Installazione di Kaspersky Security Center

In questa sezione viene descritta l'installazione dei componenti di Kaspersky Security Center. Se si desidera installare l'applicazione in locale in un solo dispositivo, sono disponibili due opzioni di installazione:

• Standard. L'opzione è consigliabile se si desidera provare a utilizzare Kaspersky Security Center, ad esempio verificandone il funzionamento in un'area delimitata all'interno della rete aziendale. Durante l'installazione standard, è possibile esclusivamente configurare il database. È inoltre possibile installare solo il set predefinito di plug-in di gestione delle applicazioni Kaspersky. È inoltre possibile utilizzare l'installazione standard se si dispone già di una certa esperienza nell'utilizzo di Kaspersky Security Center in modo da poter specificare tutte le impostazioni pertinenti dopo l'installazione standard.
• Personalizzato. L'opzione è consigliabile se si intende modificare le impostazioni di Kaspersky Security Center, ad esempio il percorso della cartella condivisa, gli account e le porte per la connessione ad Administration Server, nonché le impostazioni del database. L'installazione personalizzata consente di specificare quali plug-in di gestione di Kaspersky installare. Se necessario, è possibile avviare l'installazione personalizzata in modalità automatica.

Se almeno un Administration Server è installato nella rete, i server possono essere installati in altri dispositivi in remoto tramite l'attività di installazione remota utilizzando l'installazione forzata. Quando si crea l'attività di installazione remota, è necessario utilizzare il pacchetto di installazione di Administration Server: ksc_<numero_versione> .<numero build> _full_<lingua localizzazione> .exe.

Utilizzare questo pacchetto se si desidera installare tutti i componenti richiesti per usufruire delle funzionalità complete di Kaspersky Security Center o per eseguire l'upgrade delle versioni correnti dei componenti.

Se si desidera distribuire il cluster di failover Kaspersky Security Center, è necessario installare Kaspersky Security Center in tutti i nodi del cluster.

Preparazione dell'installazione

Eseguire le seguenti azioni prima di avviare l'installazione.

• Verificare i requisiti hardware e software

  Verificare che l'hardware e il software del dispositivo soddisfino i requisiti di Administration Server e Administration Console.

• Selezione e installazione del sistema di gestione database (DBMS)

  Kaspersky Security Center archivia le informazioni in un database gestito da un DBMS. Installare il DBMS nella rete prima di Kaspersky Security Center (ulteriori informazioni su come selezionare un DBMS). Se si decide di installare il DBMS di PostgreSQL o Postgres Pro, specificare una password per l'utente con privilegi avanzati. Se la password non viene specificata, Administration Server potrebbe non essere in grado di connettersi al database.

  È consigliabile installare Administration Server in un server dedicato anziché in un controller di dominio. Se tuttavia si installa Kaspersky Security Center in un server che opera come controller di dominio di sola lettura (RODC), Microsoft SQL Server (SQL Express) non deve essere installato in locale (nello stesso dispositivo). In questo caso, è consigliabile installare Microsoft SQL Server (SQL Express) in remoto (su un altro dispositivo) o utilizzare MySQL, MariaDB o PostgreSQL se è necessario installare il DBMS in locale.

• Preparare le cartelle per Administration Server, Network Agent e Administration Console

  Administration Server, Network Agent e Administration Console devono essere installati nelle cartelle in cui la distinzione tra maiuscole e minuscole è disabilitata. La distinzione tra maiuscole e minuscole deve inoltre essere disabilitata per la cartella condivisa di Administration Server e la cartella nascosta di Kaspersky Security Center (% ALLUSERSPROFILE%\KasperskyLab\adminkit).

• Rimuovere Network Agent precedente

  La versione server di Network Agent è installata nel dispositivo insieme ad Administration Server. Non è possibile installare Administration Server con la versione standard di Network Agent. Se la versione server di Network Agent è già installata nel dispositivo, rimuoverla e riavviare l'installazione di Administration Server. Per dettagli sulla versione server di Network Agent, fare riferimento a Modifiche apportate al sistema dopo l'installazione di Kaspersky Security Center.

• Controllo degli account

  L'installazione di Kaspersky Security Center richiede diritti di amministratore nel dispositivo in cui deve essere eseguita l'installazione.

  Kaspersky Security Center supporta gli account del servizio gestito e gli account del servizio gestito di gruppo. Se questi tipi di account vengono utilizzati nel dominio e si desidera specificarne uno come account per il servizio Administration Server, installare prima l'account nello stesso dispositivo in cui si desidera installare Administration Server. Per informazioni dettagliate sull'installazione degli account del servizio gestito in un dispositivo locale, consultare la documentazione ufficiale di Microsoft.

Account per l'utilizzo del DBMS

Per installare e utilizzare Administration Server, è necessario un account Windows con cui eseguire il programma di installazione di Administration Server (di seguito denominato anche programma di installazione), un account Windows con cui avviare il servizio Administration Server e un account DBMS interno per accedere al DBMS. È possibile creare nuovi account o utilizzare quelli esistenti. Tutti questi account richiedono diritti specifici. Un insieme degli account richiesti e dei relativi diritti dipende dai seguenti criteri:

• Tipo di DBMS:
  • Microsoft SQL Server (con autenticazione di Windows o con autenticazione di SQL Server)
  • MySQL o MariaDB
  • PostgreSQL o Postgres Pro
• Posizione del DBMS:
  • DBMS locale. Il DBMS locale è un DBMS installato nello stesso dispositivo di Administration Server.
  • DBMS remoto. Il DBMS remoto è un DBMS installato in un altro dispositivo.
• Metodo di creazione del database di Administration Server:
  • Automatico. Durante l'installazione di Administration Server, è possibile creare automaticamente un database di Administration Server (di seguito denominato anche database del server) utilizzando il programma di installazione.
  • Manuale. È possibile utilizzare un'applicazione di terzi (ad esempio, SQL Server Management Studio) o uno script per creare un database vuoto. Successivamente, è possibile specificare questo database come database del server durante l'installazione di Administration Server.

Seguire il principio del privilegio minimo quando si concedono diritti e autorizzazioni agli account. Ciò significa che i diritti concessi devono essere sufficienti solo per eseguire le azioni richieste.

Le tabelle seguenti contengono informazioni sui diritti di sistema e sui diritti del DBMS che è necessario concedere agli account prima di installare e avviare Administration Server.

Microsoft SQL Server con autenticazione di Windows

Se si sceglie SQL Server come DBMS, è possibile utilizzare l'autenticazione di Windows per accedere a SQL Server. Configurare i diritti di sistema per un account Windows utilizzato per eseguire il programma di installazione e un account Windows utilizzato per avviare il servizio Administration Server. In SQL Server, creare credenziali di accesso per entrambi gli account Windows. A seconda del metodo di creazione del database del server, concedere i diritti di SQL Server richiesti a tali account come descritto nella tabella seguente. Per ulteriori informazioni su come configurare i diritti degli account, consultare Configurazione degli account per l'utilizzo di SQL Server (autenticazione di Windows).

DBMS: Microsoft SQL Server (tra cui Express Edition) con autenticazione Windows

Microsoft SQL Server con autenticazione di SQL Server

Se si sceglie SQL Server come DBMS, è possibile utilizzare l'autenticazione di SQL Server per accedere a SQL Server. Configurare i diritti di sistema per un account Windows utilizzato per eseguire il programma di installazione e per un account Windows utilizzato per avviare il servizio Administration Server. In SQL Server, creare un account di accesso con una password da utilizzare per l'autenticazione. Quindi, concedere a questo account SQL Server i diritti richiesti elencati nella tabella seguente. Per ulteriori informazioni su come configurare i diritti degli account, consultare Configurazione degli account per l'utilizzo di SQL Server (autenticazione di SQL Server).

DBMS: Microsoft SQL Server (tra cui Express Edition) con autenticazione di SQL Server

Configurazione dei diritti di SQL Server per il ripristino dei dati di Administration Server

Per ripristinare i dati di Administration Server dal backup, eseguire l'utilità klbackup con l'account Windows utilizzato per installare Administration Server. Prima di avviare l'utilità klbackup, in SQL Server concedere i diritti alle credenziali di accesso di SQL Server associate a questo account Windows. I diritti di SQL Server variano a seconda della versione di Administration Server. Per Administration Server versione 14.2 o successiva, è possibile concedere il ruolo a livello di server sysadmin o il ruolo a livello di server dbcreator.

Diritti di SQL Server per il ripristino del database di Administration Server

MySQL e MariaDB

Se si sceglie MySQL o MariaDB come DBMS, creare un account DBMS interno e concedere a questo account i diritti richiesti elencati nella tabella seguente. Il programma di installazione e il servizio Administration Server utilizzano questo account DBMS interno per accedere al DBMS. Si noti che il metodo di creazione del database non influisce sull'insieme dei diritti richiesti. Per ulteriori informazioni su come configurare i diritti dell'account, consultare Configurazione degli account per l'utilizzo di MySQL e MariaDB.

DBMS: MySQL e MariaDB

Configurazione dei privilegi per il ripristino dei dati di Administration Server

I diritti concessi all'account DBMS interno sono sufficienti per ripristinare i dati di Administration Server dal backup. Per avviare il ripristino, eseguire l'utilità klbackup con l'account Windows utilizzato per installare Administration Server.

PostgreSQL o Postgres Pro

Se si sceglie PostgreSQL o Postgres Pro come DBMS, è possibile utilizzare l'utente Postgres (il ruolo Postgres predefinito) o creare un nuovo ruolo Postgres (di seguito denominato anche ruolo) per accedere al DBMS. A seconda del metodo di creazione del database del server, concedere i diritti richiesti al ruolo come descritto nella tabella seguente. Per ulteriori informazioni su come configurare i diritti del ruolo, consultare Configurazione degli account per l'utilizzo di PostgreSQL o Postgres Pro.

DBMS: PostgreSQL o Postgres Pro

Configurazione dei privilegi per il ripristino dei dati di Administration Server

Per ripristinare i dati di Administration Server dal backup, eseguire l'utilità klbackup con l'account Windows utilizzato per installare Administration Server. Si noti che il ruolo Postgres utilizzato per accedere al DBMS deve disporre dei diritti di proprietario sul database di Administration Server.

Configurazione degli account per l'utilizzo di SQL Server (autenticazione di Windows)

Prerequisiti

Prima di assegnare i diritti agli account, eseguire le azioni seguenti:

1. Assicurarsi di accedere al sistema con l'account di amministratore locale.
2. Installare un ambiente per l'utilizzo di SQL Server.
3. Assicurarsi di disporre di un account Windows con cui installare Administration Server.
4. Assicurarsi di disporre di un account Windows con cui avviare il servizio Administration Server.
5. In SQL Server, creare un accesso per l'account Windows utilizzato per eseguire il programma di installazione di Administration Server (di seguito denominato anche programma di installazione). Creare anche un accesso per l'account Windows utilizzato per avviare il servizio Administration Server.

Se si utilizza SQL Server Management Studio, nella pagina Generale della finestra delle proprietà di accesso, selezionare l'opzione Autenticazione Windows.

Se si desidera installare Administration Server e SQL Server in dispositivi che si trovano in domini Windows separati, tenere presente che questi domini devono disporre di relazioni di attendibilità bidirezionali per assicurare il corretto funzionamento di Administration Server, inclusa l'esecuzione di attività e l'applicazione dei criteri. Per informazioni sugli account richiesti per le informazioni dei vari DBMS e sui diritti degli account, vedere Account per l'utilizzo del DBMS.

Configurazione degli account per l'installazione di Administration Server (creazione automatica del database di Administration Server)

Per configurare gli account per l'installazione di Administration Server:

1. In SQL Server, assegnare il ruolo a livello di server sysadmin all'accesso dell'account Windows utilizzato per eseguire il programma di installazione.
2. Accedere al sistema con l'account Windows utilizzato per eseguire il programma di installazione.
3. Eseguire il programma di installazione di Administration Server.

   Viene avviata l'installazione guidata di Administration Server. Seguire le istruzioni della procedura guidata.

4. Selezionare l'opzione dell'installazione personalizzata di Administration Server.
5. Selezionare Microsoft SQL Server come DBMS che archivia il database di Administration Server.
6. Selezionare la modalità di autenticazione di Microsoft Windows per stabilire una connessione tra Administration Server e SQL Server tramite un account Windows.
7. Specificare l'account Windows utilizzato per avviare il servizio Administration Server.

   È possibile selezionare l'account utente di Windows per il quale è stato creato in precedenza un accesso a SQL Server. In alternativa, è possibile creare automaticamente un nuovo account Windows nel formato KL-AK-* utilizzando il programma di installazione. In questo caso, il programma di installazione crea automaticamente un accesso a SQL Server per questo account. Indipendentemente dalla scelta dell'account, il programma di installazione assegna i diritti di sistema richiesti e i diritti di SQL Server all'account di servizio di Administration Server.

Al termine dell'installazione, viene creato il database del server e tutti i diritti di sistema richiesti e i diritti di SQL Server vengono assegnati all'account di servizio di Administration Server. Administration Server è pronto per l'uso.

Configurazione degli account per l'installazione di Administration Server (creazione manuale del database di Administration Server)

Per configurare gli account per l'installazione di Administration Server:

1. In SQL Server, creare un database vuoto. Questo database verrà utilizzato come database di Administration Server (di seguito denominato anche database del server).
2. Per entrambi gli accessi di SQL Server creati per gli account Windows, specificare il ruolo a livello di server pubblico, quindi configurare il mapping al database creato:
   • ruolo a livello di server: pubblico
   • Appartenenza al ruolo del database: db_owner, public
   • Schema predefinito: dbo
3. Accedere al sistema con l'account Windows utilizzato per eseguire il programma di installazione.
4. Eseguire il programma di installazione di Administration Server.

   Viene avviata l'installazione guidata di Administration Server. Seguire le istruzioni della procedura guidata.

5. Selezionare l'opzione dell'installazione personalizzata di Administration Server.
6. Selezionare Microsoft SQL Server come DBMS che archivia il database di Administration Server.
7. Specificare il nome del database creato come nome del database di Administration Server.
8. Selezionare la modalità di autenticazione di Microsoft Windows per stabilire una connessione tra Administration Server e SQL Server tramite un account Windows.
9. Specificare l'account Windows utilizzato per avviare il servizio Administration Server.

   È possibile selezionare l'account utente di Windows per il quale è stato creato un accesso di SQL Server e sono stati precedentemente configurati i diritti di accesso.

Non è consigliabile creare automaticamente un nuovo account Windows nel formato KL-AK-*. In questo caso, il programma di installazione crea un nuovo account Windows per il quale non è stato creato e configurato un account SQL Server. Administration Server non può utilizzare questo account per avviare il servizio Administration Server. Se è necessario creare un account Windows KL-AK-*, non avviare Administration Console dopo l'installazione. Eseguire invece quanto segue:

1. Arrestare il servizio kladminserver.
2. In SQL Server, creare un accesso di SQL Server per l'account Windows KL-AK-* creato.
3. Concedere i diritti a questo accesso di SQL Server e configurare il mapping al database creato:
   • ruolo a livello di server: pubblico
   • Appartenenza al ruolo del database: db_owner, public
   • Schema predefinito: dbo
4. Riavviare il servizio kladminserver, quindi eseguire l'Administration Console.

Al termine dell'installazione, Administration Server utilizzerà il database creato per archiviare i dati del server. Administration Server è pronto per l'uso.

Configurazione degli account per l'utilizzo di SQL Server (autenticazione di SQL Server)

Prerequisiti

Prima di assegnare i diritti agli account, eseguire le azioni seguenti:

1. Assicurarsi di accedere al sistema con l'account di amministratore locale.
2. Installare un ambiente per l'utilizzo di SQL Server.
3. Assicurarsi di disporre di un account Windows con cui installare Administration Server.
4. Assicurarsi di disporre di un account Windows con cui avviare il servizio Administration Server.
5. In SQL Server, abilitare la modalità di autenticazione di SQL Server.

   Se si utilizza SQL Server Management Studio, nella finestra delle proprietà di SQL Server, nella pagina Sicurezza, selezionare l'opzione Modalità di autenticazione di SQL Server e Windows.

6. In SQL Server, creare un account di accesso con una password. Il programma di installazione di Administration Server (di seguito denominato anche programma di installazione) e il servizio Administration Server utilizzeranno questo account di SQL Server per accedere a SQL Server.

   Se si utilizza SQL Server Management Studio, nella pagina Generale della finestra delle proprietà di accesso, selezionare l'opzione Autenticazione SQL Server.

Se si desidera installare Administration Server e SQL Server in dispositivi che si trovano in domini Windows separati, tenere presente che questi domini devono disporre di relazioni di attendibilità bidirezionali per assicurare il corretto funzionamento di Administration Server, inclusa l'esecuzione di attività e l'applicazione dei criteri. Per informazioni sugli account richiesti per le informazioni dei vari DBMS e sui diritti degli account, vedere Account per l'utilizzo del DBMS.

Configurazione degli account per l'installazione di Administration Server (creazione automatica del database di Administration Server)

Per configurare gli account per l'installazione di Administration Server:

1. In SQL Server, mappare l'account SQL Server al database master predefinito. Il database master è un modello per il database di Administration Server (di seguito denominato anche database del server). Il database master viene utilizzato per la mappatura finché il programma di installazione non crea un database del server. Concedere i seguenti diritti e autorizzazioni all'account SQL Server:
   • ruolo a livello di server: pubblico
   • Appartenenza al ruolo del database per il database master: db_owner.
   • Schema predefinito per il database master: dbo.
   • Autorizzazioni:
     • CONNECT ANY DATABASE
     • CONNECT SQL
     • CREATE ANY DATABASE
     • VIEW ANY DATABASE
2. Accedere al sistema con l'account Windows utilizzato per eseguire il programma di installazione.
3. Eseguire il programma di installazione.

   Viene avviata l'installazione guidata di Administration Server. Seguire le istruzioni della procedura guidata.

4. Selezionare l'opzione dell'installazione personalizzata di Administration Server.
5. Selezionare Microsoft SQL Server come DBMS che archivia il database di Administration Server.
6. Specificare il nome del database di Administration Server.
7. Selezionare la modalità di autenticazione di SQL Server per stabilire una connessione tra Administration Server e SQL Server tramite l'account SQL Server creato. Quindi, specificare le credenziali dell'account SQL Server.
8. Specificare l'account Windows utilizzato per avviare il servizio Administration Server.

   È possibile selezionare un account utente Windows esistente o crearne uno nuovo nel formato KL-AK-* utilizzando il programma di installazione. Indipendentemente dall'account scelto, il programma di installazione assegna i diritti di sistema richiesti all'account di servizio di Administration Server.

Al termine dell'installazione, viene creato il database del server e tutti i diritti di sistema richiesti vengono assegnati all'account di servizio di Administration Server. Administration Server è pronto per l'uso.

È possibile annullare la mappatura al database master, poiché il programma di installazione ha creato un database del server e configurato il mapping a questo database durante l'installazione di Administration Server.

Poiché la creazione automatica del database richiede più autorizzazioni rispetto al normale utilizzo di Administration Server, è possibile revocare alcune autorizzazioni. In SQL Server, selezionare l'account SQL Server, quindi concedere i seguenti diritti per l'utilizzo Administration Server:

• ruolo a livello di server: pubblico
• Appartenenza al ruolo del database per il database del server: db_owner
• Schema predefinito per il database del server: dbo
• Autorizzazioni:
  • CONNECT SQL
  • VIEW ANY DATABASE

Configurazione degli account per l'installazione di Administration Server (creazione manuale del database di Administration Server)

Per configurare gli account per l'installazione di Administration Server:

1. In SQL Server, creare un database vuoto. Questo database verrà utilizzato come database di Administration Server.
2. In SQL Server, concedere i seguenti diritti e autorizzazioni all'account SQL Server:
   • ruolo a livello di server: pubblico.
   • Appartenenza al ruolo del database per il database creato: db_owner.
   • Schema predefinito per il database creato: dbo.
   • Autorizzazioni:
     • CONNECT SQL
     • VIEW ANY DATABASE
3. Accedere al sistema con l'account Windows utilizzato per eseguire il programma di installazione.
4. Eseguire il programma di installazione.

   Viene avviata l'installazione guidata di Administration Server. Seguire le istruzioni della procedura guidata.

5. Selezionare l'opzione dell'installazione personalizzata di Administration Server.
6. Selezionare Microsoft SQL Server come DBMS che archivia il database di Administration Server.
7. Specificare il nome del database creato come nome del database di Administration Server.
8. Selezionare la modalità di autenticazione di SQL Server per stabilire una connessione tra Administration Server e SQL Server tramite l'account SQL Server creato. Quindi, specificare le credenziali dell'account SQL Server.
9. Specificare l'account Windows utilizzato per avviare il servizio Administration Server.

   È possibile selezionare un account utente Windows esistente o crearne uno nuovo nel formato KL-AK-* utilizzando il programma di installazione. Indipendentemente dall'account scelto, il programma di installazione assegna i diritti di sistema richiesti all'account di servizio di Administration Server.

Al termine dell'installazione, Administration Server utilizzerà il database creato per archiviare i dati di Administration Server. Tutti i diritti di sistema richiesti vengono assegnati all'account di servizio di Administration Server. Administration Server è pronto per l'uso.

Configurazione degli account per l'utilizzo di MySQL e MariaDB

Prerequisiti

Prima di assegnare i diritti agli account, eseguire le azioni seguenti:

1. Assicurarsi di accedere al sistema con l'account di amministratore locale.
2. Installare un ambiente per l'utilizzo di MySQL o MariaDB.
3. Assicurarsi di disporre di un account Windows con cui installare Administration Server.
4. Assicurarsi di disporre di un account Windows con cui avviare il servizio Administration Server.

Configurazione degli account per l'installazione di Administration Server

Per configurare gli account per l'installazione di Administration Server:

1. Eseguire un ambiente per l'utilizzo di MySQL o MariaDB con l'account root creato durante l'installazione del DBMS.
2. Creare un account DBMS interno con una password. Il programma di installazione di Administration Server (di seguito denominato anche programma di installazione) e il servizio Administration Server utilizzeranno questo account DBMS interno per accedere al DBMS. Concedere i seguenti privilegi a questo account:
   • Privilegi dello schema:
     • Database di Administration Server: ALL (ad eseclusione di GRANT OPTION)
     • Schemi di sistema (mysql e sys): SELECT, SHOW VIEW
     • Procedura memorizzata di sys.table_exists: EXECUTE
   • Privilegi globali per tutti gli schemi: PROCESS, SUPER

   Per creare un account DBMS interno e concedere i privilegi richiesti a questo account, eseguire lo script seguente (in questo script, l'accesso al DBMS è KCSAdmin e il nome del database di Administration Server è kav):

   /* Create a user named KSCAdmin */

   CREATE USER 'KSCAdmin'

   /* Specify a password for KSCAdmin */

   IDENTIFIED BY '<password>';

   Se si utilizza MySQL 8.0 o versioni precedenti come DBMS, si noti che per queste versioni l'autenticazione "Caching SHA2 password" non è supportata. Modificare l’autenticazione predefinita da “Caching SHA2 password” a “MySQL native password”:

   • Per creare un account DBMS che utilizzi l'autenticazione "MySQL native password", eseguire il comando seguente:

     CREATE USER 'KSCAdmin'@'%' IDENTIFIED WITH mysql_native_password BY '<password>';

   • Per modificare l'autenticazione per un account DBMS esistente, eseguire il comando seguente:

     ALTER USER 'KSCAdmin'@'%' IDENTIFIED WITH mysql_native_password BY '<password>';

   /* Grant privileges to KSCAdmin */

   GRANT USAGE ON *.* TO 'KSCAdmin';

   GRANT ALL ON kav.* TO 'KSCAdmin';

   GRANT SELECT, SHOW VIEW ON mysql.* TO 'KSCAdmin';

   GRANT SELECT, SHOW VIEW ON sys.* TO 'KSCAdmin';

   GRANT EXECUTE ON PROCEDURE sys.table_exists TO 'KSCAdmin';

   GRANT PROCESS ON *.* TO 'KSCAdmin';

   GRANT SUPER ON *.* TO 'KSCAdmin';

   Se si usa MariaDB 10.5 o versione precedente come DBMS, non è necessario concedere il privilegio EXECUTE. In questo caso, escludere il seguente comando dallo script: GRANT EXECUTE ON PROCEDURE sys.table_exists TO 'KSCAdmin'.

3. Per visualizzare l'elenco dei privilegi concessi all'account DBMS, eseguire il seguente script:

   SHOW grants for 'KSCAdmin';

4. Per creare manualmente un database di Administration Server, eseguire lo script seguente (in questo script, il nome del database di Administration Server è kav):

   CREATE DATABASE kav

   DEFAULT CHARACTER SET ascii

   DEFAULT COLLATE ascii_general_ci;

   Utilizzare lo stesso nome di database specificato nello script che crea l'account DBMS.

5. Accedere al sistema con l'account Windows utilizzato per eseguire il programma di installazione.
6. Eseguire il programma di installazione.

   Viene avviata l'installazione guidata di Administration Server. Seguire le istruzioni della procedura guidata.

7. Selezionare l'opzione dell'installazione personalizzata di Administration Server.
8. Selezionare MySQL o MariaDB come DBMS che archivia il database di Administration Server.
9. Specificare il nome del database di Administration Server. Utilizzare lo stesso nome del database specificato nello script.
10. Specificare le credenziali dell'account DBMS creato dallo script.
11. Specificare l'account Windows utilizzato per avviare il servizio Administration Server.

    È possibile selezionare un account utente Windows esistente o crearne automaticamente uno nuovo nel formato KL-AK-* utilizzando il programma di installazione. Indipendentemente dall'account scelto, il programma di installazione assegna i diritti di sistema richiesti all'account di servizio di Administration Server.

Al termine dell'installazione, viene creato il database di Administration Server e Administration Server è pronto per l'uso.

Configurazione degli account per l'utilizzo di PostgreSQL e Postgres Pro

Prerequisiti

Prima di assegnare i diritti agli account, eseguire le azioni seguenti:

1. Assicurarsi di accedere al sistema con l'account di amministratore locale.
2. Installare un ambiente per l'utilizzo di PostgreSQL e Postgres Pro.
3. Assicurarsi di disporre di un account Windows con cui installare Administration Server.
4. Assicurarsi di disporre di un account Windows con cui avviare il servizio Administration Server.

Configurazione degli account per l'installazione di Administration Server (creazione automatica del database di Administration Server)

Per configurare gli account per l'installazione di Administration Server:

1. Eseguire un ambiente per l'utilizzo di PostgreSQL e Postgres Pro.
2. Scegliere un ruolo di Postgres per accedere al DBMS. È possibile utilizzare uno dei seguenti ruoli:
   • L'utente Postgres (il ruolo predefinito di Postgres).

     Se si usa l'utente Postgres, non è necessario concedergli ulteriori diritti.

   • Un nuovo ruolo di Postgres.

     Se si desidera utilizzare un nuovo ruolo di Postgres, creare tale ruolo e concedergli il privilegio CREATEDB. A tale scopo, eseguire il seguente script (in questo script, il ruolo è KCSAdmin):

     CREATE USER "KSCAdmin" WITH PASSWORD '<password>' CREATEDB;

     Il ruolo creato verrà utilizzato come proprietario del database di Administration Server (di seguito denominato anche database del server).

3. Accedere al sistema con l'account Windows utilizzato per eseguire il programma di installazione di Administration Server (di seguito denominato anche programma di installazione).
4. Eseguire il programma di installazione.

   Viene avviata l'installazione guidata di Administration Server. Seguire le istruzioni della procedura guidata.

5. Selezionare l'opzione dell'installazione personalizzata di Administration Server.
6. Selezionare PostgreSQL o Postgres Pro come DBMS che archivia il database di Administration Server.
7. Specificare il nome del database del server. Il programma di installazione creerà automaticamente il database del server.
8. Specificare le credenziali del ruolo di Postgres.
9. Specificare l'account Windows utilizzato per avviare il servizio Administration Server.

   È possibile selezionare un account utente Windows esistente o crearne automaticamente uno nuovo nel formato KL-AK-* utilizzando il programma di installazione. Indipendentemente dall'account scelto, il programma di installazione assegna i diritti di sistema richiesti all'account di servizio di Administration Server.

Al termine dell'installazione, il database del server viene creato automaticamente e Administration Server è pronto per l'uso.

Configurazione degli account per l'installazione di Administration Server (creazione manuale del database di Administration Server)

Per configurare gli account per l'installazione di Administration Server:

1. Eseguire un ambiente per l'utilizzo di Postgres.
2. Creare un nuovo ruolo di Postgres e un database di Administration Server. Quindi, concedere tutti i privilegi al ruolo nel database di Administration Server. A tale scopo, accedere come utente Postgres al database Postgres ed eseguire il seguente script (in questo script, il ruolo è KCSAdmin, il nome del database di Administration Server è KAV):

   CREATE USER "KSCAdmin" WITH PASSWORD '<password>';

   CREATE DATABASE "KAV" ENCODING 'UTF8';

   GRANT ALL PRIVILEGES ON DATABASE "KAV" TO "KSCAdmin";

3. Concedere i seguenti privilegi al ruolo di Postgres creato:
   • Privilegi su tutte le tabelle nello schema pubblico: ALL
   • Privilegi su tutte le sequenze nello schema pubblico: ALL

   A tale scopo, accedere come utente Postgres al database del server ed eseguire il seguente script (in questo script, il ruolo è KCSAdmin):

   GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA "public" TO "KSCAdmin";

   GRANT ALL PRIVILEGES ON ALL SEQUENCES IN SCHEMA "public" TO "KSCAdmin";

4. Accedere al sistema con l'account Windows utilizzato per eseguire il programma di installazione.
5. Eseguire il programma di installazione di Administration Server.

   Viene avviata l'installazione guidata di Administration Server. Seguire le istruzioni della procedura guidata.

6. Selezionare l'opzione dell'installazione personalizzata di Administration Server.
7. Selezionare PostgreSQL o Postgres Pro come DBMS che archivia il database di Administration Server.
8. Specificare il nome del database del server. Utilizzare lo stesso nome del database specificato nello script. Si noti che nel nome del database viene operata la distinzione tra maiuscole e minuscole.
9. Specificare le credenziali del ruolo di Postgres.
10. Specificare l'account Windows utilizzato per avviare il servizio Administration Server.

    È possibile selezionare un account utente Windows esistente o crearne automaticamente uno nuovo nel formato KL-AK-* utilizzando il programma di installazione. Indipendentemente dall'account scelto, il programma di installazione assegna i diritti di sistema richiesti all'account di servizio di Administration Server.

Al termine dell'installazione, Administration Server utilizzerà il database creato per archiviare i dati di Administration Server. Administration Server è pronto per l'uso.

Scenario: Autenticazione di Microsoft SQL Server

Le informazioni contenute in questa sezione sono applicabili solo alle configurazioni in cui Kaspersky Security Center utilizza Microsoft SQL Server come sistema di gestione database.

Per proteggere i dati Kaspersky Security Center trasferiti da o verso il database e i dati archiviati nel database da accessi non autorizzati, è necessario proteggere le comunicazioni tra Kaspersky Security Center e SQL Server. Il modo più affidabile per garantire comunicazioni sicure è installare Kaspersky Security Center e SQL Server nello stesso dispositivo e utilizzare il meccanismo di memoria condivisa per entrambe le applicazioni. In tutti gli altri casi, è consigliabile utilizzare un certificato SSL o TLS per autenticare l'istanza di SQL Server. È possibile utilizzare un certificato di un'autorità di certificazione attendibile o un certificato autofirmato. È consigliabile utilizzare un certificato di un'autorità di certificazione attendibile perché un certificato autofirmato garantisce solo una protezione limitata.

L'autenticazione di SQL Server procede per fasi:

1. Generazione di un certificato SSL o TLS autofirmato per SQL Server in base ai requisiti del certificato

   Se si dispone già di un certificato per SQL Server, saltare questo passaggio.

   Un certificato SSL è applicabile solo alle versioni di SQL Server precedenti al 2016 (13.x). In SQL Server 2016 (13.x) e versioni successive, utilizzare un certificato TLS.

   Ad esempio, per generare un certificato TLS immettere il comando seguente in PowerShell:

   New-SelfSignedCertificate -DnsName SQL_HOST_NAME -CertStoreLocation cert:\LocalMachine -KeySpec KeyExchange

   Nel comando, anziché SQL_HOST_NAME è necessario digitare il nome host di SQL Server se l'host è incluso nel dominio o digitare il nome di dominio completo dell'host se l'host non è incluso nel dominio. Lo stesso nome, nome host o nome di dominio completo, deve essere specificato come nome di istanza di SQL nell'Installazione guidata di Administration Server.

2. Aggiunta del certificato nell'istanza SQL Server

   Le istruzioni per questo passaggio dipendono dalla piattaforma in cui è in esecuzione SQL Server. Fare riferimento alla documentazione ufficiale per ulteriori dettagli:

   • Windows
   • Linux
   • Servizio di database relazionale Amazon
   • Windows Azure

   Per utilizzare il certificato in un cluster di failover, è necessario installare il certificato in ciascun nodo del cluster di failover. Per i dettagli, consultare la documentazione Microsoft.

3. Assegnazione delle autorizzazioni dell'account del servizio

   Assicurarsi che l'account del servizio con cui viene eseguito il servizio SQL Server disponga dell'autorizzazione di controllo completo per accedere alle chiavi private. Per i dettagli, consultare la documentazione Microsoft.

4. Aggiunta del certificato all'elenco dei certificati attendibili per Kaspersky Security Center

   Nel dispositivo Administration Server aggiungere il certificato all'elenco dei certificati attendibili. Per i dettagli, consultare la documentazione Microsoft.

5. Abilitazione delle connessioni criptate tra l'istanza di SQL Server e Kaspersky Security Center

   Nel dispositivo Administration Server impostare il valore 1 per la variabile di ambiente KLDBADO_UseEncryption. Ad esempio, in Windows Server 2012 R2 è possibile modificare le variabili di ambiente facendo clic su Variabili di ambiente nella scheda Avanzate della finestra Proprietà di sistema. Aggiungere una nuova variabile, denominarla KLDBADO_UseEncryption, quindi impostare il valore 1.

6. Configurazione aggiuntiva per l'utilizzo del protocollo TLS 1.2

   Se si utilizza il protocollo TLS 1.2, eseguire anche le seguenti operazioni:

   • Assicurarsi che la versione installata di SQL Server sia un'applicazione a 64 bit.
   • Installare il driver Microsoft OLE DB nel dispositivo Administration Server. Per i dettagli, consultare la documentazione Microsoft.
   • Nel dispositivo Administration Server impostare il valore 1 per la variabile di ambiente KLDBADO_UseMSOLEDBSQL. Ad esempio, in Windows Server 2012 R2 è possibile modificare le variabili di ambiente facendo clic su Variabili di ambiente nella scheda Avanzate della finestra Proprietà di sistema. Aggiungere una nuova variabile, denominarla KLDBADO_UseMSOLEDBSQL, quindi impostare il valore 1.

     Se la versione del driver OLE DB è 19 o successiva, impostare anche il valore MSOLEDBSQL19 sulla variabile di ambiente KLDBADO_ProviderName.

7. Abilitazione dell'utilizzo del protocollo TCP/IP in un'istanza denominata di SQL Server

   Se si utilizza un'istanza denominata di SQL Server, abilitare inoltre l'utilizzo del protocollo TCP/IP e assegnare un numero di porta TCP/IP al motore del database di SQL Server. Quando si configura la connessione SQL Server nell'Installazione guidata di Administration Server, specificare il nome host di SQL Server e il numero di porta nel campo Nome istanza SQL Server.

Raccomandazioni sull'installazione di Administration Server

Questa sezione contiene raccomandazioni su come installare Administration Server. Vengono inoltre illustrati gli scenari per l'utilizzo di una cartella condivisa nel dispositivo con Administration Server per distribuire Network Agent nei dispositivi client.

Creazione degli account per i servizi di Administration Server in un cluster di failover

Per impostazione predefinita, il programma di installazione crea automaticamente account senza privilegi per i servizi di Administration Server. Questo comportamento è il più appropriato per l'installazione di Administration Server in un normale dispositivo.

Tuttavia, l'installazione di Administration Server in un cluster di failover richiede uno scenario diverso:

1. Creare account di dominio senza privilegi per i servizi di Administration Server e includerli in un gruppo di sicurezza di dominio globale denominato KLAdmins.
2. Nel programma di installazione di Administration Server specificare gli account di dominio che sono stati creati per i servizi.

Definizione di una cartella condivisa

Durante l'installazione di Administration Server, è possibile specificare il percorso della cartella condivisa. È anche possibile specificare il percorso della cartella condivisa dopo l'installazione, nelle proprietà di Administration Server. Per impostazione predefinita, la cartella condivisa verrà creata sul dispositivo con Administration Server (con diritti di lettura per il sottogruppo Everyone). Tuttavia, in alcuni casi (ad esempio, carico elevato o esigenza di accesso da una rete isolata) è consigliabile posizionare la cartella condivisa in una risorsa file dedicata.

La cartella condivisa viene utilizzata occasionalmente durante la distribuzione di Network Agent.

La distinzione tra maiuscole e minuscole per la cartella condivisa deve essere disabilitata.

Installazione remota con gli strumenti di Administration Server tramite i criteri di gruppo di Active Directory

Se i dispositivi di destinazione appartengono a un dominio Windows (non sono presenti gruppi di lavoro), la distribuzione iniziale (l'installazione di Network Agent e dell'applicazione di protezione nei dispositivi che non sono ancora gestiti) deve essere eseguita tramite i criteri di gruppo di Active Directory. La distribuzione viene eseguita utilizzando l'attività standard per l'installazione remota di Kaspersky Security Center. Se la rete è di grandi dimensioni, è consigliabile posizionare la cartella condivisa in una risorsa file dedicata per ridurre il carico sul sottosistema del disco del dispositivo con Administration Server.

Installazione remota tramite l'invio del percorso UNC di un pacchetto indipendente

Se gli utenti dei dispositivi in rete nell'organizzazione dispongono di diritti di amministratore locale, un altro metodo di distribuzione iniziale è la creazione di un pacchetto indipendente di Network Agent (o perfino di un pacchetto di Network Agent "associato" all'applicazione di protezione). Dopo aver creato un pacchetto indipendente, inviare agli utenti un collegamento al pacchetto, archiviato nella cartella condivisa. L'installazione ha inizio quando gli utenti fanno clic sul collegamento.

Aggiornamento dalla cartella condivisa di Administration Server

Nell'attività di aggiornamento dell'anti-virus è possibile configurare l'aggiornamento dalla cartella condivisa di Administration Server. Se l'attività è stata assegnata a numerosi di dispositivi, è consigliabile posizionare la cartella condivisa in una risorsa file dedicata.

Installazione di immagini dei sistemi operativi

Le immagini del sistema operativo vengono sempre installate tramite la cartella condivisa: i dispositivi leggono le immagini del sistema operativo dalla cartella condivisa. Se si prevede di distribuire le immagini su numerosi dispositivi aziendali, è consigliabile posizionare la cartella condivisa in una risorsa file dedicata.

Specificazione dell'indirizzo dell'Administration Server

Durante l'installazione di Administration Server, è possibile specificare l'indirizzo di Administration Server. Questo indirizzo sarà utilizzato come indirizzo predefinito al momento della creazione dei pacchetti di installazione di Network Agent.

Come indirizzo di Administration Server è possibile specificare quanto segue:

• Nome NetBIOS di Administration Server, specificato per impostazione predefinita
• Nome di dominio completo (FQDN) di Administration Server se il DNS (Domain Name System) nella rete dell'organizzazione è stato configurato e funziona correttamente
• Indirizzo esterno se Administration Server è installato nella rete perimetrale

Sarà quindi possibile modificare l'indirizzo di Administration Server utilizzando gli strumenti di Administration Console. L'indirizzo non sarà modificato automaticamente nei pacchetti di installazione di Network Agent che sono stati già creati.

Installazione standard

L'installazione standard è un tipo di installazione di Administration Server che utilizza i percorsi predefiniti dei file dell'applicazione, installa il set di plug-in predefinito e non abilita Mobile Device Management.

Per installare Kaspersky Security Center Administration Server in un dispositivo locale:

Eseguire il file eseguibile ksc_<numero versione>.<numero build>_full_<lingua localizzazione>.exe.

Verrà visualizzata una finestra che richiede di selezionare le applicazioni Kaspersky da installare. Nella finestra di selezione delle applicazioni, fare clic sul collegamento Installa Kaspersky Security Center Administration Server per avviare l'Installazione guidata di Administration Server. Seguire le istruzioni della procedura guidata.

Passaggio 1. Visualizzazione del Contratto di licenza e dell'Informativa sulla privacy

A questo punto dell'Installazione guidata, è necessario leggere il Contratto di licenza tra l'utente e Kaspersky, nonché l'Informativa sulla privacy.

È inoltre possibile che venga richiesto di visualizzare i Contratti di licenza e le Informative sulla privacy per i plug-in di gestione dell'applicazione nel kit di distribuzione di Kaspersky Security Center.

Leggere attentamente il Contratto di licenza e l'Informativa sulla privacy. Se si accettano tutti i termini del Contratto di licenza e dell'Informativa sulla privacy, confermare selezionando le caselle di controllo appropriate.

L'installazione dell'applicazione nel dispositivo continuerà dopo la selezione di entrambe le caselle di controllo.

Se non si accetta il Contratto di licenza o l'Informativa sulla privacy, annullare l'installazione facendo clic sul pulsante Annulla.

Passaggio 2. Selezione del metodo di installazione

Nella finestra di selezione del tipo di installazione selezionare Standard.

L'installazione standard è consigliabile se si desidera provare a utilizzare Kaspersky Security Center, ad esempio verificandone il funzionamento in un'area delimitata all'interno della rete aziendale. Durante l'installazione standard, è possibile esclusivamente configurare il database. Non è necessario specificare le impostazioni di Administration Server poiché verranno utilizzati i valori predefiniti. L'installazione standard non consente di selezionare i plug-in di gestione da installare e viene installato solo il set di plug-in predefinito. Durante l'installazione standard non vengono creati pacchetti di installazione per i dispositivi mobili. Tuttavia, è possibile crearli successivamente in Administration Console.

Passaggio 3. Installazione di Kaspersky Security Center Web Console

Questo passaggio viene visualizzato solo se si utilizza un sistema operativo a 64 bit. In caso contrario questo passaggio non viene visualizzato, dal momento che Kaspersky Security Center Web Console non funziona con i sistemi operativi a 32 bit.

Per impostazione predefinita, verrà eseguita l'installazione sia di Kaspersky Security Center Web Console che di Administration Console basata su MMC.

Se si desidera installare solo Kaspersky Security Center Web Console:

1. Selezionare Installa solo questa.
2. Scegliere Console basata sul Web nell'elenco a discesa.

L'installazione di Kaspersky Security Center Web Console viene avviata automaticamente al termine dell'installazione di Administration Server.

Se si desidera installare solo la Administration Console basata su MMC:

1. Selezionare Installa solo questa.
2. Scegliere Console basata su MMC nell'elenco a discesa.

Passaggio 4. Selezione delle dimensioni della rete

Specificare le dimensioni della rete in cui è in corso l'installazione di Kaspersky Security Center. A seconda del numero di dispositivi nella rete, la procedura guidata configura l'installazione e l'aspetto dell'interfaccia dell'applicazione in modo che corrispondano.

Nella tabella seguente sono elencate le impostazioni di installazione dell'applicazione e relative all'aspetto dell'interfaccia, a seconda delle diverse dimensioni della rete.

Dipendenza delle impostazioni di installazione dalle dimensioni della rete selezionate

Se si connette Administration Server a un server database MySQL 5.7 o SQL Express, è consigliabile evitare di utilizzare l'applicazione per gestire più di 10.000 dispositivi. Per il sistema di gestione database MariaDB, il numero massimo di dispositivi gestiti consigliato è 20.000.

Passaggio 5. Selezione di un database

In questo passaggio della procedura guidata, selezionare uno dei seguenti sistemi di gestione dei database (DBMS) che verrà utilizzato per archiviare il database di Administration Server:

• Microsoft SQL Server o SQL Server Express
• MySQL o MariaDB
• PostgreSQL o Postgres Pro

È consigliabile installare Administration Server in un server dedicato anziché in un controller di dominio. Se tuttavia si installa Kaspersky Security Center in un server che opera come controller di dominio di sola lettura (RODC), Microsoft SQL Server (SQL Express) non deve essere installato in locale (nello stesso dispositivo). In questo caso, è consigliabile installare Microsoft SQL Server (SQL Express) in remoto (su un altro dispositivo) o utilizzare MySQL, MariaDB o PostgreSQL se è necessario installare il DBMS in locale.

La struttura del database di Administration Server è disponibile nel file klakdb.chm, ubicato nella cartella di installazione di Kaspersky Security Center. Questo file è disponibile anche in un archivio sul portale Kaspersky: klakdb.zip.

Passaggio 6. Configurazione di SQL Server

In questa fase della procedura guidata, specificare le seguenti impostazioni di connessione, a seconda del sistema di gestione del database (DBMS) selezionato:

• Se è stato selezionato Microsoft SQL Server o SQL Server Express nel passaggio precedente:
  • Nel campo Nome istanza SQL Server specificare il nome di SQL Server nella rete. Per visualizzare un elenco di tutti gli SQL Server presenti nella rete, fare clic sul pulsante Sfoglia. Questo campo è vuoto per impostazione predefinita.

    Se ci si connette a SQL Server tramite una porta personalizzata, oltre al nome host di SQL Server specificare il numero di porta separato da una virgola, ad esempio:

    SQL_Server_host_name,1433

    Se si protegge la comunicazione tra Administration Server e SQL Server tramite un certificato, specificare nel campo Nome istanza SQL Server lo stesso nome host utilizzato durante la generazione del certificato. Se si utilizza un'istanza denominata di SQL Server, oltre al nome host di SQL Server specificare il numero di porta separato da una virgola, ad esempio:

    SQL_Server_name,1433

    Se si utilizzano più istanze SQL Server nello stesso host, specificare anche il nome dell'istanza separato da una barra rovesciata, ad esempio:

    SQL_Server_name\SQL_Server_instance_name,1433

    Se in un SQL Server nella rete aziendale è abilitata la funzionalità Always On, specificare il nome del listener del gruppo di disponibilità nel campo Nome istanza SQL Server. Administration Server supporta solo la modalità di disponibilità con commit sincrono quando la funzionalità Always On è abilitata.

  • Nel campo Nome database specificare il nome del DBMS creato per l'archiviazione dei dati di Administration Server. Il valore predefinito è KAV.

  Se in questo passaggio si desidera installare SQL Server nel dispositivo da cui si esegue l'installazione di Kaspersky Security Center, è necessario arrestare l'installazione e riavviarla dopo l'installazione di SQL Server. Le versioni di SQL Server supportate sono elencate nei requisiti di sistema.

  Se si desidera installare SQL Server in un dispositivo remoto, non è necessario interrompere l'Installazione guidata di Kaspersky Security Center. Installare SQL Server e riprendere l'installazione di Kaspersky Security Center.

• Se è stato selezionato MySQL o MariaDB nel passaggio precedente:
  • Nel campo Nome istanza SQL Server specificare il nome dell'istanza DBMS. Per impostazione predefinita, il nome è l'indirizzo IP del dispositivo in cui deve essere installato Kaspersky Security Center.
  • Nel campo Porta specificare la porta per la connessione di Administration Server al DBMS. Il numero di porta predefinito è 3306.
  • Nel campo Nome database specificare il nome del DBMS creato per l'archiviazione dei dati di Administration Server. Il valore predefinito è KAV.
• Se è stato selezionato PostgreSQL o Postgres Pro nel passaggio precedente:
  • Nel campo PostgreSQL o Postgres Pro Server specificare il nome dell'istanza DBMS. Per impostazione predefinita, il nome è l'indirizzo IP del dispositivo in cui deve essere installato Kaspersky Security Center.
  • Nel campo Porta specificare la porta per la connessione di Administration Server al DBMS. Il numero di porta predefinito è 5432.
  • Nel campo Nome database specificare il nome del DBMS creato per l'archiviazione dei dati di Administration Server. Il valore predefinito è KAV.

Passaggio 7. Selezione di un metodo di autenticazione

Determinare la modalità di autenticazione che verrà utilizzata durante la connessione di Administration Server al sistema di gestione dei database (DBMS).

A seconda del DBMS selezionato, è possibile scegliere tra le seguenti modalità di autenticazione:

• Per SQL Express o Microsoft SQL Server selezionare una delle seguenti opzioni:
  • Modalità di autenticazione Microsoft Windows. Per la verifica dei diritti viene utilizzato l'account utilizzato per l'avvio di Administration Server.
  • Modalità di autenticazione SQL Server. Se si seleziona questa opzione, per verificare i diritti di accesso verrà utilizzato l'account specificato nella finestra. Compilare i campi Account e Password.

    Per visualizzare la password immessa, tenere premuto il pulsante Mostra.

  Per entrambe le modalità di autenticazione, l'applicazione verifica se il database è disponibile. Se il database non è disponibile, viene visualizzato un messaggio di errore ed è necessario fornire le credenziali corrette.

  Se il database di Administration Server è memorizzato in un altro dispositivo e l'account di Administration Server non dispone dell'accesso al server di database, è necessario utilizzare la modalità di autenticazione SQL Server durante l'installazione o l'upgrade di Administration Server. Questa situazione può verificarsi quando il dispositivo in cui è memorizzato il database è esterno al dominio o quando Administration Server viene installato utilizzando un account LocalSystem.

• Per MySQL, MariaDB, PostgreSQL o Postgres Pro, specificare l'account e la password.

Passaggio 8. Decompressione e installazione dei file nel disco rigido

Al termine della configurazione dell'installazione dei componenti di Kaspersky Security Center, è possibile avviare l'installazione dei file sul disco rigido.

Se l'installazione richiede ulteriori programmi, verrà visualizzata una notifica nella pagina Installazione prerequisiti, prima dell'inizio dell'installazione di Kaspersky Security Center. I programmi richiesti verranno installati automaticamente facendo clic sul pulsante Avanti.

Nell'ultima pagina è possibile selezionare quale console avviare per l'utilizzo di Kaspersky Security Center:

• Avvia Administration Console basata su MMC
• Avvia Kaspersky Security Center Web Console

  Questa opzione è disponibile solo se si è scelto di installare Kaspersky Security Center Web Console in uno dei passaggi precedenti.

È inoltre possibile fare clic su Fine per chiudere la procedura guidata senza avviare l'utilizzo di Kaspersky Security Center. È possibile avviare l'utilizzo in qualsiasi momento.

Al primo avvio di Administration Console o di Kaspersky Security Center Web Console è possibile eseguire la configurazione iniziale dell'applicazione.

Al termine dell'Installazione guidata, i seguenti componenti dell'applicazione vengono installati nel disco rigido in cui è installato il sistema operativo:

• Administration Server (insieme alla versione server di Network Agent)
• Administration Console basata su Microsoft Management Console
• Kaspersky Security Center Web Console (se si sceglie di installarla)
• Plug-in di gestione dell'applicazione disponibili nel kit di distribuzione

Inoltre, se non è stato installato in precedenza, verrà installato Microsoft Windows Installer 4.5.

Installazione personalizzata

L'installazione personalizzata è un tipo di installazione di Administration Server durante cui viene richiesto di selezionare i componenti da installare e specificare la cartella in cui installare l'applicazione.

Utilizzando questo tipo di installazione, è possibile configurare il database e Administration Server, nonché installare i componenti non inclusi nell'installazione standard o i plug-in di gestione per diverse applicazioni di protezione Kaspersky. È inoltre possibile abilitare Mobile Device Management.

Per installare Kaspersky Security Center Administration Server in un dispositivo locale:

Eseguire il file eseguibile ksc_<numero versione>.<numero build>_full_<lingua localizzazione>.exe.

Verrà visualizzata una finestra che richiede di selezionare le applicazioni Kaspersky da installare. Nella finestra di selezione delle applicazioni, fare clic sul collegamento Installa Kaspersky Security Center Administration Server per avviare l'Installazione guidata di Administration Server. Seguire le istruzioni della procedura guidata.

Passaggio 1. Visualizzazione del Contratto di licenza e dell'Informativa sulla privacy

A questo punto dell'Installazione guidata, è necessario leggere il Contratto di licenza tra l'utente e Kaspersky, nonché l'Informativa sulla privacy.

È inoltre possibile che venga richiesto di visualizzare i Contratti di licenza e le Informative sulla privacy per i plug-in di gestione dell'applicazione nel kit di distribuzione di Kaspersky Security Center.

Leggere attentamente il Contratto di licenza e l'Informativa sulla privacy. Se si accettano tutti i termini del Contratto di licenza e dell'Informativa sulla privacy, confermare selezionando le caselle di controllo appropriate.

L'installazione dell'applicazione nel dispositivo continuerà dopo la selezione di entrambe le caselle di controllo.

Se non si accetta il Contratto di licenza o l'Informativa sulla privacy, annullare l'installazione facendo clic sul pulsante Annulla.

Passaggio 2. Selezione del metodo di installazione

Nella finestra di selezione del tipo di installazione specificare Personalizzata.

L'installazione personalizzata consente di modificare le impostazioni di Kaspersky Security Center, ad esempio il percorso della cartella condivisa, gli account e le porte per la connessione ad Administration Server, nonché le impostazioni del database. L'installazione personalizzata consente di specificare quali plug-in di gestione di Kaspersky installare. Durante l'installazione personalizzata è possibile creare pacchetti di installazione per i dispositivi mobili attivando l'opzione corrispondente.

Passaggio 3. Selezione dei componenti da installare

Selezionare i componenti di Kaspersky Security Center Administration Server che si desidera installare:

• Mobile Device Management. Selezionare questa casella di controllo se è necessario creare pacchetti di installazione per i dispositivi mobili durante l'esecuzione dell'Installazione guidata di Kaspersky Security Center. È inoltre possibile creare pacchetti di installazione per i dispositivi mobili manualmente, dopo l'installazione di Administration Server, utilizzando gli strumenti di Administration Console.
• Agente SNMP. Questo componente riceve informazioni statistiche per Administration Server tramite il protocollo SNMP. Il componente è disponibile se l'applicazione viene installata in un dispositivo in cui è installato SNMP.

  Dopo l'installazione di Kaspersky Security Center, i file .mib necessari per la ricezione delle statistiche saranno disponibili nella sottocartella SNMP della cartella di installazione dell'applicazione.

Network Agent e Administration Console non vengono visualizzati nell'elenco dei componenti. Questi componenti vengono installati automaticamente e non è possibile annullarne l'installazione.

In questo passaggio è necessario specificare una cartella per l'installazione dei componenti di Administration Server. Per impostazione predefinita, i componenti vengono installati in <Unità>:\Program Files\Kaspersky Lab\Kaspersky Security Center. Se la cartella non esiste, verrà creata automaticamente durante l'installazione. È possibile modificare la cartella di destinazione utilizzando il pulsante Sfoglia.

Passaggio 4. Installazione di Kaspersky Security Center Web Console

Questo passaggio viene visualizzato solo se si utilizza un sistema operativo a 64 bit. In caso contrario questo passaggio non viene visualizzato, dal momento che Kaspersky Security Center Web Console non funziona con i sistemi operativi a 32 bit.

Per impostazione predefinita, verrà eseguita l'installazione sia di Kaspersky Security Center Web Console che di Administration Console basata su MMC.

Se si desidera installare solo Kaspersky Security Center Web Console:

1. Selezionare Installa solo questa.
2. Scegliere Console basata sul Web nell'elenco a discesa.

L'installazione di Kaspersky Security Center Web Console viene avviata automaticamente al termine dell'installazione di Administration Server.

Se si desidera installare solo la Administration Console basata su MMC:

1. Selezionare Installa solo questa.
2. Scegliere Console basata su MMC nell'elenco a discesa.

Passaggio 5. Selezione delle dimensioni della rete

Specificare le dimensioni della rete in cui è in corso l'installazione di Kaspersky Security Center. A seconda del numero di dispositivi nella rete, la procedura guidata configura l'installazione e l'aspetto dell'interfaccia dell'applicazione in modo che corrispondano.

Nella tabella seguente sono elencate le impostazioni di installazione dell'applicazione e relative all'aspetto dell'interfaccia, a seconda delle diverse dimensioni della rete.

Dipendenza delle impostazioni di installazione dalle dimensioni della rete selezionate

Se si connette Administration Server a un server database MySQL 5.7 o SQL Express, è consigliabile evitare di utilizzare l'applicazione per gestire più di 10.000 dispositivi. Per il sistema di gestione database MariaDB, il numero massimo di dispositivi gestiti consigliato è 20.000.

Passaggio 6. Selezione di un database

In questo passaggio della procedura guidata, selezionare uno dei seguenti sistemi di gestione dei database (DBMS) che verrà utilizzato per archiviare il database di Administration Server:

• Microsoft SQL Server o SQL Server Express
• MySQL o MariaDB
• PostgreSQL o Postgres Pro

È consigliabile installare Administration Server in un server dedicato anziché in un controller di dominio. Se tuttavia si installa Kaspersky Security Center in un server che opera come controller di dominio di sola lettura (RODC), Microsoft SQL Server (SQL Express) non deve essere installato in locale (nello stesso dispositivo). In questo caso, è consigliabile installare Microsoft SQL Server (SQL Express) in remoto (su un altro dispositivo) o utilizzare MySQL, MariaDB o PostgreSQL se è necessario installare il DBMS in locale.

La struttura del database di Administration Server è disponibile nel file klakdb.chm, ubicato nella cartella di installazione di Kaspersky Security Center. Questo file è disponibile anche in un archivio sul portale Kaspersky: klakdb.zip.

Passaggio 7. Configurazione di SQL Server

In questa fase della procedura guidata, specificare le seguenti impostazioni di connessione, a seconda del sistema di gestione del database (DBMS) selezionato:

• Se è stato selezionato Microsoft SQL Server o SQL Server Express nel passaggio precedente:
  • Nel campo Nome istanza SQL Server specificare il nome di SQL Server nella rete. Per visualizzare un elenco di tutti gli SQL Server presenti nella rete, fare clic sul pulsante Sfoglia. Questo campo è vuoto per impostazione predefinita.

    Se ci si connette a SQL Server tramite una porta personalizzata, oltre al nome host di SQL Server specificare il numero di porta separato da una virgola, ad esempio:

    SQL_Server_host_name,1433

    Se si protegge la comunicazione tra Administration Server e SQL Server tramite un certificato, specificare nel campo Nome istanza SQL Server lo stesso nome host utilizzato durante la generazione del certificato. Se si utilizza un'istanza denominata di SQL Server, oltre al nome host di SQL Server specificare il numero di porta separato da una virgola, ad esempio:

    SQL_Server_name,1433

    Se si utilizzano più istanze SQL Server nello stesso host, specificare anche il nome dell'istanza separato da una barra rovesciata, ad esempio:

    SQL_Server_name\SQL_Server_instance_name,1433

    Se in un SQL Server nella rete aziendale è abilitata la funzionalità Always On, specificare il nome del listener del gruppo di disponibilità nel campo Nome istanza SQL Server. Administration Server supporta solo la modalità di disponibilità con commit sincrono quando la funzionalità Always On è abilitata.

  • Nel campo Nome database specificare il nome del DBMS creato per l'archiviazione dei dati di Administration Server. Il valore predefinito è KAV.

  Se in questo passaggio si desidera installare SQL Server nel dispositivo da cui si esegue l'installazione di Kaspersky Security Center, è necessario arrestare l'installazione e riavviarla dopo l'installazione di SQL Server. Le versioni di SQL Server supportate sono elencate nei requisiti di sistema.

  Se si desidera installare SQL Server in un dispositivo remoto, non è necessario interrompere l'Installazione guidata di Kaspersky Security Center. Installare SQL Server e riprendere l'installazione di Kaspersky Security Center.

• Se è stato selezionato MySQL o MariaDB nel passaggio precedente:
  • Nel campo Nome istanza SQL Server specificare il nome dell'istanza DBMS. Per impostazione predefinita, il nome è l'indirizzo IP del dispositivo in cui deve essere installato Kaspersky Security Center.
  • Nel campo Porta specificare la porta per la connessione di Administration Server al DBMS. Il numero di porta predefinito è 3306.
  • Nel campo Nome database specificare il nome del DBMS creato per l'archiviazione dei dati di Administration Server. Il valore predefinito è KAV.
• Se è stato selezionato PostgreSQL o Postgres Pro nel passaggio precedente:
  • Nel campo PostgreSQL o Postgres Pro Server specificare il nome dell'istanza DBMS. Per impostazione predefinita, il nome è l'indirizzo IP del dispositivo in cui deve essere installato Kaspersky Security Center.
  • Nel campo Porta specificare la porta per la connessione di Administration Server al DBMS. Il numero di porta predefinito è 5432.
  • Nel campo Nome database specificare il nome del DBMS creato per l'archiviazione dei dati di Administration Server. Il valore predefinito è KAV.

Passaggio 8. Selezione di un metodo di autenticazione

Determinare la modalità di autenticazione che verrà utilizzata durante la connessione di Administration Server al sistema di gestione dei database (DBMS).

A seconda del DBMS selezionato, è possibile scegliere tra le seguenti modalità di autenticazione:

• Per SQL Express o Microsoft SQL Server selezionare una delle seguenti opzioni:
  • Modalità di autenticazione Microsoft Windows. Per la verifica dei diritti viene utilizzato l'account utilizzato per l'avvio di Administration Server.
  • Modalità di autenticazione SQL Server. Se si seleziona questa opzione, per verificare i diritti di accesso verrà utilizzato l'account specificato nella finestra. Compilare i campi Account e Password.

    Per visualizzare la password immessa, tenere premuto il pulsante Mostra.

  Per entrambe le modalità di autenticazione, l'applicazione verifica se il database è disponibile. Se il database non è disponibile, viene visualizzato un messaggio di errore ed è necessario fornire le credenziali corrette.

  Se il database di Administration Server è memorizzato in un altro dispositivo e l'account di Administration Server non dispone dell'accesso al server di database, è necessario utilizzare la modalità di autenticazione SQL Server durante l'installazione o l'upgrade di Administration Server. Questa situazione può verificarsi quando il dispositivo in cui è memorizzato il database è esterno al dominio o quando Administration Server viene installato utilizzando un account LocalSystem.

• Per MySQL, MariaDB, PostgreSQL o Postgres Pro, specificare l'account e la password.

Passaggio 9. Selezione dell'account per l'avvio di Administration Server

Selezionare l'account che verrà utilizzato per avviare Administration Server come servizio.

• Genera automaticamente l'account. L'applicazione crea un account denominato KL-AK-* che verrà utilizzato per l'esecuzione del servizio kladminserver.

  È possibile selezionare questa opzione se si intende collocare la cartella condivisa e il DBMS nello stesso dispositivo di Administration Server.

• Selezionare un account. Il servizio Administration Server (kladminserver) verrà eseguito utilizzando l'account selezionato.

  Sarà necessario selezionare un account di dominio se ad esempio si intende utilizzare come DBMS un'istanza di SQL Server di qualsiasi versione, tra cui SQL Express, che si trova in un altro dispositivo e/o si intende collocare la cartella condivisa in un altro dispositivo.

  Kaspersky Security Center supporta gli account del servizio gestito (MSA) e gli account del servizio gestito di gruppo (gMSA). Se nel dominio vengono utilizzati questi tipi di account, è possibile selezionarne uno come account del servizio Administration Server.

  Prima di specificare un account MSA o gMSA, è necessario installare l'account nello stesso dispositivo in cui si desidera installare Administration Server. Se l'account non è ancora stato installato, annullare l'installazione di Administration Server, installare l'account e quindi riavviare l'installazione di Administration Server. Per informazioni dettagliate sull'installazione degli account del servizio gestito in un dispositivo locale, consultare la documentazione ufficiale di Microsoft.

  Per specificare un account MSA o gMSA:

  1. Fare clic sul pulsante Sfoglia.
  2. Nella finestra visualizzata fare clic sul pulsante Tipo di oggetto.
  3. Selezionare il tipo Account per servizi e fare clic su OK.
  4. Selezionare l'account desiderato, quindi fare clic su OK.

L'account selezionato deve disporre di diverse autorizzazioni, a seconda del DBMS che si intende utilizzare.

Per motivi di sicurezza, non assegnare lo stato privilegiato all'account utilizzato per l'esecuzione di Administration Server.

L'account di Administration Server non potrà essere modificato in seguito. È necessario reinstallare il cluster di failover per utilizzare un altro account di Administration Server.

Passaggio 10. Selezione dell'account per l'esecuzione dei servizi di Kaspersky Security Center

Selezionare l'account con cui verranno eseguiti i servizi di Kaspersky Security Center nel dispositivo:

• Genera automaticamente l'account. Kaspersky Security Center crea un account locale denominato KlScSvc nel dispositivo nel gruppo kladmins. I servizi di Kaspersky Security Center verranno eseguiti utilizzando l'account creato.
• Selezionare un account. I servizi di Kaspersky Security Center verranno eseguiti tramite l'account selezionato.

  Sarà necessario selezionare un account di dominio se si intende, ad esempio, salvare i rapporti in una cartella disponibile in un altro dispositivo o se questo è richiesto dal criterio di protezione dell'organizzazione. È inoltre necessario selezionare un account di dominio se si installa Administration Server in un cluster di failover.

Per motivi di sicurezza, non concedere lo stato di privilegiato all'account con cui vengono eseguiti i servizi.

Il servizio proxy KSN (ksnproxy), il servizio proxy di attivazione Kaspersky (klactprx) e il servizio del portale di autenticazione Kaspersky (klwebsrv) verranno eseguiti utilizzando l'account selezionato.

Passaggio 11. Selezione di una cartella condivisa

Definire il percorso e il nome della cartella condivisa che verrà utilizzata per:

• Memorizzare i file necessari per l'installazione remota delle applicazioni (i file vengono copiati in Administration Server durante la creazione dei pacchetti di installazione).
• Memorizzare gli aggiornamenti che sono stati scaricati da una sorgente degli aggiornamenti in Administration Server.

La condivisione file (in sola lettura) sarà abilitata per tutti gli utenti.

È possibile selezionare una delle seguenti opzioni:

• Crea cartella condivisa. Verrà creata una nuova cartella. Nella casella di testo specificare il percorso della cartella.
• Selezionare una cartella condivisa esistente. Selezionare una cartella condivisa già esistente.

La cartella condivisa può essere una cartella locale nel dispositivo utilizzato per l'installazione o una directory remota in qualsiasi dispositivo client nella rete aziendale. È possibile utilizzare il pulsante Sfoglia per selezionare la cartella condivisa o specificarla manualmente immettendone il percorso UNC (ad esempio, \\server\Share) nel campo corrispondente.

Per impostazione predefinita, il programma di installazione crea una sottocartella locale KLSHARE nella cartella del programma che contiene i componenti di Kaspersky Security Center.

È possibile definire una cartella condivisa successivamente, se necessario.

Passaggio 12. Configurazione della connessione ad Administration Server

Espandi tutto | Comprimi tutto

Configurare la connessione ad Administration Server:

• Porta

  il numero della porta utilizzata per la connessione ad Administration Server.

  Il numero di porta predefinito è 14000.

• Porta SSL

  Numero della porta SSL (Secure Sockets Layer) utilizzata per la connessione protetta ad Administration Server tramite SSL.

  Il numero di porta predefinito è 13000.

• Lunghezza della chiave di criptaggio

  Selezionare la lunghezza della chiave di criptaggio: 1024 o 2048 bit.

  Una chiave di criptaggio a 1024 bit genera un carico inferiore sulla CPU, ma viene considerata obsoleta poiché non è in grado di garantire un criptaggio affidabile per via delle specifiche tecniche. Inoltre, è possibile che l'hardware esistente risulti incompatibile con i certificati SSL dotati di chiavi a 1024 bit.

  Una chiave di criptaggio a 2048 bit soddisfa tutti i più avanzati standard di criptaggio. Tuttavia, l'utilizzo di una chiave di criptaggio a 2048 bit può incrementare il carico sulla CPU.

  Per impostazione predefinita, l'opzione 2048 bit (migliore protezione) è selezionata.

È inoltre possibile modificare i parametri per la connessione ad Administration Server in un secondo momento come segue:

• È possibile modificare i numeri di porta e SSL nella sezione Porte di connessione delle proprietà di Administration Server. Per ulteriori informazioni sulle porte di connessione di Administration Server, vedere Porte utilizzate da Kaspersky Security Center.
• È possibile modificare la lunghezza della chiave di criptaggio quando si sostituisce il certificato di Administration Server con l'utilità klsetsrvcert utilizzando il parametro -o RsaKeyLen:<lunghezza della chiave>.

Passaggio 13. Definizione dell'indirizzo di Administration Server

Specificare l'indirizzo di Administration Server in uno dei seguenti modi:

• Nome dominio DNS. È possibile utilizzare questo metodo quando la rete include un server DNS e i dispositivi client possono utilizzarlo per ricevere l'indirizzo di Administration Server.
• Nome NetBIOS. È possibile utilizzare questo metodo quando i dispositivi client ricevono l'indirizzo di Administration Server tramite il protocollo NetBIOS o se nella rete è disponibile un server WINS.
• Indirizzo IP. È possibile utilizzare questo metodo se Administration Server ha un indirizzo IP statico, che non verrà modificato in futuro.

Se si installa Kaspersky Security Center nel nodo attivo del cluster di failover Kaspersky Security Center ed è stata creata una scheda di rete secondario durante la preparazione dei nodi del cluster, specificare l'indirizzo IP della scheda. In caso contrario, inserire l'indirizzo IP del sistema di bilanciamento del carico di terze parti in uso.

Passaggio 14. Indirizzo di Administration Server per la connessione dei dispositivi mobili

Questo passaggio dell'Installazione guidata è disponibile se si seleziona per l'installazione Mobile Device Management.

Nella finestra Indirizzo per la connessione dei dispositivi mobili specificare l'indirizzo esterno di Administration Server per la connessione dei dispositivi mobili che sono all'esterno della rete locale. È possibile specificare l'indirizzo IP o il DNS (Domain Name System) di Administration Server.

Passaggio 15. Selezione dei plug-in di gestione dell'applicazione

Selezionare i plug-in di gestione dell'applicazione da installare con Kaspersky Security Center.

Per semplificare la ricerca, i plug-in sono divisi in gruppi a seconda del tipo di oggetti protetti.

Passaggio 16. Decompressione e installazione dei file nel disco rigido

Al termine della configurazione dell'installazione dei componenti di Kaspersky Security Center, è possibile avviare l'installazione dei file sul disco rigido.

Se l'installazione richiede ulteriori programmi, verrà visualizzata una notifica nella pagina Installazione prerequisiti, prima dell'inizio dell'installazione di Kaspersky Security Center. I programmi richiesti verranno installati automaticamente facendo clic sul pulsante Avanti.

Nell'ultima pagina è possibile selezionare quale console avviare per l'utilizzo di Kaspersky Security Center:

• Avvia Administration Console basata su MMC
• Avvia Kaspersky Security Center Web Console

  Questa opzione è disponibile solo se si è scelto di installare Kaspersky Security Center Web Console in uno dei passaggi precedenti.

È inoltre possibile fare clic su Fine per chiudere la procedura guidata senza avviare l'utilizzo di Kaspersky Security Center. È possibile avviare l'utilizzo in qualsiasi momento.

Al primo avvio di Administration Console o di Kaspersky Security Center Web Console è possibile eseguire la configurazione iniziale dell'applicazione.

Distribuzione del cluster di failover Kaspersky Security Center

Questa sezione contiene sia informazioni generali sul cluster di failover Kaspersky Security Center che istruzioni sulla preparazione e sulla distribuzione del cluster di failover Kaspersky Security Center nella rete.

Scenario: Distribuzione di un cluster di failover Kaspersky Security Center

Un cluster di failover Kaspersky Security Center garantisce un'elevata disponibilità di Kaspersky Security Center e riduce al minimo i tempi di inattività di Administration Server in caso di errore. Il cluster di failover si basa su due istanze identiche di Kaspersky Security Center installate in due computer. Una delle istanze funge da nodo attivo e l'altra da nodo passivo. Il nodo attivo gestisce la protezione dei dispositivi client, mentre quello passivo è predisposto a svolgere tutte le funzioni del nodo attivo in caso di errore del nodo attivo. Quando si verifica un errore, il nodo passivo diventa attivo e il nodo attivo diventa passivo.

Prerequisiti

È necessario disporre di hardware che soddisfi i requisiti per il cluster di failover.

Passaggi

La distribuzione delle applicazioni Kaspersky prevede diversi passaggi:

1. Creazione di un account per i servizi di Kaspersky Security Center

   Creare un nuovo gruppo di dominio, (in questo scenario viene utilizzato il nome "KLAdmins" per il gruppo), quindi concedere le autorizzazioni di amministratore locale al gruppo in entrambi i nodi e nel file server. A questo punto creare due nuovi account utente di dominio (in questo scenario vengono utilizzati i nomi "ksc" e "rightless" per gli account) e aggiungere gli account al gruppo di dominio KLAdmins.

   Aggiungere l'account utente con cui verrà installato Kaspersky Security Center al gruppo di dominio KLAdmins creato in precedenza.

2. Preparazione del file server

   Preparare il file server affinché funzioni come componente del cluster di failover Kaspersky Security Center. Assicurarsi che il file server soddisfi i requisiti hardware e software, creare due cartelle condivise per i dati di Kaspersky Security Center e configurare le autorizzazioni per accedere alle cartelle condivise.

   Istruzioni dettagliate: Preparazione di un file server per il cluster di failover Kaspersky Security Center

3. Preparazione di nodi attivi e passivi

   Preparare due dispositivi con hardware e software identici in modo che fungano da nodi attivi e passivi.

   Istruzioni dettagliate: Preparazione dei nodi per il cluster di failover Kaspersky Security Center

4. Installazione del DBMS (Database Management System)

   Selezionare uno dei DBMS supportati, quindi installare il DBMS in un dispositivo dedicato. Per informazioni su come installare il DBMS, consultare la relativa documentazione.

5. Installazione di Kaspersky Security Center

   Installare Kaspersky Security Center in modalità cluster di failover in entrambi i nodi. È prima necessario installare Kaspersky Security Center nel nodo attivo, quindi installarlo in quello passivo.

   Inoltre, è possibile installare Kaspersky Security Center Web Console in un dispositivo separato che non sia un nodo del cluster.

   Istruzioni dettagliate: Installazione di Kaspersky Security Center nei nodi del cluster di failover Kaspersky Security Center

6. Test del cluster di failover

   Verificare di aver configurato correttamente il cluster di failover e che funzioni correttamente. È ad esempio possibile arrestare uno dei servizi di Kaspersky Security Center nel nodo attivo: kladminserver, klnagent, ksnproxy, klactprx o klwebsrv. Dopo l'arresto del servizio, la gestione della protezione deve passare automaticamente al nodo passivo.

Risultati

Il cluster di failover Kaspersky Security Center viene distribuito. Esaminare gli eventi che determinano il passaggio dai nodi attivi a quelli passivi.

Informazioni sul cluster di failover Kaspersky Security Center

Un cluster di failover Kaspersky Security Center garantisce un'elevata disponibilità di Kaspersky Security Center e riduce al minimo i tempi di inattività di Administration Server in caso di errore. Il cluster di failover si basa su due istanze identiche di Kaspersky Security Center installate in due computer. Una delle istanze funge da nodo attivo e l'altra da nodo passivo. Il nodo attivo gestisce la protezione dei dispositivi client, mentre quello passivo è predisposto a svolgere tutte le funzioni del nodo attivo in caso di errore del nodo attivo. Quando si verifica un errore, il nodo passivo diventa attivo e il nodo attivo diventa passivo.

Requisiti hardware e software

Per distribuire un cluster di failover Kaspersky Security Center, è necessario disporre del seguente hardware:

• Due dispositivi con hardware e software identici. Questi dispositivi fungeranno da nodi attivi e passivi.
• Un file server che supporti il protocollo CIFS/SMB, versione 2.0 o successiva. È necessario mettere a disposizione un dispositivo dedicato che fungerà da file server.

  Assicurarsi di aver fornito un'elevata larghezza di banda di rete tra il file server e i nodi attivi e passivi.

• Un dispositivo con DBMS (Database Management System).

Schemi di distribuzione

È possibile scegliere uno dei seguenti schemi per distribuire il cluster di failover Kaspersky Security Center:

• Uno schema che utilizza una scheda di rete secondaria.
• Uno schema che utilizza un sistema di bilanciamento del carico di terze parti.

  

  Uno schema che utilizza una scheda di rete secondaria

Legenda schema:

Administration Server invia i dati al database. Aprire le porte necessarie nel dispositivo in cui si trova il database, ad esempio la porta 3306 per MySQL Server o la porta 1433 per Microsoft SQL Server. Fare riferimento alla documentazione DBMS per le informazioni attinenti.

Nei dispositivi gestiti aprire le seguenti porte: TCP 13000, UDP 13000 e TCP 17000.

Uno schema che utilizza un sistema di bilanciamento del carico di terze parti

Legenda schema:

Nel dispositivo di bilanciamento del carico aprire tutte le porte di Administration Server: TCP 13000, UDP 13000, TCP 13299 e TCP 17000.

Se si desidera utilizzare l'utilità klakaut per l'automazione, è necessario aprire anche la porta TCP 13291.

Nei dispositivi gestiti aprire le seguenti porte: TCP 13000, UDP 13000 e TCP 17000.

Administration Server invia i dati al database. Aprire le porte necessarie nel dispositivo in cui si trova il database, ad esempio la porta 3306 per MySQL Server o la porta 1433 per Microsoft SQL Server. Fare riferimento alla documentazione DBMS per le informazioni attinenti.

Condizioni per il passaggio

Il cluster di failover passa la gestione della protezione dei dispositivi client dal nodo attivo al nodo passivo se si verifica uno dei seguenti eventi nel nodo attivo:

• Il nodo attivo è danneggiato a causa di un errore software o hardware.
• Il nodo attivo è stato temporaneamente arrestato per attività di manutenzione.
• Almeno uno dei servizi (o processi) di Kaspersky Security Center non è riuscito o è stato deliberatamente terminato dall'utente. I servizi di Kaspersky Security Center sono i seguenti: kladminserver, klnagent, klactprx e klwebsrv.
• La connessione di rete tra il nodo attivo e l'archivio nel file server è stata interrotta o terminata.

Preparazione di un file server per un cluster di failover Kaspersky Security Center

Un file server funge da componente necessario di un cluster di failover Kaspersky Security Center.

Per preparare un file server:

1. Assicurarsi che il file server soddisfi i requisiti hardware e software.
2. Assicurarsi che il file server ed entrambi i nodi (attivo e passivo) siano inclusi nello stesso dominio o che il file server sia il controller di dominio.
3. Nel file server creare due cartelle condivise. Una di queste verrà utilizzata per conservare le informazioni sullo stato del cluster di failover. L'altra verrà utilizzata per archiviare i dati e le impostazioni di Kaspersky Security Center. Specificare i percorsi delle cartelle condivise durante la configurazione dell'installazione di Kaspersky Security Center.
4. Concedere le autorizzazioni per l'accesso completo (sia le autorizzazioni di condivisione che le autorizzazioni NTFS) alle cartelle condivise create per i seguenti account utente e gruppi:
   • Gruppo di domini KLAdmins.
   • Account utente $<node1> e $<node2>. Qui, <node1> e <node2> sono i nomi dei dispositivi dei nodi attivi e passivi.

Il file server è pronto. Per distribuire il cluster di failover Kaspersky Security Center, seguire le istruzioni aggiuntive in questo scenario.

Preparazione dei nodi per un cluster di failover Kaspersky Security Center

Preparare due dispositivi affinché fungano da nodi attivi e passivi per un cluster di failover Kaspersky Security Center.

Per preparare i nodi per un cluster di failover Kaspersky Security Center:

1. Assicurarsi di avere due dispositivi che soddisfino i requisiti hardware e software. Questi dispositivi fungeranno da nodi attivi e passivi del cluster di failover.
2. Assicurarsi che il file server ed entrambi i nodi siano inclusi nello stesso dominio.
3. Eseguire una delle seguenti operazioni:
   • In ogni nodo, configurare una scheda di rete secondaria.

     Una scheda di rete secondaria può essere fisica o virtuale. Se si desidera utilizzare una scheda di rete fisica, connetterla e configurarla con gli strumenti standard del sistema operativo. Se si desidera utilizzare una scheda di rete virtuale, crearla utilizzando software di terzi.

     Assicurarsi che vengano soddisfatte le seguenti condizioni:

     • Le schede di rete secondarie sono disabilitate.

       È possibile creare le schede di rete secondarie nello stato disabilitato o disabilitarle dopo la creazione.

     • Le schede di rete secondario in entrambi i nodi hanno lo stesso indirizzo IP.
   • Utilizzare un sistema di bilanciamento del carico di terze parti. È ad esempio possibile utilizzare un server nginx. In questo caso, procedere come segue:
     1. Mettere a disposizione un dispositivo basato su Linux dedicato con nginx installato.
     2. Configurare il bilanciamento del carico. Impostare il nodo attivo come server principale e il nodo passivo come server di backup.
     3. Nel server nginx aprire tutte le porte di Administration Server: TCP 13000, UDP 13000, TCP 13299 e TCP 17000.

        Se si desidera utilizzare l'utilità klakaut per l'automazione, è necessario aprire anche la porta TCP 13291.

4. Riavviare entrambi i nodi e il file server.
5. Mappare le due cartelle condivise create durante la fase di preparazione del file server a ciascuno dei nodi. È necessario mappare le cartelle condivise come unità di rete. Durante il mapping delle cartelle è possibile selezionare eventuali lettere di unità libere. Per accedere alle cartelle condivise, utilizzare le credenziali dell'account utente creato durante il passaggio 1 dello scenario.

I nodi sono pronti. Per distribuire il cluster di failover Kaspersky Security Center, seguire le istruzioni aggiuntive dello scenario.

Installazione di Kaspersky Security Center nei nodi del cluster di failover Kaspersky Security Center

Kaspersky Security Center viene installato separatamente in entrambi i nodi del cluster di failover Kaspersky Security Center. Prima si installa l'applicazione nel nodo attivo, poi su quello passivo. Durante l'installazione, è necessario scegliere quale nodo sarà attivo e quale sarà passivo.

Solo un utente del gruppo di domini KLAdmins può installare Kaspersky Security Center in ogni nodo.

Per installare Kaspersky Security Center nel nodo attivo del cluster di failover Kaspersky Security Center:

1. Eseguire il file eseguibile ksc_14.2_<numero build>_full_<lingua>.exe.

   Verrà visualizzata una finestra che richiede di selezionare le applicazioni Kaspersky da installare. Nella finestra di selezione delle applicazioni fare clic sul collegamento Installazione di Kaspersky Security Center Administration Server per avviare l'Installazione guidata di Administration Server. Seguire le istruzioni della procedura guidata.

2. Leggere attentamente il Contratto di licenza e l'Informativa sulla privacy. Se si accettano tutte le condizioni del Contratto di licenza e dell'Informativa sulla privacy, selezionare le seguenti caselle di controllo nella sezione Confermo di aver letto e compreso integralmente e di accettare quanto segue:
   • Termini e condizioni del presente Contratto di licenza con l'utente finale
   • Informativa sulla privacy in cui viene descritta la gestione dei dati

   L'installazione dell'applicazione nel dispositivo continuerà dopo la selezione di entrambe le caselle di controllo.

   Se non si accetta il Contratto di licenza o l'Informativa sulla privacy, annullare l'installazione facendo clic sul pulsante Annulla.

3. Selezionare Nodo primario di Kaspersky Failover Cluster per installare l'applicazione nel nodo attivo.
4. Nella finestra Cartella condivisa procedere come segue:
   • Nei campi Condivisione dello stato e Condivisione dei dati specificare i percorsi delle cartelle condivise create nel file server durante la relativa preparazione.
   • Nei campi Unità della condivisione dello stato e Unità della condivisione dei dati selezionare le unità di rete a cui sono state mappate le cartelle condivise durante la preparazione dei nodi.
   • Selezionare la modalità di connettività del cluster: tramite una scheda di rete secondaria o un sistema di bilanciamento del carico di terzi.
5. Eseguire gli altri passaggi dell'installazione personalizzata, a partire dal passaggio 3.

   Nel passaggio 13 specificare l'indirizzo IP di una scheda di rete secondaria se è stata creata una scheda durante la preparazione dei nodi del cluster. In caso contrario, inserire l'indirizzo IP del sistema di bilanciamento del carico di terze parti in uso.

Kaspersky Security Center è installato nel nodo attivo.

Per installare Kaspersky Security Center nel nodo passivo del cluster di failover Kaspersky Security Center:

1. Eseguire il file eseguibile ksc_14.2_<numero build>_full_<lingua>.exe.

   Verrà visualizzata una finestra che richiede di selezionare le applicazioni Kaspersky da installare. Nella finestra di selezione delle applicazioni fare clic sul collegamento Installazione di Kaspersky Security Center Administration Server per avviare l'Installazione guidata di Administration Server. Seguire le istruzioni della procedura guidata.

2. Leggere attentamente il Contratto di licenza e l'Informativa sulla privacy. Se si accettano tutte le condizioni del Contratto di licenza e dell'Informativa sulla privacy, selezionare le seguenti caselle di controllo nella sezione Confermo di aver letto e compreso integralmente e di accettare quanto segue:
   • Termini e condizioni del presente Contratto di licenza con l'utente finale
   • Informativa sulla privacy in cui viene descritta la gestione dei dati

   L'installazione dell'applicazione nel dispositivo continuerà dopo la selezione di entrambe le caselle di controllo.

   Se non si accetta il Contratto di licenza o l'Informativa sulla privacy, annullare l'installazione facendo clic sul pulsante Annulla.

3. Selezionare Nodo secondario di Kaspersky Failover Cluster per installare l'applicazione nel nodo passivo.
4. Nella finestra Cartella condivisa, nel campo Condivisione dello stato, specificare un percorso della cartella condivisa con le informazioni sullo stato del cluster creato nel file server durante la relativa preparazione.
5. Fare clic sul pulsante Installa. Al termine dell'installazione, fare clic sul pulsante Fine.

Kaspersky Security Center è installato nel nodo passivo. Adesso è possibile testare il cluster di failover Kaspersky Security Center per assicurarsi di averlo configurato correttamente e che il cluster funzioni nel modo adeguato.

Avvio e arresto manuale dei nodi del cluster

Potrebbe essere necessario arrestare l'intero cluster di failover Kaspersky Security Center o scollegare temporaneamente uno dei nodi del cluster per la manutenzione. In tal caso, seguire le istruzioni contenute in questa sezione. Non tentare di avviare o arrestare i servizi o i processi relativi al cluster di failover utilizzando altri metodi. Questo potrebbe determinare la perdita di dati.

Avvio e arresto dell'intero cluster di failover per la manutenzione

Per avviare o arrestare l'intero cluster di failover:

1. Nel nodo attivo accedere a <Disco>:\Programmi (x86)\Kaspersky Lab\Kaspersky Security Center.
2. Aprire la riga di comando, quindi eseguire uno dei seguenti comandi:
   • Per arrestare il cluster, eseguire: klfoc -stopcluster --stp klfoc
   • Per avviare il cluster, eseguire: klfoc -startcluster --stp klfoc

Il cluster di failover viene avviato o arrestato, a seconda del comando eseguito.

Manutenzione di uno dei nodi

Per eseguire la manutenzione di uno dei nodi:

1. Nel nodo attivo arrestare il cluster di failover utilizzando il comando klfoc -stopcluster --stp klfoc.
2. Nel nodo di cui si desidera eseguire la manutenzione accedere a <Disco>:\Programmi (x86)\Kaspersky Lab\Kaspersky Security Center.
3. Aprire la riga di comando, quindi scollegare il nodo dal cluster eseguendo il comando detach_node.cmd.
4. Nel nodo attivo avviare il cluster di failover utilizzando il comando klfoc -startcluster --stp klfoc.
5. Eseguire le attività di manutenzione.
6. Nel nodo attivo arrestare il cluster di failover utilizzando il comando klfoc -stopcluster --stp klfoc.
7. Nel nodo di cui è stata eseguita la manutenzione accedere a <Disco>:\Programmi (x86)\Kaspersky Lab\Kaspersky Security Center.
8. Aprire la riga di comando, quindi collegare il nodo al cluster eseguendo il comando attach_node.cmd.
9. Nel nodo attivo avviare il cluster di failover utilizzando il comando klfoc -startcluster --stp klfoc.

Viene eseguita la manutenzione del nodo, che viene quindi collegato al cluster di failover.

Installazione di Administration Server in un cluster di failover di Windows Server

La procedura di installazione di Administration Server in un cluster di failover è diversa dall'installazione standard e personalizzata in un dispositivo indipendente.

Eseguire la procedura descritta in questa sezione nel nodo contenente un archivio dati comune del cluster.

Per installare Kaspersky Security Center Administration Server in un cluster:

Eseguire il file eseguibile ksc_<numero versione>.<numero build>_full_<lingua localizzazione>.exe.

Verrà visualizzata una finestra che richiede di selezionare le applicazioni Kaspersky da installare. Nella finestra di selezione delle applicazioni, fare clic sul collegamento Installa Kaspersky Security Center Administration Server per avviare l'Installazione guidata di Administration Server. Seguire le istruzioni della procedura guidata.

Passaggio 1. Visualizzazione del Contratto di licenza e dell'Informativa sulla privacy

A questo punto dell'Installazione guidata, è necessario leggere il Contratto di licenza tra l'utente e Kaspersky, nonché l'Informativa sulla privacy.

È inoltre possibile che venga richiesto di visualizzare i Contratti di licenza e le Informative sulla privacy per i plug-in di gestione dell'applicazione nel kit di distribuzione di Kaspersky Security Center.

Leggere attentamente il Contratto di licenza e l'Informativa sulla privacy. Se si accettano tutti i termini del Contratto di licenza e dell'Informativa sulla privacy, confermare selezionando le caselle di controllo appropriate.

L'installazione dell'applicazione nel dispositivo continuerà dopo la selezione di entrambe le caselle di controllo.

Se non si accetta il Contratto di licenza o l'Informativa sulla privacy, annullare l'installazione facendo clic sul pulsante Annulla.

Passaggio 2. Selezionare il tipo di installazione nel cluster

Selezionare il tipo di installazione nel cluster:

• Cluster (installa in tutti i nodi del cluster)

  Questa è l'opzione consigliata. Se si seleziona questa opzione, Administration Server verrà installato in tutti i nodi del cluster contemporaneamente.

  Nel passaggio in cui si seleziona l'Administration Console per l'installazione, sarà necessario selezionare la console che verrà installata nel nodo del cluster corrente. Se si installa una console solo nel nodo del cluster, in caso di errore del nodo si perderà l'accesso ad Administration Server. Durante questo passaggio, si consiglia di selezionare l'Administration Console basata su MMC per l'installazione in tutti i nodi del cluster. Dopo aver installato Administration Server, installare Kaspersky Security Center Web Console in un dispositivo separato che non sia un nodo del cluster. In questo modo, è possibile gestire Administration Server utilizzando Kaspersky Security Center Web Console in caso di errore dei nodi del cluster.

• In locale (installa solo in questo dispositivo)

  Se si seleziona questa opzione, Administration Server verrà installato solo nel nodo corrente, come in un server indipendente, e Administration Server non funzionerà come un'applicazione che riconosce i cluster. È ad esempio possibile scegliere questa opzione per risparmiare spazio di archiviazione condiviso, se la tolleranza agli errori non è necessaria per Administration Server. In caso di errore del nodo corrente sarà necessario installare Administration Server in un altro nodo e ripristinare lo stato di Administration Server da un backup.

Gli altri passaggi sono gli stessi di quando si utilizza il metodo di installazione standard o personalizzato, a partire dal passaggio di selezione del metodo di installazione.

Passaggio 3. Definizione del nome dell'Administration Server virtuale

Specificare il nome di rete del nuovo Administration Server virtuale. Sarà possibile utilizzare questo nome per connettere Administration Console o Kaspersky Security Center Web Console ad Administration Server.

Il nome specificato deve essere diverso dal nome del cluster.

Passaggio 4. Definizione dei dettagli di rete dell'Administration Server virtuale

Per specificare i dettagli di rete della nuova istanza dell'Administration Server virtuale:

1. In Rete da utilizzare selezionare la rete del dominio a cui è connesso il nodo del cluster corrente.
2. Eseguire una delle seguenti operazioni:
   • Se il server DHCP viene utilizzato nella rete selezionata per assegnare gli indirizzi IP, selezionare l'opzione Usa DHCP.
   • Se il server DHCP non viene utilizzato nella rete selezionata, specificare l'indirizzo IP richiesto.

     L'indirizzo IP specificato deve essere diverso dall'indirizzo IP del cluster.

3. Fare clic su Aggiungi per applicare le impostazioni specificate.

Sarà possibile utilizzare l'indirizzo IP assegnato automaticamente o specificato per connettere Administration Console o Kaspersky Security Center Web Console ad Administration Server.

Passaggio 5. Definizione di un gruppo di cluster

Un gruppo di cluster è uno speciale ruolo del cluster di failover che contiene risorse comuni per tutti i nodi. Sono disponibili due opzioni:

• Creazione di un nuovo gruppo di cluster.

  Questa opzione è consigliata nella maggior parte dei casi. Il nuovo gruppo di cluster conterrà tutte le risorse comuni relative all'istanza di Administration Server.

• Selezione di un gruppo di cluster esistente.

  Selezionare questa opzione se si desidera utilizzare una risorsa comune già associata a un gruppo di cluster esistente. È ad esempio possibile utilizzare questa opzione se si desidera utilizzare un archivio associato a un gruppo di cluster esistente e se non sono disponibili altri archivi per un nuovo gruppo di cluster.

Passaggio 6. Per selezionare un archivio dati del cluster

Per selezionare un archivio dati del cluster:

1. In Archivi disponibili selezionare l'archivio dati in cui verranno installate le risorse comuni dell'istanza dell'Administration Server virtuale.
2. Se l'archivio dati selezionato contiene diversi volumi, in Sezioni disponibili nell'unità disco selezionare il volume desiderato.
3. In Percorso di installazione immettere il percorso nell'archivio dati comune in cui verranno installate le risorse dell'istanza dell'Administration Server virtuale.

L'archivio dati è selezionato.

Passaggio 7. Definizione di un account per l'installazione remota

Specificare il nome utente e la password che verranno utilizzati per l'installazione remota dell'istanza dell'Administration Server virtuale in un nodo passivo del cluster.

All'account specificato devono essere concessi privilegi amministrativi in tutti i nodi del cluster.

Passaggio 8. Selezione dei componenti da installare

Selezionare i componenti di Kaspersky Security Center Administration Server che si desidera installare:

• Mobile Device Management. Selezionare questa casella di controllo se è necessario creare pacchetti di installazione per i dispositivi mobili durante l'esecuzione dell'Installazione guidata di Kaspersky Security Center. È inoltre possibile creare pacchetti di installazione per i dispositivi mobili manualmente, dopo l'installazione di Administration Server, utilizzando gli strumenti di Administration Console.
• Agente SNMP. Questo componente riceve informazioni statistiche per Administration Server tramite il protocollo SNMP. Il componente è disponibile se l'applicazione viene installata in un dispositivo in cui è installato SNMP.

  Dopo l'installazione di Kaspersky Security Center, i file .mib necessari per la ricezione delle statistiche saranno disponibili nella sottocartella SNMP della cartella di installazione dell'applicazione.

Network Agent e Administration Console non vengono visualizzati nell'elenco dei componenti. Questi componenti vengono installati automaticamente e non è possibile annullarne l'installazione.

In questo passaggio è necessario specificare una cartella per l'installazione dei componenti di Administration Server. Per impostazione predefinita, i componenti vengono installati in <Unità>:\Program Files\Kaspersky Lab\Kaspersky Security Center. Se la cartella non esiste, verrà creata automaticamente durante l'installazione. È possibile modificare la cartella di destinazione utilizzando il pulsante Sfoglia.

Passaggio 9. Selezione delle dimensioni della rete

Specificare le dimensioni della rete in cui è in corso l'installazione di Kaspersky Security Center. A seconda del numero di dispositivi nella rete, la procedura guidata configura l'installazione e l'aspetto dell'interfaccia dell'applicazione in modo che corrispondano.

Nella tabella seguente sono elencate le impostazioni di installazione dell'applicazione e relative all'aspetto dell'interfaccia, a seconda delle diverse dimensioni della rete.

Dipendenza delle impostazioni di installazione dalle dimensioni della rete selezionate

Se si connette Administration Server a un server database MySQL 5.7 o SQL Express, è consigliabile evitare di utilizzare l'applicazione per gestire più di 10.000 dispositivi. Per il sistema di gestione database MariaDB, il numero massimo di dispositivi gestiti consigliato è 20.000.

Passaggio 10. Selezione di un database

In questo passaggio della procedura guidata, selezionare uno dei seguenti sistemi di gestione dei database (DBMS) che verrà utilizzato per archiviare il database di Administration Server:

• Microsoft SQL Server o SQL Server Express
• MySQL o MariaDB
• PostgreSQL o Postgres Pro

È consigliabile installare Administration Server in un server dedicato anziché in un controller di dominio. Se tuttavia si installa Kaspersky Security Center in un server che opera come controller di dominio di sola lettura (RODC), Microsoft SQL Server (SQL Express) non deve essere installato in locale (nello stesso dispositivo). In questo caso, è consigliabile installare Microsoft SQL Server (SQL Express) in remoto (su un altro dispositivo) o utilizzare MySQL, MariaDB o PostgreSQL se è necessario installare il DBMS in locale.

La struttura del database di Administration Server è disponibile nel file klakdb.chm, ubicato nella cartella di installazione di Kaspersky Security Center. Questo file è disponibile anche in un archivio sul portale Kaspersky: klakdb.zip.

Passaggio 11. Configurazione di SQL Server

In questa fase della procedura guidata, specificare le seguenti impostazioni di connessione, a seconda del sistema di gestione del database (DBMS) selezionato:

• Se è stato selezionato Microsoft SQL Server o SQL Server Express nel passaggio precedente:
  • Nel campo Nome istanza SQL Server specificare il nome di SQL Server nella rete. Per visualizzare un elenco di tutti gli SQL Server presenti nella rete, fare clic sul pulsante Sfoglia. Questo campo è vuoto per impostazione predefinita.

    Se ci si connette a SQL Server tramite una porta personalizzata, oltre al nome host di SQL Server specificare il numero di porta separato da una virgola, ad esempio:

    SQL_Server_host_name,1433

    Se si protegge la comunicazione tra Administration Server e SQL Server tramite un certificato, specificare nel campo Nome istanza SQL Server lo stesso nome host utilizzato durante la generazione del certificato. Se si utilizza un'istanza denominata di SQL Server, oltre al nome host di SQL Server specificare il numero di porta separato da una virgola, ad esempio:

    SQL_Server_name,1433

    Se si utilizzano più istanze SQL Server nello stesso host, specificare anche il nome dell'istanza separato da una barra rovesciata, ad esempio:

    SQL_Server_name\SQL_Server_instance_name,1433

    Se in un SQL Server nella rete aziendale è abilitata la funzionalità Always On, specificare il nome del listener del gruppo di disponibilità nel campo Nome istanza SQL Server. Administration Server supporta solo la modalità di disponibilità con commit sincrono quando la funzionalità Always On è abilitata.

  • Nel campo Nome database specificare il nome del DBMS creato per l'archiviazione dei dati di Administration Server. Il valore predefinito è KAV.

  Se in questo passaggio si desidera installare SQL Server nel dispositivo da cui si esegue l'installazione di Kaspersky Security Center, è necessario arrestare l'installazione e riavviarla dopo l'installazione di SQL Server. Le versioni di SQL Server supportate sono elencate nei requisiti di sistema.

  Se si desidera installare SQL Server in un dispositivo remoto, non è necessario interrompere l'Installazione guidata di Kaspersky Security Center. Installare SQL Server e riprendere l'installazione di Kaspersky Security Center.

• Se è stato selezionato MySQL o MariaDB nel passaggio precedente:
  • Nel campo Nome istanza SQL Server specificare il nome dell'istanza DBMS. Per impostazione predefinita, il nome è l'indirizzo IP del dispositivo in cui deve essere installato Kaspersky Security Center.
  • Nel campo Porta specificare la porta per la connessione di Administration Server al DBMS. Il numero di porta predefinito è 3306.
  • Nel campo Nome database specificare il nome del DBMS creato per l'archiviazione dei dati di Administration Server. Il valore predefinito è KAV.
• Se è stato selezionato PostgreSQL o Postgres Pro nel passaggio precedente:
  • Nel campo PostgreSQL o Postgres Pro Server specificare il nome dell'istanza DBMS. Per impostazione predefinita, il nome è l'indirizzo IP del dispositivo in cui deve essere installato Kaspersky Security Center.
  • Nel campo Porta specificare la porta per la connessione di Administration Server al DBMS. Il numero di porta predefinito è 5432.

Nel campo Nome database specificare il nome del DBMS creato per l'archiviazione dei dati di Administration Server. Il valore predefinito è KAV.

Passaggio 12. Selezione di un metodo di autenticazione

Determinare la modalità di autenticazione che verrà utilizzata durante la connessione di Administration Server al sistema di gestione dei database (DBMS).

A seconda del DBMS selezionato, è possibile scegliere tra le seguenti modalità di autenticazione:

• Per SQL Express o Microsoft SQL Server selezionare una delle seguenti opzioni:
  • Modalità di autenticazione Microsoft Windows. Per la verifica dei diritti viene utilizzato l'account utilizzato per l'avvio di Administration Server.
  • Modalità di autenticazione SQL Server. Se si seleziona questa opzione, per verificare i diritti di accesso verrà utilizzato l'account specificato nella finestra. Compilare i campi Account e Password.

    Per visualizzare la password immessa, tenere premuto il pulsante Mostra.

  Per entrambe le modalità di autenticazione, l'applicazione verifica se il database è disponibile. Se il database non è disponibile, viene visualizzato un messaggio di errore ed è necessario fornire le credenziali corrette.

  Se il database di Administration Server è memorizzato in un altro dispositivo e l'account di Administration Server non dispone dell'accesso al server di database, è necessario utilizzare la modalità di autenticazione SQL Server durante l'installazione o l'upgrade di Administration Server. Questa situazione può verificarsi quando il dispositivo in cui è memorizzato il database è esterno al dominio o quando Administration Server viene installato utilizzando un account LocalSystem.

Per MySQL, MariaDB, PostgreSQL o Postgres Pro, specificare l'account e la password.

Passaggio 13. Selezione dell'account per l'avvio di Administration Server

Selezionare l'account che verrà utilizzato per avviare Administration Server come servizio.

• Genera automaticamente l'account. L'applicazione crea un account denominato KL-AK-* che verrà utilizzato per l'esecuzione del servizio kladminserver.

  È possibile selezionare questa opzione se si intende collocare la cartella condivisa e il DBMS nello stesso dispositivo di Administration Server.

• Selezionare un account. Il servizio Administration Server (kladminserver) verrà eseguito utilizzando l'account selezionato.

  Sarà necessario selezionare un account di dominio se ad esempio si intende utilizzare come DBMS un'istanza di SQL Server di qualsiasi versione, tra cui SQL Express, che si trova in un altro dispositivo e/o si intende collocare la cartella condivisa in un altro dispositivo.

  Kaspersky Security Center supporta gli account del servizio gestito (MSA) e gli account del servizio gestito di gruppo (gMSA). Se nel dominio vengono utilizzati questi tipi di account, è possibile selezionarne uno come account del servizio Administration Server.

  Prima di specificare un account MSA o gMSA, è necessario installare l'account nello stesso dispositivo in cui si desidera installare Administration Server. Se l'account non è ancora stato installato, annullare l'installazione di Administration Server, installare l'account e quindi riavviare l'installazione di Administration Server. Per informazioni dettagliate sull'installazione degli account del servizio gestito in un dispositivo locale, consultare la documentazione ufficiale di Microsoft.

  Per specificare un account MSA o gMSA:

  1. Fare clic sul pulsante Sfoglia.
  2. Nella finestra visualizzata fare clic sul pulsante Tipo di oggetto.
  3. Selezionare il tipo Account per servizi e fare clic su OK.
  4. Selezionare l'account desiderato, quindi fare clic su OK.

L'account selezionato deve disporre di diverse autorizzazioni, a seconda del DBMS che si intende utilizzare.

Per motivi di sicurezza, non assegnare lo stato privilegiato all'account utilizzato per l'esecuzione di Administration Server.

L'account di Administration Server non potrà essere modificato in seguito. È necessario reinstallare il cluster di failover per utilizzare un altro account di Administration Server.

Passaggio 14. Selezione dell'account per l'esecuzione dei servizi di Kaspersky Security Center

Selezionare l'account con cui verranno eseguiti i servizi di Kaspersky Security Center nel dispositivo:

• Genera automaticamente l'account. Kaspersky Security Center crea un account locale denominato KlScSvc nel dispositivo nel gruppo kladmins. I servizi di Kaspersky Security Center verranno eseguiti utilizzando l'account creato.
• Selezionare un account. I servizi di Kaspersky Security Center verranno eseguiti tramite l'account selezionato.

  Sarà necessario selezionare un account di dominio se si intende, ad esempio, salvare i rapporti in una cartella disponibile in un altro dispositivo o se questo è richiesto dal criterio di protezione dell'organizzazione. È inoltre necessario selezionare un account di dominio se si installa Administration Server in un cluster di failover.

Per motivi di sicurezza, non concedere lo stato di privilegiato all'account con cui vengono eseguiti i servizi.

Il servizio proxy KSN (ksnproxy), il servizio proxy di attivazione Kaspersky (klactprx) e il servizio del portale di autenticazione Kaspersky (klwebsrv) verranno eseguiti utilizzando l'account selezionato.

Passaggio 15. Selezione di una cartella condivisa

Definire il percorso e il nome della cartella condivisa che verrà utilizzata per:

• Memorizzare i file necessari per l'installazione remota delle applicazioni (i file vengono copiati in Administration Server durante la creazione dei pacchetti di installazione).
• Memorizzare gli aggiornamenti che sono stati scaricati da una sorgente degli aggiornamenti in Administration Server.

La condivisione file (in sola lettura) sarà abilitata per tutti gli utenti.

È possibile selezionare una delle seguenti opzioni:

• Crea cartella condivisa. Verrà creata una nuova cartella. Nella casella di testo specificare il percorso della cartella.
• Selezionare una cartella condivisa esistente. Selezionare una cartella condivisa già esistente.

La cartella condivisa può essere una cartella locale nel dispositivo utilizzato per l'installazione o una directory remota in qualsiasi dispositivo client nella rete aziendale. È possibile utilizzare il pulsante Sfoglia per selezionare la cartella condivisa o specificarla manualmente immettendone il percorso UNC (ad esempio, \\server\Share) nel campo corrispondente.

Per impostazione predefinita, il programma di installazione crea una sottocartella locale KLSHARE nella cartella del programma che contiene i componenti di Kaspersky Security Center.

È possibile definire una cartella condivisa successivamente, se necessario.

Passaggio 16. Configurazione della connessione ad Administration Server

Espandi tutto | Comprimi tutto

Configurare la connessione ad Administration Server:

• Porta

  il numero della porta utilizzata per la connessione ad Administration Server.

  Il numero di porta predefinito è 14000.

• Porta SSL

  Numero della porta SSL (Secure Sockets Layer) utilizzata per la connessione protetta ad Administration Server tramite SSL.

  Il numero di porta predefinito è 13000.

• Lunghezza della chiave di criptaggio

  Selezionare la lunghezza della chiave di criptaggio: 1024 o 2048 bit.

  Una chiave di criptaggio a 1024 bit genera un carico inferiore sulla CPU, ma viene considerata obsoleta poiché non è in grado di garantire un criptaggio affidabile per via delle specifiche tecniche. Inoltre, è possibile che l'hardware esistente risulti incompatibile con i certificati SSL dotati di chiavi a 1024 bit.

  Una chiave di criptaggio a 2048 bit soddisfa tutti i più avanzati standard di criptaggio. Tuttavia, l'utilizzo di una chiave di criptaggio a 2048 bit può incrementare il carico sulla CPU.

  Per impostazione predefinita, l'opzione 2048 bit (migliore protezione) è selezionata.

È inoltre possibile modificare i parametri per la connessione ad Administration Server in un secondo momento come segue:

• È possibile modificare i numeri di porta e SSL nella sezione Porte di connessione delle proprietà di Administration Server. Per ulteriori informazioni sulle porte di connessione di Administration Server, vedere Porte utilizzate da Kaspersky Security Center.
• È possibile modificare la lunghezza della chiave di criptaggio quando si sostituisce il certificato di Administration Server con l'utilità klsetsrvcert utilizzando il parametro -o RsaKeyLen:<lunghezza della chiave>.

Passaggio 17. Definizione dell'indirizzo di Administration Server

Specificare l'indirizzo di Administration Server. È possibile selezionare una delle seguenti opzioni:

• Nome dominio DNS. È possibile utilizzare questo metodo quando la rete include un server DNS e i dispositivi client possono utilizzarlo per ricevere l'indirizzo di Administration Server.
• Nome NetBIOS. È possibile utilizzare questo metodo quando i dispositivi client ricevono l'indirizzo di Administration Server tramite il protocollo NetBIOS o se nella rete è disponibile un server WINS.
• Indirizzo IP. È possibile utilizzare questo metodo se Administration Server ha un indirizzo IP statico, che non verrà modificato in futuro.

Passaggio 18. Indirizzo di Administration Server per la connessione dei dispositivi mobili

Questo passaggio dell'Installazione guidata è disponibile se si seleziona per l'installazione Mobile Device Management.

Nella finestra Indirizzo per la connessione dei dispositivi mobili specificare l'indirizzo esterno di Administration Server per la connessione dei dispositivi mobili che sono all'esterno della rete locale. È possibile specificare l'indirizzo IP o il DNS (Domain Name System) di Administration Server.

Passaggio 19. Decompressione e installazione dei file nel disco rigido

Al termine della configurazione dell'installazione dei componenti di Kaspersky Security Center, è possibile avviare l'installazione dei file sul disco rigido.

Se l'installazione richiede ulteriori programmi, verrà visualizzata una notifica nella pagina Installazione prerequisiti, prima dell'inizio dell'installazione di Kaspersky Security Center. I programmi richiesti verranno installati automaticamente facendo clic sul pulsante Avanti.

Nell'ultima pagina è possibile selezionare quale console avviare per l'utilizzo di Kaspersky Security Center:

• Avvia Administration Console basata su MMC
• Avvia Kaspersky Security Center Web Console

  Questa opzione è disponibile solo se si è scelto di installare Kaspersky Security Center Web Console in uno dei passaggi precedenti.

È inoltre possibile fare clic su Fine per chiudere la procedura guidata senza avviare l'utilizzo di Kaspersky Security Center. È possibile avviare l'utilizzo in qualsiasi momento.

Al primo avvio di Administration Console o di Kaspersky Security Center Web Console è possibile eseguire la configurazione iniziale dell'applicazione.

Installazione di Administration Server in modalità automatica

Administration Server può essere installato in modalità automatica, ovvero senza l'input interattivo delle impostazioni di installazione.

Per installare Administration Server in un dispositivo locale in modalità automatica:

1. Leggere il Contratto di licenza con l'utente finale. Utilizzare il comando di seguito solo se sono stati compresi e accettati i termini del Contratto di licenza con l'utente finale.
2. Leggere l'Informativa sulla privacy. Utilizzare il comando di seguito solo se si accetta che i dati vengano gestiti e trasmessi (anche a paesi terzi) come descritto nell'Informativa sulla privacy.
3. Eseguire il comando

   setup.exe /s /v"DONT_USE_ANSWER_FILE=1 EULA=1 PRIVACYPOLICY=1 <parametri_installazione>"

dove setup_parameters è un elenco di parametri e dei valori corrispondenti separati da spazi (PARAM1=PARAM1VAL PARAM2=PARAM2VAL). Il file setup.exe è posizionato nella cartella Server, appartenente al kit di distribuzione di Kaspersky Security Center.

I nomi e i possibili valori per i parametri che è possibile utilizzare durante l'installazione di Administration Server in modalità automatica sono elencati nella seguente tabella.

Parametri dell'installazione di Administration Server in modalità automatica

Per una descrizione dettagliata dei parametri di installazione di Administration Server, fare riferimento alla sezione Installazione personalizzata.

Installazione di Administration Console nella workstation dell'amministratore

È possibile installare separatamente Administration Console nella workstation dell'amministratore e gestire Administration Server tramite la rete utilizzando tale console.

Per installare Administration Console nella workstation dell'amministratore:

1. Eseguire il file eseguibile setup.exe.

   Verrà visualizzata una finestra che richiede di selezionare le applicazioni Kaspersky da installare.

2. Nella finestra di selezione delle applicazioni, fare clic sul collegamento Installa solo Kaspersky Security Center Administration Console per eseguire l'Installazione guidata di Administration Console. Seguire le istruzioni della procedura guidata.
3. Selezionare una cartella di destinazione. Per impostazione predefinita, è selezionata la cartella <Unità>:\Program Files\Kaspersky Lab\Kaspersky Security Center Console. Se tale cartella non esiste, verrà creata automaticamente durante l'installazione. È possibile modificare la cartella di destinazione utilizzando il pulsante Sfoglia.
4. Nell'ultima pagina dell'Installazione guidata, fare clic sul pulsante Avvia per avviare l'installazione di Administration Console.

Al termine della procedura guidata, Administration Console sarà installato nella workstation dell'amministratore.

Per installare Administration Console nella workstation dell'amministratore in modalità automatica:

1. Leggere il Contratto di licenza con l'utente finale. Utilizzare il comando di seguito solo se sono stati compresi e accettati i termini del Contratto di licenza con l'utente finale.
2. Nella cartella Distrib\Console del kit di distribuzione di Kaspersky Security Center eseguire il file setup.exe utilizzando il seguente comando:

   setup.exe /s /v"EULA=1"

   Se si desidera installare tutti i plug-in di gestione dalla cartella Distrib\Console\Plugins insieme ad Administration Console, eseguire il seguente comando:

   setup.exe /s /v"EULA=1" /pALL

   Se si desidera specificare quali plug-in di gestione installare dalla cartella Distrib\Console\Plugins insieme ad Administration Console specificare i plug-in dopo "/p" e separarli con un punto e virgola:

   setup.exe /s /v"EULA=1" /pP1;P2;P3

   dove P1, P2, P3 sono nomi di plug-in che corrispondono ai nomi delle cartelle dei plug-in nella cartella Distrib\Console\Plugins. Ad esempio:

   setup.exe /s /v"EULA=1" /pKES4Mac;KESS;MDM4IOS

Administration Console e i plug-in di gestione (se presenti) verranno installati nella workstation dell'amministratore.

Dopo l'installazione di Administration Console, è necessario eseguire la connessione ad Administration Server. A tale scopo, eseguire Administration Console e, nella finestra visualizzata, specificare il nome o l'indirizzo IP del dispositivo in cui è installato Administration Server e le impostazioni dell'account utilizzato per la connessione. Una volta stabilita la connessione all'Administration Server, è possibile gestire il sistema di protezione anti-virus utilizzando Administration Console.

È possibile rimuovere Administration Console utilizzando gli strumenti standard di Microsoft Windows per l'aggiunta e la rimozione di applicazioni.

Modifiche apportate al sistema dopo l'installazione di Kaspersky Security Center

Icona Administration Console

In seguito all'installazione di Administration Console nel dispositivo, viene visualizzata la relativa icona, che consente di avviare Administration Console. Administration Console è disponibile nel menu Start → Programmi → Kaspersky Security Center.

Servizi Administration Server e Network Agent

Administration Server e Network Agent verranno installati nel dispositivo come servizi con le proprietà elencate di seguito. La tabella contiene anche gli attributi di altri servizi che si applicano nel dispositivo al termine dell'installazione di Administration Server.

Proprietà dei servizi di Kaspersky Security Center

Se si installa Kaspersky Security Center nei nodi del cluster di failover Kaspersky Security Center, il servizio klfocsvc_klfoc diventa disponibile. I servizi klnagent_klfoc e klfocsvc_klfoc vengono eseguiti con l'account di sistema locale. Il servizio kladminserver_klfoc deve essere eseguito con l'account "ksc" e gli altri servizi devono essere eseguiti con l'account "rightless". Gli account "ksc" e "rightless" devono essere aggiunti nel gruppo KLAdmins con le autorizzazioni dell'amministratore locale. Per il corretto funzionamento di Kaspersky Security Center, è necessario utilizzare solo gli account "ksc" e "rightless" per l'esecuzione dei servizi. Non è consigliabile utilizzare altri account con gli stessi diritti. La tabella seguente contiene le proprietà dei servizi applicati al dispositivo dopo l'installazione di Administration Server nel cluster di failover Kaspersky Security Center.

Proprietà dei servizi di Kaspersky Security Center installati nel cluster di failover Kaspersky Security Center

Servizi di Kaspersky Security Center Web Console

Se si installa Kaspersky Security Center Web Console nel dispositivo, vengono distribuiti i seguenti servizi (vedere la tabella di seguito):

Servizi di Kaspersky Security Center Web Console

Versione del server Network Agent

La versione server di Network Agent verrà installata nel dispositivo insieme ad Administration Server. La versione server di Network Agent fa parte di Administration Server, viene installata e rimossa insieme ad Administration Server e può interagire solo con un Administration Server installato in locale. Non è necessario configurare la connessione di Network Agent ad Administration Server: la configurazione è implementata a livello di programmazione perché i componenti sono installati nello stesso dispositivo. La versione server di Network Agent è installata con le stesse proprietà della versione standard ed esegue le stesse funzioni di gestione delle applicazioni. Questa versione verrà gestita dal criterio del gruppo di amministrazione a cui appartiene il dispositivo client di Administration Server. Per la versione server di Network Agent, tutte le attività vengono create a partire dall'ambito di quelle fornite per Administration Server, ad eccezione dell'attività di modifica di Administration Server.

Network Agent non può essere installato separatamente in un dispositivo in cui è già installato Administration Server.

È possibile visualizzare le proprietà dei servizi di Administration Server e Network Agent, nonché monitorarne le operazioni utilizzando gli strumenti di gestione standard di Microsoft Windows: Gestione computer\Servizi. Le informazioni sull'attività del servizio Kaspersky Administration Server sono memorizzate nel registro di sistema di Microsoft Windows, in un ramo distinto del Registro eventi Kaspersky nel dispositivo in cui è installato Administration Server.

È consigliabile non avviare e arrestare manualmente i servizi e non apportare modifiche agli account del servizio nelle impostazioni del servizio. Se necessario, è possibile modificare l'account del servizio di Administration Server tramite l'utilità klsrvswch. È necessario avviare l'utilità klsrvswch nel dispositivo Administration Server con l'account con diritti di amministratore utilizzato per installare Administration Server.

Account utente e gruppi di sicurezza

Per impostazione predefinita, il programma di installazione di Administration Server crea i seguenti account:

• KL-AK-*: account del servizio di Administration Server
• KlScSvc: account per altri servizi del pool di Administration Server
• KlPxeUser: account per la distribuzione dei sistemi operativi

Se si selezionano altri account per il servizio di Administration Server e altri servizi durante l'esecuzione del programma di installazione, vengono utilizzati gli account specificati.

Nel dispositivo in cui è installato Administration Server vengono inoltre creati automaticamente gruppi di protezione locali denominati KLAdmins e KLOperators con i rispettivi set di diritti.

Non è consigliabile eseguire l'installazione di Administration Server in un controller di dominio. Se tuttavia si installa Administration Server nel controller di dominio, è necessario avviare il programma di installazione con i diritti di amministratore di dominio. In tal caso, il programma di installazione crea automaticamente gruppi di protezione dei domini denominati KLAdmins e KLOperators. Se si installa Administration Server in un dispositivo che non è controller di dominio, è necessario avviare il programma di installazione con i diritti di amministratore locali. In tal caso, il programma di installazione crea automaticamente gruppi di protezione locali denominati KLAdmins e KLOperators.

Durante la configurazione delle notifiche e-mail, potrebbe essere necessario creare un account nel server di posta per l'autenticazione ESMTP.

Disinstallazione dell'applicazione

È possibile rimuovere Kaspersky Security Center con gli strumenti standard di Microsoft Windows per l'aggiunta e la rimozione di applicazioni. La rimozione dell'applicazione richiede l'avvio di una procedura guidata che rimuove tutti i componenti dell'applicazione dal dispositivo (compresi i plug-in). La procedura guidata fa in modo che il browser predefinito apra una pagina Web con un sondaggio in cui è possibile specificare perché è stato scelto di interrompere l'utilizzo di Kaspersky Security Center. Se nel corso della procedura guidata non è stata selezionata la rimozione della cartella condivisa (KLSHARE), è possibile eliminarla manualmente dopo il completamento di tutte le attività correlate.

Dopo la rimozione dell'applicazione, alcuni file possono rimanere nella cartella temporanea del sistema.

Durante la Creazione guidata attività di rimozione delle applicazioni, verrà offerta la possibilità di memorizzare una copia di backup di Administration Server.

Dopo la rimozione dell'applicazione da Microsoft Windows 7 e Microsoft Windows 2008, è possibile che la Creazione guidata attività di rimozione delle applicazioni venga terminata prima del completamento. È possibile evitare il problema disabilitando la funzionalità Controllo dell'account utente nel sistema operativo e riavviando la rimozione dell'applicazione.