sono rappresentate sotto forma di diagramma. Il diagramma mostra il numero di dispositivi con i seguenti stati:

Ignorato in: <numero di dispositivi>. Questo stato viene assegnato se, nelle proprietà della vulnerabilità, è stata impostata manualmente l'opzione per ignorare la vulnerabilità.
Corretto in: <numero di dispositivi>. Questo stato viene assegnato se l'attività di correzione della vulnerabilità è stata completata.
Correzione pianificata in data: <numero di dispositivi>. Questo stato viene assegnato se è stata creata l'attività per correggere la vulnerabilità ma l'attività non è ancora stata eseguita.
Patch applicata in: <numero di dispositivi>. Questo stato viene assegnato se è stato selezionato manualmente un aggiornamento software per correggere la vulnerabilità ma questo software aggiornato non ha corretto la vulnerabilità.
È necessaria una correzione in: <numero di dispositivi>. Questo stato viene assegnato se la vulnerabilità è stata corretta solo in alcuni dispositivi gestiti e deve essere corretta in più dispositivi gestiti.

Per visualizzare le statistiche di una vulnerabilità nei dispositivi gestiti:

Nella cartella Avanzate → Gestione applicazioni della struttura della console selezionare la sottocartella Vulnerabilità del software.
La pagina visualizza un elenco delle vulnerabilità nelle applicazioni rilevate nei dispositivi gestiti.
Selezionare una vulnerabilità per la quale si desidera visualizzare le statistiche.
Nella sezione relativa a un oggetto selezionato viene visualizzato un diagramma degli stati di vulnerabilità. Facendo clic su uno stato, viene aperto un elenco dei dispositivi in cui la vulnerabilità ha lo stato selezionato.

Vedere anche:

Scenario: Individuazione e correzione delle vulnerabilità del software di terze parti

Inizio pagina

[Topic 61502]

Scansione delle applicazioni per rilevare la presenza di vulnerabilità

Se è stata configurata l'applicazione tramite l'Avvio rapido guidato, l'attività Scansione vulnerabilità viene creata automaticamente. È possibile visualizzare l'attività nella cartella Dispositivi gestiti, nella scheda Attività.

Per creare un'attività per la scansione delle vulnerabilità delle applicazioni installate nei dispositivi client:

Nella struttura della console selezionare Avanzate → Gestione applicazioni, quindi selezionare la sottocartella Vulnerabilità del software.
Nell'area di lavoro selezionare Azioni aggiuntive → Configura scansione vulnerabilità.
Se esiste già un'attività per la scansione delle vulnerabilità, verrà visualizzata la scheda Attività della cartella Dispositivi gestiti, con l'attività esistente selezionata. In caso contrario, verrà avviata la Creazione guidata dell'attività Trova vulnerabilità e aggiornamenti richiesti. Seguire le istruzioni della procedura guidata.
Nella finestra Selezionare il tipo di attività selezionare Trova vulnerabilità e aggiornamenti richiesti.
Nella pagina Impostazioni della procedura guidata specificare le impostazioni dell'attività nel modo seguente:
- Cerca vulnerabilità e aggiornamenti elencati da Microsoft
  Durante la ricerca di vulnerabilità e aggiornamenti, Kaspersky Security Center utilizza le informazioni sugli aggiornamenti Microsoft applicabili della sorgente degli aggiornamenti di Microsoft e disponibili al momento.
  
  È ad esempio possibile disabilitare questa opzione se si dispone di diverse attività con differenti impostazioni per gli aggiornamenti di Microsoft e gli aggiornamenti delle applicazioni di terze parti.
  
  Per impostazione predefinita, questa opzione è abilitata.
  - Stabilisci connessione al server degli aggiornamenti per aggiornare i dati
    Windows Update Agent in un dispositivo gestito si connette alla sorgente degli aggiornamenti Microsoft. I seguenti server possono operare come sorgente degli aggiornamenti Microsoft:
    - Kaspersky Security Center Administration Server (vedere le impostazioni del criterio di Network Agent)
    - Windows Server con Microsoft Windows Server Update Services (WSUS) distribuito nella rete dell'organizzazione
    - Server degli aggiornamenti Microsoft
    Se questa opzione è abilitata, Windows Update Agent in un dispositivo gestito si connette alla sorgente degli aggiornamenti Microsoft per aggiornare le informazioni sugli aggiornamenti di Microsoft Windows applicabili.
    
    Se questa opzione è disabilitata, l'Agente di Windows Update in un dispositivo gestito utilizza le informazioni sugli aggiornamenti di Microsoft Windows applicabili ricevuti dalla sorgente degli aggiornamenti Microsoft in precedenza.
    
    La connessione alla sorgente degli aggiornamenti Microsoft può comportare un notevole utilizzo di risorse. Potrebbe essere necessario disabilitare questa opzione se è stata impostata una connessione standard a questa sorgente degli aggiornamenti in un'altra attività o nelle proprietà del criterio Network Agent, nella sezione Vulnerabilità e aggiornamenti software. Se non si desidera disabilitare questa opzione, per ridurre l'overload del Server è possibile configurare la pianificazione delle attività in modo da utilizzare il ritardo casuale per l'avvio delle attività entro 360 minuti.
    
    Per impostazione predefinita, questa opzione è abilitata.
    
    La combinazione delle seguenti opzioni delle impostazioni del criterio di Network Agent definisce il modo in cui si ottengono gli aggiornamenti:
    - In un dispositivo gestito, l'Agente di Windows Update si connette al server degli aggiornamenti per ottenere gli aggiornamenti solo se l'opzione Stabilisci connessione al server degli aggiornamenti per aggiornare i dati è abilitata nelle proprietà dell'attività Trova vulnerabilità e aggiornamenti richiesti e l'opzione Modalità di ricerca di Windows Update è impostata su Attiva nelle impostazioni del criterio di Network Agent.
    - Se non è necessario che Network Agent avvii una connessione alla sorgente degli aggiornamenti di Microsoft Windows e scarichi gli aggiornamenti durante l'esecuzione dell'attività Scansione vulnerabilità, è possibile impostare l'opzione Modalità di ricerca di Windows Update su Passiva, mentre l'opzione Stabilisci connessione al server degli aggiornamenti per aggiornare i dati deve rimanere abilitata. In questo modo, è possibile risparmiare risorse e utilizzare gli aggiornamenti di Windows ricevuti in precedenza per la scansione delle vulnerabilità. È possibile utilizzare la modalità passiva se si configura la ricezione degli aggiornamenti DI Microsoft Windows in modo diverso. Se la ricezione degli aggiornamenti di Microsoft Windows non è configurata in altro modo, non impostare l'opzione Modalità di ricerca di Windows Update su Passiva, poiché in questo caso non si riceveranno le informazioni sugli aggiornamenti, in alcun caso.
    - Indipendentemente dallo stato dell'opzione Stabilisci connessione al server degli aggiornamenti per aggiornare i dati (abilitata o disabilitata), se l'opzione Modalità di ricerca di Windows Update è impostata su Disabilitata, Kaspersky Security Center non richiede informazioni sugli aggiornamenti.
- Cerca vulnerabilità e aggiornamenti di terze parti elencati da Kaspersky
  Se questa opzione è abilitata, Kaspersky Security Center esegue la ricerca delle vulnerabilità e degli aggiornamenti richiesti per le applicazioni di terze parti (applicazioni fornite da produttori di software diversi da Kaspersky e Microsoft) nel Registro di sistema di Windows e nelle cartelle specificate con Specificare i percorsi per la ricerca avanzata delle applicazioni nel file system. L'elenco completo delle applicazioni di terze parti supportate è gestito da Kaspersky.
  
  Se questa opzione è disabilitata, Kaspersky Security Center non esegue la ricerca di vulnerabilità e aggiornamenti richiesti per le applicazioni di terze parti. È ad esempio possibile disabilitare questa opzione se si dispone di diverse attività con differenti impostazioni per gli aggiornamenti di Microsoft Windows e gli aggiornamenti delle applicazioni di terze parti.
  
  Per impostazione predefinita, questa opzione è abilitata.
- Specificare i percorsi per la ricerca avanzata delle applicazioni nel file system
  Cartelle in cui Kaspersky Security Center esegue la ricerca delle applicazioni di terze parti che richiedono la correzione delle vulnerabilità e l'installazione di aggiornamenti. È possibile utilizzare le variabili di sistema.
  
  Specificare le cartelle in cui sono installate le applicazioni. Per impostazione predefinita, l'elenco contiene le cartelle di sistema in cui viene installata la maggior parte delle applicazioni.
- Abilita diagnostica avanzata
  Se questa funzionalità è abilitata, Network Agent scrive le tracce anche se la traccia è disabilitata per Network Agent nell'utilità di diagnostica remota di Kaspersky Security Center. Le tracce vengono scritte alternativamente in due file. Le dimensioni totali di entrambi i file dipendono dal valore Dimensione massima (in MB) dei file di diagnostica avanzata. Quando entrambi i file sono completi, Network Agent avvia nuovamente la scrittura in tali file. I file con le tracce sono archiviati nella cartella %WINDIR%\Temp. Questi file sono accessibili nell'utilità di diagnostica remota. È possibile scaricarli o eliminarli tramite tale utilità.
  
  Se questa funzionalità è disabilitata, Network Agent scrive le tracce in base alle impostazioni nell'utilità di diagnostica remota di Kaspersky Security Center. Non viene eseguita la scrittura di ulteriori tracce.
  
  Durante la creazione di un'attività, non è necessario abilitare la diagnostica avanzata. È possibile utilizzare questa funzionalità in un secondo momento, ad esempio se l'esecuzione di un'attività non riesce in alcuni dispositivi e si desidera recuperare informazioni aggiuntive durante l'esecuzione di un'altra attività.
  
  Per impostazione predefinita, questa opzione è disabilitata.
- Dimensione massima (in MB) dei file di diagnostica avanzata
  Il valore predefinito è 100 MB e i valori disponibili sono compresi tra 1 MB e 2048 MB. Gli specialisti del Servizio di assistenza tecnica di Kaspersky potrebbero richiedere di modificare il valore predefinito quando le informazioni nei file di diagnostica avanzata inviati non sono sufficienti per risolvere il problema.
Nella pagina Configurare la pianificazione delle attività della procedura guidata è possibile creare una pianificazione per l'avvio dell'attività. Se necessario, specificare le seguenti impostazioni:
- Avvio pianificato:
  Selezionare la pianificazione per l'esecuzione dell'attività e configurare la pianificazione selezionata.
  - Ogni N ore
    L'attività viene eseguita periodicamente, con l'intervallo specificato in ore, a partire dalla data e dall'ora specificate.
    
    Per impostazione predefinita, l'attività viene eseguita ogni sei ore, a partire dalla data e dall'ora di sistema correnti.
  - Ogni N giorni
    L'attività viene eseguita periodicamente, con l'intervallo specificato in giorni. È inoltre possibile specificare data e ora della prima esecuzione dell'attività. Queste opzioni aggiuntive diventano disponibili se sono supportate dall'applicazione per cui viene creata l'attività.
    
    Per impostazione predefinita, l'attività viene eseguita ogni giorno, a partire dalla data e dall'ora di sistema correnti.
  - Ogni N settimane
    L'attività viene eseguita periodicamente, con l'intervallo specificato in settimane, nel giorno della settimana specificato e all'ora specificata.
    
    Per impostazione predefinita, l'attività viene eseguita ogni lunedì all'ora di sistema corrente.
  - Ogni N minuti
    L'attività viene eseguita periodicamente, con l'intervallo specificato in minuti, a partire dall'ora specificata nel giorno in cui viene creata l'attività.
    
    Per impostazione predefinita, l'attività viene eseguita ogni 30 minuti, a partire dall'ora di sistema corrente.
  - Giornaliera (ora legale non supportata)
    L'attività viene eseguita periodicamente, con l'intervallo specificato in giorni. Questa pianificazione non supporta l'ora legale. In altre parole, se l'orologio del sistema si sposta avanti o indietro di un'ora all'inizio o alla fine dell'ora legale, l'ora di inizio effettiva dell'attività non cambia.
    
    Non è consigliabile utilizzare questa pianificazione. È necessaria per la compatibilità con le versioni precedenti di Kaspersky Security Center.
    
    Per impostazione predefinita, l'attività viene avviata ogni giorno all'ora di sistema corrente.
  - Settimanale
    L'attività viene eseguita ogni settimana nel giorno specificato e all'ora specificata.
  - In base ai giorni della settimana
    L'attività viene eseguita periodicamente, nei giorni specificati della settimana, all'ora specificata.
    
    Per impostazione predefinita, l'attività viene eseguita ogni venerdì alle 18:00:00.
  - Mensile
    L'attività viene eseguita periodicamente, nel giorno del mese specificato, all'ora specificata.
    
    Nei mesi che non comprendono il giorno specificato, l'attività viene eseguita l'ultimo giorno.
    
    Per impostazione predefinita, l'attività viene eseguita il primo giorno di ogni mese, all'ora di sistema corrente.
  - Manualmente
    L'attività non viene eseguita automaticamente. È possibile avviarla solo manualmente.
    
    Per impostazione predefinita, questa opzione è selezionata.
  - Ogni mese nei giorni specificati delle settimane selezionate
    L'attività viene eseguita periodicamente, nei giorni specificati di ogni mese, all'ora specificata.
    
    Per impostazione predefinita, non sono selezionati giorni del mese. L'ora di inizio predefinita è le 18:00.
  - Quando vengono scaricati nuovi aggiornamenti nell'archivio
    L'attività viene eseguita dopo il download degli aggiornamenti nell'archivio. È ad esempio possibile utilizzare questa pianificazione per l'attività Trova vulnerabilità e aggiornamenti richiesti.
  - Durante un'epidemia di virus
    L'attività viene eseguita dopo che si verifica un evento Epidemia di virus. Selezionare i tipi di applicazione da cui dovranno essere monitorate le epidemie di virus. Sono disponibili i seguenti tipi di applicazione:
    - Anti-virus per workstation e file server
    - Anti-virus per la difesa perimetrale
    - Anti-virus per i sistemi di posta
    Per impostazione predefinita, sono selezionati tutti i tipi di applicazione.
    
    Può essere utile eseguire differenti attività a seconda del tipo di applicazione di protezione che segnala un'epidemia di virus. In questo caso, rimuovere la selezione dei tipi di applicazione non necessari.
  - Al completamento di un'altra attività
    L'attività corrente viene avviata dopo il completamento di un'altra attività. È possibile selezionare la modalità di completamento dell'attività precedente (correttamente o con errori) per l'attivazione dell'avvio dell'attività corrente. È ad esempio possibile eseguire l'attività Gestisci dispositivi con l'opzione Accendi il dispositivo e, al termine, eseguire l'attività Scansione virus. Questo parametro funziona solo se entrambe le attività sono assegnate agli stessi dispositivi.
- Esegui attività non effettuate
  Questa opzione determina il comportamento di un'attività se un dispositivo client non è visibile nella rete al momento dell'avvio dell'attività.
  
  Se questa opzione è abilitata, il sistema tenta di avviare l'attività alla successiva esecuzione di un'applicazione Kaspersky in un dispositivo client. Se la pianificazione dell'attività è Manualmente, Una sola volta o Immediatamente, l'attività viene avviata non appena il dispositivo diventa visibile nella rete o subito dopo che il dispositivo viene incluso nell'ambito dell'attività.
  
  Se questa opzione è disabilitata, solo le attività pianificate vengono eseguite nei dispositivi client. Per i tipi di pianificazione Manualmente, Una sola volta e Immediatamente, le attività vengono eseguite solo nei dispositivi client visibili nella rete. È ad esempio possibile disabilitare questa opzione per un'attività con un notevole utilizzo di risorse che si desidera eseguire solo in orario non lavorativo.
  
  Per impostazione predefinita, questa opzione è disabilitata.
- Usa automaticamente il ritardo casuale per l'avvio delle attività
  Se questa opzione è abilitata, l'attività viene avviata nei dispositivi client in modo casuale all'interno di un intervallo di tempo specificato (avvio distribuito dell'attività). L'avvio distribuito dell'attività consente di evitare che Administration Server riceva numerose richieste simultanee da parte dei dispositivi client durante l'esecuzione di un'attività pianificata.
  
  Il periodo di avvio distribuito viene calcolato automaticamente durante la creazione di un'attività, in base al numero di dispositivi client a cui è assegnata l'attività. Successivamente, l'attività viene sempre eseguita all'ora di inizio calcolata. Tuttavia, quando si modificano le impostazioni dell'attività o l'attività viene avviata manualmente, il valore calcolato dell'ora di inizio dell'attività cambia.
  
  Se questa opzione è disabilitata, l'attività viene avviata nei dispositivi client in base alla pianificazione.
- Usa ritardo casuale per l'avvio delle attività con un intervallo di (min.)
  Se questa opzione è abilitata, l'attività viene avviata nei dispositivi client in modo casuale all'interno dell'intervallo di tempo specificato. L'avvio distribuito dell'attività consente di evitare che Administration Server riceva numerose richieste simultanee da parte dei dispositivi client durante l'esecuzione di un'attività pianificata.
  
  Se questa opzione è disabilitata, l'attività viene avviata nei dispositivi client in base alla pianificazione.
  
  Per impostazione predefinita, questa opzione è disabilitata. Il periodo di tempo predefinito è 1 minuto.
Nella pagina Definire il nome dell'attività della procedura guidata specificare il nome dell'attività che si intende creare. Il nome di un'attività non può superare i 100 caratteri e non può includere caratteri speciali ("*<>?\:|).
Nella pagina Completare la creazione dell'attività della procedura guidata fare clic sul pulsante Fine per chiudere la procedura guidata.
Se si desidera che l'attività venga avviata al termine della procedura guidata, selezionare la casella di controllo Esegui l'attività al termine della procedura guidata.

Al termine della procedura guidata, l'attività Trova vulnerabilità e aggiornamenti richiesti verrà visualizzata nell'elenco delle attività della cartella Dispositivi gestiti, nella scheda Attività.

Oltre alle impostazioni specificate durante la creazione dell'attività, è possibile modificare altre proprietà di un'attività creata.

Dopo il completamento dell'attività Trova vulnerabilità e aggiornamenti richiesti, Administration Server visualizza un elenco delle vulnerabilità rilevate nelle applicazioni installate nel dispositivo. Vengono inoltre visualizzati tutti gli aggiornamenti software necessari per correggere le vulnerabilità rilevate.

Se si visualizza 0x80240033 "Errore 80240033 di Windows Update Agent ("Non è stato possibile scaricare le condizioni di licenza")", è possibile risolvere questo problema tramite il Registro di sistema di Windows.

Administration Server non visualizza l'elenco degli aggiornamenti software richiesti quando si eseguono due attività di seguito: l'attività Esegui sincronizzazione di Windows Update con l'opzione Scarica file di installazione rapidi disabilitata e l'attività Trova vulnerabilità e aggiornamenti richiesti. Per visualizzare l’elenco degli aggiornamenti software richiesti, è necessario eseguire nuovamente l’attività Trova vulnerabilità e aggiornamenti richiesti.

Network Agent riceve le informazioni su qualsiasi aggiornamento disponibile per Windows e altri prodotti Microsoft da Windows Update o da Administration Server, se Administration Server opera come WSUS. Le informazioni vengono trasmesse all'avvio delle applicazioni (se questo è consentito dal criterio) e a ogni esecuzione dell'attività Ricerca di vulnerabilità e aggiornamenti richiesti nei dispositivi client.

Vedere anche:

Scenario: Individuazione e correzione delle vulnerabilità del software di terze parti

Inizio pagina

[Topic 61947]

Correzione delle vulnerabilità delle applicazioni

Se è stato selezionato Cerca e installa gli aggiornamenti richiesti nella pagina Impostazioni per la gestione degli aggiornamenti dell'Avvio rapido guidato, verrà creata automaticamente l'attività Installa aggiornamenti richiesti e correggi vulnerabilità. L'attività viene visualizzata nell'area di lavoro della cartella Dispositivi gestiti, nella scheda Attività.

In caso contrario, è possibile eseguire qualsiasi delle seguenti operazioni:

Creare un'attività per la correzione delle vulnerabilità tramite l'installazione degli aggiornamenti disponibili.
Aggiungere una regola per la correzione di una vulnerabilità a un'attività esistente per la correzione delle vulnerabilità.

Correzione delle vulnerabilità tramite la creazione di un'attività di correzione delle vulnerabilità

È possibile eseguire qualsiasi delle seguenti operazioni:

Creare un'attività per la correzione di più vulnerabilità che corrispondono a determinate regole.
Selezionare una vulnerabilità e creare un'attività per la correzione di tale vulnerabilità e delle vulnerabilità analoghe.

Per correggere le vulnerabilità che corrispondono a determinate regole:

Nella struttura della console, selezionare Administration Server nei dispositivi per i quali si desidera correggere le vulnerabilità.
Nel menu Visualizza della finestra principale dell'applicazione selezionare Configura interfaccia.
Nella finestra visualizzata selezionare la casella di controllo Visualizza Vulnerability e patch management, quindi fare clic su OK.
Nella finestra con il messaggio dell'applicazione fare clic su OK.
Riavviare Administration Console, in modo che le modifiche abbiano effetto.
Nella struttura della console selezionare la cartella Dispositivi gestiti.
Nell'area di lavoro selezionare la scheda Attività.
Fare clic sul pulsante Crea attività per eseguire la Creazione guidata nuova attività. Seguire le istruzioni della procedura guidata.
Nella pagina Selezionare il tipo di attività della procedura guidata selezionare Installa aggiornamenti richiesti e correggi vulnerabilità.
Se l'attività non viene visualizzata, verificare se l'account dispone dei diritti di lettura, modifica ed esecuzione per l'area funzionale Gestione sistema: Vulnerability e patch management. Senza questi diritti di accesso, non è possibile creare e configurare l'attività Installa aggiornamenti richiesti e correggi vulnerabilità.
Nella pagina Impostazioni della procedura guidata specificare le impostazioni dell'attività nel modo seguente:
- Specificare le regole per l'installazione degli aggiornamenti
  Queste regole vengono applicate all'installazione degli aggiornamenti nei dispositivi client. Se non si specificano regole, l'attività non esegue alcuna operazione. Per informazioni sulle operazioni con le regole, vedere Regole per l'installazione dell'aggiornamento.
- Avvia l'installazione al riavvio o all'arresto del dispositivo
  Se questa opzione è abilitata, gli aggiornamenti vengono installati al riavvio o all'arresto del dispositivo. In caso contrario, gli aggiornamenti vengono installati in base a una pianificazione.
  
  Utilizzare questa opzione se l'installazione degli aggiornamenti può influire sulle prestazioni del dispositivo.
  
  Per impostazione predefinita, questa opzione è disabilitata.
- Installa i componenti generali del sistema richiesti
  Se questa opzione è abilitata, prima di installare un aggiornamento l'applicazione installa automaticamente tutti i componenti di sistema generali (prerequisiti) richiesti per installare l'aggiornamento. Questi prerequisiti possono ad esempio essere aggiornamenti del sistema operativo.
  
  Se questa opzione è disabilitata, può essere necessario installare manualmente i prerequisiti.
  
  Per impostazione predefinita, questa opzione è disabilitata.
- Consenti l'installazione di nuove versioni dell'applicazione durante gli aggiornamenti
  Se questa opzione è abilitata, gli aggiornamenti sono consentiti se implicano l'installazione di una nuova versione di un'applicazione software.
  
  Se questa opzione è disabilitata, l'upgrade del software non viene eseguito. È quindi possibile installare le nuove versioni del software manualmente o tramite un'altra attività. È ad esempio possibile utilizzare questa opzione se l'infrastruttura aziendale non è supportata da una nuova versione del software o se si desidera verificare un aggiornamento in un'infrastruttura di test.
  
  Per impostazione predefinita, questa opzione è abilitata.
  
  L'upgrade dell'applicazione può causare un malfunzionamento delle applicazioni dipendenti installate nei dispositivi client.
- Scarica aggiornamenti nel dispositivo senza installarli
  Se questa opzione è abilitata, l'applicazione scarica gli aggiornamenti nel dispositivo client ma non li installa automaticamente. È quindi possibile installare manualmente gli aggiornamenti scaricati.
  
  Gli aggiornamenti Microsoft vengono scaricati nell'archiviazione di sistema di Windows. Gli aggiornamenti delle applicazioni di terze parti (applicazioni fornite da produttori di software diversi da Kaspersky e Microsoft) vengono scaricati nella cartella specificata nel campo Cartella per il download degli aggiornamenti.
  
  Se questa opzione è disabilitata, gli aggiornamenti vengono installati automaticamente nel dispositivo.
  
  Per impostazione predefinita, questa opzione è disabilitata.
  - Cartella per il download degli aggiornamenti
    Questa cartella viene utilizzata per scaricare gli aggiornamenti delle applicazioni di terze parti (applicazioni fornite da produttori di software diversi da Kaspersky e Microsoft).
- Abilita diagnostica avanzata
  Se questa funzionalità è abilitata, Network Agent scrive le tracce anche se la traccia è disabilitata per Network Agent nell'utilità di diagnostica remota di Kaspersky Security Center. Le tracce vengono scritte alternativamente in due file. Le dimensioni totali di entrambi i file dipendono dal valore Dimensione massima (in MB) dei file di diagnostica avanzata. Quando entrambi i file sono completi, Network Agent avvia nuovamente la scrittura in tali file. I file con le tracce sono archiviati nella cartella %WINDIR%\Temp. Questi file sono accessibili nell'utilità di diagnostica remota. È possibile scaricarli o eliminarli tramite tale utilità.
  
  Se questa funzionalità è disabilitata, Network Agent scrive le tracce in base alle impostazioni nell'utilità di diagnostica remota di Kaspersky Security Center. Non viene eseguita la scrittura di ulteriori tracce.
  
  Durante la creazione di un'attività, non è necessario abilitare la diagnostica avanzata. È possibile utilizzare questa funzionalità in un secondo momento, ad esempio se l'esecuzione di un'attività non riesce in alcuni dispositivi e si desidera recuperare informazioni aggiuntive durante l'esecuzione di un'altra attività.
  
  Per impostazione predefinita, questa opzione è disabilitata.
  - Dimensione massima (in MB) dei file di diagnostica avanzata
    Il valore predefinito è 100 MB e i valori disponibili sono compresi tra 1 MB e 2048 MB. Gli specialisti del Servizio di assistenza tecnica di Kaspersky potrebbero richiedere di modificare il valore predefinito quando le informazioni nei file di diagnostica avanzata inviati non sono sufficienti per risolvere il problema.
Nella pagina Selezione dell'opzione per il riavvio del sistema operativo della procedura guidata selezionare l'azione da eseguire quando il sistema operativo nei dispositivi client deve essere riavviato dopo l'operazione:
- Non riavviare il dispositivo
  I dispositivi client non vengono riavviati automaticamente al termine dell'operazione. Per completare l'operazione, è necessario riavviare un dispositivo (ad esempio, manualmente o tramite l'attività di gestione di un dispositivo). Le informazioni sul riavvio richiesto vengono salvate nei risultati dell'attività e nello stato del dispositivo. Questa opzione è adatta per le attività nei server e negli altri dispositivi per cui il funzionamento continuo è di importanza critica.
- Riavvia il dispositivo
  I dispositivi client vengono sempre riavviati automaticamente quando è richiesto un riavvio per il completamento dell'operazione. Questa opzione è utile per le attività nei dispositivi per cui sono previste pause periodiche durante la relativa esecuzione (chiusura o riavvio).
- Richiedi l'intervento dell'utente
  Sarà visualizzata una notifica del riavvio sullo schermo del dispositivo client e verrà richiesto all'utente di riavviare il dispositivo manualmente. Per questa opzione è possibile definire alcune impostazioni avanzate: il testo del messaggio per l'utente, la frequenza di visualizzazione del messaggio e l'intervallo di tempo al termine del quale sarà forzato il riavvio (senza la conferma dell'utente). Questa opzione è adatta per le workstation in cui gli utenti devono essere in grado di selezionare l'orario che preferiscono per un riavvio del sistema.
  
  Per impostazione predefinita, questa opzione è selezionata.
  - Ripeti la richiesta ogni (min.)
    Se questa opzione è abilitata, l'applicazione richiede all'utente di riavviare il sistema operativo con la frequenza specificata.
    
    Per impostazione predefinita, questa opzione è abilitata. L'intervallo predefinito è di 5 minuti. I valori disponibili sono compresi tra 1 e 1440 minuti.
    
    Se questa opzione è disabilitata, la richiesta viene visualizzata una sola volta.
  - Riavvia dopo (min.)
    Dopo la richiesta all'utente, l'applicazione forza il riavvio del sistema operativo al termine dell'intervallo di tempo specificato.
    
    Per impostazione predefinita, questa opzione è abilitata. Il ritardo predefinito è di 30 minuti. I valori disponibili sono compresi tra 1 e 1440 minuti.
- Forza chiusura delle applicazioni nelle sessioni bloccate
  L'esecuzione di applicazioni potrebbe impedire il riavvio del dispositivo client. Ad esempio, se un documento viene modificato in un'applicazione per l'elaborazione di testo e non viene salvato, l'applicazione non consente il riavvio del dispositivo.
  
  Se questa opzione è abilitata, viene forzata la chiusura di tali applicazioni in un dispositivo bloccato prima del riavvio del dispositivo. Come risultato, gli utenti possono perdere le modifiche non salvate.
  
  Se questa opzione è disabilitata, un dispositivo bloccato non viene riavviato. Lo stato dell'attività nel dispositivo indica che è necessario un riavvio del dispositivo. Gli utenti devono chiudere manualmente tutte le applicazioni in esecuzione nei dispositivi bloccati e riavviare questi dispositivi.
  
  Per impostazione predefinita, questa opzione è disabilitata.
Nella pagina Configurare la pianificazione delle attività della procedura guidata è possibile creare una pianificazione per l'avvio dell'attività. Se necessario, specificare le seguenti impostazioni:
- Avvio pianificato:
  Selezionare la pianificazione per l'esecuzione dell'attività e configurare la pianificazione selezionata.
  - Ogni N ore
    L'attività viene eseguita periodicamente, con l'intervallo specificato in ore, a partire dalla data e dall'ora specificate.
    
    Per impostazione predefinita, l'attività viene eseguita ogni sei ore, a partire dalla data e dall'ora di sistema correnti.
  - Ogni N giorni
    L'attività viene eseguita periodicamente, con l'intervallo specificato in giorni. È inoltre possibile specificare data e ora della prima esecuzione dell'attività. Queste opzioni aggiuntive diventano disponibili se sono supportate dall'applicazione per cui viene creata l'attività.
    
    Per impostazione predefinita, l'attività viene eseguita ogni giorno, a partire dalla data e dall'ora di sistema correnti.
  - Ogni N settimane
    L'attività viene eseguita periodicamente, con l'intervallo specificato in settimane, nel giorno della settimana specificato e all'ora specificata.
    
    Per impostazione predefinita, l'attività viene eseguita ogni lunedì all'ora di sistema corrente.
  - Ogni N minuti
    L'attività viene eseguita periodicamente, con l'intervallo specificato in minuti, a partire dall'ora specificata nel giorno in cui viene creata l'attività.
    
    Per impostazione predefinita, l'attività viene eseguita ogni 30 minuti, a partire dall'ora di sistema corrente.
  - Giornaliera (ora legale non supportata)
    L'attività viene eseguita periodicamente, con l'intervallo specificato in giorni. Questa pianificazione non supporta l'ora legale. In altre parole, se l'orologio del sistema si sposta avanti o indietro di un'ora all'inizio o alla fine dell'ora legale, l'ora di inizio effettiva dell'attività non cambia.
    
    Non è consigliabile utilizzare questa pianificazione. È necessaria per la compatibilità con le versioni precedenti di Kaspersky Security Center.
    
    Per impostazione predefinita, l'attività viene avviata ogni giorno all'ora di sistema corrente.
  - Settimanale
    L'attività viene eseguita ogni settimana nel giorno specificato e all'ora specificata.
  - In base ai giorni della settimana
    L'attività viene eseguita periodicamente, nei giorni specificati della settimana, all'ora specificata.
    
    Per impostazione predefinita, l'attività viene eseguita ogni venerdì alle 18:00:00.
  - Mensile
    L'attività viene eseguita periodicamente, nel giorno del mese specificato, all'ora specificata.
    
    Nei mesi che non comprendono il giorno specificato, l'attività viene eseguita l'ultimo giorno.
    
    Per impostazione predefinita, l'attività viene eseguita il primo giorno di ogni mese, all'ora di sistema corrente.
  - Manualmente
    L'attività non viene eseguita automaticamente. È possibile avviarla solo manualmente.
    
    Per impostazione predefinita, questa opzione è selezionata.
  - Ogni mese nei giorni specificati delle settimane selezionate
    L'attività viene eseguita periodicamente, nei giorni specificati di ogni mese, all'ora specificata.
    
    Per impostazione predefinita, non sono selezionati giorni del mese. L'ora di inizio predefinita è le 18:00.
  - Durante un'epidemia di virus
    L'attività viene eseguita dopo che si verifica un evento Epidemia di virus. Selezionare i tipi di applicazione da cui dovranno essere monitorate le epidemie di virus. Sono disponibili i seguenti tipi di applicazione:
    - Anti-virus per workstation e file server
    - Anti-virus per la difesa perimetrale
    - Anti-virus per i sistemi di posta
    Per impostazione predefinita, sono selezionati tutti i tipi di applicazione.
    
    Può essere utile eseguire differenti attività a seconda del tipo di applicazione di protezione che segnala un'epidemia di virus. In questo caso, rimuovere la selezione dei tipi di applicazione non necessari.
  - Al completamento di un'altra attività
    L'attività corrente viene avviata dopo il completamento di un'altra attività. È possibile selezionare la modalità di completamento dell'attività precedente (correttamente o con errori) per l'attivazione dell'avvio dell'attività corrente. È ad esempio possibile eseguire l'attività Gestisci dispositivi con l'opzione Accendi il dispositivo e, al termine, eseguire l'attività Scansione virus. Questo parametro funziona solo se entrambe le attività sono assegnate agli stessi dispositivi.
- Esegui attività non effettuate
  Questa opzione determina il comportamento di un'attività se un dispositivo client non è visibile nella rete al momento dell'avvio dell'attività.
  
  Se questa opzione è abilitata, il sistema tenta di avviare l'attività alla successiva esecuzione di un'applicazione Kaspersky in un dispositivo client. Se la pianificazione dell'attività è Manualmente, Una sola volta o Immediatamente, l'attività viene avviata non appena il dispositivo diventa visibile nella rete o subito dopo che il dispositivo viene incluso nell'ambito dell'attività.
  
  Se questa opzione è disabilitata, solo le attività pianificate vengono eseguite nei dispositivi client. Per i tipi di pianificazione Manualmente, Una sola volta e Immediatamente, le attività vengono eseguite solo nei dispositivi client visibili nella rete. È ad esempio possibile disabilitare questa opzione per un'attività con un notevole utilizzo di risorse che si desidera eseguire solo in orario non lavorativo.
  
  Per impostazione predefinita, questa opzione è disabilitata.
- Usa automaticamente il ritardo casuale per l'avvio delle attività
  Se questa opzione è abilitata, l'attività viene avviata nei dispositivi client in modo casuale all'interno di un intervallo di tempo specificato (avvio distribuito dell'attività). L'avvio distribuito dell'attività consente di evitare che Administration Server riceva numerose richieste simultanee da parte dei dispositivi client durante l'esecuzione di un'attività pianificata.
  
  Il periodo di avvio distribuito viene calcolato automaticamente durante la creazione di un'attività, in base al numero di dispositivi client a cui è assegnata l'attività. Successivamente, l'attività viene sempre eseguita all'ora di inizio calcolata. Tuttavia, quando si modificano le impostazioni dell'attività o l'attività viene avviata manualmente, il valore calcolato dell'ora di inizio dell'attività cambia.
  
  Se questa opzione è disabilitata, l'attività viene avviata nei dispositivi client in base alla pianificazione.
- Usa ritardo casuale per l'avvio delle attività con un intervallo di (min.)
  Se questa opzione è abilitata, l'attività viene avviata nei dispositivi client in modo casuale all'interno dell'intervallo di tempo specificato. L'avvio distribuito dell'attività consente di evitare che Administration Server riceva numerose richieste simultanee da parte dei dispositivi client durante l'esecuzione di un'attività pianificata.
  
  Se questa opzione è disabilitata, l'attività viene avviata nei dispositivi client in base alla pianificazione.
  
  Per impostazione predefinita, questa opzione è disabilitata. Il periodo di tempo predefinito è 1 minuto.
Nella pagina Definire il nome dell'attività della procedura guidata specificare il nome dell'attività che si intende creare. Il nome di un'attività non può superare i 100 caratteri e non può includere caratteri speciali ("*<>?\:|).
Nella pagina Completare la creazione dell'attività della procedura guidata fare clic sul pulsante Fine per chiudere la procedura guidata.
Se si desidera che l'attività venga avviata al termine della procedura guidata, selezionare la casella di controllo Esegui l'attività al termine della procedura guidata.

Al termine della procedura guidata, verrà creata l'attività Installa aggiornamenti richiesti e correggi vulnerabilità, che sarà visualizzata nella cartella Attività.

Oltre alle impostazioni specificate durante la creazione dell'attività, è possibile modificare altre proprietà di un'attività creata.

Se i risultati dell'attività contengono l'errore 0x80240033 "Errore 80240033 di Windows Update Agent ("Non è stato possibile scaricare le condizioni di licenza")", è possibile risolvere questo problema tramite il Registro di sistema di Windows.

Per correggere una specifica vulnerabilità e quelle analoghe:

Nella cartella Avanzate → Gestione applicazioni della struttura della console selezionare la sottocartella Vulnerabilità del software.
Selezionare la vulnerabilità che si desidera correggere.
Fare clic sul pulsante Esegui Correzione guidata vulnerabilità.
Verrà avviata la Correzione guidata vulnerabilità.

Le funzionalità della Correzione guidata vulnerabilità sono disponibili solo con la licenza per Vulnerability e patch management.

Seguire le istruzioni della procedura guidata.
Nella finestra Cerca attività di correzione vulnerabilità esistenti specificare i seguenti parametri:
- Mostra solo le attività che consentono di correggere la vulnerabilità
  Se questa opzione è abilitata, la Correzione guidata vulnerabilità cerca le attività esistenti per la correzione della vulnerabilità selezionata.
  
  Se questa opzione è disabilitata o se la ricerca non recupera attività applicabili, la Correzione guidata vulnerabilità richiede di creare una regola o un'attività per la correzione della vulnerabilità selezionata.
  
  Per impostazione predefinita, questa opzione è abilitata.
- Approva aggiornamenti in grado di correggere la vulnerabilità
  Gli aggiornamenti che correggono una vulnerabilità verranno approvati per l'installazione. Abilitare questa opzione se alcune delle regole applicate per l'installazione degli aggiornamenti consentono solo l'installazione degli aggiornamenti approvati.
  
  Per impostazione predefinita, questa opzione è disabilitata.
Se si sceglie di eseguire la ricerca delle attività esistenti di correzione delle vulnerabilità e la ricerca recupera alcune attività, è possibile visualizzare le proprietà di queste attività o avviarle manualmente. Non sono necessarie ulteriori operazioni.
In caso contrario, fare clic sul pulsante Nuova attività di correzione vulnerabilità.
Selezionare il tipo di regola di correzione delle vulnerabilità da aggiungere alla nuova attività e fare clic sul pulsante Fine.
Scegliere l'operazione da eseguire quando viene richiesto se installare tutti gli aggiornamenti precedenti dell'applicazione. Fare clic su Sì se si desidera installare in modo incrementale le versioni successive dell'applicazione, se questo è necessario per l'installazione degli aggiornamenti selezionati. Fare clic su No se si desidera eseguire l'aggiornamento delle applicazioni in modo diretto, senza installare le versioni successive. Se l'installazione degli aggiornamenti selezionati non è possibile senza installare le versioni precedenti delle applicazioni, l'aggiornamento dell'applicazione non riesce.
Viene avviata la Creazione guidata attività di installazione aggiornamenti e correzione vulnerabilità. Seguire le istruzioni della procedura guidata.
Nella pagina Selezione dell'opzione per il riavvio del sistema operativo della procedura guidata selezionare l'azione da eseguire quando il sistema operativo nei dispositivi client deve essere riavviato dopo l'operazione:
- Non riavviare il dispositivo
  I dispositivi client non vengono riavviati automaticamente al termine dell'operazione. Per completare l'operazione, è necessario riavviare un dispositivo (ad esempio, manualmente o tramite l'attività di gestione di un dispositivo). Le informazioni sul riavvio richiesto vengono salvate nei risultati dell'attività e nello stato del dispositivo. Questa opzione è adatta per le attività nei server e negli altri dispositivi per cui il funzionamento continuo è di importanza critica.
- Riavvia il dispositivo
  I dispositivi client vengono sempre riavviati automaticamente quando è richiesto un riavvio per il completamento dell'operazione. Questa opzione è utile per le attività nei dispositivi per cui sono previste pause periodiche durante la relativa esecuzione (chiusura o riavvio).
- Richiedi l'intervento dell'utente
  Sarà visualizzata una notifica del riavvio sullo schermo del dispositivo client e verrà richiesto all'utente di riavviare il dispositivo manualmente. Per questa opzione è possibile definire alcune impostazioni avanzate: il testo del messaggio per l'utente, la frequenza di visualizzazione del messaggio e l'intervallo di tempo al termine del quale sarà forzato il riavvio (senza la conferma dell'utente). Questa opzione è adatta per le workstation in cui gli utenti devono essere in grado di selezionare l'orario che preferiscono per un riavvio del sistema.
  
  Per impostazione predefinita, questa opzione è selezionata.
  - Ripeti la richiesta ogni (min.)
    Se questa opzione è abilitata, l'applicazione richiede all'utente di riavviare il sistema operativo con la frequenza specificata.
    
    Per impostazione predefinita, questa opzione è abilitata. L'intervallo predefinito è di 5 minuti. I valori disponibili sono compresi tra 1 e 1440 minuti.
    
    Se questa opzione è disabilitata, la richiesta viene visualizzata una sola volta.
  - Riavvia dopo (min.)
    Dopo la richiesta all'utente, l'applicazione forza il riavvio del sistema operativo al termine dell'intervallo di tempo specificato.
    
    Per impostazione predefinita, questa opzione è abilitata. Il ritardo predefinito è di 30 minuti. I valori disponibili sono compresi tra 1 e 1440 minuti.
- Forza chiusura delle applicazioni nelle sessioni bloccate
  L'esecuzione di applicazioni potrebbe impedire il riavvio del dispositivo client. Ad esempio, se un documento viene modificato in un'applicazione per l'elaborazione di testo e non viene salvato, l'applicazione non consente il riavvio del dispositivo.
  
  Se questa opzione è abilitata, viene forzata la chiusura di tali applicazioni in un dispositivo bloccato prima del riavvio del dispositivo. Come risultato, gli utenti possono perdere le modifiche non salvate.
  
  Se questa opzione è disabilitata, un dispositivo bloccato non viene riavviato. Lo stato dell'attività nel dispositivo indica che è necessario un riavvio del dispositivo. Gli utenti devono chiudere manualmente tutte le applicazioni in esecuzione nei dispositivi bloccati e riavviare questi dispositivi.
  
  Per impostazione predefinita, questa opzione è disabilitata.
Nella pagina Selezionare i dispositivi a cui assegnare l'attività della procedura guidata selezionare una delle seguenti opzioni:
- Selezionare i dispositivi della rete rilevati da Administration Server
  L'attività viene assegnata a dispositivi specifici. I dispositivi specifici possono includere i dispositivi nei gruppi di amministrazione, nonché i dispositivi non assegnati.
  
  Questa opzione può ad esempio essere utilizzata in un'attività per l'installazione di Network Agent nei dispositivi non assegnati.
- Specificare gli indirizzi dei dispositivi manualmente o importare gli indirizzi da un elenco
  È possibile specificare nomi NetBIOS, nomi DNS, indirizzi IP e subnet IP dei dispositivi a cui si desidera assegnare l'attività.
  
  Questa opzione può essere utilizzata per eseguire un'attività per una subnet specifica. È ad esempio possibile installare una determinata applicazione nei dispositivi degli addetti alla contabilità o eseguire la scansione dei dispositivi in una subnet potenzialmente infetta.
- Assegnare un'attività a una selezione dispositivi
  L'attività viene assegnata ai dispositivi inclusi in una selezione dispositivi. È possibile specificare una delle selezioni esistenti.
  
  Questa opzione può ad esempio essere utilizzata per eseguire un'attività nei dispositivi con una versione specifica del sistema operativo.
- Assegnare un'attività a un gruppo di amministrazione
  L'attività viene assegnata ai dispositivi inclusi in un gruppo di amministrazione. È possibile specificare uno dei gruppi esistenti o crearne uno nuovo.
  
  Questa opzione può ad esempio essere utilizzata per eseguire un'attività di invio di un messaggio agli utenti se il messaggio è specifico per i dispositivi inclusi in un determinato gruppo di amministrazione.
  
  Se un'attività è assegnata a un gruppo di amministrazione, la scheda Sicurezza non viene visualizzata nella finestra delle proprietà dell'attività perché le attività di gruppo sono soggette alle impostazioni di protezione dei gruppi ai quali si applicano.
Nella pagina Configurare la pianificazione delle attività della procedura guidata è possibile creare una pianificazione per l'avvio dell'attività. Se necessario, specificare le seguenti impostazioni:
- Avvio pianificato:
  Selezionare la pianificazione per l'esecuzione dell'attività e configurare la pianificazione selezionata.
  - Ogni N ore
    L'attività viene eseguita periodicamente, con l'intervallo specificato in ore, a partire dalla data e dall'ora specificate.
    
    Per impostazione predefinita, l'attività viene eseguita ogni sei ore, a partire dalla data e dall'ora di sistema correnti.
  - Ogni N giorni
    L'attività viene eseguita periodicamente, con l'intervallo specificato in giorni. È inoltre possibile specificare data e ora della prima esecuzione dell'attività. Queste opzioni aggiuntive diventano disponibili se sono supportate dall'applicazione per cui viene creata l'attività.
    
    Per impostazione predefinita, l'attività viene eseguita ogni giorno, a partire dalla data e dall'ora di sistema correnti.
  - Ogni N settimane
    L'attività viene eseguita periodicamente, con l'intervallo specificato in settimane, nel giorno della settimana specificato e all'ora specificata.
    
    Per impostazione predefinita, l'attività viene eseguita ogni lunedì all'ora di sistema corrente.
  - Ogni N minuti
    L'attività viene eseguita periodicamente, con l'intervallo specificato in minuti, a partire dall'ora specificata nel giorno in cui viene creata l'attività.
    
    Per impostazione predefinita, l'attività viene eseguita ogni 30 minuti, a partire dall'ora di sistema corrente.
  - Giornaliera (ora legale non supportata)
    L'attività viene eseguita periodicamente, con l'intervallo specificato in giorni. Questa pianificazione non supporta l'ora legale. In altre parole, se l'orologio del sistema si sposta avanti o indietro di un'ora all'inizio o alla fine dell'ora legale, l'ora di inizio effettiva dell'attività non cambia.
    
    Non è consigliabile utilizzare questa pianificazione. È necessaria per la compatibilità con le versioni precedenti di Kaspersky Security Center.
    
    Per impostazione predefinita, l'attività viene avviata ogni giorno all'ora di sistema corrente.
  - Settimanale
    L'attività viene eseguita ogni settimana nel giorno specificato e all'ora specificata.
  - In base ai giorni della settimana
    L'attività viene eseguita periodicamente, nei giorni specificati della settimana, all'ora specificata.
    
    Per impostazione predefinita, l'attività viene eseguita ogni venerdì alle 18:00:00.
  - Mensile
    L'attività viene eseguita periodicamente, nel giorno del mese specificato, all'ora specificata.
    
    Nei mesi che non comprendono il giorno specificato, l'attività viene eseguita l'ultimo giorno.
    
    Per impostazione predefinita, l'attività viene eseguita il primo giorno di ogni mese, all'ora di sistema corrente.
  - Manualmente
    L'attività non viene eseguita automaticamente. È possibile avviarla solo manualmente.
    
    Per impostazione predefinita, questa opzione è selezionata.
  - Ogni mese nei giorni specificati delle settimane selezionate
    L'attività viene eseguita periodicamente, nei giorni specificati di ogni mese, all'ora specificata.
    
    Per impostazione predefinita, non sono selezionati giorni del mese. L'ora di inizio predefinita è le 18:00.
  - Durante un'epidemia di virus
    L'attività viene eseguita dopo che si verifica un evento Epidemia di virus. Selezionare i tipi di applicazione da cui dovranno essere monitorate le epidemie di virus. Sono disponibili i seguenti tipi di applicazione:
    - Anti-virus per workstation e file server
    - Anti-virus per la difesa perimetrale
    - Anti-virus per i sistemi di posta
    Per impostazione predefinita, sono selezionati tutti i tipi di applicazione.
    
    Può essere utile eseguire differenti attività a seconda del tipo di applicazione di protezione che segnala un'epidemia di virus. In questo caso, rimuovere la selezione dei tipi di applicazione non necessari.
  - Al completamento di un'altra attività
    L'attività corrente viene avviata dopo il completamento di un'altra attività. È possibile selezionare la modalità di completamento dell'attività precedente (correttamente o con errori) per l'attivazione dell'avvio dell'attività corrente. È ad esempio possibile eseguire l'attività Gestisci dispositivi con l'opzione Accendi il dispositivo e, al termine, eseguire l'attività Scansione virus. Questo parametro funziona solo se entrambe le attività sono assegnate agli stessi dispositivi.
- Esegui attività non effettuate
  Questa opzione determina il comportamento di un'attività se un dispositivo client non è visibile nella rete al momento dell'avvio dell'attività.
  
  Se questa opzione è abilitata, il sistema tenta di avviare l'attività alla successiva esecuzione di un'applicazione Kaspersky in un dispositivo client. Se la pianificazione dell'attività è Manualmente, Una sola volta o Immediatamente, l'attività viene avviata non appena il dispositivo diventa visibile nella rete o subito dopo che il dispositivo viene incluso nell'ambito dell'attività.
  
  Se questa opzione è disabilitata, solo le attività pianificate vengono eseguite nei dispositivi client. Per i tipi di pianificazione Manualmente, Una sola volta e Immediatamente, le attività vengono eseguite solo nei dispositivi client visibili nella rete. È ad esempio possibile disabilitare questa opzione per un'attività con un notevole utilizzo di risorse che si desidera eseguire solo in orario non lavorativo.
  
  Per impostazione predefinita, questa opzione è disabilitata.
- Usa automaticamente il ritardo casuale per l'avvio delle attività
  Se questa opzione è abilitata, l'attività viene avviata nei dispositivi client in modo casuale all'interno di un intervallo di tempo specificato (avvio distribuito dell'attività). L'avvio distribuito dell'attività consente di evitare che Administration Server riceva numerose richieste simultanee da parte dei dispositivi client durante l'esecuzione di un'attività pianificata.
  
  Il periodo di avvio distribuito viene calcolato automaticamente durante la creazione di un'attività, in base al numero di dispositivi client a cui è assegnata l'attività. Successivamente, l'attività viene sempre eseguita all'ora di inizio calcolata. Tuttavia, quando si modificano le impostazioni dell'attività o l'attività viene avviata manualmente, il valore calcolato dell'ora di inizio dell'attività cambia.
  
  Se questa opzione è disabilitata, l'attività viene avviata nei dispositivi client in base alla pianificazione.
- Usa ritardo casuale per l'avvio delle attività con un intervallo di (min.)
  Se questa opzione è abilitata, l'attività viene avviata nei dispositivi client in modo casuale all'interno dell'intervallo di tempo specificato. L'avvio distribuito dell'attività consente di evitare che Administration Server riceva numerose richieste simultanee da parte dei dispositivi client durante l'esecuzione di un'attività pianificata.
  
  Se questa opzione è disabilitata, l'attività viene avviata nei dispositivi client in base alla pianificazione.
  
  Per impostazione predefinita, questa opzione è disabilitata. Il periodo di tempo predefinito è 1 minuto.
Nella pagina Definire il nome dell'attività della procedura guidata specificare il nome dell'attività che si intende creare. Il nome di un'attività non può superare i 100 caratteri e non può includere caratteri speciali ("*<>?\:|).
Nella pagina Completare la creazione dell'attività della procedura guidata fare clic sul pulsante Fine per chiudere la procedura guidata.
Se si desidera che l'attività venga avviata al termine della procedura guidata, selezionare la casella di controllo Esegui l'attività al termine della procedura guidata.

Al termine della procedura guidata, verrà creata l'attività Installa aggiornamenti richiesti e correggi vulnerabilità, che sarà visualizzata nella cartella Attività.

Oltre alle impostazioni specificate durante la creazione dell'attività, è possibile modificare altre proprietà di un'attività creata.

Correzione di una vulnerabilità tramite l'aggiunta di una regola a un'attività di correzione delle vulnerabilità esistente

Per correggere una vulnerabilità tramite l'aggiunta di una regola a un'attività di correzione delle vulnerabilità esistente:

Nella cartella Avanzate → Gestione applicazioni della struttura della console selezionare la sottocartella Vulnerabilità del software.
Selezionare la vulnerabilità che si desidera correggere.
Fare clic sul pulsante Esegui Correzione guidata vulnerabilità.
Verrà avviata la Correzione guidata vulnerabilità.

Le funzionalità della Correzione guidata vulnerabilità sono disponibili solo con la licenza per Vulnerability e patch management.

Seguire le istruzioni della procedura guidata.
Nella finestra Cerca attività di correzione vulnerabilità esistenti specificare i seguenti parametri:
- Mostra solo le attività che consentono di correggere la vulnerabilità
  Se questa opzione è abilitata, la Correzione guidata vulnerabilità cerca le attività esistenti per la correzione della vulnerabilità selezionata.
  
  Se questa opzione è disabilitata o se la ricerca non recupera attività applicabili, la Correzione guidata vulnerabilità richiede di creare una regola o un'attività per la correzione della vulnerabilità selezionata.
  
  Per impostazione predefinita, questa opzione è abilitata.
- Approva aggiornamenti in grado di correggere la vulnerabilità
  Gli aggiornamenti che correggono una vulnerabilità verranno approvati per l'installazione. Abilitare questa opzione se alcune delle regole applicate per l'installazione degli aggiornamenti consentono solo l'installazione degli aggiornamenti approvati.
  
  Per impostazione predefinita, questa opzione è disabilitata.
Se si sceglie di eseguire la ricerca delle attività esistenti di correzione delle vulnerabilità e la ricerca recupera alcune attività, è possibile visualizzare le proprietà di queste attività o avviarle manualmente. Non sono necessarie ulteriori operazioni.
In caso contrario, fare clic sul pulsante Aggiungi regola di correzione vulnerabilità a un'attività esistente.
Selezionare l'attività a cui aggiungere una regola, quindi fare clic sul pulsante Aggiungi regola.
È inoltre possibile visualizzare le proprietà delle attività esistenti, avviarle manualmente o creare una nuova attività.
Selezionare il tipo di regola da aggiungere all'attività selezionata e fare clic sul pulsante Fine.
Scegliere l'operazione da eseguire quando viene richiesto se installare tutti gli aggiornamenti precedenti dell'applicazione. Fare clic su Sì se si desidera installare in modo incrementale le versioni successive dell'applicazione, se questo è necessario per l'installazione degli aggiornamenti selezionati. Fare clic su No se si desidera eseguire l'aggiornamento delle applicazioni in modo diretto, senza installare le versioni successive. Se l'installazione degli aggiornamenti selezionati non è possibile senza installare le versioni precedenti delle applicazioni, l'aggiornamento dell'applicazione non riesce.

Una nuova regola per la correzione delle vulnerabilità viene aggiunta all'attività Installa aggiornamenti richiesti e correggi vulnerabilità esistente.

Vedere anche:

Scenario: Individuazione e correzione delle vulnerabilità del software di terze parti

Inizio pagina

[Topic 230885]

Correzione delle vulnerabilità in una rete isolata

Questa sezione descrive i passaggi possibili per correggere le vulnerabilità del software di terze parti nei dispositivi gestiti connessi ad Administration Server che non dispongono dell'accesso a Internet.

In questa sezione

Scenario: Correzione delle vulnerabilità del software di terze parti in una rete isolata

Informazioni sulla correzione delle vulnerabilità del software di terzi in una rete isolata

Configurazione dell'Administration Server con accesso a Internet per correggere le vulnerabilità in una rete isolata

Configurazione di Administration Server isolati per la correzione delle vulnerabilità in una rete isolata

Trasmissione delle patch e installazione degli aggiornamenti in una rete isolata

Disabilitazione dell'opzione per trasmettere patch e installare aggiornamenti in una rete isolata

Inizio pagina

[Topic 230670]

Scenario: Correzione delle vulnerabilità del software di terze parti in una rete isolata

È possibile installare gli aggiornamenti e correggere le vulnerabilità del software di terze parti installato nei dispositivi gestiti in una rete isolata. Tali reti includono Administration Server e dispositivi gestiti ad essi collegati che non hanno accesso a Internet. Per correggere le vulnerabilità in questo tipo di rete, è necessario un Administration Server connesso a Internet. Sarà quindi possibile scaricare le patch (gli aggiornamenti richiesti) utilizzando l'Administration Server con accesso a Internet, quindi trasmettere le patch agli Administration Server isolati.

È possibile scaricare gli aggiornamenti software di terze parti rilasciati dai fornitori di software, ma non è possibile scaricare gli aggiornamenti per il software Microsoft in Administration Server isolati utilizzando Kaspersky Security Center.

Per scoprire come funziona il processo di correzione delle vulnerabilità in una rete isolata, vedere la descrizione e lo schema di questo processo.

Prerequisiti

Prima di iniziare, procedere come segue:

Assegnare un dispositivo per la connessione a Internet e il download delle patch. Questo dispositivo verrà conteggiato come Administration Server con accesso a Internet.
Installare Kaspersky Security Center, versione 14 o successiva, nei seguenti dispositivi:
- Dispositivo assegnato, che fungerà da Administration Server con accesso a Internet.
- Dispositivi isolati, che fungeranno da Administration Server isolati da Internet (di seguito denominati Administration Server isolati).
Assicurarsi che ogni Administration Server disponga di spazio su disco sufficiente per scaricare e archiviare aggiornamenti e patch.

Passaggi

L'installazione degli aggiornamenti e la correzione delle vulnerabilità del software di terze parti nei dispositivi gestiti di Administration Server isolati prevede le fasi seguenti:

Configurazione di Administration Server con accesso a Internet
Fornire ad Administration Server l'accesso a Internet per gestire le richieste relative agli aggiornamenti software di terze parti necessari e per scaricare le patch.
Configurazione di Administration Server isolati
Predisporre gli Administration Server isolati in modo che possano formare regolarmente elenchi degli aggiornamenti necessari e gestire le patch scaricate dall'Administration Server con accesso a Internet. Dopo la configurazione, gli Administration Server isolati non tentano più di scaricare le patch da Internet. In alternativa, ricevono gli aggiornamenti tramite patch.
Trasmissione di patch e installazione di aggiornamenti in Administration Server isolati
Al termine della configurazione degli Administration Server, è possibile trasmettere le patch e gli elenchi degli aggiornamenti necessari tra l'Administration Server con accesso a Internet e gli Administration Server isolati. Successivamente, gli aggiornamenti delle patch verranno installati nei dispositivi gestiti utilizzando l'attività Installa aggiornamenti richiesti e correggi vulnerabilità.

Risultati

Pertanto, gli aggiornamenti software di terze parti vengono trasmessi agli Administration Server isolati e installati nei dispositivi gestiti collegati tramite Kaspersky Security Center. È sufficiente configurare gli Administration Server una sola volta. Dopodiché sarà possibile ricevere gli aggiornamenti al bisogno, ad esempio una o più volte al giorno.

Vedere anche:

Disabilitazione dell'opzione per trasmettere patch e installare aggiornamenti in una rete isolata

Inizio pagina

[Topic 231854]

Informazioni sulla correzione delle vulnerabilità del software di terzi in una rete isolata

Il processo di correzione delle vulnerabilità del software di terzi in una rete isolata è mostrato nella figura e descritto di seguito. È possibile ripetere questo processo periodicamente.

Un Server isolato crea un elenco di aggiornamenti per i dispositivi gestiti, che viene trasferito al Server assegnato.

Il processo di trasmissione delle patch e l'elenco degli aggiornamenti necessari tra Administration Server con accesso a Internet e Administration Server isolati

Ogni Administration Server isolato da Internet (di seguito denominato Administration Server isolato) genera un elenco di aggiornamenti che devono essere installati nei dispositivi gestiti connessi a tale Administration Server. L'elenco degli aggiornamenti richiesti è archiviato in una cartella specifica e presenta una serie di file binari. Ciascun file ha un nome che contiene l'ID della patch con l'aggiornamento richiesto. Di conseguenza, ogni file nell'elenco fa riferimento a una patch specifica.

Utilizzando un dispositivo esterno, si trasferisce l'elenco degli aggiornamenti richiesti dall'Administration Server isolato all'Administration Server allocato con accesso a Internet. Successivamente, l'Administration Server allocato scarica le patch da Internet e le inserisce in una cartella separata.

Quando tutte le patch vengono scaricate e posizionate nella relativa cartella, le patch vengono spostate in ogni Administration Server isolato da cui è stato prelevato un elenco degli aggiornamenti richiesti. Le patch vengono salvate nella cartella creata appositamente per loro sull'Administration Server isolato. Di conseguenza, l'attività Installa aggiornamenti richiesti e correggi vulnerabilità esegue le patch e installa gli aggiornamenti nei dispositivi gestiti degli Administration Server isolati.

Vedere anche:

Scenario: Correzione delle vulnerabilità del software di terze parti in una rete isolata

Trasmissione delle patch e installazione degli aggiornamenti in una rete isolata

Inizio pagina

[Topic 230729]

Configurazione dell'Administration Server con accesso a Internet per correggere le vulnerabilità in una rete isolata

Per prepararsi a correggere le vulnerabilità e trasmettere le patch in una rete isolata, configurare prima di tutto un Administration Server con l'accesso a Internet, quindi configurare gli Administration Server isolati.

Per configurare un Administration Server con l'accesso a Internet:

Creare due cartelle su un disco in cui è installato Administration Server:
- Una cartella per l'elenco degli aggiornamenti necessari
- Cartella per le patch
È possibile nominare queste cartelle in qualsiasi modo.
Concedere Modifica i diritti di accesso al gruppo KLAdmins nelle cartelle create, utilizzando gli strumenti di amministrazione standard del sistema operativo.
Utilizzare l'utilità klscflag per scrivere i percorsi delle cartelle nelle proprietà di Administration Server.
Eseguire il prompt dei comandi di Windows con diritti di amministratore, quindi modificare la directory corrente nella directory con l'utilità klscflag. L'utilità klscflag si trova nella cartella in cui è installato Administration Server. Il percorso di installazione predefinito è <Disco>:\Programmi (x86)\ Kaspersky Lab\ Kaspersky Security Center.
Immettere i seguenti comandi nel prompt dei comandi di Windows:
- Per impostare il percorso della cartella per le patch:
  klscflag -fset -pv klserver -n VAPM_DATA_EXPORT_PATH -t s -v "<percorso della cartella>"
- Per impostare il percorso della cartella per un elenco degli aggiornamenti necessari:
  klscflag -fset -pv klserver -n VAPM_REQ_IMPORT_PATH -t s -v "<percorso della cartella>"
Esempio: klscflag -fset -pv klserver -n VAPM_DATA_EXPORT_PATH -t s -v "C:\FolderForPatches"
Se necessario, utilizzare l'utilità klscflag per specificare la frequenza con cui Administration Server deve verificare la presenza di nuove richieste di patch:
klscflag -fset -pv klserver -n VAPM_DATA_EXPORT_PERIOD_SEC -t d -v <valore in secondi>

Il valore predefinito è 120 secondi.

Esempio: klscflag -fset -pv klserver -n VAPM_DATA_EXPORT_PERIOD_SEC -t d -v 150
Creare l'attività Trova vulnerabilità e aggiornamenti richiesti per ottenere informazioni sulle patch per il software di terze parti installato nei dispositivi gestiti, quindi impostare la pianificazione dell'attività.
Creare l'attività Correggi vulnerabilità per specificare le patch per il software di terze parti utilizzato per correggere le vulnerabilità, quindi impostare la pianificazione dell'attività.
Eseguire le attività manualmente se si desidera che vengano eseguite prima di quanto specificato nella pianificazione. L'ordine in cui vengono avviate le attività è importante. L'attività Correggi vulnerabilità deve essere eseguita al termine dell'attività Trova vulnerabilità e aggiornamenti richiesti.
Riavviare il servizio Administration Server.

Adesso l'Administration Server con accesso a Internet è pronto per scaricare e trasmettere aggiornamenti agli Administration Server isolati. Prima di iniziare a correggere le vulnerabilità, configurare gli Administration Server isolati.

Vedere anche:

Scenario: Correzione delle vulnerabilità del software di terze parti in una rete isolata

Informazioni sulla correzione delle vulnerabilità del software di terzi in una rete isolata

Inizio pagina

[Topic 230777]

Configurazione di Administration Server isolati per la correzione delle vulnerabilità in una rete isolata

Al termine della configurazione di Administration Server con l'accesso a Internet, preparare tutti gli Administration Server isolati nella rete, così da correggere le vulnerabilità e installare gli aggiornamenti nei dispositivi gestiti connessi agli Administration Server isolati.

Per configurare gli Administration Server isolati, eseguire le seguenti azioni su ogni Administration Server:

Attivare una chiave di licenza per la funzionalità Vulnerability e patch management (VAPM).
Creare due cartelle su un disco in cui è installato Administration Server:
- Una cartella in cui verrà visualizzato l'elenco degli aggiornamenti necessari
- Cartella per le patch
È possibile nominare queste cartelle in qualsiasi modo.
Concedere l'autorizzazione Modifica al gruppo KLAdmins nelle cartelle create, utilizzando gli strumenti di amministrazione standard del sistema operativo.
Utilizzare l'utilità klscflag per scrivere i percorsi delle cartelle nelle proprietà di Administration Server.
Eseguire il prompt dei comandi di Windows con diritti di amministratore, quindi modificare la directory corrente nella directory con l'utilità klscflag. L'utilità klscflag si trova nella cartella in cui è installato Administration Server. Il percorso di installazione predefinito è <Disco>:\Programmi (x86)\ Kaspersky Lab\ Kaspersky Security Center.
Immettere i seguenti comandi nel prompt dei comandi di Windows:
- Per impostare il percorso della cartella per le patch:
  klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PATH -t s -v “<percorso della cartella>"
- Per impostare il percorso della cartella per un elenco degli aggiornamenti necessari:
  klscflag -fset -pv klserver -n VAPM_REQ_EXPORT_PATH -t s -v "<percorso della cartella>"
Esempio: klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PATH -t s -v "C:\FolderForPatches"
Se necessario, utilizzare l'utilità klscflag per specificare la frequenza con cui l'Administration Server isolato deve verificare la presenza di nuove patch:
klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PERIOD_SEC -t d -v <valore in secondi>

Il valore predefinito è 120 secondi.

Esempio: klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PERIOD_SEC -t d -v 150
Se necessario, utilizzare l'utilità klscflag per calcolare gli hash SHA256 delle patch:
klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_VERIFY_HASH -t d -v 1

Se si immette questo comando, è possibile assicurarsi che le patch non siano state modificate durante il trasferimento all'Administration Server isolato e di aver ricevuto le patch corrette con gli aggiornamenti richiesti.

Per impostazione predefinita, Kaspersky Security Center non calcola gli hash SHA256 delle patch. Se si abilita questa opzione, dopo che l'Administration Server isolato ha ricevuto le patch, Kaspersky Security Center calcola gli hash e confronta i valori acquisiti con gli hash archiviati nel database di Administration Server. Se l'hash calcolato non corrisponde all'hash nel database, si verifica un errore ed è necessario sostituire le patch errate.
Creare l'attività Trova vulnerabilità e aggiornamenti richiesti per ottenere informazioni sulle patch per il software di terze parti installato nei dispositivi gestiti, quindi impostare la pianificazione dell'attività.
Creare l'attività Correggi vulnerabilità per specificare le patch per il software di terze parti utilizzato per correggere le vulnerabilità, quindi impostare la pianificazione dell'attività.
Eseguire le attività manualmente se si desidera che vengano eseguite prima di quanto specificato nella pianificazione. L'ordine in cui vengono avviate le attività è importante. L'attività Correggi vulnerabilità deve essere eseguita al termine dell'attività Trova vulnerabilità e aggiornamenti richiesti.
Riavviare il servizio Administration Server.

Dopo aver configurato tutti gli Administration Server, è possibile spostare le patch e gli elenchi degli aggiornamenti necessari e correggere le vulnerabilità del software di terze parti nei dispositivi gestiti nella rete isolata.

Vedere anche:

Scenario: Correzione delle vulnerabilità del software di terze parti in una rete isolata

Informazioni sulla correzione delle vulnerabilità del software di terzi in una rete isolata

Inizio pagina

[Topic 230781]

Trasmissione delle patch e installazione degli aggiornamenti in una rete isolata

Al termine della configurazione degli Administration Server, è possibile trasferire patch che contengono gli aggiornamenti richiesti dall'Administration Server con accesso a Internet agli Administration Server isolati. È possibile trasmettere e installare gli aggiornamenti tutte le volte necessarie, ad esempio una o più volte al giorno.

È necessario un dispositivo esterno, ad esempio un'unità rimovibile per trasferire le patch e l'elenco degli aggiornamenti necessari tra gli Administration Server. Assicurarsi quindi che il dispositivo esterno disponga di spazio su disco sufficiente per scaricare e archiviare patch.

Il processo di trasmissione delle patch e l'elenco degli aggiornamenti necessari viene mostrato nella figura e descritto di seguito:

Un Server isolato crea un elenco di aggiornamenti per i dispositivi gestiti, che viene trasferito al Server assegnato.

Il processo di trasmissione delle patch e l'elenco degli aggiornamenti necessari tra Administration Server con accesso a Internet e Administration Server isolati

Per installare gli aggiornamenti e correggere le vulnerabilità nei dispositivi gestiti connessi ad Administration Server isolati:

Avviare l'attività Installa aggiornamenti richiesti e correggi vulnerabilità se non è ancora in esecuzione.
Collegare un dispositivo esterno a qualsiasi Administration Server isolato.
Creare due cartelle nel dispositivo esterno: una per l'elenco degli aggiornamenti necessari e una per le patch. È possibile nominare queste cartelle in qualsiasi modo.
Se queste cartelle sono state create in precedenza, è necessario cancellarle.
Copiare l'elenco degli aggiornamenti richiesti da ogni Administration Server isolato e incollarlo nella cartella per l'elenco degli aggiornamenti richiesti sul dispositivo esterno.
Di conseguenza, si uniscono tutti gli elenchi acquisiti da tutti gli Administration Server isolati in un'unica cartella. Questa cartella contiene file binari con gli ID delle patch richieste per tutti gli Administration Server isolati.
Collegare il dispositivo esterno all'Administration Server con accesso a Internet.
Copiare l'elenco degli aggiornamenti richiesti dal dispositivo esterno e incollarlo nella cartella per l'elenco degli aggiornamenti richiesti sull'Administration Server con accesso a Internet.
Tutte le patch richieste vengono scaricate automaticamente da Internet nella cartella delle patch nell'Administration Server. Questa operazione può richiedere diverse ore.
Assicurarsi che tutte le patch necessarie vengano scaricate. A tale scopo, è possibile eseguire una delle seguenti operazioni:
- Controllare la cartella per le patch nell'Administration Server con accesso a Internet. Tutte le patch specificate nell'elenco degli aggiornamenti necessari devono essere scaricate nella cartella opportuna. L'operazione è più agevole se è necessario un numero limitato di patch.
- Preparare uno script speciale, ad esempio uno script shell. Se si ottiene un numero elevato di patch, sarà difficile verificare autonomamente che tutte le patch siano state scaricate. In questi casi, è meglio automatizzare il controllo.
Copiare le patch dall'Administration Server con accesso a Internet e incollarle nella cartella corrispondente nel dispositivo esterno.
Trasferire le patch in ogni Administration Server isolato. Inserire le patch in una cartella specifica.

Di conseguenza, ogni Administration Server isolato crea un elenco effettivo di aggiornamenti necessari per i dispositivi gestiti collegati all'Administration Server corrente. Dopo che l'Administration Server con accesso a Internet ha ricevuto l'elenco degli aggiornamenti necessari, l'Administration Server scarica le patch da Internet. Quando queste patch vengono visualizzate negli Administration Server isolati, l'attività Installa aggiornamenti richiesti e correggi vulnerabilità gestisce le patch. Gli aggiornamenti vengono quindi installati nei dispositivi gestiti e le vulnerabilità del software di terze parti vengono corrette.

Quando l'attività Installa aggiornamenti richiesti e correggi vulnerabilità è in esecuzione, non riavviare il dispositivo Administration Server e non eseguire l'attività Backup dei dati di Administration Server (causerà anche un riavvio). Di conseguenza, l'attività Installa aggiornamenti richiesti e correggi vulnerabilità viene interrotta e gli aggiornamenti non vengono installati. In questo caso, è necessario riavviare l'attività manualmente o attendere che l'attività venga avviata in base alla pianificazione configurata.

Vedere anche:

Scenario: Correzione delle vulnerabilità del software di terze parti in una rete isolata

Informazioni sulla correzione delle vulnerabilità del software di terzi in una rete isolata

Inizio pagina

[Topic 230869]

Disabilitazione dell'opzione per trasmettere patch e installare aggiornamenti in una rete isolata

È possibile disabilitare la trasmissione delle patch negli Administration Server isolati se, ad esempio, si decide di rimuovere uno o più Administration Server da una rete isolata. È quindi possibile ridurre il numero di patch e il tempo di download.

Per disabilitare l'opzione per la trasmissione delle patch negli Administration Server isolati:

Se si desidera eliminare l'isolamento di tutti gli Administration Server, nelle proprietà di Administration Server con accesso a Internet eliminare i percorsi delle cartelle per le patch e l'elenco degli aggiornamenti necessari. Se si desidera mantenere alcuni Administration Server in una rete isolata, ignorare questo passaggio.
Eseguire il prompt dei comandi di Windows con diritti di amministratore, quindi modificare la directory corrente nella directory con l'utilità klscflag. L'utilità klscflag si trova nella cartella in cui è installato Administration Server. Il percorso di installazione predefinito è <Disco>:\Programmi (x86)\ Kaspersky Lab\ Kaspersky Security Center.

Immettere i seguenti comandi nel prompt dei comandi:
- Per eliminare il percorso della cartella per le patch:
  klscflag -fset -pv klserver -n VAPM_DATA_EXPORT_PATH -t s -v ""
- Per eliminare il percorso della cartella per un elenco degli aggiornamenti necessari:
  klscflag -fset -pv klserver -n VAPM_REQ_IMPORT_PATH -t s -v ""
Riavviare il servizio Administration Server se sono stati eliminati i percorsi delle cartelle in questo Administration Server.
Nelle proprietà di ogni Administration Server per cui si desidera eliminare l'isolamento, eliminare i percorsi delle cartelle per le patch e l'elenco degli aggiornamenti necessari.
Immettere i seguenti comandi nel prompt dei comandi di Windows, utilizzando i diritti di amministratore:
- Per eliminare il percorso della cartella per le patch:
  klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PATH -t s -v ""
- Per eliminare il percorso della cartella per un elenco degli aggiornamenti necessari:
  klscflag -fset -pv klserver -n VAPM_REQ_EXPORT_PATH -t s -v ""
Riavviare il servizio di ogni Administration Server in cui sono stati eliminati i percorsi delle cartelle.

Di conseguenza, se è stato riconfigurato Administration Server con l'accesso a Internet, non si riceveranno più patch tramite Kaspersky Security Center. Se sono stati riconfigurati solo alcuni Administration Server isolati, ad esempio rimuovendone alcuni dalla rete isolata, si otterranno patch solo per gli Administration Server isolati rimanenti.

Se in futuro si desidera iniziare a correggere le vulnerabilità negli Administration Server isolati disabilitati, è necessario configurare nuovamente questi Administration Server e l'Administration Server con accesso a Internet.

Vedere anche:

Scenario: Correzione delle vulnerabilità del software di terze parti in una rete isolata

Informazioni sulla correzione delle vulnerabilità del software di terzi in una rete isolata

Inizio pagina

[Topic 191582]

Ignorare le vulnerabilità del software

È possibile ignorare le vulnerabilità del software da correggere. I motivi per ignorare le vulnerabilità del software potrebbero essere, ad esempio, i seguenti:

La vulnerabilità del software non viene considerata critica per l'organizzazione.
Si ritiene che la correzione della vulnerabilità del software possa danneggiare i dati relativi al software per cui era necessaria la correzione della vulnerabilità.
Si ha la certezza che la vulnerabilità del software non sia pericolosa per la rete dell'organizzazione in quanto si utilizzano altre misure per proteggere i dispositivi gestiti.

È possibile ignorare una vulnerabilità del software in tutti i dispositivi gestiti o solo nei dispositivi gestiti selezionati.

Per ignorare una vulnerabilità del software in tutti i dispositivi gestiti:

Nella cartella Avanzate → Gestione applicazioni della struttura della console selezionare la sottocartella Vulnerabilità del software.
Nell'area di lavoro della cartella verrà visualizzato un elenco delle vulnerabilità rilevate dal Network Agent installato nei dispositivi.
Selezionare la vulnerabilità che si desidera ignorare.
Selezionare Proprietà dal menu di scelta rapida della vulnerabilità.
Verrà visualizzata la finestra delle proprietà della vulnerabilità.
Nella sezione Generale selezionare l'opzione Ignora vulnerabilità.
Fare clic su OK.
Viene chiusa la finestra delle proprietà delle vulnerabilità del software.

La vulnerabilità del software viene ignorata in tutti i dispositivi gestiti.

Per ignorare una vulnerabilità del software nel dispositivo gestito selezionato:

Aprire la finestra delle proprietà del dispositivo gestito selezionato e selezionare la sezione Vulnerabilità del software.
Selezionare una vulnerabilità del software.
Ignorare la vulnerabilità selezionata.

La vulnerabilità del software viene ignorata nel dispositivo selezionato.

La vulnerabilità del software ignorata non verrà corretta dopo il completamento dell'attività Correggi vulnerabilità o dell'attività Installa aggiornamenti richiesti e correggi vulnerabilità. È possibile escludere le vulnerabilità del software ignorate dall'elenco delle vulnerabilità utilizzando il filtro.

Vedere anche:

Scenario: Individuazione e correzione delle vulnerabilità del software di terze parti

Inizio pagina

[Topic 191616]

Selezione di correzioni utente per le vulnerabilità del software di terze parti

Per utilizzare l'attività Correggi vulnerabilità, è necessario specificare manualmente gli aggiornamenti software per correggere le vulnerabilità del software di terze parti elencato nelle impostazioni dell'attività. L'attività Correggi vulnerabilità utilizza le correzioni consigliate per il software Microsoft e le correzioni dell'utente per altri software di terze parti. Le correzioni dell'utente sono aggiornamenti software per correggere le vulnerabilità che l'amministratore specifica manualmente per l'installazione.

Per selezionare le correzioni utente per le vulnerabilità del software di terze parti:

Nella cartella Avanzate → Gestione applicazioni della struttura della console selezionare la sottocartella Vulnerabilità del software.
Nell'area di lavoro della cartella verrà visualizzato un elenco delle vulnerabilità rilevate dal Network Agent installato nei dispositivi.
Selezionare la vulnerabilità per cui si desidera specificare una correzione utente.
Selezionare Proprietà dal menu di scelta rapida della vulnerabilità.
Verrà visualizzata la finestra delle proprietà della vulnerabilità.
Nella sezione Correzioni utente e altre correzioni fare clic sul pulsante Aggiungi.
Verrà visualizzato l'elenco dei pacchetti di installazione disponibili. L'elenco dei pacchetti di installazione visualizzati corrisponde all'elenco Installazione remota → Pacchetti di installazione. Se non è stato creato un pacchetto di installazione contenente una correzione utente per la vulnerabilità selezionata, è possibile creare il pacchetto subito avviando la Creazione guidata nuovo pacchetto.
Selezionare un pacchetto di installazione (o più pacchetti) contenente una correzione utente (o correzioni utente) per la vulnerabilità del software di terze parti.
Fare clic su OK.

Vengono specificati i pacchetti di installazione contenenti le correzioni utente per la vulnerabilità del software. Quando l'attività Correggi vulnerabilità viene avviata, il pacchetto di installazione verrà installato e la vulnerabilità del software verrà corretta.

Vedere anche:

Informazioni sulla ricerca e la correzione delle vulnerabilità del software

Scenario: Individuazione e correzione delle vulnerabilità del software di terze parti

Inizio pagina

[Topic 172909]

Regole per l'installazione dell'aggiornamento

Approvazione e rifiuto degli aggiornamenti software

Durante la correzione delle vulnerabilità delle applicazioni, è necessario specificare le regole per l'installazione degli aggiornamenti. Queste regole determinano gli aggiornamenti da installare e le vulnerabilità da correggere.

Le esatte impostazioni dipendono dall'esigenza di creare una regola per gli aggiornamenti delle applicazioni Microsoft, delle applicazioni di terze parti (applicazioni fornite da produttori di software diversi da Kaspersky e Microsoft) o di tutte le applicazioni. Durante la creazione di una regola per le applicazioni Microsoft o per le applicazioni di terze parti, è possibile selezionare le specifiche applicazioni e versioni delle applicazioni per cui si desidera installare gli aggiornamenti. Durante la creazione di una regola per tutte le applicazioni, è possibile selezionare gli specifici aggiornamenti da installare e le vulnerabilità che si desidera risolvere tramite l'installazione degli aggiornamenti.

Per creare una nuova regola per gli aggiornamenti di tutte le applicazioni:

Nella pagina Impostazioni della Creazione guidata nuova attività fare clic sul pulsante Aggiungi.
Verrà avviata la Creazione regole guidata. Seguire le istruzioni della procedura guidata.
Nella pagina Tipo di regola selezionare Regola per tutti gli aggiornamenti.
Nella pagina Criteri generali utilizzare gli elenchi a discesa per specificare le seguenti impostazioni:
- Set di aggiornamenti da installare
  Selezionare gli aggiornamenti che devono essere installati nei dispositivi client:
  - Installa solo gli aggiornamenti approvati. Verranno installati solo gli aggiornamenti approvati.
  - Installa tutti gli aggiornamenti (tranne quelli rifiutati). Verranno installati gli aggiornamenti con lo stato di approvazione Approvato o Indefinito.
  - Installa tutti gli aggiornamenti (inclusi quelli rifiutati). Verranno installati tutti gli aggiornamenti, indipendentemente dal relativo stato di approvazione. Prestare attenzione quando si seleziona questa opzione. Ad esempio, utilizzare questa opzione se si desidera controllare l'installazione di alcuni aggiornamenti rifiutati in un'infrastruttura di test.
- Correggi le vulnerabilità con un livello di criticità uguale o superiore a
  Talvolta gli aggiornamenti software possono compromettere l'esperienza utente con il software. In questi casi, è possibile decidere di installare solo gli aggiornamenti critici per l'esecuzione del software e ignorare gli altri aggiornamenti.
  
  Se questa opzione è abilitata, gli aggiornamenti correggono solo le vulnerabilità per cui il livello di criticità impostato da Kaspersky è uguale o superiore al valore selezionato nell'elenco (Medio, Alto o Critico). Le vulnerabilità con un livello di criticità inferiore al valore selezionato non vengono corrette.
  
  Se questa opzione è disabilitata, gli aggiornamenti correggono tutte le vulnerabilità, indipendentemente dal livello di criticità.
  
  Per impostazione predefinita, questa opzione è disabilitata.
Nella pagina Aggiornamenti selezionare gli aggiornamenti da installare:
- Installa tutti gli aggiornamenti appropriati
  Installa tutti gli aggiornamenti software che soddisfano i criteri specificati nella pagina Criteri generali della procedura guidata. Opzione selezionata per impostazione predefinita.
- Installa solo gli aggiornamenti nell'elenco
  Installa solo gli aggiornamenti software che selezionati manualmente dall'elenco. Questo elenco contiene tutti gli aggiornamenti software disponibili.
  
  Ad esempio, è possibile selezionare aggiornamenti specifici nei seguenti casi: per verificarne l'installazione in un ambiente di test, per aggiornare solo le applicazioni critiche o per aggiornare solo specifiche applicazioni.
  - Installa automaticamente tutti gli aggiornamenti precedenti dell'applicazione necessari per l'installazione degli aggiornamenti selezionati
    Mantenere abilitata questa opzione se si desidera consentire l'installazione delle versioni intermedie delle applicazioni quando questa operazione è necessaria per l'installazione degli aggiornamenti selezionati.
    
    Se questa opzione è disabilitata, vengono installate solo le versioni delle applicazioni selezionate. Disabilitare questa opzione se si desidera aggiornare le applicazioni in modo diretto, senza tentare di installare le versioni successive in modo incrementale. Se l'installazione degli aggiornamenti selezionati non è possibile senza installare le versioni precedenti delle applicazioni, l'aggiornamento dell'applicazione non riesce.
    
    Si supponga di avere la versione 3 di un'applicazione installata in un dispositivo e di voler eseguire l'aggiornamento alla versione 5, ma la versione 5 di questa applicazione può essere installata solo sulla versione 4. Se questa opzione è abilitata, il software installa prima la versione 4 e quindi la versione 5. Se questa opzione è disabilitata, il software non riesce a eseguire l'aggiornamento l'applicazione.
    
    Per impostazione predefinita, questa opzione è abilitata.
Nella pagina Vulnerabilità selezionare le vulnerabilità da correggere tramite l'installazione degli aggiornamenti selezionati:
- Correggi tutte le vulnerabilità che corrispondono ad altri criteri
  Verranno corrette tutte le vulnerabilità che soddisfano i criteri specificati nella pagina Criteri generali della procedura guidata. Opzione selezionata per impostazione predefinita.
- Correggi solo le vulnerabilità nell'elenco
  Verranno corrette solo le vulnerabilità selezionate manualmente dall'elenco. Questo elenco contiene tutte le vulnerabilità rilevate.
  
  Ad esempio, è possibile selezionare vulnerabilità specifiche nei seguenti casi: per verificarne la correzione in un ambiente di test, per correggere solo le vulnerabilità di applicazioni critiche o per correggere le vulnerabilità solo in specifiche applicazioni.
Nella pagina Nome specificare il nome della regola che si intende creare. È possibile modificare questo nome in un secondo momento nella sezione Impostazioni della finestra delle proprietà dell'attività creata.

Al termine della Creazione regole guidata, la nuova regola verrà creata e visualizzata nel campo Specificare le regole per l'installazione degli aggiornamenti della Creazione guidata nuova attività.

Per creare una nuova regola per gli aggiornamenti delle applicazioni Microsoft:

Nella pagina Impostazioni della Creazione guidata nuova attività fare clic sul pulsante Aggiungi.
Verrà avviata la Creazione regole guidata. Seguire le istruzioni della procedura guidata.
Nella pagina Tipo di regola selezionare Regola per Windows Update.
Nella pagina Criteri generali specificare le seguenti impostazioni:
- Set di aggiornamenti da installare
  Selezionare gli aggiornamenti che devono essere installati nei dispositivi client:
  - Installa solo gli aggiornamenti approvati. Verranno installati solo gli aggiornamenti approvati.
  - Installa tutti gli aggiornamenti (tranne quelli rifiutati). Verranno installati gli aggiornamenti con lo stato di approvazione Approvato o Indefinito.
  - Installa tutti gli aggiornamenti (inclusi quelli rifiutati). Verranno installati tutti gli aggiornamenti, indipendentemente dal relativo stato di approvazione. Prestare attenzione quando si seleziona questa opzione. Ad esempio, utilizzare questa opzione se si desidera controllare l'installazione di alcuni aggiornamenti rifiutati in un'infrastruttura di test.
- Correggi le vulnerabilità con un livello di criticità uguale o superiore a
  Talvolta gli aggiornamenti software possono compromettere l'esperienza utente con il software. In questi casi, è possibile decidere di installare solo gli aggiornamenti critici per l'esecuzione del software e ignorare gli altri aggiornamenti.
  
  Se questa opzione è abilitata, gli aggiornamenti correggono solo le vulnerabilità per cui il livello di criticità impostato da Kaspersky è uguale o superiore al valore selezionato nell'elenco (Medio, Alto o Critico). Le vulnerabilità con un livello di criticità inferiore al valore selezionato non vengono corrette.
  
  Se questa opzione è disabilitata, gli aggiornamenti correggono tutte le vulnerabilità, indipendentemente dal livello di criticità.
  
  Per impostazione predefinita, questa opzione è disabilitata.
- Correggi le vulnerabilità con un livello di criticità MSRC uguale o superiore a
  Talvolta gli aggiornamenti software possono compromettere l'esperienza utente con il software. In questi casi, è possibile decidere di installare solo gli aggiornamenti critici per l'esecuzione del software e ignorare gli altri aggiornamenti.
  
  Se questa opzione è abilitata, gli aggiornamenti correggono solo le vulnerabilità per cui il livello di criticità impostato da Microsoft Security Response Center (MSRC) è uguale o superiore al valore selezionato nell'elenco (Basso, Medio, Alto o Critico). Le vulnerabilità con un livello di criticità inferiore al valore selezionato non vengono corrette.
  
  Se questa opzione è disabilitata, gli aggiornamenti correggono tutte le vulnerabilità, indipendentemente dal livello di criticità.
  
  Per impostazione predefinita, questa opzione è disabilitata.
Nella pagina Applicazioni selezionare le applicazioni e le versioni delle applicazioni per cui si desidera installare gli aggiornamenti. Per impostazione predefinita, tutte le applicazioni sono selezionate.
Nella pagina Categorie di aggiornamenti selezionare le categorie di aggiornamenti da installare. Queste categorie sono identiche a quelle del catalogo di Microsoft Update. Per impostazione predefinita, tutte le categorie sono selezionate.
Nella pagina Nome specificare il nome della regola che si intende creare. È possibile modificare questo nome in un secondo momento nella sezione Impostazioni della finestra delle proprietà dell'attività creata.

Per creare una nuova regola per gli aggiornamenti delle applicazioni di terze parti:

Nella pagina Impostazioni della Creazione guidata nuova attività fare clic sul pulsante Aggiungi.
Verrà avviata la Creazione regole guidata. Seguire le istruzioni della procedura guidata.
Nella pagina Tipo di regola selezionare Regola per gli aggiornamenti di terze parti.
Nella pagina Criteri generali specificare le seguenti impostazioni:
- Set di aggiornamenti da installare
  Selezionare gli aggiornamenti che devono essere installati nei dispositivi client:
  - Installa solo gli aggiornamenti approvati. Verranno installati solo gli aggiornamenti approvati.
  - Installa tutti gli aggiornamenti (tranne quelli rifiutati). Verranno installati gli aggiornamenti con lo stato di approvazione Approvato o Indefinito.
  - Installa tutti gli aggiornamenti (inclusi quelli rifiutati). Verranno installati tutti gli aggiornamenti, indipendentemente dal relativo stato di approvazione. Prestare attenzione quando si seleziona questa opzione. Ad esempio, utilizzare questa opzione se si desidera controllare l'installazione di alcuni aggiornamenti rifiutati in un'infrastruttura di test.
- Correggi le vulnerabilità con un livello di criticità uguale o superiore a
  Talvolta gli aggiornamenti software possono compromettere l'esperienza utente con il software. In questi casi, è possibile decidere di installare solo gli aggiornamenti critici per l'esecuzione del software e ignorare gli altri aggiornamenti.
  
  Se questa opzione è abilitata, gli aggiornamenti correggono solo le vulnerabilità per cui il livello di criticità impostato da Kaspersky è uguale o superiore al valore selezionato nell'elenco (Medio, Alto o Critico). Le vulnerabilità con un livello di criticità inferiore al valore selezionato non vengono corrette.
  
  Se questa opzione è disabilitata, gli aggiornamenti correggono tutte le vulnerabilità, indipendentemente dal livello di criticità.
  
  Per impostazione predefinita, questa opzione è disabilitata.
Nella pagina Applicazioni selezionare le applicazioni e le versioni delle applicazioni per cui si desidera installare gli aggiornamenti. Per impostazione predefinita, tutte le applicazioni sono selezionate.
Nella pagina Nome specificare il nome della regola che si intende creare. È possibile modificare questo nome in un secondo momento nella sezione Impostazioni della finestra delle proprietà dell'attività creata.

Vedere anche:

Scenario: Individuazione e correzione delle vulnerabilità del software di terze parti

Inizio pagina

[Topic 62749]

Gruppi di applicazioni

In questa sezione viene descritto come gestire i gruppi di applicazioni installate nei dispositivi.

Creazione delle categorie di applicazioni

Kaspersky Security Center consente di creare categorie di applicazioni installate nei dispositivi.

È possibile creare categorie di applicazioni in uno dei seguenti modi:

L'amministratore specifica una cartella che contiene i file eseguibili da includere nella categoria selezionata.
L'amministratore specifica un dispositivo che contiene i file eseguibili da includere nella categoria selezionata.
L'amministratore imposta i criteri da utilizzare per includere le applicazioni nella categoria selezionata.

Al momento della creazione di una categoria di applicazioni, l'amministratore può impostare le regole per la categoria. Le regole definiscono il comportamento delle applicazioni incluse nella categoria specificata. Ad esempio, è possibile bloccare o consentire l'avvio delle applicazioni incluse nella categoria.

Gestione delle applicazioni in esecuzione nei dispositivi

Kaspersky Security Center consente di gestire l'avvio delle applicazioni nei dispositivi in modalità Lista consentiti. Per una descrizione dettagliata, vedere la Guida in linea di Kaspersky Endpoint Security for Windows. In modalità Lista consentiti, nei dispositivi selezionati sarà consentito solo l'avvio delle applicazioni incluse nelle categorie specificate. L'amministratore può visualizzare i risultati dell'analisi statica delle regole di avvio delle applicazioni nei dispositivi per ogni utente.

Inventario del software installato nei dispositivi

Kaspersky Security Center consente di creare un inventario del software installato nei dispositivi che eseguono Windows e Linux. Network Agent recupera informazioni su tutte le applicazioni installate nei dispositivi. Le informazioni ottenute durante l'inventario vengono visualizzate nell'area di lavoro della cartella Registro delle applicazioni. L'amministratore può visualizzare informazioni dettagliate su qualsiasi applicazione, inclusi la versione e il produttore.

Il numero di file eseguibili ricevuti da un singolo dispositivo non può essere superiore a 150.000. Una volta raggiunto questo limite, Kaspersky Security Center non può ricevere nuovi file.

Gestione gruppo di applicazioni concesse in licenza

Kaspersky Security Center consente di creare gruppi di applicazioni concesse in licenza. Un gruppo di applicazioni concesse in licenza include le applicazioni che soddisfano i criteri impostati dall'amministratore. L'amministratore può specificare i seguenti criteri per i gruppi di applicazioni concesse in licenza:

Nome applicazione
Versione applicazione
Produttore
Tag applicazione

Le applicazioni che soddisfano uno o più criteri vengono automaticamente incluse in un gruppo. Per creare un gruppo di applicazioni concesse in licenza, è necessario impostare almeno un criterio per l'inclusione delle applicazioni nel gruppo.

Ogni gruppo di applicazioni concesse in licenza dispone di una propria chiave di licenza. La chiave di licenza di un gruppo di applicazioni concesse in licenza definisce il numero massimo di installazioni consentite per le applicazioni incluse nel gruppo. Se il numero di installazioni ha superato i limiti impostati dalla chiave di licenza, viene registrato un evento informativo in Administration Server. L'amministratore può specificare una data di scadenza per la chiave di licenza. Alla scadenza, viene registrato un evento informativo in Administration Server.

Visualizzazione delle informazioni sui file eseguibili

Kaspersky Security Center recupera tutte le informazioni sui file eseguibili avviati nei dispositivi a partire dall'installazione del sistema operativo. Le informazioni sui file eseguibili vengono visualizzate nella finestra principale dell'applicazione, nell'area di lavoro della cartella File eseguibili.

In questa sezione

Recupero e visualizzazione di un elenco dei file eseguibili archiviati nei dispositivi client

Utilizzo di Controllo Applicazioni per gestire i file eseguibili

Creazione delle categorie di applicazioni per i criteri di Kaspersky Endpoint Security for Windows

Creazione di una categoria di applicazioni con contenuto aggiunto manualmente

Creazione di una categoria di applicazioni che include i file eseguibili nei dispositivi selezionati

Creazione di una categoria di applicazioni che include i file eseguibili da una cartella specifica

Aggiunta di file eseguibili relativi agli eventi alla categoria di applicazioni

Configurazione della gestione dell'avvio delle applicazioni nei dispositivi client

Visualizzazione dei risultati dell'analisi statistica delle regole di avvio applicate ai file eseguibili

Visualizzazione del registro delle applicazioni

Modifica dell'ora di inizio dell'inventario software

Informazioni sulla gestione delle chiavi di licenza di applicazioni di terze parti

Creazione di gruppi di applicazioni concesse in licenza

Gestione delle chiavi di licenza per i gruppi di applicazioni concesse in licenza

Inventario dei file eseguibili

Visualizzazione delle informazioni sui file eseguibili

Inizio pagina

[Topic 295859]

Recupero e visualizzazione di un elenco dei file eseguibili archiviati nei dispositivi client

È possibile ottenere l'elenco dei file eseguibili archiviati sui dispositivi client in uno dei seguenti modi:

Abilitazione delle notifiche sull'avvio delle applicazioni nel criterio di Kaspersky Endpoint Security.
Creazione di un'attività di inventario.

Abilitazione delle notifiche sull'avvio delle applicazioni nel criterio di Kaspersky Endpoint Security

Per abilitare le notifiche sull'avvio delle applicazioni:

Aprire le impostazioni dei criteri di Kaspersky Endpoint Security, quindi passare a Impostazioni generali → Rapporti e archivi.
Nel gruppo di impostazioni Trasferimento dati ad Administration Server, selezionare la casella di controllo Informazioni sulle applicazioni avviate e salvare le modifiche.

Quando un utente tenta di avviare file eseguibili, le informazioni su tali file vengono aggiunte all'elenco dei file eseguibili su un dispositivo client. Kaspersky Endpoint Security invia queste informazioni a Network Agent, che a sua volta le invia ad Administration Server.

Creazione di un'attività di inventario

La funzione di inventario dei file eseguibili è disponibile per le seguenti applicazioni:

Kaspersky Endpoint Security for Windows
Kaspersky Endpoint Security for Linux versione 11.2 e successive
Kaspersky Security for Virtualization 4.0 Light Agent e versioni successive

È possibile ridurre il carico sul database mentre si ottengono informazioni sulle applicazioni installate. Per risparmiare spazio, eseguire un'attività di inventario sui dispositivi di riferimento in cui è installato un set standard di software. Il numero preferibile di dispositivi è 1-3.

Si sconsiglia vivamente di eseguire l'attività di inventario quando si utilizzano i seguenti database: MySQL, PostgreSQL, SQL Server Express Edition, MariaDB (tutte le edizioni).

Per creare un'attività di inventario per i file eseguibili nei dispositivi client:

Nella struttura della console selezionare la cartella Attività.
Fare clic sul pulsante Nuova attività nell'area di lavoro della cartella Attività.
Verrà avviata la Creazione guidata nuova attività.
Nella finestra Selezionare il tipo di attività della procedura guidata selezionare Kaspersky Endpoint Security come tipo di attività, selezionare Inventario come sottotipo di attività, quindi fare clic su Avanti.
Seguire le rimanenti istruzioni della procedura guidata.

Al termine della Creazione guidata nuova attività, l'attività Inventario sarà creata e configurata. Se si desidera, è possibile modificare le impostazioni per l'attività creata. La nuova attività creata verrà visualizzata nell'elenco delle attività. Se si desidera, è possibile modificare le impostazioni per l'attività creata.

Per una descrizione dettagliata dell'attività di inventario, fare riferimento alle seguenti Guide:

Dopo l'esecuzione dell'attività Inventario, viene formato l'elenco dei file eseguibili archiviati nei dispositivi gestiti ed è possibile visualizzarlo.

Durante l'esecuzione dell'attività di inventario, è possibile rilevare file eseguibili nei seguenti formati (a seconda dell'opzione selezionata nelle proprietà dell'attività di inventario): MZ, COM, PE, NE, SYS, CMD, BAT, PS1, JS, VBS, REG, MSI, CPL, DLL, JAR e HTML.

Visualizzazione dell'elenco dei file eseguibili archiviati nei dispositivi gestiti

Per visualizzare l'elenco dei file eseguibili archiviati nei dispositivi client:

Nella struttura della console, passare ad Avanzate → Gestione applicazioni → File eseguibili.

Se necessario, è possibile inviare un file eseguibile da un dispositivo gestito al dispositivo su cui è installata l'Administration Console.

Per inviare un file eseguibile:

Nella struttura della console, passare ad Avanzate → Gestione applicazioni → File eseguibili.
Fare clic sul collegamento del file eseguibile che si desidera inviare al dispositivo su cui è installata l'Administration Console.
Nella finestra visualizzata, accedere alla sezione Dispositivi, quindi selezionare la casella di controllo del dispositivo gestito da cui si desidera inviare il file eseguibile.
Prima di inviare il file eseguibile, assicurarsi che il dispositivo gestito disponga di una connessione diretta ad Administration Server selezionando la casella di controllo Non eseguire la disconnessione da Administration Server.
Fare clic sul pulsante Invia, selezionare la cartella di destinazione, quindi fare clic su OK.

Il file eseguibile selezionato viene scaricato per essere inviato al dispositivo su cui è installata l'Administration Console.

Inizio pagina

[Topic 183681]

Utilizzo di Controllo Applicazioni per gestire i file eseguibili

È possibile utilizzare il componente Controllo Applicazioni per consentire o bloccare l'avvio dei file eseguibili nei dispositivi dell'utente. Il componente Controllo Applicazioni supporta i sistemi operativi basati su Windows e Linux.

Per i sistemi operativi basati su Linux, il componente Application Control è disponibile a partire da Kaspersky Endpoint Security 11.2 per Linux. Inoltre, il componente è disponibile per Kaspersky Embedded Systems Security per Windows 3.0 o versioni successive.

Prerequisiti

Kaspersky Security Center viene distribuito nell'organizzazione.
Il criterio di Kaspersky Endpoint Security for Windows o Kaspersky Endpoint Security for Linux è stato creato ed è attivo.

Passaggi

Lo scenario di utilizzo di Controllo Applicazioni prevede diversi passaggi:

Creazione e visualizzazione dell'elenco dei file eseguibili nei dispositivi client
Questo passaggio consente di scoprire quali file eseguibili sono presenti nei dispositivi gestiti. Visualizzare l'elenco dei file eseguibili e confrontarlo con l'elenco dei file eseguibili consentiti e non consentiti. Le restrizioni relative all'utilizzo dei file eseguibili possono essere correlate ai criteri di sicurezza delle informazioni dell'organizzazione.

Istruzioni dettagliate:
- Administration Console: Inventario dei file eseguibili
- Kaspersky Security Center Web Console: Recupero e visualizzazione di un elenco dei file eseguibili archiviati nei dispositivi client
Creazione di categorie per i file eseguibili utilizzati nell'organizzazione
Analizzare gli elenchi dei file eseguibili archiviati nei dispositivi gestiti. In base all'analisi, creare categorie per i file eseguibili. È consigliabile creare una categoria "Applicazioni di lavoro" che includa il set standard di file eseguibili utilizzati nell'organizzazione. Se differenti gruppi di sicurezza utilizzano i propri set di file eseguibili nel proprio lavoro, è possibile creare una categoria distinta per ciascun gruppo di sicurezza.

Istruzioni dettagliate:
- Administration Console: Creazione di una categoria di applicazioni con contenuto aggiunto manualmente, Creazione di una categoria di applicazioni che include i file eseguibili nei dispositivi selezionati, Creazione di una categoria di applicazioni che include i file eseguibili in una cartella selezionata.
- Kaspersky Security Center Web Console: Creazione di una categoria di applicazioni con contenuto aggiunto manualmente, Creazione di una categoria di applicazioni che include i file eseguibili nei dispositivi selezionati, Creazione di una categoria di applicazioni che include i file eseguibili in una cartella specifica.
Configurazione di Controllo Applicazioni nel criterio di Kaspersky Endpoint Security
Configurare il componente Controllo Applicazioni nel criterio di Kaspersky Endpoint Security utilizzando le categorie create nel passaggio precedente.

Istruzioni dettagliate:
- Administration Console: Configurazione della gestione dell'avvio delle applicazioni nei dispositivi client
- Kaspersky Security Center Web Console: Configurazione di Controllo Applicazioni nel criterio di Kaspersky Endpoint Security for Windows
Attivazione del componente Controllo Applicazioni in modalità di test
Per garantire che le regole di Controllo Applicazioni non blocchino i file eseguibili richiesti per il lavoro dell'utente, è consigliabile abilitare il test delle regole di Controllo Applicazioni e analizzarne il funzionamento dopo aver creato le nuove regole. Quando il test è abilitato, Kaspersky Endpoint Security for Windows non bloccherà i file eseguibili il cui avvio non è consentito dalle regole di Controllo Applicazioni, ma invierà invece notifiche sul relativo avvio ad Administration Server.

Durante il test delle regole di Controllo Applicazioni, è consigliabile eseguire le seguenti azioni:
- Determinare il periodo di test. Il periodo di test può variare da alcuni giorni a due mesi.
- Esaminare gli eventi risultanti dal test del funzionamento di Controllo Applicazioni.
Istruzioni dettagliate per Kaspersky Security Center Web Console: Configurazione del componente Controllo Applicazioni nel criterio di Kaspersky Endpoint Security for Windows. Seguire queste istruzioni e abilitare l'opzione Modalità test nel processo di configurazione.
Modifica delle impostazioni delle categorie del componente Controllo Applicazioni
Se necessario, apportare modifiche alle impostazioni di Controllo Applicazioni. In base ai risultati del test, è possibile aggiungere i file eseguibili correlati agli eventi del componente Controllo Applicazioni a una categoria con contenuto aggiunto manualmente.

Istruzioni dettagliate:
- Administration Console: Aggiunta di file eseguibili relativi agli eventi alla categoria di applicazioni
- Kaspersky Security Center Web Console: Aggiunta di file eseguibili relativi agli eventi alla categoria di applicazioni
Applicazione delle regole di Controllo Applicazioni in modalità operativa
Dopo aver testato le regole di Controllo Applicazioni e completato la configurazione delle categorie, è possibile applicare le regole di Controllo Applicazioni in modalità operativa.

Istruzioni dettagliate per Kaspersky Security Center Web Console: Configurazione del componente Controllo Applicazioni nel criterio di Kaspersky Endpoint Security for Windows. Seguire queste istruzioni e disabilitare l'opzione Modalità test nel processo di configurazione.
Verifica della configurazione di Controllo Applicazioni
Assicurarsi di avere eseguito le seguenti operazioni:
- Categorie create per i file eseguibili.
- Configurazione di Controllo Applicazioni tramite le categorie.
- Applicazione delle regole di Controllo Applicazioni in modalità operativa.

Risultati

Al termine dello scenario, viene controllato l'avvio dei file eseguibili nei dispositivi gestiti. Gli utenti possono eseguire solo i file eseguibili consentiti nell'organizzazione e non possono eseguire quelli non consentiti.

Per informazioni dettagliate su Controllo Applicazioni, fare riferimento ai seguenti argomenti della Guida:

Inizio pagina

[Topic 52459]

Creazione delle categorie di applicazioni per i criteri di Kaspersky Endpoint Security for Windows

È possibile creare categorie di applicazioni per i criteri di Kaspersky Endpoint Security for Windows dalla cartella Categorie di applicazioni e dalla finestra Proprietà di un criterio di Kaspersky Endpoint Security for Windows.

Per creare una categoria di applicazioni per un criterio di Kaspersky Endpoint Security dalla cartella Categorie di applicazioni:

Nella struttura della console selezionare Avanzate → Gestione applicazioni → Categorie di applicazioni.
Nell'area di lavoro della cartella Categorie di applicazioni fare clic sul pulsante Nuova categoria.
Verrà avviata la Creazione guidata nuova categoria.
Nella pagina Tipo di categoria selezionare il tipo di categoria utente:
- Categoria con contenuto aggiunto manualmente. Specificare i criteri da utilizzare per assegnare i file eseguibili alla categoria creata.
- Categoria che include i file eseguibili dei dispositivi selezionati. Specificare un dispositivo di cui assegnare automaticamente i file eseguibili alla categoria.
- Categoria che include i file eseguibili da una cartella specifica. Specificare una cartella di cui assegnare automaticamente i file eseguibili alla categoria.
Seguire le istruzioni della procedura guidata.

Al termine della procedura guidata, viene creata una categoria di applicazioni personalizzata. È possibile visualizzare le nuove categorie create utilizzando l'elenco di categorie nell'area di lavoro della cartella Categorie di applicazioni.

Se si desidera esportare una categoria di applicazioni in un file KLC, fare clic con il pulsante destro del mouse sul nome della categoria, selezionare Esporta nel menu, quindi nella finestra che si apre specificare il nome del file e fare clic su Save.

È inoltre possibile creare una categoria di applicazioni dalla cartella Criteri.

Per creare una categoria di applicazioni dalla finestra Proprietà di un criterio di Kaspersky Endpoint Security for Windows:

Nella struttura della console selezionare la cartella Criteri.
Nell'area di lavoro della cartella Criteri selezionare un criterio di Kaspersky Endpoint Security per cui si desidera creare una categoria.
Fare clic con il pulsante destro del mouse e selezionare Proprietà.
Nella finestra Proprietà visualizzata, nel riquadro sinistro Sezioni, selezionare Controlli di sicurezza → Controllo Applicazioni.
Nella sezione Controllo Applicazioni, negli elenchi a discesa Modalità di controllo e Azione, effettuare le selezioni per la lista consentiti o la lista vietati, quindi fare clic sul pulsante Aggiungi.
Verrà visualizzata la finestra Regola di Controllo Applicazioni con un elenco di categorie.
Fare clic sul pulsante Crea nuova.
Immettere il nome della nuova categoria e fare clic su OK.
Verrà avviata la Creazione guidata nuova categoria.
Nella pagina Tipo di categoria selezionare il tipo di categoria utente:
- Categoria con contenuto aggiunto manualmente. Specificare i criteri da utilizzare per assegnare i file eseguibili alla categoria creata.
- Categoria che include i file eseguibili dei dispositivi selezionati. Specificare un dispositivo di cui assegnare automaticamente i file eseguibili alla categoria.
- Categoria che include i file eseguibili da una cartella specifica. Specificare una cartella di cui assegnare automaticamente i file eseguibili alla categoria.
Seguire le istruzioni della procedura guidata.

Al termine della procedura guidata, viene creata una categoria di applicazioni personalizzata. È possibile visualizzare le nuove categorie create nell'elenco delle categorie.

Le categorie di applicazioni vengono utilizzate dal componente Controllo Applicazioni incluso in Kaspersky Endpoint Security for Windows. Controllo Applicazioni consente all'amministratore di applicare restrizioni all'avvio delle applicazioni nei dispositivi client, ad esempio limitando gli avvii delle applicazioni in una categoria specificata.

Vedere anche:

Creazione di una categoria di applicazioni con contenuto aggiunto manualmente

Utilizzo di Controllo Applicazioni per gestire i file eseguibili

Inizio pagina

[Topic 154440]

Creazione di una categoria di applicazioni con contenuto aggiunto manualmente

Utilizzo di Controllo Applicazioni per gestire i file eseguibili

È possibile specificare un set di criteri come modello per i file eseguibili di cui consentire o bloccare l'avvio nell'organizzazione. In base ai file eseguibili corrispondenti ai criteri, è possibile creare una categoria di applicazioni e utilizzarla nella configurazione del componente Controllo Applicazioni.

Per creare una categoria di applicazioni con contenuto aggiunto manualmente:

Nella struttura della console, nella cartella Avanzate → Gestione applicazioni selezionare la sottocartella Categorie di applicazioni.
Fare clic sul pulsante Nuova categoria.
Verrà avviata la Creazione guidata nuova categoria. Procedere con la procedura guidata utilizzando il pulsante Avanti.
Nella pagina della procedura guidata Tipo di categoria, selezionare Categoria con contenuto aggiunto manualmente come tipo di categoria utente.
Nella pagina della procedura guidata Immettere il nome della categoria di applicazioni, immettere il nuovo nome della categoria dell'applicazione.
Nella pagina Configurazione delle condizioni per l'inclusione delle applicazioni nelle categorie fare clic sul pulsante Aggiungi.
Nell'elenco a discesa specificare le impostazioni desiderate:
- Dall'elenco di file eseguibili
  Se questa opzione è selezionata, è possibile utilizzare l'elenco dei file eseguibili nel dispositivo client per selezionare e aggiungere applicazioni alla categoria.
- Dalle proprietà dei file
  Se questa opzione è selezionata, è possibile specificare dati dettagliati per i file eseguibili da aggiungere alla categoria utente di applicazioni.
- Metadati dai file nella cartella
  Specificare una cartella nel dispositivo client contenente i file eseguibili. I metadati dei file eseguibili inclusi nella cartella specificata verranno inviati ad Administration Server. I file eseguibili che contengono gli stessi metadati verranno aggiunti alla categoria utente di applicazioni.
- Checksum dei file nella cartella
  Se questa opzione è selezionata, è possibile selezionare o creare una cartella nel dispositivo client. L'hash MD5 dei file in una cartella specificata verrà inviato ad Administration Server. Le applicazioni con lo stesso hash dei file nella cartella specificata verranno aggiunte alla categoria di applicazioni dell'utente.
- Certificati per i file della cartella
  Se questa opzione è selezionata, è possibile specificare la cartella nel dispositivo client che contiene file eseguibili firmati con certificati. I certificati dei file eseguibili vengono letti e aggiunti alle condizioni della categoria. I file eseguibili firmati in base ai certificati specificati verranno aggiunti alla categoria utente.
- Metadati dei file del programma di installazione MSI
  Se questa opzione è selezionata, è possibile specificare il file di un programma di installazione MSI come condizione per l'aggiunta di applicazioni alla categoria utente. I metadati del programma di installazione dell'applicazione verranno inviati ad Administration Server. Le applicazioni per cui i metadati del programma di installazione corrispondono a quelli del programma di installazione MSI specificato verranno aggiunte alla categoria utente di applicazioni.
- Checksum dei file dal programma di installazione MSI dell'applicazione
  Se questa opzione è selezionata, è possibile specificare il file di un programma di installazione MSI come condizione per l'aggiunta di applicazioni alla categoria utente. L'hash dei file del programma di installazione dell'applicazione verrà inviato ad Administration Server. Le applicazioni per cui l'hash dei file del programma di installazione MSI è identico all'hash specificato vengono aggiunte alla categoria di applicazioni dell'utente.
- Da categoria KL
  Se questa opzione è selezionata, è possibile specificare una categoria di applicazioni Kaspersky come condizione per l'aggiunta di applicazioni alla categoria utente. Le applicazioni della categoria Kaspersky specificata verranno aggiunte alla categoria utente di applicazioni.
- Specificare il percorso dell'applicazione (maschere supportate)
  Se questa opzione è selezionata, è possibile specificare il percorso di un file o una cartella nel dispositivo client che contiene i file eseguibili da aggiungere alla categoria utente di applicazioni. È possibile utilizzare espressioni regolari come C:\path_to_exe\*, ad esempio: C:\Program Files\Internet Explorer\*.
- Seleziona certificato dall'archivio
  Se questa opzione è selezionata, è possibile specificare i certificati dell'archivio. I file eseguibili firmati in base ai certificati specificati verranno aggiunti alla categoria utente.
- Tipo di unità
  Se questa opzione è selezionata, è possibile specificare il tipo di supporto (qualsiasi unità o unità rimovibile) in cui viene eseguita l'applicazione. Le applicazioni che sono state eseguite nel tipo di unità selezionato verranno aggiunte alla categoria utente di applicazioni.
Nella pagina della procedura guidata Creazione della categoria di applicazioni, fare clic sul pulsante Fine.
Kaspersky Security Center gestisce solo i metadati dei file con firma digitale. Non è possibile creare una categoria in base ai metadati dei file che non contengono una firma digitale.

Al termine della procedura guidata, viene creata una categoria di applicazioni dell'utente con contenuto aggiunto manualmente. È possibile visualizzare la nuova categoria creata utilizzando l'elenco di categorie nell'area di lavoro della cartella Categorie di applicazioni.

Vedere anche:

Inizio pagina

[Topic 245879]

Creazione di una categoria di applicazioni che include i file eseguibili nei dispositivi selezionati

È possibile utilizzare i file eseguibili nei dispositivi selezionati come modello per i file eseguibili da consentire o bloccare. In base ai file eseguibili nei dispositivi selezionati, è possibile creare una categoria di applicazioni e utilizzarla nella configurazione del componente Controllo Applicazioni.

Per recuperare l'elenco dei file eseguibili dai dispositivi:

Assicurarsi che il criterio di Kaspersky Endpoint Security for Windows o Kaspersky Endpoint Security for Linux sia stato creato e sia attivo. Abilitare il componente Controllo Applicazioni nel criterio.
Recuperare un elenco dei file eseguibili archiviati nei dispositivi client.

Per creare una categoria di applicazioni che include i file eseguibili nei dispositivi selezionati:

Nella struttura della console, nella cartella Avanzate → Gestione applicazioni selezionare la sottocartella Categorie di applicazioni.
Fare clic sul pulsante Nuova categoria.
Verrà avviata la Creazione guidata nuova categoria. Procedere con la procedura guidata utilizzando il pulsante Avanti.
Nella pagina della procedura guidata Tipo di categoria, selezionare Categoria che include i file eseguibili dai dispositivi selezionati come tipo di categoria utente.
Nella pagina della procedura guidata Immettere il nome della categoria di applicazioni, immettere il nuovo nome della categoria dell'applicazione.
Nella pagina della procedura guidata Impostazioni fare clic sul pulsante Aggiungi.
Selezionare uno o più dispositivi che contengono i file eseguibili da utilizzare per creare la categoria di applicazioni.
Specificare le seguenti impostazioni:
- Algoritmo di calcolo del valore hash
  A seconda della versione dell'applicazione di protezione installata nei dispositivi della rete, è necessario selezionare un algoritmo per il calcolo del valore hash da parte di Kaspersky Security Center per i file di questa categoria. Le informazioni sui valori hash calcolati vengono archiviate nel database di Administration Server. L'archiviazione dei valori hash non aumenta in modo significativo le dimensioni del database.
  
  SHA256 è una funzione hash di criptaggio: non sono state rilevate vulnerabilità nell'algoritmo, pertanto è considerata la più affidabile funzione di criptaggio attualmente disponibile. Kaspersky Endpoint Security 10 Service Pack 2 for Windows e versioni successive supportano il calcolo di SHA256. Il calcolo della funzione hash MD5 è supportato da tutte le versioni precedenti a Kaspersky Endpoint Security 10 Service Pack 2 for Windows.
  
  Selezionare una delle opzioni di calcolo del valore hash da parte di Kaspersky Security Center per i file della categoria:
  - Se tutte le istanze delle applicazioni di protezione installate nella rete sono Kaspersky Endpoint Security 10 Service Pack 2 for Windows o versioni successive, selezionare la casella di controllo SHA-256. Non è consigliabile aggiungere categorie create in base al criterio dell'hash SHA256 di un file eseguibile per le versioni precedenti a Kaspersky Endpoint Security 10 Service Pack 2 for Windows. Questo può generare errori durante l'esecuzione dell'applicazione di protezione. In questo caso, è possibile utilizzare la funzione hash di criptaggio MD5 per i file della categoria.
  - Se nella rete sono installate versioni precedenti a Kaspersky Endpoint Security 10 Service Pack 2 for Windows, selezionare Hash MD5. Non è possibile aggiungere una categoria che è stata creata in base al criterio del checksum MD5 di un file eseguibile per Kaspersky Endpoint Security 10 Service Pack 2 for Windows o versioni successive. In questo caso, è possibile utilizzare la funzione hash di criptaggio SHA256 per i file della categoria.
  Se diversi dispositivi della rete utilizzano versioni precedenti e successive di Kaspersky Endpoint Security 10, selezionare sia la casella di controllo SHA-256 che la casella di controllo Hash MD5.
  
  La casella di controllo Calcola SHA256 per i file di questa categoria (supportato da Kaspersky Endpoint Security 10 Service Pack 2 for Windows e versioni successive) è selezionata per impostazione predefinita.
  
  La casella di controllo Calcola MD5 per i file di questa categoria (supportato dalle versioni precedenti a Kaspersky Endpoint Security 10 Service Pack 2 for Windows) è deselezionata per impostazione predefinita.
- Sincronizza i dati con l'archivio dell'Administration Server
  Selezionare questa opzione se si desidera che Administration Server controlli periodicamente le modifiche nelle cartelle specificate.
  
  Per impostazione predefinita, questa opzione è disabilitata.
  
  Se si abilita questa opzione, specificare il periodo (in ore) per la verifica delle modifiche nelle cartelle specificate. Per impostazione predefinita, l'intervallo per la scansione è di 24 ore.
Nella pagina della procedura guidata Filtro, specificare le seguenti impostazioni:
- Tipo di file
  In questa sezione è possibile specificare il tipo di file utilizzato per creare la categoria di applicazioni.
  
  Tutti i file. Durante la creazione della categoria vengono presi in considerazione tutti i file. Per impostazione predefinita, questa opzione è selezionata.
  
  Solo file esterni alle categorie di applicazioni. Durante la creazione della categoria vengono presi in considerazione solo i file esterni alle categorie di applicazioni.
- Cartelle
  In questa sezione è possibile specificare quali cartelle nei dispositivi selezionati contengono i file utilizzati per creare la categoria di applicazioni.
  
  Tutte le cartelle. Per la creazione della categoria vengono prese in considerazione tutte le cartelle. Per impostazione predefinita, questa opzione è selezionata.
  
  Cartella specificata. Per la creazione della categoria viene presa in considerazione solo la cartella specificata. Se si seleziona questa opzione, è necessario specificare il percorso della cartella.
Nella pagina della procedura guidata Creazione della categoria di applicazioni, fare clic sul pulsante Fine.

Al termine della procedura guidata, viene creata una categoria di applicazioni utente. È possibile visualizzare la nuova categoria creata utilizzando l'elenco di categorie nell'area di lavoro della cartella Categorie di applicazioni.

Inizio pagina

[Topic 245886]

Creazione di una categoria di applicazioni che include i file eseguibili da una cartella specifica

È possibile utilizzare i file eseguibili in una cartella selezionata come standard per i file eseguibili da consentire o bloccare nell'organizzazione. In base ai file eseguibili nella cartella selezionata, è possibile creare una categoria di applicazioni e utilizzarla nella configurazione del componente Controllo Applicazioni.

Per creare una categoria di applicazioni che includa i file eseguibili da una cartella specifica:

Nella struttura della console, nella cartella Avanzate → Gestione applicazioni selezionare la sottocartella Categorie di applicazioni.
Fare clic sul pulsante Nuova categoria.
Verrà avviata la Creazione guidata nuova categoria. Procedere con la procedura guidata utilizzando il pulsante Avanti.
Nella pagina della procedura guidata Tipo di categoria, selezionare Categoria che include i file eseguibili da una cartella specifica come tipo di categoria utente.
Nella pagina della procedura guidata Immettere il nome della categoria di applicazioni, immettere il nuovo nome della categoria dell'applicazione.
Nella pagina della procedura guidata Cartella archivio, fare clic sul pulsante Sfoglia.
Specificare la cartella i cui file eseguibili verranno utilizzati per creare la categoria di applicazioni.
Definire le seguenti impostazioni:
- Includi librerie di collegamento dinamico (DLL) in questa categoria
  La categoria di applicazioni include le librerie di collegamento dinamico (file in formato DLL) e il componente Controllo Applicazioni registra le azioni di tali librerie in esecuzione nel sistema. L'inclusione dei file DLL nella categoria può ridurre le prestazioni di Kaspersky Security Center.
  
  Per impostazione predefinita, questa casella di controllo è deselezionata.
- Includi i dati degli script in questa categoria
  La categoria di applicazioni include i dati sugli script e gli script non vengono bloccati da Protezione minacce Web. L'inclusione dei dati sugli script nella categoria può ridurre le prestazioni di Kaspersky Security Center.
  
  Per impostazione predefinita, questa casella di controllo è deselezionata.
- Algoritmo di calcolo del valore hash: Calcola SHA-256 per i file di questa categoria (supportato da Kaspersky Endpoint Security 10 Service Pack 2 for Windows e versioni successive) / Calcola MD5 per i file di questa categoria (supportato dalle versioni precedenti a Kaspersky Endpoint Security 10 Service Pack 2 for Windows)
  A seconda della versione dell'applicazione di protezione installata nei dispositivi della rete, è necessario selezionare un algoritmo per il calcolo del valore hash da parte di Kaspersky Security Center per i file di questa categoria. Le informazioni sui valori hash calcolati vengono archiviate nel database di Administration Server. L'archiviazione dei valori hash non aumenta in modo significativo le dimensioni del database.
  
  SHA256 è una funzione hash di criptaggio: non sono state rilevate vulnerabilità nell'algoritmo, pertanto è considerata la più affidabile funzione di criptaggio attualmente disponibile. Kaspersky Endpoint Security 10 Service Pack 2 for Windows e versioni successive supportano il calcolo di SHA256. Il calcolo della funzione hash MD5 è supportato da tutte le versioni precedenti a Kaspersky Endpoint Security 10 Service Pack 2 for Windows.
  
  Selezionare una delle opzioni di calcolo del valore hash da parte di Kaspersky Security Center per i file della categoria:
  - Se tutte le istanze delle applicazioni di protezione installate nella rete sono Kaspersky Endpoint Security 10 Service Pack 2 for Windows o versioni successive, selezionare la casella di controllo SHA-256. Non è consigliabile aggiungere categorie create in base al criterio dell'hash SHA256 di un file eseguibile per le versioni precedenti a Kaspersky Endpoint Security 10 Service Pack 2 for Windows. Questo può generare errori durante l'esecuzione dell'applicazione di protezione. In questo caso, è possibile utilizzare la funzione hash di criptaggio MD5 per i file della categoria.
  - Se nella rete sono installate versioni precedenti a Kaspersky Endpoint Security 10 Service Pack 2 for Windows, selezionare Hash MD5. Non è possibile aggiungere una categoria che è stata creata in base al criterio del checksum MD5 di un file eseguibile per Kaspersky Endpoint Security 10 Service Pack 2 for Windows o versioni successive. In questo caso, è possibile utilizzare la funzione hash di criptaggio SHA256 per i file della categoria.
  Se diversi dispositivi della rete utilizzano versioni precedenti e successive di Kaspersky Endpoint Security 10, selezionare sia la casella di controllo SHA-256 che la casella di controllo Hash MD5.
  
  La casella di controllo Calcola SHA256 per i file di questa categoria (supportato da Kaspersky Endpoint Security 10 Service Pack 2 for Windows e versioni successive) è selezionata per impostazione predefinita.
  
  La casella di controllo Calcola MD5 per i file di questa categoria (supportato dalle versioni precedenti a Kaspersky Endpoint Security 10 Service Pack 2 for Windows) è deselezionata per impostazione predefinita.
- Forza scansione delle modifiche nella cartella
  Se questa opzione è abilitata, l'applicazione controlla periodicamente la presenza di modifiche nella cartella di aggiunta di contenuto nelle categorie. È possibile specificare la frequenza dei controlli (in ore) nel campo di immissione accanto alla casella di controllo. Per impostazione predefinita, l'intervallo di tempo fra i controlli forzati è di 24 ore.
  
  Se questa opzione è disabilitata, non verranno forzati controlli della cartella. Il server tenta di accedere ai file modificati, aggiunti o eliminati.
  
  Per impostazione predefinita, questa opzione è disabilitata.
Nella pagina della procedura guidata Creazione della categoria di applicazioni, fare clic sul pulsante Fine.

Inizio pagina

[Topic 158577]

Aggiunta di file eseguibili relativi agli eventi alla categoria di applicazioni

Utilizzo di Controllo Applicazioni per gestire i file eseguibili

È possibile aggiungere file eseguibili relativi agli eventi Avvio dell'applicazione non consentito e Avvio dell'applicazione non consentito in modalità di test a una categoria di applicazioni esistente con contenuto aggiunto manualmente o a una nuova categoria di applicazioni.

Per aggiungere file eseguibili relativi agli eventi di Controllo Applicazioni alla categoria di applicazioni:

Nella struttura della console selezionare il nodo con il nome dell'Administration Server desiderato.
Nell'area di lavoro del nodo selezionare la scheda Eventi.
Nella scheda Eventi selezionare gli eventi desiderati.
Nel menu di scelta rapida di uno degli eventi selezionati selezionare Aggiungi a categoria.
Nella finestra Azione sul file eseguibile relativo all'evento visualizzata specificare le impostazioni attinenti:
Selezionare uno dei seguenti:
- Aggiungi a una nuova categoria di applicazioni
  Selezionare questa opzione se si desidera creare una nuova categoria di applicazioni.
  
  Fare clic sul pulsante OK per eseguire la Creazione guidata nuova categoria. Al termine della procedura guidata, viene creata la categoria con le impostazioni specificate.
  
  Per impostazione predefinita, questa opzione non è selezionata.
- Aggiungi a una categoria di applicazioni esistente
  Selezionare questa opzione se si desidera aggiungere regole a una categoria di applicazioni esistente. Selezionare la categoria appropriata nell'elenco delle categorie di applicazioni.
  
  Questa opzione è selezionata per impostazione predefinita.
Nella sezione Tipo di regola selezionare una delle seguenti impostazioni:
- Aggiungi a categoria
  Selezionare questa opzione se si desidera aggiungere regole alle condizioni della categoria di applicazioni.
  
  Questa opzione è selezionata per impostazione predefinita.
- Regole per l'aggiunta alle esclusioni
  Selezionare questa opzione se si desidera aggiungere regole alle esclusioni della categoria di applicazioni.
Nella sezione Tipo di info sul file selezionare una delle seguenti impostazioni:
- Dettagli del certificato (o hash SHA256 per i file senza certificato)
  I file possono essere firmati con un certificato. Più file possono essere firmati con lo stesso certificato. Ad esempio, lo stesso certificato può essere utilizzato per firmare differenti versioni della stessa applicazione o diverse applicazioni dello stesso fornitore. Quando si seleziona un certificato, possono essere inserite nella categoria diverse versioni di un'applicazione o diverse applicazioni dello stesso fornitore.
  
  Ogni file dispone di una specifica funzione hash SHA256 univoca. Quando si seleziona una funzione hash SHA256, viene inserito nella categoria un solo file corrispondente (ad esempio, la versione dell'applicazione definita).
  
  Selezionare questa opzione se si desidera aggiungere alle regole della categoria i dettagli del certificato di un file eseguibile (o la funzione hash SHA256 per i file senza certificato).
  
  Per impostazione predefinita, questa opzione è selezionata.
- Dettagli del certificato (i file senza certificato verranno ignorati)
  I file possono essere firmati con un certificato. Più file possono essere firmati con lo stesso certificato. Ad esempio, lo stesso certificato può essere utilizzato per firmare differenti versioni della stessa applicazione o diverse applicazioni dello stesso fornitore. Quando si seleziona un certificato, possono essere inserite nella categoria diverse versioni di un'applicazione o diverse applicazioni dello stesso fornitore.
  
  Selezionare questa opzione se si desidera aggiungere i dettagli del certificato di un file eseguibile alle regole della categoria. Se il file eseguibile non dispone di alcun certificato, verrà ignorato. Nessuna informazione sul file verrà aggiunta alla categoria.
- Solo SHA256 (i file senza hash verranno ignorati)
  Ogni file dispone di una specifica funzione hash SHA256 univoca. Quando si seleziona una funzione hash SHA256, viene inserito nella categoria un solo file corrispondente (ad esempio, la versione dell'applicazione definita).
  
  Selezionare questa opzione se si desidera aggiungere solo i dettagli della funzione hash SHA256 del file eseguibile.
- Solo MD5 (modalità non più in uso, solo per la versione di Kaspersky Endpoint Security 10 Service Pack 1)
  Ogni file dispone di una specifica funzione hash MD5 univoca. Quando si seleziona una funzione hash MD5, viene inserito nella categoria un solo file corrispondente (ad esempio, la versione dell'applicazione definita).
  
  Selezionare questa opzione se si desidera aggiungere solo i dettagli della funzione hash MD5 del file eseguibile. Il calcolo della funzione hash MD5 è supportato da Kaspersky Endpoint Security 10 Service Pack 1 for Windows e da tutte le versioni precedenti.
Fare clic su OK.

Vedere anche:

Inizio pagina

[Topic 62745]

Configurazione della gestione dell'avvio delle applicazioni nei dispositivi client

La categorizzazione delle applicazioni consente di ottimizzare la gestione delle esecuzioni delle applicazioni nei dispositivi. È possibile creare una categoria di applicazioni e configurare Controllo Applicazioni per un criterio in modo che solo le applicazioni della categoria specificata vengano avviate nei dispositivi in cui è applicato il criterio. Ad esempio, è stata creata una categoria che include le applicazioni denominate Application_1 e Application_2. Dopo avere aggiunto questa categoria a un criterio, solo due applicazioni possono essere avviate nei dispositivi in cui viene applicato il criterio: Application_1 e Application_2. Se un utente tenta di avviare un'applicazione che non è stata inclusa nella categoria, ad esempio Application_3, l'avvio dell'applicazione viene bloccato. Verrà visualizzata una notifica che indica che l'avvio di Application_3 è vietato in base a una regola di Controllo Applicazioni. È possibile creare una categoria con contenuti aggiunti automaticamente in base a diversi criteri da una cartella specifica. In questo caso i file vengono automaticamente aggiunti alla categoria dalla cartella specificata. I file eseguibili delle applicazioni vengono copiati nella cartella specificata ed elaborati automaticamente. Le relative metriche vengono aggiunte alla categoria.

Per configurare la gestione dell'avvio delle applicazioni nei dispositivi client:

Nella cartella Avanzate → Gestione applicazioni della struttura della console selezionare la sottocartella Categorie di applicazioni.
Nell'area di lavoro della cartella Categorie di applicazioni creare una categoria di applicazioni che si desidera gestire durante l'avvio.
Nella cartella Dispositivi gestiti, nella scheda Criteri, fare clic sul pulsante Nuovo criterio per creare un nuovo criterio per Kaspersky Endpoint Security for Windows e seguire le istruzioni della procedura guidata.
Se tale criterio esiste già, è possibile ignorare questo passaggio. È possibile configurare la gestione dell'avvio delle applicazioni in una categoria specificata tramite le impostazioni di questo criterio. Il nuovo criterio creato viene visualizzato nella cartella Dispositivi gestiti, nella scheda Criteri.
Selezionare Proprietà dal menu di scelta rapida del criterio di Kaspersky Endpoint Security for Windows.
Verrà visualizzata la finestra delle proprietà del criterio di Kaspersky Endpoint Security for Windows.
Nella finestra delle proprietà del criterio di Kaspersky Endpoint Security for Windows, nella sezione Controlli di sicurezza → Controllo Applicazioni selezionare la casella Controllo Applicazioni.
Fare clic sul pulsante Aggiungi.
Verrà visualizzata la finestra Regola di Controllo Applicazioni.
Nella finestra Regola di Controllo Applicazioni, nell'elenco a discesa Categoria selezionare la categoria di applicazioni a cui applicare la regola di avvio. Configurare la regola di avvio per la categoria di applicazioni selezionata.
Per Kaspersky Endpoint Security 10 Service Pack 2 e versioni successive, le categorie non vengono visualizzate se create in base al criterio dell'hash MD5 di un file eseguibile.

Non è consigliabile aggiungere categorie create in base al criterio dell'hash SHA256 di un file eseguibile per le versioni precedenti a Kaspersky Endpoint Security 10 Service Pack 2. Questo può comportare errori dell'applicazione.

Istruzioni dettagliate per la configurazione delle regole di controllo sono disponibili nella Guida in linea di Kaspersky Endpoint Security for Windows.
Fare clic su OK.

Le applicazioni saranno eseguite nei dispositivi inclusi nella categoria specificata in base alla regola che è stata creata. La nuova regola creata verrà visualizzata nella finestra delle proprietà del criterio di Kaspersky Endpoint Security for Windows, nella sezione Controllo Applicazioni.

Vedere anche:

Utilizzo di Controllo Applicazioni per gestire i file eseguibili

Inizio pagina

[Topic 67884]

Visualizzazione dei risultati dell'analisi statistica delle regole di avvio applicate ai file eseguibili

Per visualizzare le informazioni sui file eseguibili di cui non è consentita l'esecuzione da parte degli utenti:

Nella cartella Dispositivi gestiti della struttura della console selezionare la scheda Criteri.
Selezionare Proprietà dal menu di scelta rapida del criterio di Kaspersky Endpoint Security for Windows.
Verrà visualizzata la finestra delle proprietà del criterio dell'applicazione.
Nel riquadro Sezioni selezionare Controlli di Sicurezza e selezionare la sottosezione Controllo Applicazioni.
Fare clic sul pulsante Analisi statica.
Verrà visualizzata la finestra Analisi dell'elenco di diritti di accesso. Nella parte sinistra della finestra viene visualizzato un elenco di utenti basato sui dati di Active Directory.
Selezionare un utente dall'elenco.
Nella parte destra della finestra vengono visualizzate le categorie di applicazioni assegnate all'utente.
Per visualizzare i file eseguibili di cui non è consentita l'esecuzione da parte degli utenti, nella finestra Analisi dell'elenco di diritti di accesso fare clic sul pulsante Visualizza file.
Verrà visualizzata una finestra, che contiene un elenco di file eseguibili proibiti.
Per visualizzare un elenco dei file eseguibili inclusi in una categoria, selezionare la categoria di applicazioni e fare clic sul pulsante Visualizza i file nella categoria.
Viene visualizzata una finestra con un elenco dei file eseguibili inclusi nella categoria di applicazioni.

Vedere anche:

Utilizzo di Controllo Applicazioni per gestire i file eseguibili

Inizio pagina

[Topic 3659]

Visualizzazione del registro delle applicazioni

Kaspersky Security Center esegue l'inventario di tutto il software installato nei dispositivi gestiti.

Network Agent compila un elenco delle applicazioni installate in un dispositivo Windows o Linux, quindi trasmette questo elenco ad Administration Server. Per i dispositivi client basati su Windows, Network Agent riceve la maggior parte delle informazioni sulle applicazioni installate dal Registro di sistema di Windows. Per i dispositivi client basati su Linux, gli strumenti di gestione di pacchetti forniscono informazioni sulle applicazioni installate a Network Agent.

Per visualizzare il registro delle applicazioni installate nei dispositivi client:

Nella cartella Avanzate → Gestione applicazioni della struttura della console selezionare la sottocartella Registro delle applicazioni.

L'area di lavoro della cartella Registro delle applicazioni consente di visualizzare un elenco delle applicazioni installate nei dispositivi client e in Administration Server.

È possibile visualizzare i dettagli di qualsiasi applicazione aprendo il relativo menu di scelta rapida e selezionando Proprietà. La finestra delle proprietà dell'applicazione visualizza i dettagli dell'applicazione e le informazioni sui relativi file eseguibili, oltre a un elenco di dispositivi in cui è installata l'applicazione.

Nel menu di scelta rapida di un'applicazione presente nell'elenco è possibile:

Aggiungere l'applicazione a una categoria di applicazioni.
Assegnare un tag all'applicazione.
Esportare l'elenco delle applicazioni in un file CSV o TXT.
Visualizzare le proprietà dell'applicazione, ad esempio il nome del fornitore, il numero di versione, l'elenco dei file eseguibili, l'elenco dei dispositivi in cui è installata l'applicazione, l'elenco degli aggiornamenti software disponibili o l'elenco delle vulnerabilità del software rilevate.

Per visualizzare le applicazioni che corrispondono ai criteri specificati, è possibile utilizzare i campi di filtro nell'area di lavoro della cartella Registro delle applicazioni.

Nella finestra delle proprietà del dispositivo selezionato, nella sezione Registro delle applicazioni è possibile visualizzare l'elenco delle applicazioni installate nel dispositivo.

Generazione di un rapporto sulle applicazioni installate

Nell'area di lavoro Registro delle applicazioni è inoltre possibile fare clic sul pulsante Visualizza il rapporto sulle applicazioni installate per generare un rapporto contenente le statistiche dettagliate sulle applicazioni installate, incluso il numero di dispositivi in cui è installata ciascuna applicazione. Questo rapporto, che rimanda alla pagina Rapporto sulle applicazioni installate, contiene le informazioni sulle applicazioni Kaspersky e sul software di terze parti. Se si desiderano informazioni solo sulle applicazioni Kaspersky installate nei dispositivi client, nell'elenco Riepilogo selezionare AO Kaspersky Lab.

Le informazioni sulle applicazioni Kaspersky e sul software di terze parti installati nei dispositivi connessi agli Administration Server secondari e virtuali vengono anche memorizzate nel registro delle applicazioni dell'Administration Server primario. Dopo avere aggiunto i dati provenienti dagli Administration Server secondari e virtuali, fare clic sul pulsante Visualizza il rapporto sulle applicazioni installate e nella pagina Rapporto sulle applicazioni installate visualizzata sarà possibile visualizzare queste informazioni.

Per aggiungere informazioni dagli Administration Server secondari e virtuali al rapporto sulle applicazioni installate:

Nella struttura della console selezionare il nodo con il nome dell'Administration Server desiderato.
Nell'area di lavoro del nodo selezionare la scheda Rapporti.
Nella scheda Rapporti selezionare Rapporto sulle applicazioni installate.
Selezionare Proprietà dal menu di scelta rapida del rapporto.
Verrà visualizzata la finestra Proprietà: Rapporto sulle applicazioni installate.
Nella sezione Gerarchia di Administration Server selezionare la casella di controllo Includi i dati dagli Administration Server secondari e virtuali.
Fare clic su OK.

Le informazioni degli Administration Server secondari e virtuali saranno incluse nel Rapporto sulle applicazioni installate.

Vedere anche:

Monitoraggio dell'installazione e della disinstallazione delle applicazioni

Utilizzo di Controllo Applicazioni per gestire i file eseguibili

Utilizzo di Controllo Applicazioni per gestire i file eseguibili

Inizio pagina

[Topic 102270]

Modifica dell'ora di inizio dell'inventario software

Kaspersky Security Center esegue l'inventario di tutto il software installato nei dispositivi client gestiti che eseguono Windows.

Network Agent compila un elenco delle applicazioni installate in un dispositivo, quindi trasmette questo elenco ad Administration Server. Network Agent riceve automaticamente le informazioni sulle applicazioni installate dal Registro di sistema di Windows.

Per ridurre l'utilizzo delle risorse del dispositivo, per impostazione predefinita Network Agent inizia a ricevere le informazioni sulle applicazioni installate 10 minuti dopo l'avvio del servizio Network Agent.

Per modificare l'ora di inizio dell'inventario software dall'inizio dell'esecuzione del servizio Network Agent in un dispositivo:

Aprire il Registro di sistema del dispositivo in cui è installato Network Agent (ad esempio, in locale, utilizzando il comando regedit dal menu Start → Esegui).
Passare al seguente hive:
- Per i sistemi a 32 bit:
  HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\1103\1.0.0.0\NagentFlags
- Per i sistemi a 64 bit:
  HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\1103\1.0.0.0\NagentFlags
Per la chiave KLINV_INV_COLLECTOR_START_DELAY_SEC impostare il valore richiesto in secondi.
Il valore predefinito è 600 secondi.
Riavviare il servizio Network Agent.

L'ora di inizio dell'inventario software, che viene calcolata a partire dall'esecuzione del servizio Network Agent, viene modificata.

Vedere anche:

Inizio pagina

[Topic 62835]

Informazioni sulla gestione delle chiavi di licenza di applicazioni di terze parti

Kaspersky Security Center consente di tenere traccia dell'utilizzo della chiavi di licenza per le applicazioni di terze parti installate nei dispositivi gestiti. L'elenco delle applicazioni per le quali è possibile tenere traccia dell'utilizzo delle chiavi di licenza viene acquisito dal Registro delle applicazioni. Per ogni chiave di licenza è possibile specificare e tenere traccia della violazione delle seguenti restrizioni:

Numero massimo di dispositivi in cui è possibile installare l'applicazione utilizzando questa chiave di licenza
Data di scadenza della chiave di licenza

Kaspersky Security Center non controlla se si specifica o meno una chiave di licenza reale. È possibile tenere traccia solo delle restrizioni specificate. Se una delle restrizioni imposte su una chiave di licenza viene violata, Administration Server registra un evento di tipo informativo, avviso o errore funzionale.

Le chiavi di licenza sono associate a gruppi di applicazioni. Un gruppo di applicazioni è un gruppo di applicazioni di terze parti combinate in base a uno o più criteri. È possibile definire le applicazioni in base al nome dell'applicazione, alla versione, al fornitore e al tag. Un'applicazione viene aggiunta al gruppo se viene soddisfatto almeno uno dei criteri. A ogni gruppo di applicazioni è possibile associare più chiavi di licenza, ma ciascuna chiave di licenza può essere associata a un solo gruppo di applicazioni.

Un altro strumento che è possibile utilizzare per tenere traccia dell'utilizzo delle chiavi di licenza è il Rapporto sullo stato dei gruppi di applicazioni concesse in licenza. Questo rapporto fornisce informazioni sullo stato corrente dei gruppi di applicazioni concesse in licenza, tra cui:

Numero di installazioni delle chiavi di licenza in ogni gruppo di applicazioni
Numero di chiavi di licenza in uso e chiavi di licenza disponibili
Elenco dettagliato delle applicazioni concesse in licenza installate nei dispositivi gestiti

Gli strumenti per la gestione delle chiavi di licenza di applicazioni di terze parti si trovano nella sottocartella Utilizzo licenze di terze parti (Avanzate → Gestione applicazioni → Utilizzo licenze di terze parti). In questa sottocartella è possibile creare gruppi di applicazioni, aggiungere chiavi di licenza e generare il Rapporto sullo stato dei gruppi di applicazioni concesse in licenza.

Gli strumenti per la gestione delle chiavi di licenza di applicazioni di terzi sono disponibili solo se è stata abilitata l'opzione Vulnerability e patch management nella finestra Configura interfaccia.

Inizio pagina

[Topic 62748]

Creazione di gruppi di applicazioni concesse in licenza

Utilizzo di Controllo Applicazioni per gestire i file eseguibili

Per creare un gruppo di applicazioni concesse in licenza:

Nella cartella Avanzate → Gestione applicazioni della struttura della console selezionare la sottocartella Utilizzo licenze di terze parti.
Fare clic sul pulsante Aggiungi un gruppo di applicazioni concesse in licenza per eseguire la procedura Aggiunta guidata gruppo di applicazioni concesse in licenza.
Verrà avviata l'Aggiunta guidata gruppo di applicazioni concesse in licenza.
Nel passaggio Dettagli del gruppo di applicazioni concesse in licenza specificare quali applicazioni si desidera includere nel gruppo di applicazioni:
- Nome del gruppo di applicazioni concesse in licenza
- Registra violazioni delle limitazioni
  Se una delle restrizioni imposte su una chiave di licenza del gruppo di applicazioni viene violata, Administration Server registra un evento di tipo informativo, avviso o errore funzionale:
  - Evento informativo: Sta per essere superato il limite di installazioni (è stato utilizzato più del 95%) per uno dei gruppi di applicazioni concesse in licenza
  - Evento di avviso: Il limite di installazioni sta per essere superato per uno dei gruppi di applicazioni concesse in licenza
  - Evento di errore funzionale: Limite di installazioni superato per uno dei gruppi di applicazioni concesse in licenza
    Un evento viene registrato una sola volta, quando viene soddisfatta la condizione indicata. La volta successiva, lo stesso evento può essere registrato solo quando il numero di installazioni viene ripristinato a un livello normale e l'evento si verifica di nuovo. Un evento non può essere registrato più di una volta all'ora.
- Criteri per l'aggiunta delle applicazioni rilevate al gruppo di applicazioni concesse in licenza
  Specificare i criteri per definire le applicazioni che si desidera includere nel gruppo di applicazioni. È possibile definire le applicazioni in base al nome dell'applicazione, alla versione, al fornitore e al tag. È necessario specificare almeno un criterio. Un'applicazione viene aggiunta al gruppo se viene soddisfatto almeno uno dei criteri.
Nel passaggio Immettere i dati sulle chiavi di licenza esistenti specificare le chiavi di licenza di cui si desidera tenere traccia. Selezionare l'opzione Controlla il superamento del limite di licenze, quindi aggiungere le chiavi di licenza:
1. Fare clic sul pulsante Aggiungi.
2. Selezionare la chiave di licenza che si desidera aggiungere e fare clic sul pulsante OK. Se la chiave di licenza richiesta non è elencata, fare clic sul pulsante Aggiungi, quindi specificare le proprietà della chiave di licenza.
Nella passaggio Aggiungi gruppo di applicazioni concesse in licenza fare clic sul pulsante Fine.

Verrà creato un gruppo di applicazioni concesse in licenza, che sarà visualizzato nella cartella Utilizzo licenze di terze parti.

Vedere anche:

Inizio pagina

[Topic 62754]

Gestione delle chiavi di licenza per i gruppi di applicazioni concesse in licenza

Per creare una chiave di licenza per un gruppo di applicazioni concesse in licenza:

Nella cartella Avanzate → Gestione applicazioni della struttura della console selezionare la sottocartella Utilizzo licenze di terze parti.
Nell'area di lavoro della cartella Utilizzo licenze di terze parti fare clic sul pulsante Gestisci chiavi di licenza delle applicazioni concesse in licenza.
Verrà aperta la finestra Gestione delle chiavi di licenza nelle applicazioni concesse in licenza.
Nella finestra Gestione delle chiavi di licenza nelle applicazioni concesse in licenza fare clic sul pulsante Aggiungi.
Verrà aperta la finestra Chiave di licenza.
Nella finestra Chiave di licenza specificare le proprietà della chiave di licenza e le limitazioni imposte dalla chiave di licenza al gruppo di applicazioni concesse in licenza.
- Nome. Nome della chiave di licenza.
- Commento. Note sulla chiave di licenza selezionata.
- Limitazione. Numero di dispositivi in cui è possibile installare l'applicazione utilizzando questa chiave di licenza.
- Scadenza. Data di scadenza della chiave di licenza.

Le chiavi di licenza create vengono visualizzate nella finestra Gestione delle chiavi di licenza nelle applicazioni concesse in licenza.

Per applicare una chiave di licenza a un gruppo di applicazioni concesse in licenza:

Nella cartella Avanzate → Gestione applicazioni della struttura della console selezionare la sottocartella Utilizzo licenze di terze parti.
Nella cartella Utilizzo licenze di terze parti selezionare un gruppo di applicazioni concesse in licenza a cui si desidera applicare una chiave di licenza.
Selezionare Proprietà dal menu di scelta rapida del gruppo di applicazioni concesse in licenza.
Verrà visualizzata la finestra delle proprietà del gruppo di applicazioni concesse in licenza.
Nella finestra delle proprietà del gruppo di applicazioni concesse in licenza, nella sezione Chiavi di licenza selezionare Controlla il superamento del limite di licenze.
Fare clic sul pulsante Aggiungi.
Verrà aperta la finestra Selezione di una chiave di licenza.
Nella finestra Selezione di una chiave di licenza selezionare una chiave di licenza da applicare a un gruppo di applicazioni concesse in licenza.
Fare clic su OK.

Le limitazioni definite per un gruppo di applicazioni concesse in licenza e specificate nella chiave di licenza verranno applicate anche al gruppo di applicazioni concesse in licenza selezionato.

Vedere anche:

Utilizzo di Controllo Applicazioni per gestire i file eseguibili

Inizio pagina

[Topic 102357]

Inventario dei file eseguibili

È possibile ottenere un elenco di file eseguibili archiviati nei dispositivi gestiti. Per eseguire un inventario dei file eseguibili, è necessario creare un'attività di inventario.

La funzione di inventario dei file eseguibili è disponibile per le seguenti applicazioni:

Kaspersky Endpoint Security for Windows
Kaspersky Endpoint Security for Linux
Kaspersky Security for Virtualization 4.0 Light Agent e versioni successive

Il numero di file eseguibili ricevuti da un singolo dispositivo non può essere superiore a 150.000. Una volta raggiunto questo limite, Kaspersky Security Center non può ricevere nuovi file.

Prima di iniziare, abilitare le notifiche sull'avvio delle applicazioni nel criterio Kaspersky Endpoint Security e nel criterio Network Agent, in modo da poter trasferire i dati all'Administration Server.

Per abilitare le notifiche sull'avvio delle applicazioni:

Aprire le impostazioni dei criteri di Kaspersky Endpoint Security ed effettuare le seguenti operazioni:
1. Passare a Impostazioni generali → Rapporti e archivi.
2. Nella sezione Trasferimento dei dati ad Administration Server, selezionare la casella di controllo Informazioni sulle applicazioni avviate.
3. Salvare le modifiche.
Aprire le impostazioni dei criteri di Network Agent e procedere come segue:
1. Passare alla sezione Archivi.
2. Selezionare la casella di controllo Informazioni dettagliate sulle applicazioni installate.
3. Salvare le modifiche.

Per creare un'attività di inventario per i file eseguibili nei dispositivi client:

Nella struttura della console selezionare la cartella Attività.
Fare clic sul pulsante Nuova attività nell'area di lavoro della cartella Attività.
Verrà avviata la Creazione guidata nuova attività.
Nella finestra Selezionare il tipo di attività della procedura guidata selezionare Kaspersky Endpoint Security come tipo di attività, selezionare Inventario come sottotipo di attività, quindi fare clic su Avanti.
Seguire le rimanenti istruzioni della procedura guidata.

Al termine della procedura guidata, verrà creata un'attività di inventario per Kaspersky Endpoint Security. L'attività creata viene visualizzata nell'elenco di attività nell'area di lavoro della cartella Attività.

Un elenco dei file eseguibili rilevati nei dispositivi durante l'inventario viene visualizzato nell'area di lavoro della cartella File eseguibili.

Durante inventario, l'applicazione rileva i file eseguibili nei seguenti formati: MZ, COM, PE, NE, SYS, CMD, BAT, PS1, JS, VBS, REG, MSI, CPL, DLL, JAR e HTML.

Vedere anche:

Utilizzo di Controllo Applicazioni per gestire i file eseguibili

Inizio pagina

[Topic 52460]

Visualizzazione delle informazioni sui file eseguibili

Per visualizzare un elenco di tutti i file eseguibili rilevati nei dispositivi client:

Nella cartella Gestione applicazioni della struttura della console selezionare la sottocartella File eseguibili.

Nell'area di lavoro della cartella File eseguibili viene visualizzato un elenco dei file eseguibili avviati nei dispositivi o rilevati durante l'esecuzione dell'attività di inventario di Kaspersky Endpoint Security for Windows.

Per visualizzare i dettagli sui file eseguibili che soddisfano i criteri specificati, è possibile utilizzare i filtri.

Per visualizzare le proprietà di un file eseguibile:

Dal menu di scelta rapida del file selezionare Proprietà.

Verrà visualizzata una finestra che contiene le informazioni sul file eseguibile e un elenco dei dispositivi in cui è stato rilevato il file eseguibile.

Vedere anche:

Utilizzo di Controllo Applicazioni per gestire i file eseguibili

Inizio pagina

[Topic 179074]

Monitoraggio e generazione dei rapporti

Questa sezione illustra le funzionalità di monitoraggio e reportistica di Kaspersky Security Center. Queste funzionalità offrono una panoramica dell'infrastruttura, degli stati di protezione e delle statistiche.

Dopo la distribuzione di Kaspersky Security Center o durante l'esecuzione, è possibile configurare le funzionalità di monitoraggio e generazione dei rapporti in base alle esigenze.

Indicatori a semaforo
Administration Console consente di valutare rapidamente lo stato attuale di Kaspersky Security Center e dei dispositivi gestiti controllando indicatori a semaforo.
Statistiche
Le statistiche sullo stato del sistema di protezione e dei dispositivi gestiti vengono visualizzate in riquadri informazioni che possono essere personalizzati.
Rapporti
La funzionalità Rapporti consente di ottenere informazioni numeriche dettagliate sulla sicurezza della rete dell'organizzazione, nonché di salvare le informazioni in un file, inviarlo tramite e-mail e stamparlo.
Eventi
Le selezioni eventi consentono di visualizzare i set denominati degli eventi selezionati dal database di Administration Server. Questi set di eventi sono raggruppati in base alle seguenti categorie:
- In base al livello di importanza: Eventi critici, Errori funzionali, Avvisi e Eventi informativi
- In base al tempo: Eventi recenti
- In base al tipo: Richieste utente e Eventi di controllo

È possibile creare e visualizzare le selezioni eventi definite dall'utente in base alle impostazioni disponibili per la configurazione nell'interfaccia di Kaspersky Security Center Web Console.

In questa sezione

Monitoraggio dei semafori e degli eventi registrati in Administration Console

Utilizzo di rapporti, statistiche e notifiche

Monitoraggio dell'installazione e della disinstallazione delle applicazioni

Eventi dei componenti di Kaspersky Security Center

Blocco degli eventi frequenti

Controllo delle modifiche di stato delle macchine virtuali

Monitoraggio dello stato della protezione anti-virus tramite le informazioni del Registro di sistema

Visualizzazione e configurazione delle azioni per i dispositivi inattivi

Disabilitazione degli annunci di Kaspersky

Inizio pagina

[Topic 214326]

Scenario: monitoraggio e generazione dei rapporti

Questa sezione fornisce uno scenario per la configurazione della funzionalità di monitoraggio e generazione dei rapporti in Kaspersky Security Center.

Prerequisiti

Dopo aver distribuito Kaspersky Security Center nella rete di un'organizzazione, è possibile iniziare a monitorarlo e generare rapporti sul relativo funzionamento.

Passaggi

Il monitoraggio e la generazione dei rapporti nella rete di un'organizzazione prevede diversi passaggi:

Configurazione del passaggio degli stati del dispositivo
Acquisire familiarità con le impostazioni che definiscono l'assegnazione degli stati del dispositivo in base a condizioni specifiche. Modificando queste impostazioni, è possibile modificare il numero di eventi con livelli di importanza Critico o Avviso.

Quando si configura la modifica degli stati del dispositivo, assicurarsi che le nuove impostazioni non siano in conflitto con i criteri di protezione delle informazioni della propria organizzazione e di essere in grado di reagire tempestivamente agli eventi di sicurezza importanti nella rete dell'organizzazione.
Configurazione delle notifiche degli eventi nei dispositivi client
Configurare la notifica (tramite e-mail, SMS o avviando un file eseguibile) degli eventi nei dispositivi client in base alle esigenze dell'organizzazione.
Modifica della risposta della rete di sicurezza all'evento Epidemia di virus
Per regolare la risposta della rete ai nuovi eventi, è possibile modificare le specifiche soglie nelle proprietà di Administration Server. È inoltre possibile creare un criterio più rigoroso da attivare o creare un'attività da eseguire quando si verifica l'evento.
Gestione delle statistiche
Configurare la visualizzazione delle statistiche in base alle esigenze dell'organizzazione.
Analisi dello stato di sicurezza della rete dell'organizzazione
Per analizzare lo stato di sicurezza della rete dell'organizzazione, è possibile eseguire una delle seguenti operazioni:
- Nell'area di lavoro del nodo di Administration Server, nella scheda Statistiche aprire la scheda di secondo livello (pagina) Stato protezione ed esaminare il riquadro informazioni Stato protezione in tempo reale
- Generare ed esaminare il Rapporto sullo stato della protezione
- Generare ed esaminare il Rapporto sugli errori
Individuazione dei dispositivi client che non sono protetti
Per individuare i dispositivi client non protetti, accedere all'area di lavoro del nodo di Administration Server, nella scheda Statistiche aprire la scheda di secondo livello (pagina) Stato protezione ed esaminare il riquadro informazioni Cronologia di individuazione dei nuovi dispositivi nella rete. È inoltre possibile generare ed esaminare il Rapporto sulla distribuzione della protezione.
Verifica della protezione dei dispositivi client
Per verificare la protezione dei dispositivi client, accedere all'area di lavoro del nodo di Administration Server, nella scheda Statistiche aprire la scheda di secondo livello (pagina) Distribuzione o Statistiche delle minacce ed esaminare i relativi riquadri informazioni. È inoltre possibile avviare ed esaminare la selezione eventi Eventi critici.
Valutazione e limitazione del carico di eventi nel database
Le informazioni sugli eventi che si verificano durante il funzionamento delle applicazioni gestite vengono trasferite da un dispositivo client e registrate nel database di Administration Server. Per ridurre il carico su Administration Server, valutare e limitare il numero massimo di eventi che possono essere archiviati nel database.

Per valutare il carico di eventi sul database, calcolare lo spazio nel database. È inoltre possibile limitare il numero massimo di eventi per evitare l'overflow del database.
Analisi delle informazioni sulla licenza
Per esaminare le informazioni sulla licenza, accedere all'area di lavoro del nodo di Administration Server, nella scheda Statistiche aprire la scheda di secondo livello (pagina) Distribuzione ed esaminare il riquadro informazioni Utilizzo chiavi di licenza. È inoltre possibile generare ed esaminare il Rapporto sull'utilizzo delle chiavi di licenza.

Risultati

Al termine dello scenario, si dispone di informazioni sulla protezione della rete dell'organizzazione e quindi è possibile pianificare le azioni per il miglioramento della protezione.

Inizio pagina

[Topic 92536]

Monitoraggio dei semafori e degli eventi registrati in Administration Console

Administration Console consente di valutare rapidamente lo stato attuale di Kaspersky Security Center e dei dispositivi gestiti controllando indicatori a semaforo. Gli indicatori a semaforo sono visualizzati nell'area di lavoro del nodo Administration Server, nella scheda Monitoraggio. La scheda fornisce sei riquadri informazioni con indicatori a semaforo ed eventi registrati. L'indicatore a semaforo è una barra verticale colorata a sinistra di un riquadro. Ogni riquadro con un indicatore corrisponde a uno specifico ambito funzionale di Kaspersky Security Center (vedere la tabella seguente).

Ambiti coperti dagli indicatori a semaforo in Administration Console

Nome del riquadro	Ambito dell'indicatore
Distribuzione	Installazione di Network Agent e delle applicazioni di protezione nei dispositivi nella rete di un'organizzazione
Schema di gestione	Struttura dei gruppi di amministrazione. Scansione della rete. Regole di spostamento dei dispositivi
Impostazioni di protezione	Funzionalità dell'applicazione di protezione: stato protezione, scansione malware
Aggiornamento	Aggiornamenti e patch
Monitoraggio	Stato protezione
Administration Server	Funzionalità e proprietà di Administration Server

Ogni indicatore a semaforo può assumere quattro colori (vedere la tabella seguente). Il colore di un indicatore dipende dallo stato attuale di Kaspersky Security Center e dagli eventi che sono stati registrati.

Colori degli indicatori a semaforo

Stato	Colore dell'indicatore	Significato del colore dell'indicatore
Informativo	Verde	Non è richiesto l'intervento dell'amministratore.
Avviso	Giallo	È richiesto l'intervento dell'amministratore.
Critico	Rosso	Si sono verificati problemi gravi. È richiesto l'intervento dell'amministratore per risolverli.
Informativo	Azzurro	Sono stati registrati eventi che non sono correlati a minacce potenziali o effettive per la sicurezza dei dispositivi gestiti.

L'obiettivo dell'amministratore è quello di tenere attivi gli indicatori a semaforo in tutti i riquadri informazioni nella scheda Monitoraggio verde.

I riquadri informazioni mostrano anche gli eventi registrati che interessano i semafori e lo stato di Kaspersky Security Center (vedere la tabella seguente).

Nome, descrizione e colori dei semafori degli eventi registrati

Colore dell'indicatore	Nome visualizzato del tipo di evento	Tipo di evento	Descrizione
Rosso	Licenza scaduta in %1 dispositivi	IDS_AK_STATUS_LIC_EXPAIRED	Eventi di questo tipo si verificano alla scadenza della licenza commerciale. Una volta al giorno, Kaspersky Security Center verifica se la licenza nei dispositivi è scaduta. Alla scadenza della licenza commerciale, Kaspersky Security Center fornisce solo le funzionalità di base. Per continuare a utilizzare Kaspersky Security Center, rinnovare la licenza commerciale.
Rosso	Applicazione di protezione non in esecuzione in: %1 dispositivi	IDS_AK_STATUS_AV_NOT_RUNNING	Eventi di questo tipo si verificano quando l'applicazione di protezione installata nel dispositivo non è in esecuzione. Verificare che Kaspersky Endpoint Security sia in esecuzione nel dispositivo.
Rosso	Protezione disabilitata in: %1 dispositivi	IDS_AK_STATUS_RTP_NOT_RUNNING	Eventi di questo tipo si verificano quando l'applicazione di protezione nel dispositivo è stata disabilitata per un periodo superiore all'intervallo di tempo specificato. Verificare lo stato corrente della protezione in tempo reale nel dispositivo e assicurarsi che tutti i componenti di protezione necessari siano abilitati.
Rosso	Una vulnerabilità del software è stata rilevata nei dispositivi	IDS_AK_STATUS_VULNERABILITIES_FOUND	Eventi di questo tipo si verificano quando l'attività Trova vulnerabilità e aggiornamenti richiesti ha rilevato vulnerabilità con il livello di criticità specificato nelle applicazioni installate nel dispositivo. Verificare l'elenco degli aggiornamenti disponibili nella sottocartella Aggiornamenti software inclusa nella cartella Gestione applicazioni. Questa cartella contiene un elenco degli aggiornamenti per le applicazioni Microsoft e di altri fornitori di software recuperati da Administration Server che possono essere distribuiti ai dispositivi. Dopo aver visualizzato le informazioni sugli aggiornamenti disponibili, installarli nel dispositivo.
Rosso	Eventi critici registrati in Administration Server	IDS_AK_STATUS_EVENTS_OCCURED	Eventi di questo tipo si verificano quando vengono rilevati eventi critici di Administration Server. Verificare l'elenco degli eventi archiviati in Administration Server, quindi correggere singolarmente gli eventi critici.
Rosso	Sono stati registrati errori negli eventi in Administration Server	IDS_AK_STATUS_ERROR_EVENTS_OCCURED	Eventi di questo tipo si verificano quando vengono registrati errori imprevisti sul lato Administration Server. Verificare l'elenco degli eventi archiviati in Administration Server, quindi correggere singolarmente gli errori.
Rosso	Connessione a %1 dispositivi interrotta	IDS_AK_STATUS_ADM_LOST_CONTROL1	Eventi di questo tipo si verificano quando si perde la connessione tra Administration Server e il dispositivo. Visualizzare l'elenco dei dispositivi disconnessi e provare a riconnetterli.
Rosso	%1 dispositivi non si connettono ad Administration Server da molto tempo	IDS_AK_STATUS_ADM_NOT_CONNECTED1	Eventi di questo tipo si verificano quando il dispositivo non viene connesso ad Administration Server nell'intervallo di tempo specificato, perché il dispositivo era spento. Verificare che il dispositivo sia acceso e che Network Agent sia in esecuzione.
Rosso	Dispositivi con stato diverso da OK: %1	IDS_AK_STATUS_HOST_NOT_OK	Eventi di questo tipo si verificano quando lo stato OK del dispositivo connesso ad Administration Server cambia in Critico o Avviso. È possibile risolvere il problema utilizzando l'utilità di diagnostica remota di Kaspersky Security Center.
Rosso	Database non aggiornati in: %1 dispositivi	IDS_AK_STATUS_UPD_HOSTS_NOT_UPDATED	Eventi di questo tipo si verificano quando i database anti-virus non sono stati aggiornati nel dispositivo nell'intervallo di tempo specificato. Seguire le istruzioni per aggiornare i database di Kaspersky.
Rosso	Dispositivi in cui la verifica della disponibilità di aggiornamenti di Windows Update non viene eseguita da molto tempo: %1	IDS_AK_STATUS_WUA_DATA_OBSOLETE	Eventi di questo tipo si verificano quando l'attività Esegui sincronizzazione di Windows Update non viene eseguita nell'intervallo di tempo specificato. Seguire le istruzioni per sincronizzare gli aggiornamenti di Windows Update con Administration Server.
Rosso	È necessario installare %1 plug-in per Kaspersky Security Center	IDS_AK_STATUS_PLUGINS_REQUIRED2	Eventi di questo tipo si verificano quando è necessario installare plug-in aggiuntivi per le applicazioni Kaspersky. Scaricare e installare i plug-in di gestione richiesti per l'applicazione Kaspersky dal sito Web del servizio di assistenza tecnica di Kaspersky.
Rosso	Rilevate minacce attive in %1 dispositivi	IDS_AK_STATUS_NONCURED_FOUND	Eventi di questo tipo si verificano quando vengono rilevate minacce attive nei dispositivi gestiti. Visualizzare le informazioni sulle minacce rilevate, quindi seguire i consigli.
Rosso	Attività %1 completata con un errore	IDS_AK_STATUS_TASK_FAILED	Gli eventi di questo tipo si verificano quando l'esecuzione di un'attività viene completata con un errore. Controllare le proprietà dell'attività, quindi riconfigurare l'attività.
Rosso	Troppi virus rilevati in: %1 dispositivi	IDS_AK_STATUS_TOO_MANY_THREATS	Eventi di questo tipo si verificano quando vengono rilevati virus nei dispositivi gestiti. Visualizzare le informazioni sui virus rilevati, quindi seguire i consigli.
Rosso	Epidemia di virus	IDS_AK_STATUS_VIRUS_OUTBREAK	Gli eventi di questo tipo si verificano quando il numero di oggetti dannosi rilevati in più dispositivi gestiti supera il limite in un periodo di tempo limitato. Visualizzare le informazioni sulle minacce rilevate, quindi seguire i consigli.
Rosso	I database nell'archivio non vengono aggiornati da molto tempo	IDS_AK_STATUS_UPD_SERVER_NOT_UPTODATE	Eventi di questo tipo si verificano quando i database anti-virus non sono stati aggiornati nel dispositivo per due giorni. Controllare la frequenza di aggiornamento dei database anti-virus, quindi aggiornare i database anti-virus.
Giallo	I database nell'archivio non vengono aggiornati da molto tempo	IDS_AK_STATUS_UPD_SERVER_NOT_UPTODATE	Eventi di questo tipo si verificano quando i database anti-virus non sono stati aggiornati nel dispositivo per più di un giorno ma per meno di due giorni. Controllare la frequenza di aggiornamento dei database anti-virus, quindi aggiornare i database anti-virus.
Giallo	Conflitto di nomi NetBIOS rilevato nei dispositivi	IDS_AK_STATUS_ADM_NAME_CONFLICT	Eventi di questo tipo si verificano quando i dispositivi hanno gli stessi nomi NetBIOS. Rinominare i dispositivi.
Giallo	In %s dispositivi il criptaggio dei dati è passato allo stato specificato nei criteri di rilevamento dello stato del dispositivo	IDS_AK_STATUS_ENCRYPTION_FAULTS_FOUND	Gli eventi di questo tipo si verificano quando il criptaggio dei dati non riesce nei dispositivi gestiti.
Giallo	La licenza %1 scadrà tra %2 giorni	IDS_AK_STATUS_LIC_EXPAIRING	Gli eventi di questo tipo si verificano quando la licenza nel dispositivo scade entro un determinato numero di giorni. Per continuare a utilizzare Kaspersky Security Center, rinnovare la licenza commerciale.
Giallo	Dispositivi non assegnati in cui è installato Network Agent: %1	IDS_AK_STATUS_NAGENTS_IN_UNASSIGNED	Eventi di questo tipo si verificano quando vengono rilevati nuovi dispositivi nella rete. Spostare i dispositivi con Network Agent nei gruppi di dispositivi gestiti.
Giallo	I Network Agent in %1 dispositivi non possono essere eseguiti fino al riavvio. Per la volta precedente, questo stato era %2	IDS_AK_STATUS_NAGENTS_NOT_RUNNING_UNTIL_REBOOT	Gli eventi di questo tipo si verificano quando Network Agent non è in esecuzione nei dispositivi. Riavviare i dispositivi.
Giallo	È necessario inviare i file rilevati a Kaspersky per un'ulteriore analisi	IDS_AK_STATUS_NEW_APS_FILE_APPEARED	Eventi di questo tipo si verificano quando i file che sono probabilmente infetti da virus vengono rilevati e spostati in Quarantena. Inviare i file a Kaspersky per ulteriori analisi.
Giallo	Dispositivi gestiti: %1. L'applicazione di protezione è installata in: %2 dispositivi	IDS_AK_STATUS_NO_AV	Eventi di questo tipo si verificano quando Kaspersky Endpoint Security non è installato in tutti i dispositivi gestiti. Installare Kaspersky Endpoint Security in tutti i dispositivi gestiti.
Giallo	Attività di installazione %1 completata in %2 dispositivi; è necessario il riavvio in %3 dispositivi	IDS_AK_STATUS_RI_NEED_REBOOT	Eventi di questo tipo si verificano quando Kaspersky Endpoint Security è stato appena installato nei dispositivi gestiti. Riavviare i dispositivi dopo l'installazione di Kaspersky Endpoint Security.
Giallo	Scansione malware non eseguita da molto tempo in: %1 dispositivi	IDS_AK_STATUS_SCAN_LATE	Eventi di questo tipo si verificano quando è necessario eseguire una scansione malware nei dispositivi gestiti. Eseguire una scansione virus.
Giallo	Dispositivi con vulnerabilità del software rilevati: %1	IDS_AK_STATUS_VULNERABLE_HOSTS_FOUND	Eventi di questo tipo si verificano quando vengono rilevate vulnerabilità in un dispositivo gestito. Visualizzare le informazioni sulle vulnerabilità rilevate e correggerle.
Verde	Dispositivi gestiti: %3. Dispositivi non assegnati rilevati: %1	IDS_AK_STATUS_ADM_OK1	Eventi di questo tipo si verificano quando vengono rilevati nuovi dispositivi nei gruppi di amministrazione.
Verde	Applicazione di protezione installata in tutti i dispositivi gestiti	IDS_AK_STATUS_DEPLOYMENT_OK	Eventi di questo tipo si verificano quando Kaspersky Endpoint Security è installato in tutti i dispositivi gestiti.
Verde	Kaspersky Security Center è correttamente in esecuzione	IDS_AK_STATUS_GENERAL_OK	Eventi di questo tipo si verificano quando Kaspersky Security Center funziona correttamente.
Verde	L'applicazione per la protezione in tempo reale non è installata	IDS_AK_STATUS_RTP_NA	Eventi di questo tipo si verificano quando l'applicazione anti-virus non è installata nei dispositivi gestiti.
Verde	La protezione è abilitata	IDS_AK_STATUS_RTP_OK	Eventi di questo tipo si verificano quando la protezione in tempo reale è abilitata nei dispositivi gestiti.
Verde	Applicazione di protezione non installata	IDS_AK_STATUS_SCAN_NA	Eventi di questo tipo si verificano quando l'applicazione anti-virus non è installata nei dispositivi gestiti.
Verde	Esecuzione puntuale della scansione malware	IDS_AK_STATUS_SCAN_OK	Eventi di questo tipo si verificano quando l'attività di scansione malware viene eseguita secondo la pianificazione.
Verde	Ultimo aggiornamento dell'archivio aggiornamenti: %1	IDS_AK_STATUS_UPD_OK	Eventi di questo tipo si verificano quando l'archivio degli aggiornamenti viene aggiornato.
Azzurro	I database nell'archivio non vengono aggiornati da molto tempo	IDS_AK_STATUS_UPD_SERVER_NOT_UPTODATE	Eventi di questo tipo si verificano quando i database anti-virus sono stati aggiornati nel corso della giornata.
Azzurro	L'Informativa di Kaspersky Security Network accettata è obsoleta	IDS_AK_STATUS_ACCEPTED_KSN_AGREEMENT_OBSOLETE	Eventi di questo tipo si verificano quando l'Informativa di Kaspersky Security Network diventa obsoleta.
Azzurro	Aggiornamenti software Kaspersky non approvati	IDS_AK_STATUS_APPLICABLE_KL_PATCHES_NOT_APPROVED	Eventi di questo tipo si verificano quando l'amministratore non ha ancora approvato le patch applicabili per le applicazioni Kaspersky gestite.
Azzurro	Aggiornamenti delle applicazioni Kaspersky revocati	IDS_AK_STATUS_APPLICABLE_KL_PATCHES_REVOKED	Eventi di questo tipo si verificano quando l'amministratore non ha ancora rifiutato le patch revocate.
Azzurro	Contratto di licenza con l'utente finale per il software mobile Kaspersky non accettato	IDS_AK_STATUS_KL_MOBILE_EULAS_NOT_ACCEPTED	Eventi di questo tipo si verificano quando l'amministratore non ha ancora accettato il Contratto di licenza con l'utente finale per il software mobile Kaspersky.
Azzurro	Contratto di licenza con l'utente finale per gli aggiornamenti software Kaspersky non accettato	IDS_AK_STATUS_KL_PATCHES_EULAS_NOT_ACCEPTED	Eventi di questo tipo si verificano quando l'amministratore non ha ancora accettato il Contratto di licenza con l'utente finale per gli aggiornamenti software Kaspersky.
Azzurro	L'informativa di Kaspersky Security Network per gli aggiornamenti software Kaspersky non è stata accettata	IDS_AK_STATUS_KL_PATCHES_KSN_AGREEMENTS_NOT_ACCEPTED	Eventi di questo tipo si verificano quando l'amministratore non ha ancora accettato l'Informativa di Kaspersky Security Network per gli aggiornamenti software Kaspersky.
Azzurro	È necessario accettare il Contratto di licenza per installare gli aggiornamenti	IDS_AK_STATUS_NEED_ACCEPT_EULA	Eventi di questo tipo si verificano quando sono disponibili nuovi aggiornamenti per l'installazione, ma l'amministratore non ha ancora accettato il Contratto di licenza.
Azzurro	Sono disponibili nuove versioni delle applicazioni Kaspersky	IDS_AK_STATUS_NEW_DISTRIBUTIVES_AVAILABLE	Eventi di questo tipo si verificano quando sono disponibili nuove versioni delle applicazioni Kaspersky per l'installazione nei dispositivi gestiti.
Azzurro	Sono disponibili aggiornamenti per i componenti di Kaspersky Security Center	IDS_AK_STATUS_NEW_KSC_VERSIONS_AVAILABLE	Eventi di questo tipo si verificano quando sono disponibili aggiornamenti per i componenti di Kaspersky Security Center.
Azzurro	Sono disponibili aggiornamenti per le applicazioni Kaspersky	IDS_AK_STATUS_NEW_VERSIONS_AVAILABLE	Eventi di questo tipo si verificano quando sono disponibili aggiornamenti per le applicazioni Kaspersky.
Azzurro	Attività di installazione dell'applicazione %1 completata in %2 dispositivi, non riuscita in %3 dispositivi	IDS_AK_STATUS_RI_FAILED	Eventi di questo tipo si verificano quando l'attività di installazione dell'applicazione ha installato il software solo in alcuni dispositivi nel pool specificato.
Azzurro	Esecuzione dell'attività di distribuzione in corso - %1 (%2%%)	IDS_AK_STATUS_RI_RUNNING	Eventi di questo tipo si verificano quando un'attività di distribuzione è in esecuzione nei dispositivi gestiti.
Azzurro	Scansione completa mai eseguita in %1 dispositivi	IDS_AK_STATUS_SCAN_NOT_SCANNED	Eventi di questo tipo si verificano quando non è mai stata eseguita una scansione completa nel numero di dispositivi specificato.
Azzurro	Esecuzione dell'attività di download degli aggiornamenti (avanzamento: %1 %%)	IDS_AK_STATUS_UPD_SRV_UPDATE_IN_PROGRESS	Gli eventi di questo tipo si verificano quando un'attività per il download degli aggiornamenti è in esecuzione nei dispositivi gestiti.

Inizio pagina

[Topic 3635]

Utilizzo di rapporti, statistiche e notifiche

Questa sezione contiene informazioni sull'utilizzo dei rapporti, delle statistiche e delle selezioni eventi e dispositivi in Kaspersky Security Center, oltre che sulle modalità di configurazione delle notifiche di Administration Server.

In questa sezione

Utilizzo dei rapporti

Gestione delle statistiche

Configurazione delle notifiche degli eventi

Creazione di un certificato per un server SMTP

Selezioni eventi

Selezioni dispositivi

Inizio pagina

[Topic 52059]

Utilizzo dei rapporti

I rapporti in Kaspersky Security Center contengono informazioni sullo stato dei dispositivi gestiti. I rapporti vengono generati in base alle informazioni memorizzate in Administration Server. È possibile creare rapporti per i seguenti tipi di oggetti:

Per selezioni dispositivi create in base a impostazioni specifiche.
Per gruppi di amministrazione.
Per dispositivi specifici in diversi gruppi di amministrazione.
Per tutti i dispositivi della rete (nel rapporto sulla distribuzione).

L'applicazione dispone di una selezione di modelli di rapporto standard. È inoltre possibile creare modelli di rapporto personalizzati. I rapporti vengono visualizzati nella finestra principale dell'applicazione, nella cartella Administration Server della struttura della console.

In questa sezione

Creazione di un modello di rapporto

Visualizzazione e modifica delle proprietà dei modelli di rapporto

Formato filtro esteso nei modelli di rapporto

Creazione e visualizzazione di un rapporto

Salvataggio di un rapporto

Creazione di un'attività di invio dei rapporti

Vedere anche:

Inizio pagina

[Topic 3636]

Creazione di un modello di rapporto

Per creare un modello di rapporto:

Nella struttura della console selezionare il nodo con il nome dell'Administration Server desiderato.
Nell'area di lavoro del nodo selezionare la scheda Rapporti.
Fare clic sul pulsante Nuovo modello di rapporto.

Verrà avviata la Creazione guidata nuovo modello di rapporto. Seguire le istruzioni della procedura guidata.

Al termine della procedura guidata, il modello di rapporto creato verrà aggiunto nella cartella Administration Server selezionata nella struttura della console. È possibile utilizzare questo modello per la creazione e la visualizzazione dei rapporti.

Inizio pagina

[Topic 174017]

Visualizzazione e modifica delle proprietà dei modelli di rapporto

Conversione del filtro nel formato esteso

È possibile visualizzare e modificare le proprietà di base di un modello di rapporto, ad esempio il nome del modello di rapporto o i campi visualizzati nel rapporto.

Per visualizzare e modificare le proprietà di un modello di rapporto:

Nella struttura della console selezionare il nodo con il nome dell'Administration Server desiderato.
Nell'area di lavoro del nodo selezionare la scheda Rapporti.
Nell'elenco dei modelli di rapporto selezionare il modello di rapporto desiderato.
Selezionare Proprietà dal menu di scelta rapida del modello di rapporto selezionato.
In alternativa, è possibile generare il rapporto e quindi fare clic sul pulsante Apri proprietà del modello di rapporto o sul pulsante Configura colonne del rapporto.
Nella finestra visualizzata modificare le proprietà del modello di rapporto. Le proprietà di ogni rapporto possono contenere solo alcune delle sezioni descritte di seguito.
- Sezione Generale:
  - Nome del modello di rapporto
  - Numero massimo di voci da visualizzare
    Se questa opzione è abilitata, il numero di voci visualizzate nella tabella con i dati dettagliati del rapporto non supera il valore specificato.
    
    Le voci nei rapporti vengono prima ordinate in base alle regole specificate nella sezione Campi → Campi dettagli delle proprietà del modello di rapporto, quindi vengono mantenute solo le prime voci risultanti. Il titolo della tabella con i dati dettagliati del rapporto mostra il numero di voci visualizzate e il numero totale di voci disponibili, corrispondenti alle altre impostazioni del modello di rapporto.
    
    Se questa opzione è disabilitata, la tabella con i dati dettagliati del rapporto conterrà tutte le voci disponibili. Non è consigliabile disabilitare questa opzione. La limitazione del numero di voci visualizzate nel rapporto consente di ridurre il carico sul sistema di gestione database (DBMS) e il tempo necessario per la creazione e l'esportazione del rapporto. Alcuni rapporti contengono un numero eccessivo di voci. In questi casi, potrebbe essere difficile leggerle e analizzarle tutte. Inoltre, nel dispositivo potrebbe verificarsi l'esaurimento della memoria durante la generazione di un rapporto e, in questo caso, non sarà possibile visualizzare il rapporto.
    
    Per impostazione predefinita, questa opzione è abilitata. Il valore predefinito è 1000.
  - Versione per la stampa
    L'output del rapporto viene ottimizzato per la stampa, aggiungendo spazi tra alcuni valori per una maggiore leggibilità.
    
    Per impostazione predefinita, questa opzione è abilitata.
- Sezione Campi.
  Selezionare i campi che verranno visualizzati nel rapporto e l'ordine di questi campi e configurare se le informazioni nel rapporto devono essere ordinate e filtrate in base a ognuno dei campi.
- Sezione Intervallo.
  Modificare il periodo del rapporto. I valori disponibili sono i seguenti:
  - Tra le due date specificate
  - Dalla data specificata alla data di creazione del rapporto
  - Dalla data di creazione del rapporto meno il numero specificato di giorni alla data di creazione del rapporto
- Sezione Gruppo, Device selection o Devices.
  Modificare il set di dispositivi client per cui creare il rapporto. Solo una di queste sezioni può essere presente, a seconda delle impostazioni specificate durante la creazione del modello di rapporto.
- Sezione Impostazioni.
  Modificare le impostazioni del rapporto. Il set di impostazioni esatto dipende dallo specifico rapporto.
- Sezione Sicurezza. Eredita le impostazioni da Administration Server
  Se questa opzione è abilitata, le impostazioni di protezione del rapporto vengono ereditate dall'Administration Server.
  
  Se questa opzione è disabilitata, è possibile configurare le impostazioni di protezione per il rapporto. È possibile assegnare un ruolo a un utente o un gruppo di utenti o assegnare autorizzazioni a un utente o un gruppo di utenti, come applicabile per il rapporto.
  
  Per impostazione predefinita, questa opzione è abilitata.
  
  La sezione Sicurezza è disponibile se la casella di controllo Visualizza le sezioni delle impostazioni di protezione è selezionata nella finestra delle impostazioni dell'interfaccia.
- Sezione Gerarchia di Administration Server:
  - Includi i dati dagli Administration Server secondari e virtuali
    Se questa opzione è abilitata, il rapporto include le informazioni ottenute dagli Administration Server secondari e virtuali subordinati all'Administration Server per cui viene creato il modello di rapporto.
    
    Disabilitare questa opzione per visualizzare solo i dati relativi all'Administration Server corrente.
    
    Per impostazione predefinita, questa opzione è abilitata.
  - Fino al livello di nidificazione
    Il rapporto include i dati degli Administration Server secondari e virtuali posizionati al di sotto dell'Administration Server corrente a un livello di nidificazione minore o uguale al valore specificato.
    
    Il valore predefinito è 1. È consigliabile modificare questo valore se è necessario recuperare informazioni da Administration Server secondari posizionati a livelli inferiori della struttura.
  - Intervallo di attesa dati (min.)
    Prima della generazione del rapporto, l'Administration Server per cui viene creato il modello di rapporto attende i dati dagli Administration Server secondari per il numero di minuti specificato. Se non viene ricevuto alcun dato da un Administration Server secondario al termine di questo periodo, il rapporto viene eseguito comunque. Anziché i dati effettivi, il rapporto mostra i dati recuperati dalla cache (se è abilitata l'opzione Salva nella cache i dati degli Administration Server secondari) oppure N/D (non disponibile) in caso contrario.
    
    Il valore predefinito è 5 (minuti).
  - Salva nella cache i dati degli Administration Server secondari
    Gli Administration Server secondari trasferiscono regolarmente i dati all'Administration Server per cui viene creato il modello di rapporto. I dati trasferiti vengono quindi archiviati nella cache.
    
    Se l'Administration Server corrente non riesce a ricevere i dati da un Administration Server secondario durante la generazione del rapporto, il rapporto mostra i dati recuperati dalla cache. Verrà anche visualizzata la data in cui i dati sono stati trasferiti nella cache.
    
    Se questa opzione è abilitata, è possibile visualizzare le informazioni dagli Administration Server secondari, anche se non è possibile recuperare i dati aggiornati. I dati visualizzati potrebbero tuttavia essere obsoleti.
    
    Per impostazione predefinita, questa opzione è disabilitata.
  - Frequenza di aggiornamento cache (ore)
    A intervalli regolari gli Administration Server secondari trasferiscono i dati all'Administration Server per cui viene creato il modello di rapporto. È possibile specificare questo periodo in ore. Se si specificano 0 ore, i dati vengono trasferiti solo al momento della generazione del rapporto.
    
    Il valore predefinito è 0.
  - Trasferisci informazioni dettagliate dagli Administration Server secondari
    Nel rapporto generato, la tabella con i dati dettagliati del rapporto include i dati ottenuti dagli Administration Server secondari dell'Administration Server per cui viene creato il modello di rapporto.
    
    L'abilitazione di questa opzione rallenta la generazione dei rapporti e aumenta il traffico tra gli Administration Server. È tuttavia possibile visualizzare tutti i dati in un solo rapporto.
    
    Anziché attivare questa opzione, può essere preferibile analizzare i dati dettagliati del rapporto per identificare un Administration Server secondario che presenta problemi e quindi generare lo stesso rapporto solo per tale Administration Server.
    
    Per impostazione predefinita, questa opzione è disabilitata.

Inizio pagina

[Topic 189575]

Formato filtro esteso nei modelli di rapporto

In Kaspersky Security Center 14.2 è possibile applicare il formato filtro esteso a un modello di rapporto. Il formato filtro esteso offre maggiore flessibilità rispetto al formato predefinito. È possibile creare condizioni di filtro complesse utilizzando un set di filtri, che verrà applicato al rapporto tramite l'operatore logico OR durante la creazione del rapporto, come illustrato di seguito:

Filtro[1](Campo[1] AND Filtro[2]... AND Campo[n]) OR Filtro[2](Campo[1] AND Campo[2]... AND Campo[n]) OR... Filtro[n](Campo[1] AND Campo[2]... AND Campo[n])

Con il formato filtro esteso è inoltre possibile impostare un valore di intervallo di tempo in un formato di tempo relativo (utilizzando ad esempio una condizione "Per gli ultimi N giorni") per determinati campi in un filtro. La disponibilità e il set di condizioni dell'intervallo di tempo dipendono dal tipo di modello di rapporto.

In questa sezione

Configurazione del filtro esteso

Inizio pagina

[Topic 189734]

Conversione del filtro nel formato esteso

Il formato filtro esteso per i modelli di rapporto è supportato solo in Kaspersky Security Center 12 e versioni successive. Dopo la conversione del filtro predefinito nel formato esteso, il modello di rapporto diventa incompatibile con gli Administration Server della rete in cui sono installate versioni precedenti di Kaspersky Security Center. Le informazioni di questi Administration Server non verranno ricevute per il rapporto.

Per convertire il filtro predefinito del modello di rapporto nel formato esteso:

Nella struttura della console selezionare il nodo con il nome dell'Administration Server desiderato.
Nell'area di lavoro del nodo selezionare la scheda Rapporti.
Nell'elenco dei modelli di rapporto selezionare il modello di rapporto desiderato.
Selezionare Proprietà dal menu di scelta rapida del modello di rapporto selezionato.
Nella finestra delle proprietà visualizzata selezionare la sezione Campi.
Nella scheda Campi dettagli fare clic sul collegamento Converti filtro.
Nella finestra visualizzata fare clic sul pulsante OK.
La conversione nel formato di filtro esteso è irreversibile per il modello di rapporto a cui viene applicata. Se il collegamento Converti filtro è stato selezionato accidentalmente, è possibile annullare le modifiche facendo clic sul pulsante Annulla nella finestra delle proprietà del modello di rapporto.
Per applicare le modifiche, chiudere la finestra delle proprietà del modello di rapporto facendo clic sul pulsante OK.
Quando si apre nuovamente la finestra delle proprietà del modello di rapporto, viene visualizzata la nuova sezione Filtri disponibile. In questa sezione è possibile configurare il filtro esteso.

Inizio pagina

[Topic 189735]

Configurazione del filtro esteso

Per configurare il filtro esteso nelle proprietà del modello di rapporto:

Nella struttura della console selezionare il nodo con il nome dell'Administration Server desiderato.
Nell'area di lavoro del nodo selezionare la scheda Rapporti.
Nell'elenco dei modelli di rapporto, selezionare il modello di rapporto precedentemente convertito nel formato di filtro esteso.
Selezionare Proprietà dal menu di scelta rapida del modello di rapporto selezionato.
Nella finestra delle proprietà visualizzata selezionare la sezione Filtri.
La sezione Filtri non viene visualizzata se il modello di rapporto non è stato precedentemente convertito nel formato di filtro esteso.

Nella sezione Filtri della finestra delle proprietà del modello di rapporto è possibile esaminare e modificare l'elenco dei filtri applicati al rapporto. Ogni filtro nell'elenco ha un nome univoco e rappresenta un set di filtri per i campi corrispondenti nel rapporto.
Aprire la finestra delle impostazioni di filtro in uno dei seguenti modi:
- Per creare un nuovo filtro, fare clic sul pulsante Aggiungi.
- Per modificare il filtro esistente, selezionare il filtro richiesto e fare clic sul pulsante Modifica.
Nella finestra visualizzata selezionare e specificare i valori dei campi richiesti del filtro.
Fare clic sul pulsante OK per salvare le modifiche e chiudere la finestra.
Se si sta creando un nuovo filtro, è necessario specificare il nome del filtro nel campo Nome filtro prima di fare clic sul pulsante OK.
Chiudere la finestra delle proprietà del modello di rapporto facendo clic sul pulsante OK.
Il filtro esteso nel modello di rapporto è stato configurato. Adesso è possibile creare rapporti utilizzando questo modello di rapporto.

Inizio pagina

[Topic 3638]

Creazione e visualizzazione di un rapporto

Per creare e visualizzare un rapporto:

Nella struttura della console selezionare il nodo con il nome dell'Administration Server desiderato.
Nell'area di lavoro del nodo selezionare la scheda Rapporti.
Nell'elenco dei modelli di rapporto fare doppio clic sul modello di rapporto desiderato.
Verrà visualizzato un rapporto per il modello selezionato.

Il rapporto include i seguenti dati:

Nome e tipo di rapporto, breve descrizione e periodo di generazione del rapporto, oltre che informazioni sul gruppo di dispositivi per cui è stato generato il rapporto.
Grafico con i dati più significativi del rapporto.
Tabella consolidata con indicatori del rapporto calcolati.
Tabella con dati dettagliati del rapporto.

Vedere anche:

Passaggio 1. Selezione del tipo di attività

Inizio pagina

[Topic 52064]

Salvataggio di un rapporto

Per salvare un rapporto creato:

Nella struttura della console selezionare il nodo con il nome dell'Administration Server desiderato.
Nell'area di lavoro del nodo selezionare la scheda Rapporti.
Nell'elenco dei modelli di rapporto selezionare il modello di rapporto desiderato.
Selezionare Salva nel menu di scelta rapida del rapporto selezionato.

Verrà avviato il Salvataggio guidato rapporto. Seguire le istruzioni della procedura guidata.

Al termine della procedura guidata, verrà aperta la cartella in cui è stato salvato il file del rapporto.

Quando si salva un rapporto come file XLS, tutte le immagini correlate, come il logo e il datagramma, vengono salvate come file separati.

Inizio pagina

[Topic 3639]

Creazione di un'attività di invio dei rapporti

I rapporti possono esser inviati tramite e-mail. L'invio di rapporti in Kaspersky Security Center viene eseguito utilizzando l'attività di invio dei rapporti.

Per creare un'attività di invio per un singolo rapporto:

Nella struttura della console selezionare il nodo con il nome dell'Administration Server desiderato.
Nell'area di lavoro del nodo selezionare la scheda Rapporti.
Nell'elenco dei modelli di rapporto selezionare il modello di rapporto desiderato.
Selezionare Invia rapporti nel menu di scelta rapida del modello di rapporto selezionato.

Verrà avviata la Creazione guidata attività di invio rapporto. Seguire le istruzioni della procedura guidata.

Per creare un'attività di invio per più rapporti:

Nella struttura della console, nel nodo con il nome dell'Administration Server desiderato, selezionare la cartella Attività.
Nell'area di lavoro della cartella Attività fare clic sul pulsante Crea attività.

Verrà avviata la Creazione guidata nuova attività. Seguire le istruzioni della procedura guidata.

L'attività di invio del rapporto creata è visualizzata nella cartella Attività nella struttura della console.

L'attività per l'invio del rapporto viene creata automaticamente se sono stati specificati le impostazioni e-mail durante l'installazione di Kaspersky Security Center.

In questa sezione

Passaggio 2. Selezione del tipo di rapporto

Passaggio 3. Azioni su un rapporto

Passaggio 4. Selezione dell'account per l'avvio dell'attività

Passaggio 5. Configurazione di una pianificazione attività

Passaggio 6. Definizione del nome dell'attività

Passaggio 7. Completamento della creazione dell'attività

Inizio pagina

[Topic 151874]

Passaggio 1. Selezione del tipo di attività

Nella finestra Selezionare il tipo di attività, nell'elenco delle attività selezionare Invia rapporti come tipo di attività.

Fare clic su Avanti per procedere al passaggio successivo.

Inizio pagina

[Topic 151875]

Passaggio 2. Selezione del tipo di rapporto

Nella finestra Selezionare il tipo di rapporto, nell'elenco dei modelli per la creazione delle attività, selezionare il tipo di rapporto.

Fare clic su Avanti per procedere al passaggio successivo.

Inizio pagina

[Topic 151876]

Passaggio 3. Azioni su un rapporto

Nella finestra Azione da applicare ai rapporti specificare le seguenti impostazioni:

Invia rapporti tramite e-mail
Se questa opzione è abilitata, l'applicazione invia i rapporti generati tramite e-mail.

È possibile configurare l'invio del rapporto tramite e-mail facendo clic sul collegamento Impostazioni di notifica e-mail. Il collegamento è disponibile se l'opzione è abilitata.

Se questa opzione è disabilitata, l'applicazione salva i rapporti nella cartella specificata per l'archiviazione.

Per impostazione predefinita, questa opzione è disabilitata.
Salva rapporti nella cartella condivisa
Se questa opzione è abilitata, l'applicazione salva i rapporti nella cartella specificata nel campo sotto la casella di controllo. Per salvare i rapporti in una cartella condivisa, specificare il percorso UNC della cartella. In questo caso, nella finestra Selezione di un account per l'esecuzione dell'attività è necessario specificare l'account utente e la password per l'accesso a questa cartella.

Se questa opzione è disabilitata, l'applicazione non salva i rapporti nella cartella ma li invia tramite e-mail.

Per impostazione predefinita, questa opzione è disabilitata.
Sovrascrivi i rapporti precedenti dello stesso tipo
Se questa opzione è abilitata, a ogni avvio dell'attività il nuovo file di rapporto sovrascriverà il file salvato nella cartella dei rapporti al precedente avvio dell'attività.

Se questa opzione è disabilitata, i file di rapporto non verranno sovrascritti. Un nuovo file di rapporto viene archiviato nella cartella dei rapporti a ogni avvio dell'attività.

La casella di controllo è disponibile se l'opzione Salva rapporto nella cartella è selezionata.

Per impostazione predefinita, questa opzione è disabilitata.
Specifica l'account per accedere alla cartella condivisa
Se questa opzione è abilitata, è possibile specificare l'account con cui il rapporto verrà salvato nella cartella. Se viene specificato un percorso UNC di una cartella condivisa per l'impostazione Salva rapporto nella cartella nella finestra Azione da applicare al rapporto, è necessario specificare l'account utente e la password per l'accesso a questa cartella.

Se questa opzione è disabilitata, il rapporto viene salvato nella cartella con l'account di Administration Server.

La casella di controllo è disponibile se l'opzione Salva rapporto nella cartella è selezionata.

Per impostazione predefinita, questa opzione è disabilitata.

Quando si salva o si invia un rapporto come file XLS, tutte le immagini correlate, come il logo e il datagramma, vengono salvate come file separati.

Fare clic su Avanti per procedere al passaggio successivo.

Inizio pagina

[Topic 151877]

Passaggio 4. Selezione dell'account per l'avvio dell'attività

Nella finestra Selezione di un account per l'esecuzione dell'attività è possibile specificare l'account da utilizzare durante l'esecuzione dell'attività. Selezionare una delle seguenti opzioni:

Account predefinito
L'attività verrà eseguita tramite lo stesso account dell'applicazione che esegue l'attività.

Per impostazione predefinita, questa opzione è selezionata.
Specifica account
Compilare i campi Account e Password per specificare i dettagli di un account con cui viene eseguita l'attività. L'account deve disporre di diritti sufficienti per questa attività.
- Account
  Account tramite il quale viene eseguita l'attività.
- Password
  Password dell'account con cui verrà eseguita l'attività.

Fare clic su Avanti per procedere al passaggio successivo.

Inizio pagina

[Topic 151878]

Passaggio 5. Configurazione di una pianificazione attività

Nella pagina Configurare la pianificazione delle attività della procedura guidata è possibile creare una pianificazione per l'avvio delle attività. Se necessario, definire le seguenti impostazioni:

Avvio pianificato:
Selezionare la pianificazione per l'esecuzione dell'attività e configurare la pianificazione selezionata.
- Ogni N ore
  L'attività viene eseguita periodicamente, con l'intervallo specificato in ore, a partire dalla data e dall'ora specificate.
  
  Per impostazione predefinita, l'attività viene eseguita ogni sei ore, a partire dalla data e dall'ora di sistema correnti.
- Ogni N giorni
  L'attività viene eseguita periodicamente, con l'intervallo specificato in giorni. È inoltre possibile specificare data e ora della prima esecuzione dell'attività. Queste opzioni aggiuntive diventano disponibili se sono supportate dall'applicazione per cui viene creata l'attività.
  
  Per impostazione predefinita, l'attività viene eseguita ogni giorno, a partire dalla data e dall'ora di sistema correnti.
- Ogni N settimane
  L'attività viene eseguita periodicamente, con l'intervallo specificato in settimane, nel giorno della settimana specificato e all'ora specificata.
  
  Per impostazione predefinita, l'attività viene eseguita ogni lunedì all'ora di sistema corrente.
- Ogni N minuti
  L'attività viene eseguita periodicamente, con l'intervallo specificato in minuti, a partire dall'ora specificata nel giorno in cui viene creata l'attività.
  
  Per impostazione predefinita, l'attività viene eseguita ogni 30 minuti, a partire dall'ora di sistema corrente.
- Giornaliera (ora legale non supportata)
  L'attività viene eseguita periodicamente, con l'intervallo specificato in giorni. Questa pianificazione non supporta l'ora legale. In altre parole, se l'orologio del sistema si sposta avanti o indietro di un'ora all'inizio o alla fine dell'ora legale, l'ora di inizio effettiva dell'attività non cambia.
  
  Non è consigliabile utilizzare questa pianificazione. È necessaria per la compatibilità con le versioni precedenti di Kaspersky Security Center.
  
  Per impostazione predefinita, l'attività viene avviata ogni giorno all'ora di sistema corrente.
- Settimanale
  L'attività viene eseguita ogni settimana nel giorno specificato e all'ora specificata.
- In base ai giorni della settimana
  L'attività viene eseguita periodicamente, nei giorni specificati della settimana, all'ora specificata.
  
  Per impostazione predefinita, l'attività viene eseguita ogni venerdì alle 18:00:00.
- Mensile
  L'attività viene eseguita periodicamente, nel giorno del mese specificato, all'ora specificata.
  
  Nei mesi che non comprendono il giorno specificato, l'attività viene eseguita l'ultimo giorno.
  
  Per impostazione predefinita, l'attività viene eseguita il primo giorno di ogni mese, all'ora di sistema corrente.
- Manualmente
  L'attività non viene eseguita automaticamente. È possibile avviarla solo manualmente.
  
  Per impostazione predefinita, questa opzione è selezionata.
- Ogni mese nei giorni specificati delle settimane selezionate
  L'attività viene eseguita periodicamente, nei giorni specificati di ogni mese, all'ora specificata.
  
  Per impostazione predefinita, non sono selezionati giorni del mese. L'ora di inizio predefinita è le 18:00.
- Durante un'epidemia di virus
  L'attività viene eseguita dopo che si verifica un evento Epidemia di virus. Selezionare i tipi di applicazione da cui dovranno essere monitorate le epidemie di virus. Sono disponibili i seguenti tipi di applicazione:
  - Anti-virus per workstation e file server
  - Anti-virus per la difesa perimetrale
  - Anti-virus per i sistemi di posta
  Per impostazione predefinita, sono selezionati tutti i tipi di applicazione.
  
  Può essere utile eseguire differenti attività a seconda del tipo di applicazione di protezione che segnala un'epidemia di virus. In questo caso, rimuovere la selezione dei tipi di applicazione non necessari.
- Al completamento di un'altra attività
  L'attività corrente viene avviata dopo il completamento di un'altra attività. È possibile selezionare la modalità di completamento dell'attività precedente (correttamente o con errori) per l'attivazione dell'avvio dell'attività corrente. È ad esempio possibile eseguire l'attività Gestisci dispositivi con l'opzione Accendi il dispositivo e, al termine, eseguire l'attività Scansione virus. Questo parametro funziona solo se entrambe le attività sono assegnate agli stessi dispositivi.
Esegui attività non effettuate
Questa opzione determina il comportamento di un'attività se un dispositivo client non è visibile nella rete al momento dell'avvio dell'attività.

Se questa opzione è abilitata, il sistema tenta di avviare l'attività alla successiva esecuzione di un'applicazione Kaspersky in un dispositivo client. Se la pianificazione dell'attività è Manualmente, Una sola volta o Immediatamente, l'attività viene avviata non appena il dispositivo diventa visibile nella rete o subito dopo che il dispositivo viene incluso nell'ambito dell'attività.

Se questa opzione è disabilitata, solo le attività pianificate vengono eseguite nei dispositivi client. Per i tipi di pianificazione Manualmente, Una sola volta e Immediatamente, le attività vengono eseguite solo nei dispositivi client visibili nella rete. È ad esempio possibile disabilitare questa opzione per un'attività con un notevole utilizzo di risorse che si desidera eseguire solo in orario non lavorativo.

Per impostazione predefinita, questa opzione è disabilitata.
Usa automaticamente il ritardo casuale per l'avvio delle attività
Se questa opzione è abilitata, l'attività viene avviata nei dispositivi client in modo casuale all'interno di un intervallo di tempo specificato (avvio distribuito dell'attività). L'avvio distribuito dell'attività consente di evitare che Administration Server riceva numerose richieste simultanee da parte dei dispositivi client durante l'esecuzione di un'attività pianificata.

Il periodo di avvio distribuito viene calcolato automaticamente durante la creazione di un'attività, in base al numero di dispositivi client a cui è assegnata l'attività. Successivamente, l'attività viene sempre eseguita all'ora di inizio calcolata. Tuttavia, quando si modificano le impostazioni dell'attività o l'attività viene avviata manualmente, il valore calcolato dell'ora di inizio dell'attività cambia.

Se questa opzione è disabilitata, l'attività viene avviata nei dispositivi client in base alla pianificazione.
Usa ritardo casuale per l'avvio delle attività con un intervallo di (min.)
Se questa opzione è abilitata, l'attività viene avviata nei dispositivi client in modo casuale all'interno dell'intervallo di tempo specificato. L'avvio distribuito dell'attività consente di evitare che Administration Server riceva numerose richieste simultanee da parte dei dispositivi client durante l'esecuzione di un'attività pianificata.

Se questa opzione è disabilitata, l'attività viene avviata nei dispositivi client in base alla pianificazione.

Per impostazione predefinita, questa opzione è disabilitata. Il periodo di tempo predefinito è 1 minuto.

Inizio pagina

[Topic 151879]

Passaggio 6. Definizione del nome dell'attività

Fare clic su Avanti per procedere al passaggio successivo.

Inizio pagina

[Topic 151880]

Passaggio 7. Completamento della creazione dell'attività

Nella finestra Completare la creazione dell'attività fare clic sul pulsante Fine per completare la procedura guidata.

Se si desidera che l'attività venga avviata al termine della procedura guidata, selezionare la casella di controllo Esegui l'attività al termine della procedura guidata.

Inizio pagina

[Topic 10592]

Gestione delle statistiche

Le statistiche sullo stato del sistema di protezione e dei dispositivi gestiti vengono visualizzate in riquadri informazioni che possono essere personalizzati. Le statistiche sono visualizzate nell'area di lavoro del nodo Administration Server, nella scheda Statistiche. La scheda contiene alcune schede di secondo livello (pagine). Ogni pagina a schede visualizza riquadri informazioni con statistiche, nonché collegamenti a notizie e altri materiali di Kaspersky. Le informazioni statistiche vengono visualizzate nei riquadri informazioni sotto forma di tabella o di grafico (a torta o a barre). I dati nei riquadri informazioni sono aggiornati mentre l'applicazione è in esecuzione e riflettono lo stato attuale dell'applicazione di protezione.

È possibile modificare il set di schede di secondo livello nella scheda Statistiche, il numero dei riquadri informazioni in ogni pagina a schede e la modalità di visualizzazione dei dati in tali riquadri.

Per aggiungere una nuova scheda di secondo livello con i riquadri informazioni nella scheda Statistiche:

Fare clic sul pulsante Personalizza visualizzazione nell'angolo superiore destro della scheda Statistiche.
Verrà visualizzata la finestra delle proprietà delle statistiche. Questa finestra contiene un elenco di pagine a schede attualmente visualizzate nella scheda Statistiche. In questa finestra è possibile modificare l'ordine di visualizzazione delle pagine nella scheda, aggiungere e rimuovere pagine e procedere alla configurazione delle proprietà della pagina facendo clic sul pulsante Proprietà.
Fare clic sul pulsante Aggiungi.
Verrà visualizzata la finestra delle proprietà di una nuova pagina.
Configurare la nuova pagina:
- Nella sezione Generale specificare il nome della pagina.
- Nella sezione Riquadri informazioni fare clic sul pulsante Aggiungi per aggiungere i riquadri informazioni che devono essere visualizzati nella pagina.
  Fare clic sul pulsante Proprietà nella sezione Riquadri informazioni per configurare le proprietà dei riquadri informazioni che sono stati aggiunti: nome, tipo e aspetto del grafico nel riquadro e i dati utilizzati per creare il grafico.
Fare clic su OK.

La pagina a schede con i riquadri informazioni aggiunti verrà visualizzata nella scheda Statistiche. Fare clic sull'icona delle impostazioni ( Icona delle impostazioni. ) per procedere immediatamente alla configurazione della pagina o di un riquadro informazioni selezionato nella pagina.

Vedere anche

Inizio pagina

[Topic 4944_1]

Configurazione delle notifiche degli eventi

Elaborazione e archiviazione di eventi in Administration Server

Kaspersky Security Center consente di selezionare un metodo per la notifica all'amministratore degli eventi che si verificano nei dispositivi client e di configurare la notifica:

E-mail. Quando si verifica un evento, l'applicazione invia una notifica agli indirizzi e-mail specificati. È possibile modificare il testo della notifica.
SMS. Quando si verifica un evento, l'applicazione invia una notifica ai numeri di telefono specificati. È possibile configurare le notifiche SMS per l'invio tramite il gateway di posta.
File eseguibile. Quando si verifica un evento in un dispositivo, il file eseguibile viene avviato nella workstation dell'amministratore. Utilizzando il file eseguibile, l'amministratore può ricevere i parametri di qualsiasi evento che si è verificato.

Per configurare le notifiche degli eventi che si verificano nei dispositivi client:

Nella struttura della console selezionare il nodo con il nome dell'Administration Server desiderato.
Nell'area di lavoro del nodo selezionare la scheda Eventi.
Fare clic sul collegamento Configura notifiche ed esportazione eventi e selezionare il valore Configura notifiche nell'elenco a discesa.
Verrà visualizzata la finestra Proprietà: Eventi.
Nella sezione Notifica selezionare un metodo di notifica (via e-mail, SMS o attraverso un file eseguibile) e definire le impostazioni di notifica:
- E-mail
  La scheda E-mail consente di configurare le notifiche degli eventi tramite e-mail.
  
  Nel campo Destinatari (indirizzi e-mail) specificare gli indirizzi e-mail a cui l'applicazione invierà le notifiche. È possibile specificare più indirizzi in questo campo, separandoli con punto e virgola.
  
  Nel campo Server SMTP specificare gli indirizzi dei server di posta, separandoli con punto e virgola. È possibile utilizzare i seguenti valori:
  - Indirizzo IPv4 o IPv6
  - Nome di rete Windows (nome NetBIOS) del dispositivo
  - Nome DNS del server SMTP
  Nel campo Porta server SMTP specificare il numero di una porta di comunicazione del server SMTP. Il numero di porta predefinito è 25.
  
  Se si abilita l'opzione Usa ricerca DNS MX, è possibile utilizzare più record MX degli indirizzi IP per lo stesso nome DNS del server SMTP. Lo stesso nome DNS può avere diversi record MX con valori di priorità differenti di ricezione dei messaggi e-mail. Administration Server tenta di inviare notifiche e-mail al server SMTP in ordine crescente di priorità dei record MX. Per impostazione predefinita, questa opzione è disabilitata.
  
  Se si abilita l'opzione Usa ricerca DNS MX e non si abilita l'utilizzo delle impostazioni TLS, è consigliabile utilizzare le impostazioni DNSSEC nel dispositivo server come misura di protezione aggiuntiva per l'invio di notifiche e-mail.
  
  Fare clic sul collegamento Impostazioni per definire impostazioni di notifica aggiuntive:
  - Nome dell'oggetto (nome dell'oggetto di un messaggio e-mail)
  - Indirizzo e-mail del mittente
  - Impostazioni di autenticazione ESMTP
  È necessario specificare un account per l'autenticazione in un server SMTP se l'opzione di autenticazione ESMTP è abilitata per il server SMTP.
  - Impostazioni TLS per il server SMTP:
    - Non utilizzare TLS
    È possibile selezionare questa opzione se si desidera disabilitare il criptaggio dei messaggi e-mail.
    - Usa TLS se supportato dal server SMTP
    È possibile selezionare questa opzione se si desidera utilizzare una connessione TLS in un server SMTP. Se il server SMTP non supporta TLS, Administration Server si connette al server SMTP senza utilizzare TLS.
    - Usa sempre TLS, controlla la validità del certificato del server
    È possibile selezionare questa opzione se si desidera utilizzare le impostazioni di autenticazione TLS. Se il server SMTP non supporta TLS, Administration Server non può connettersi al server SMTP.
  È consigliabile utilizzare questa opzione per una protezione più efficace della connessione con un server SMTP. Se si seleziona questa opzione, è possibile configurare le impostazioni di autenticazione per una connessione TLS.
  
  Se si sceglie il valore Usa sempre TLS, controlla la validità del certificato del server, è possibile specificare un certificato per l'autenticazione del server SMTP e scegliere se si desidera abilitare la comunicazione tramite qualsiasi versione di TLS o solo tramite TLS 1.2 o versioni successive. È inoltre possibile specificare un certificato per l'autenticazione del client nel server SMTP.
  
  È possibile specificare le impostazioni TLS per un server SMTP:
  - Cercare un file di certificato del server SMTP:
  È possibile ricevere un file con l'elenco dei certificati da un'autorità di certificazione attendibile e caricare il file in Administration Server. Kaspersky Security Center verifica se anche il certificato di un server SMTP è firmato da un'autorità di certificazione attendibile. Kaspersky Security Center non può connettersi a un server SMTP se il certificato del server SMTP non viene ricevuto da un'autorità di certificazione attendibile.
  - Cercare un file di certificato del client:
  È possibile utilizzare un certificato ricevuto da qualsiasi origine, ad esempio da qualsiasi autorità di certificazione attendibile. È necessario specificare il certificato e la relativa chiave privata utilizzando uno dei seguenti tipi di certificato:
  - Certificato X-509:
  È necessario specificare un file con il certificato e un file con la chiave privata. Entrambi i file non dipendono l'uno dall'altro e l'ordine di caricamento dei file non è significativo. Quando entrambi i file vengono caricati, è necessario specificare la password per la decodifica della chiave privata. La password può avere un valore vuoto se la chiave privata non è codificata.
  - Contenitore pkcs12:
  È necessario caricare un singolo file che contenga il certificato e la relativa chiave privata. Quando il file viene caricato, è necessario specificare la password per la decodifica della chiave privata. La password può avere un valore vuoto se la chiave privata non è codificata.
  
  Il campo Messaggio di notifica contiene testo standard con informazioni sull'evento inviate dall'applicazione quando si verifica un evento. Il testo include parametri sostitutivi, ad esempio il nome dell'evento, il nome del dispositivo e il nome di dominio. È possibile modificare il testo del messaggio aggiungendo altri parametri sostitutivi con dettagli più pertinenti dell'evento. L'elenco dei parametri sostitutivi è disponibile facendo clic sul pulsante a destra del campo.
  
  Se il testo di notifica contiene un segno percentuale (%), è necessario digitarlo due volte di seguito per consentire l'invio del messaggio. Ad esempio, "Il carico della CPU è 100%%".
  
  Fare clic sul collegamento Configura un limite numerico per le notifiche per specificare il numero massimo di notifiche che l'applicazione può inviare durante l'intervallo di tempo specificato.
  
  Fare clic sul pulsante Invia messaggio di prova per verificare se le notifiche sono state configurate correttamente. L'applicazione dovrebbe inviare una notifica di prova agli indirizzi e-mail specificati.
- SMS
  La scheda SMS consente di configurare la trasmissione delle notifiche SMS di diversi eventi a un cellulare. I messaggi SMS vengono inviati tramite un gateway di posta.
  
  Nel campo Destinatari (indirizzi e-mail) specificare gli indirizzi e-mail a cui l'applicazione invierà le notifiche. È possibile specificare più indirizzi in questo campo, separandoli con punto e virgola. Le notifiche verranno inviate ai numeri di telefono associati agli indirizzi e-mail specificati.
  
  Nel campo Server SMTP specificare gli indirizzi dei server di posta, separandoli con punto e virgola. È possibile utilizzare i seguenti valori:
  - Indirizzo IPv4 o IPv6
  - Nome di rete Windows (nome NetBIOS) del dispositivo
  - Nome DNS del server SMTP
  Nel campo Porta server SMTP specificare il numero di una porta di comunicazione del server SMTP. Il numero di porta predefinito è 25.
  
  Fare clic sul collegamento Impostazioni per definire impostazioni di notifica aggiuntive:
  - Nome dell'oggetto (nome dell'oggetto di un messaggio e-mail)
  - Indirizzo e-mail del mittente
  - Impostazioni di autenticazione ESMTP
  Se necessario, è possibile specificare un account per l'autenticazione in un server SMTP se l'opzione di autenticazione ESMTP è abilitata per il server SMTP.
  - Impostazioni TLS per un server SMTP
  È possibile disabilitare l'utilizzo di TLS, utilizzare TLS se il server SMTP supporta questo protocollo oppure forzare solo l'utilizzo di TLS. Se si sceglie di utilizzare solo TLS, è possibile specificare un certificato per l'autenticazione del server SMTP e scegliere se si desidera abilitare la comunicazione tramite qualsiasi versione di TLS o solo tramite TLS 1.2 o versioni successive. Inoltre, se si sceglie di utilizzare solo TLS, è possibile specificare un certificato per l'autenticazione client nel server SMTP.
  - Cercare un file di certificato del server SMTP
  È possibile ricevere un file con l'elenco dei certificati da un'autorità di certificazione attendibile e caricare il file in Kaspersky Security Center. Kaspersky Security Center verifica se anche il certificato del server SMTP è firmato da un'autorità di certificazione attendibile. Kaspersky Security Center non può connettersi al server SMTP se il certificato del server SMTP non viene ricevuto da un'autorità di certificazione attendibile.
  
  È necessario caricare un singolo file che contenga il certificato e la relativa chiave privata. Quando il file viene caricato, è necessario specificare la password per la decodifica della chiave privata. La password può avere un valore vuoto se la chiave privata non è codificata. Il campo Messaggio di notifica contiene testo standard con informazioni sull'evento che l'applicazione invia quando si verifica un evento. Il testo include parametri sostitutivi, ad esempio il nome dell'evento, il nome del dispositivo e il nome di dominio. È possibile modificare il testo del messaggio aggiungendo altri parametri sostitutivi con dettagli più pertinenti dell'evento. L'elenco dei parametri sostitutivi è disponibile facendo clic sul pulsante a destra del campo.
  
  Se il testo di notifica contiene un segno percentuale (%), è necessario digitarlo due volte di seguito per consentire l'invio del messaggio. Ad esempio, "Il carico della CPU è 100%%".
  
  Fare clic sul collegamento Configura un limite numerico per le notifiche per specificare il numero massimo di notifiche che l'applicazione può inviare nell'intervallo di tempo specificato.
  
  Fare clic sul pulsante Invia messaggio di prova per verificare se le notifiche sono state configurate correttamente. L'applicazione dovrebbe inviare una notifica di prova al destinatario specificato.
- File eseguibile da avviare
  Se è selezionato questo metodo di notifica, nel campo di immissione è possibile specificare l'applicazione che verrà avviata quando si verifica un evento.
  
  Il collegamento Configurare un limite numerico per la notifica consente di specificare il numero massimo di notifiche che l'applicazione può inviare nell'intervallo di tempo specificato.
  
  Il pulsante Invia messaggio di prova consente di verificare se le notifiche sono state configurate correttamente: l'applicazione invia una notifica di prova all'indirizzo e-mail specificato.
Nel campo Messaggio di notifica immettere il testo che l'applicazione invierà quando si verifica un evento.
È possibile utilizzare l'elenco a discesa a destra del campo di testo per aggiungere impostazioni di sostituzione con dettagli sull'evento (ad esempio la descrizione dell'evento o l'ora in cui si è verificato).

Se il testo di notifica contiene una percentuale (%), è necessario specificarlo due volte di seguito per consentire l'invio del messaggio. Ad esempio, "Il carico della CPU è 100%%".
Fare clic sul pulsante Invia messaggio di prova per verificare se la notifica è stata configurata correttamente.
L'applicazione invia una notifica test all'utente specificato.
Fare clic su OK per salvare le modifiche.

Le impostazioni di notifica modificate verranno applicate a tutti gli eventi che si verificano nei dispositivi client.

Vedere anche:

Visualizzazione di una selezione eventi

Inizio pagina

[Topic 110329]

Creazione di un certificato per un server SMTP

Per creare un certificato per un server SMTP:

Nella struttura della console selezionare il nodo con il nome dell'Administration Server desiderato.
Nell'area di lavoro del nodo selezionare la scheda Eventi.
Fare clic sul collegamento Configura notifiche ed esportazione eventi e selezionare il valore Configura notifiche nell'elenco a discesa.
Verrà visualizzata la finestra delle proprietà dell'evento.
Nella scheda E-mail fare clic sul collegamento Impostazioni per aprire la finestra Impostazioni.
Nella finestra Impostazioni fare clic sul collegamento Specifica certificato per aprire la finestra Certificato per la firma.
Nella finestra Certificato per la firma fare clic sul pulsante Sfoglia.
Verrà aperta la finestra Certificato.
Nell'elenco a discesa Tipo di certificato specificare il tipo di certificato, pubblico o privato:
- Se è selezionato il tipo di certificato privato (Contenitore PKCS #12), specificare il file di certificato e la password.
- Se è selezionato il tipo di certificato pubblico (Certificato X.509):
  1. Specificare il file della chiave privata (con l'estensione *.prk o *.pem).
  2. Specificare la password della chiave privata.
  3. Specificare il file della chiave pubblica (con l'estensione * cer).
Fare clic su OK.

Verrà emesso il certificato per il server SMTP.

Inizio pagina

[Topic 3628]

Selezioni eventi

Le informazioni sugli eventi che si verificano durante l'esecuzione di Kaspersky Security Center e delle applicazioni gestite sono salvate sia nel database di Administration Server che nel registro di sistema di Microsoft Windows. È possibile visualizzare informazioni del database di Administration Server nell'area di lavoro del nodo Administration Server, nella scheda Eventi.

Le informazioni nella scheda Eventi sono rappresentate come un elenco di selezioni eventi. Ogni selezione include solo gli eventi di un determinato tipo. Ad esempio, la selezione "Lo stato del dispositivo è Critico" contiene solo i record relativi alle modifiche degli stati del dispositivo in "Critico". Dopo l'installazione dell'applicazione, la scheda Eventi contiene alcune selezioni eventi standard. È possibile creare selezioni eventi aggiuntive (personalizzate) o esportare in un file le informazioni sugli eventi.

In questa sezione

Personalizzazione di una selezione eventi

Creazione di una selezione eventi

Esportazione di una selezione eventi in un file di testo

Eliminazione di eventi da una selezione

Aggiunta di applicazioni alle esclusioni in base alle richieste utente

Inizio pagina

[Topic 3629]

Visualizzazione di una selezione eventi

Per visualizzare la selezione eventi:

Nella struttura della console selezionare il nodo con il nome dell'Administration Server desiderato.
Nell'area di lavoro del nodo selezionare la scheda Eventi.
Nell'elenco a discesa Selezioni eventi selezionare la selezione eventi desiderata.
Se si desidera visualizzare sempre nell'area di lavoro gli eventi di questa selezione, fare clic sull'icona a forma di stella () accanto alla selezione.

Nell'area di lavoro verrà visualizzato l'elenco degli eventi memorizzati in Administration Server del tipo selezionato.

È possibile ordinare le informazioni nell'elenco degli eventi, in ordine crescente o decrescente in ogni colonna.

Vedere anche

Inizio pagina

[Topic 3632]

Personalizzazione di una selezione eventi

Per personalizzare una selezione eventi:

Nella struttura della console selezionare il nodo con il nome dell'Administration Server desiderato.
Nell'area di lavoro del nodo selezionare la scheda Eventi.
Aprire la selezione eventi desiderata nella scheda Eventi.
Fare clic sul pulsante Proprietà selezione.

Nella finestra delle proprietà della selezione eventi visualizzata è possibile configurare la selezione eventi.

Vedere anche:

Inizio pagina

[Topic 3631]

Creazione di una selezione eventi

Per creare una selezione eventi:

Nella struttura della console selezionare il nodo con il nome dell'Administration Server desiderato.
Nell'area di lavoro del nodo selezionare la scheda Eventi.
Fare clic sul pulsante Crea selezione.
Nella finestra Nuova selezione eventi visualizzata immettere il nome della nuova selezione, quindi fare clic su OK.

Una selezione con il nome specificato verrà creata nell'elenco a discesa Selezioni eventi.

Per impostazione predefinita, una selezione eventi creata contiene tutti gli eventi memorizzati in Administration Server. Per visualizzare solo gli eventi desiderati, è necessario personalizzare la selezione.

Vedere anche:

Inizio pagina

[Topic 3633]

Esportazione di una selezione eventi in un file di testo

Per esportare una selezione eventi in un file di testo:

Nella struttura della console selezionare il nodo con il nome dell'Administration Server desiderato.
Nell'area di lavoro del nodo selezionare la scheda Eventi.
Fare clic sul pulsante Importa/esporta.
Nell'elenco a discesa selezionare Esporta eventi in un file.

Verrà avviata l'Esportazione guidata eventi. Seguire le istruzioni della procedura guidata.

Vedere anche:

Inizio pagina

[Topic 3634]

Eliminazione di eventi da una selezione

Per eliminare gli eventi da una selezione:

Nella struttura della console selezionare il nodo con il nome dell'Administration Server desiderato.
Nell'area di lavoro del nodo selezionare la scheda Eventi.
Selezionare gli eventi da eliminare utilizzando il mouse, il tasto MAIUSC o il tasto CTRL.
Eliminare gli eventi selezionati in uno dei seguenti modi:
- Selezionando Elimina nel menu di scelta rapida di uno degli eventi selezionati.
  Se si seleziona Elimina tutto dal menu di scelta rapida, tutti gli eventi visualizzati saranno eliminati dalla selezione, a prescindere dalla selezione eventi dell'utente.
- Facendo clic sul collegamento Elimina evento (se è selezionato un solo evento) oppure sul collegamento Elimina eventi se sono selezionati più eventi nella finestra di informazioni di questi eventi.

Gli eventi selezionati vengono eliminati.

Vedere anche:

Inizio pagina

[Topic 173819]

Aggiunta di applicazioni alle esclusioni in base alle richieste utente

Quando si ricevono richieste da parte degli utenti per lo sblocco di applicazioni bloccate per errore, è possibile creare un'esclusione dalle regole di Sicurezza adattiva per queste applicazioni. In tal modo, le applicazioni non verranno più bloccate nei dispositivi degli utenti. È possibile tenere traccia del numero di richieste utente nella scheda Monitoraggio di Administration Server.

Per aggiungere alle esclusioni le applicazioni bloccate da Kaspersky Endpoint Security in base alle richieste utente:

Nella struttura della console selezionare il nodo con il nome dell'Administration Server desiderato.
Nell'area di lavoro del nodo selezionare la scheda Eventi.
Nell'elenco a discesa Selezioni eventi selezionare Richieste utente.
Fare clic con il pulsante destro del mouse su una o più richieste utente che contengono le applicazioni da aggiungere alle esclusioni e quindi scegliere Aggiungi esclusione.
Verrà avviata l'Aggiunta guidata esclusioni. Seguire le istruzioni visualizzate.

Le applicazioni selezionate verranno escluse dall'elenco Attivazione delle regole con stato Smart Training (in Archivi nella struttura della console) dopo la successiva sincronizzazione del dispositivo client con Administration Server e non saranno più visualizzate nell'elenco.

Vedere anche:

Visualizzazione di una selezione dispositivi

Inizio pagina

[Topic 3652]

Selezioni dispositivi

Le informazioni sullo stato dei dispositivi sono visualizzate nella cartella Selezioni dispositivi nella struttura della console.

Le informazioni nella cartella Selezioni dispositivi sono visualizzate come un elenco di selezioni dispositivi. Ogni selezione contiene i dispositivi che soddisfano specifiche condizioni. Ad esempio, la selezione Dispositivi con stato Critico contiene solo i dispositivi con lo stato Critico. Dopo l'installazione dell'applicazione, la cartella Selezioni dispositivi contiene alcune selezioni standard. È possibile creare selezioni dispositivi (personalizzate) aggiuntive, esportare le impostazioni di selezione in un file o creare selezioni con impostazioni importate da un altro file.

In questa sezione

Configurazione di una selezione dispositivi

Esportazione delle impostazioni di una selezione dispositivi in un file

Creazione di una selezione dispositivi

Creazione di una selezione dispositivi in base a impostazioni importate

Rimozione di dispositivi dai gruppi di amministrazione in una selezione

Inizio pagina

[Topic 3654]

Visualizzazione di una selezione dispositivi

Per visualizzare una selezione dispositivi:

Nella struttura della console selezionare la cartella Selezioni dispositivi.
Nell'area di lavoro della cartella, nell'elenco Dispositivi in questa selezione, selezionare la selezione dispositivi attinente.
Fare clic sul pulsante Esegui selezione.
Fare clic sulla scheda Risultati selezione.

Nell'area di lavoro verrà visualizzato un elenco dei dispositivi che soddisfano i criteri di selezione.

È possibile ordinare le informazioni nell'elenco dei dispositivi, in ordine crescente o decrescente, in ogni colonna.

Inizio pagina

[Topic 150668]

Configurazione di una selezione dispositivi