Procedure consigliate per i provider di servizi

Questa sezione fornisce informazioni su come configurare e utilizzare Kaspersky Security Center.

Questa sezione contiene raccomandazioni relative alla distribuzione, alla configurazione e all'utilizzo dell'applicazione e descrive come risolvere i problemi più comuni che possono verificarsi durante l'esecuzione dell'applicazione.

Pianificazione della distribuzione di Kaspersky Security Center

Durante la pianificazione della distribuzione dei componenti di Kaspersky Security Center nella rete di un'organizzazione, è necessario tenere conto delle dimensioni e dell'ambito del progetto, in particolare per quanto riguarda i seguenti fattori:

• Numero totale di dispositivi
• Numero di client MSP

Un solo Administration Server può supportare un massimo di 100.000 dispositivi. Se il numero totale di dispositivi nella rete di un'organizzazione è superiore a 100.000, il provider di servizi deve distribuire più Administration Server, che possono essere combinati in una gerarchia per gestirli comodamente in modo centralizzato.

È possibile creare fino a 500 Server virtuali in un singolo Administration Server, pertanto è richiesto un singolo Administration Server ogni 500 client MSP.

In fase di pianificazione della distribuzione, deve essere valutata l'assegnazione di uno speciale certificato X.509 all'Administration Server. L'assegnazione del certificato X.509 all'Administration Server può essere utile nei seguenti casi (elenco parziale):

• Ispezione del traffico SSL (Secure Sockets Layer) per mezzo di un proxy con terminazione SSL
• Specificazione dei valori richiesti nei campi del certificato
• Specificazione del livello di criptaggio richiesto di un certificato

Concessione dell'accesso via Internet all'Administration Server

Per consentire ai dispositivi nella rete client di accedere ad Administration Server via Internet, è necessario rendere disponibili le seguenti porte di Administration Server:

• TCP 13000: porta TLS di Administration Server per la connessione dei Network Agent distribuiti nella rete client
• TCP 8061: porta HTTPS per la pubblicazione dei pacchetti indipendenti utilizzando gli strumenti di Administration Console
• TCP 8060: porta HTTP per la pubblicazione dei pacchetti indipendenti utilizzando gli strumenti di Administration Console
• TCP 13292: porta TLS necessaria solo se sono presenti dispositivi mobili da gestire

Se si desidera offrire ai client le opzioni di base per l'amministrazione della rete tramite Kaspersky Security Center Web Console, è necessario aprire anche la porta 8080 TCP (porta HTTPS) di Kaspersky Security Center Web Console:

Configurazione standard di Kaspersky Security Center

Uno o più Administration Server vengono distribuiti nei server degli MSP. Il numero di Administration Server che è possibile selezionare può essere basato sull'hardware disponibile, sul numero totale di client MSP gestiti o sul numero totale di dispositivi gestiti.

Un solo Administration Server può supportare fino a 100.000 dispositivi. È necessario tenere conto della possibilità di aumentare il numero di dispositivi gestiti in futuro: può essere utile connettere un numero più limitato di dispositivi a un singolo Administration Server.

È possibile creare fino a 500 Server virtuali in un singolo Administration Server, pertanto è richiesto un singolo Administration Server ogni 500 client MSP.

Se vengono utilizzati più server, è consigliabile combinarli in una gerarchia. L'utilizzo di una gerarchia di Administration Server consente di evitare la duplicazione di criteri e attività e di amministrare l'intero set di dispositivi gestiti come se fossero gestiti da un singolo Administration Server (ricerca di dispositivi, creazione di selezioni di dispositivi e generazione di rapporti).

In ogni server virtuale corrispondente a un client MSP è necessario assegnare uno o più punti di distribuzione. Se i client MSP e Administration Server sono collegati via Internet, può essere utile creare un'attività Scarica aggiornamenti negli archivi dei punti di distribuzione per i punti di distribuzione, in modo che scarichino gli aggiornamenti direttamente dai server di Kaspersky, invece che da Administration Server.

Se alcuni dispositivi della rete client MSP non hanno accesso diretto a Internet, è necessario attivare la modalità gateway di connessione per i punti di distribuzione. In questo caso, i Network Agent nei dispositivi nella rete del client MSP saranno connessi per l'ulteriore sincronizzazione ad Administration Server, ma attraverso il gateway, non direttamente.

Poiché in genere Administration Server non è in grado di eseguire il polling nella rete del client MSP, può essere utile assegnare questa funzione a un punto di distribuzione.

Administration Server non potrà inviare notifiche tramite la porta UDP 15000 ai dispositivi gestiti posizionati dietro il NAT nella rete del client MSP. Per risolvere questo problema, può essere utile abilitare la modalità di connessione continua ad Administration Server nelle proprietà dei dispositivi che operano come punti di distribuzione e vengono eseguiti in modalità gateway di connessione (casella di controllo Non eseguire la disconnessione da Administration Server). La modalità di connessione continua è disponibile se il numero totale di punti di distribuzione non è superiore a 300.

Informazioni sui punti di distribuzione

Il dispositivo in cui è installato Network Agent può essere utilizzato come punto di distribuzione. In questa modalità, Network Agent può eseguire le seguenti funzioni:

• Trasferire file ai dispositivi client, tra cui:
  • Aggiornamenti dei moduli software e database Kaspersky

    Gli aggiornamenti possono essere recuperati dall'Administration Server o dai server di Kaspersky. Nel secondo caso, è necessario creare l'attività Scarica aggiornamenti negli archivi dei punti di distribuzione per il dispositivo che opera come punto di distribuzione.

  • Aggiornamenti software di terze parti
  • Pacchetti di installazione
  • Aggiornamenti di Windows quando si utilizza Administration Server come server WSUS
• Installare il software (inclusa la distribuzione iniziale dei Network Agent) in altri dispositivi.
• Eseguire il polling della rete per rilevare nuovi dispositivi e aggiornare le informazioni sui dispositivi esistenti. Un punto di distribuzione può applicare gli stessi metodi di device discovery di Administration Server.

La distribuzione dei punti di distribuzione nella rete di un'organizzazione ha i seguenti obiettivi:

• Ridurre il carico su Administration Server se questo opera come sorgente degli aggiornamenti.
• Ottimizzare il traffico Internet poiché, in questo caso, ogni dispositivo nella rete del client MSP non deve accedere ai server di Kaspersky o ad Administration Server per gli aggiornamenti.
• Concedere l'accesso ad Administration Server ai dispositivi dietro il NAT (rispetto ad Administration Server) della rete del client MSP, consentendo ad Administration Server di eseguire le seguenti azioni:
  • Inviare notifiche ai dispositivi tramite UDP nella rete IPv4 o IPv6
  • Eseguire il polling della rete IPv4 o IPv6
  • Eseguire la distribuzione iniziale
  • Fungere da server push

Un punto di distribuzione viene assegnato a un gruppo di amministrazione. In questo caso, l'ambito del punto di distribuzione include tutti i dispositivi contenuti nel gruppo di amministrazione e in tutti i relativi sottogruppi. Tuttavia, il dispositivo che opera come punto di distribuzione può non essere incluso nel gruppo di amministrazione a cui è stato assegnato.

È possibile far funzionare un punto di distribuzione come gateway di connessione. In questo caso, i dispositivi nell'ambito del punto di distribuzione saranno connessi all'Administration Server tramite il gateway, non direttamente. È possibile utilizzare questa modalità negli scenari che non consentono di stabilire una connessione diretta tra i dispositivi con Network Agent e un Administration Server.

I dispositivi che operano come punti di distribuzione devono essere protetti, anche da un punto di vista fisico, da qualsiasi accesso non autorizzato.

Gerarchia di Administration Server

Un MSP può eseguire diversi Administration Server. Poiché può essere scomodo amministrare più Administration Server distinti, è possibile applicare una gerarchia. Una configurazione "primario/secondario" per due Administration Server fornisce le seguenti opzioni:

• Un Administration Server secondario eredita i criteri e le attività dall'Administration Server primario, evitando così la duplicazione delle impostazioni.
• Le selezioni di dispositivi nell'Administration Server primario possono includere i dispositivi degli Administration Server secondari.
• I rapporti nell'Administration Server primario possono contenere dati (incluse informazioni dettagliate) ottenuti dagli Administration Server secondari.

L'Administration Server primario riceve i dati solo dagli Administration Server secondari non virtuali nell'ambito delle opzioni elencate sopra. Questa limitazione non si applica agli Administration Server virtuali, che condividono il database con l'Administration Server primario.

Administration Server virtuali

Sulla base di un Administration Server fisico, è possibile creare più Administration Server virtuali, simili agli Administration Server secondari. Rispetto al modello di accesso discrezionale, che è basato su elenchi di controllo di accesso (ACL), il modello degli Administration Server virtuali è più funzionale e fornisce un maggior livello di isolamento. Oltre a una struttura dedicata di gruppi di amministrazione per i dispositivi assegnati con criteri e attività, ogni Administration Server virtuale dispone di un proprio gruppo di dispositivi non assegnati, di insiemi di rapporti, dispositivi ed eventi selezionati, pacchetti di installazione, regole di spostamento e così via. Per il massimo isolamento reciproco dei client MSP, è consigliabile scegliere Administration Server virtuali come funzionalità da utilizzare. Inoltre, la creazione di un Administration Server virtuale per ogni client MSP consente di offrire ai client opzioni di base per l'amministrazione della rete tramite Kaspersky Security Center Web Console.

Gli Administration Server virtuali sono molto simili agli Administration Server secondari, ma con le seguenti distinzioni:

• Un Administration Server virtuale non dispone della maggior parte delle impostazioni globali e di specifiche porte TCP.
• Un Administration Server virtuale non dispone di Administration Server secondari.
• Un Administration Server virtuale non include altri Administration Server virtuali.
• Un Administration Server fisico visualizza i dispositivi, i gruppi, gli eventi e gli oggetti nei dispositivi gestiti (elementi in Quarantena, registro delle applicazioni e così via) di tutti i relativi Administration Server virtuali.
• Un Administration Server virtuale può eseguire solo la scansione della rete a cui sono connessi punti di distribuzione.

Gestione dei dispositivi mobili con Kaspersky Endpoint Security for Android

I dispositivi mobili in cui è installato Kaspersky Endpoint Security for Android (di seguito denominati dispositivi KES) sono gestiti tramite l'Administration Server. Kaspersky Security Center supporta le seguenti funzionalità per la gestione dei dispositivi KES:

• Gestione dei dispositivi mobili come dispositivi client:
  • Appartenenza ai gruppi di amministrazione
  • Monitoraggio, ad esempio la visualizzazione di stati, eventi e rapporti
  • Modifica delle impostazioni locali e assegnazione di criteri per Kaspersky Endpoint Security for Android
• Invio di comandi in modalità centralizzata
• Installazione remota di pacchetti app mobili

Administration Server gestisce i dispositivi KES tramite TLS, porta TCP 13292.

Distribuzione e configurazione iniziale

Kaspersky Security Center è un'applicazione distribuita. Kaspersky Security Center include le seguenti applicazioni:

• Administration Server - Il componente principale, progettato per la gestione dei dispositivi di un'organizzazione e l'archiviazione dei dati in un sistema DBMS.
• Administration Console - Lo strumento di base per l'amministratore. Administration Console è distribuito insieme ad Administration Server, ma può anche essere installato singolarmente in uno o più dispositivi eseguiti dall'amministratore.
• Kaspersky Security Center Web Console — Un'interfaccia Web per Administration Server pensata per le operazioni di base. È possibile installare il componente in qualsiasi dispositivo che soddisfi i requisiti hardware e software.
• Network Agent: utilizzato per gestire l'applicazione di protezione installata in un dispositivo, nonché per ottenere informazioni sul dispositivo. I Network Agent vengono installati nei dispositivi di un'organizzazione.

La distribuzione di Kaspersky Security Center nella rete di un'organizzazione viene eseguita come segue:

• Installazione di Administration Server
• Installazione di Kaspersky Security Center Web Console
• Installazione di Administration Console nel dispositivo dell'amministratore
• Installazione di Network Agent e dell'applicazione di protezione nei dispositivi dell'organizzazione

Raccomandazioni sull'installazione di Administration Server

Questa sezione contiene raccomandazioni su come installare Administration Server. Vengono inoltre illustrati gli scenari per l'utilizzo di una cartella condivisa nel dispositivo con Administration Server per distribuire Network Agent nei dispositivi client.

Creazione degli account per i servizi di Administration Server in un cluster di failover

Per impostazione predefinita, il programma di installazione crea automaticamente account senza privilegi per i servizi di Administration Server. Questo comportamento è il più appropriato per l'installazione di Administration Server in un normale dispositivo.

Tuttavia, l'installazione di Administration Server in un cluster di failover richiede uno scenario diverso:

1. Creare account di dominio senza privilegi per i servizi di Administration Server e includerli in un gruppo di sicurezza di dominio globale denominato KLAdmins.
2. Nel programma di installazione di Administration Server specificare gli account di dominio che sono stati creati per i servizi.

Selezione di un DBMS

Durante la selezione del sistema di gestione database (DBMS) che deve essere utilizzato da un Administration Server, è necessario tenere conto del numero di dispositivi coperti dall'Administration Server.

Nella seguente tabella, sono elencate le opzioni DBMS valide, nonché i suggerimenti e le limitazioni per il relativo utilizzo.

Suggerimenti e limitazioni su DBMS

Se si utilizza un DBMS PostgreSQL, MariaDB o MySQL, la scheda Eventi potrebbe mostrare un elenco incompleto di eventi per il dispositivo client selezionato. Questo si verifica quando il DBMS archivia una quantità molto elevata di eventi. È possibile aumentare il numero di eventi visualizzati effettuando una delle seguenti operazioni:

• Rimozione degli eventi non necessari.
• Riduzione del periodo di archiviazione per gli eventi non necessari.

Per visualizzare un elenco completo degli eventi registrati in Administration Server per il dispositivo, utilizzare Rapporti.

Se si utilizza SQL Server 2019 come DBMS e non si dispone della patch cumulativa CU12 o versione successiva, è necessario eseguire le seguenti operazioni dopo l'installazione di Kaspersky Security Center:

1. Stabilire la connessione a SQL Server utilizzando SQL Management Studio.
2. Eseguire il seguente comando (se è stato selezionato un nome diverso per il database, utilizza quel nome invece di KAV):

   USE KAV

   GO

   ALTER DATABASE SCOPED CONFIGURATION SET TSQL_SCALAR_UDF_INLINING = OFF

   GO

3. Riavviare il servizio SQL Server 2019.

In alternativa, l'utilizzo di SQL Server 2019 può generare errori, ad esempio "Memoria di sistema insufficiente nel pool di risorse 'interno' per l'esecuzione di questa query".

Specificazione dell'indirizzo dell'Administration Server

Durante l'installazione di Administration Server, è necessario specificare l'indirizzo esterno di Administration Server. Questo indirizzo sarà utilizzato come indirizzo predefinito al momento della creazione dei pacchetti di installazione di Network Agent. Sarà quindi possibile modificare l'indirizzo dell'host di Administration Server utilizzando gli strumenti di Administration Console. L'indirizzo non sarà modificato automaticamente nei pacchetti di installazione di Network Agent che sono stati già creati.

Configurazione della protezione nella rete di un'organizzazione client

Al termine dell'installazione di Administration Server, Administration Console viene avviato e richiede di eseguire la configurazione iniziale tramite la procedura guidata appropriata. Durante l'esecuzione dell'Avvio rapido guidato, i seguenti criteri e attività vengono creati nel gruppo di amministrazione radice:

• Criterio di Kaspersky Endpoint Security
• Attività di gruppo per l'aggiornamento di Kaspersky Endpoint Security
• Attività di gruppo per la scansione di un dispositivo con Kaspersky Endpoint Security
• Criterio di Network Agent
• Attività Scansione vulnerabilità (attività di Network Agent)
• Attività di installazione degli aggiornamenti e correzione delle vulnerabilità (attività di Network Agent)

I criteri e le attività sono creati con le impostazioni predefinite, che possono risultare non ottimali o perfino non utilizzabili per l'organizzazione. È pertanto necessario verificare le proprietà degli oggetti che sono stati creati e modificarle manualmente, se necessario.

Questa sezione contiene informazioni sulla configurazione manuale di criteri, attività e altre impostazioni di Administration Server, nonché le informazioni sul punto di distribuzione, sulla creazione di una struttura di gruppi di amministrazione e di una gerarchia di attività e altre impostazioni.

Configurazione manuale del criterio di Kaspersky Endpoint Security

Questa sezione fornisce raccomandazioni su come configurare il criterio di Kaspersky Endpoint Security, creato dall'Avvio rapido guidato. È possibile eseguire la configurazione nella finestra delle proprietà del criterio.

Durante la modifica di un'impostazione, tenere presente che è necessario fare clic sull'icona di blocco sopra l'impostazione appropriata per consentire l'utilizzo del relativo valore su una workstation.

Configurazione del criterio nella sezione Protezione minacce avanzata

Per una descrizione completa delle impostazioni in questa sezione, fare riferimento alla documentazione di Kaspersky Endpoint Security for Windows.

Nella sezione Protezione minacce avanzata è possibile configurare l'utilizzo di Kaspersky Security Network per Kaspersky Endpoint Security for Windows. È inoltre possibile configurare i moduli di Kaspersky Endpoint Security for Windows, ad esempio Rilevamento del Comportamento, Prevenzione Exploit, Prevenzione Intrusioni Host e Motore di Remediation.

Nella sottosezione Kaspersky Security Network è consigliabile abilitare l'opzione Kaspersky Security Network. L'utilizzo di questa opzione consente di ridistribuire e ottimizzare il traffico nella rete. Se l'opzione Kaspersky Security Network è disabilitata, è possibile abilitare l'uso diretto dei server KSN.

Configurazione del criterio nella sezione Protezione minacce essenziale

Per una descrizione completa delle impostazioni in questa sezione, fare riferimento alla documentazione di Kaspersky Endpoint Security for Windows.

Nella sezione Protezione minacce essenziale della finestra delle proprietà del criterio, si consiglia di specificare impostazioni aggiuntive nelle sottosezioni Firewall e Protezione minacce file.

La sottosezione Firewall contiene le impostazioni che consentono di controllare le attività di rete delle applicazioni sui dispositivi client. Un dispositivo client utilizza una rete a cui è assegnato uno dei seguenti stati: pubblico, locale o attendibile. A seconda dello stato della rete, Kaspersky Endpoint Security può consentire o negare le attività di rete su un dispositivo. Quando si aggiunge una nuova rete all'organizzazione, è necessario assegnare uno stato di rete appropriato a questa. Ad esempio, se il dispositivo client è un laptop, si consiglia che questo dispositivo utilizzi la rete pubblica o attendibile, poiché il laptop non è sempre connesso alla rete locale. Nella sottosezione Firewall, è possibile verificare se sono stati assegnati correttamente gli stati alle reti utilizzate nell'organizzazione.

Per controllare l'elenco delle reti:

1. Nelle proprietà del criterio, passare a Protezione minacce essenziale → Firewall.
2. Nella sezione Reti disponibili, fare clic sul pulsante Impostazioni.
3. Nella finestra Firewall visualizzata, passare alla scheda Reti per visualizzare l'elenco delle reti.

Nella sottosezione Protezione minacce file, è possibile disabilitare la scansione delle unità di rete. La scansione delle unità di rete può comportare un carico significativo per le unità di rete. È più pratico eseguire la scansione indiretta sui file server.

Per disabilitare la scansione delle unità di rete:

1. Nelle proprietà del criterio, passare a Protezione minacce essenziale → Protezione minacce file.
2. Nella sezione Livello di sicurezza, fare clic sul pulsante Impostazioni.
3. Nella finestra Protezione minacce file visualizzata, nella scheda Generali, deselezionare la casella di controllo Tutte le unità di rete.

Configurazione del criterio nella sezione Impostazioni generali

Per una descrizione completa delle impostazioni in questa sezione, fare riferimento alla documentazione di Kaspersky Endpoint Security for Windows.

Nella sezione Impostazioni generali della finestra delle proprietà del criterio, si consiglia di specificare impostazioni aggiuntive nelle sottosezioni Rapporti e archivi e Interfaccia.

Nella sottosezione Rapporti e archivi, passare alla sezione Trasferimento dei dati ad Administration Server. La casella di controllo Informazioni sulle applicazioni avviate specifica se il database di Administration Server salva informazioni su tutte le versioni di tutti i moduli software nei dispositivi connessi alla rete. Se questa casella di controllo è selezionata, le informazioni salvate possono richiedere una quantità significativa di spazio su disco nel database di Kaspersky Security Center (decine di gigabyte). Deselezionare la casella di controllo Informazioni sulle applicazioni avviate se è selezionata nel criterio di livello superiore.

Se Administration Console gestisce la protezione dalle minacce nella rete dell'organizzazione in modalità centralizzata, disabilitare la visualizzazione dell'interfaccia utente di Kaspersky Endpoint Security for Windows sulle workstation. A tale scopo, nella sottosezione Interfaccia, passare alla sezione Interazione con l'utente, quindi selezionare Non visualizzare.

Per abilitare la protezione tramite password sulle workstation, nella sottosezione Interfaccia, passare alla sezione Protezione tramite password, fare clic sul pulsante Impostazioni, quindi selezionare la casella di controllo Abilita protezione tramite password.

Configurazione del criterio nella sezione Configurazione eventi

Nella sezione Configurazione eventi è consigliabile disabilitare il salvataggio di qualsiasi evento in Administration Server, tranne i seguenti:

• Nella scheda Critico:
  • L'esecuzione automatica dell'applicazione è disabilitata
  • Accesso negato
  • Avvio dell'applicazione non consentito
  • Disinfezione non attuabile
  • Contratto di licenza con l'utente finale violato
  • Impossibile caricare il modulo di criptaggio
  • Impossibile avviare due attività contemporaneamente
  • È stata rilevata una minaccia attiva. Si consiglia di avviare Disinfezione avanzata
  • Attacco di rete rilevato
  • Non tutti i componenti sono stati aggiornati
  • Errore di attivazione
  • Errore durante l'abilitazione della modalità portatile
  • Errore durante l'interazione con Kaspersky Security Center
  • Errore durante la disabilitazione della modalità portatile
  • Errore durante la modifica dei componenti dell'applicazione
  • Errore durante l'applicazione delle regole di criptaggio/decriptaggio dei file
  • Il criterio non può essere applicato
  • Processo terminato
  • Attività di rete bloccata
• Nella scheda Errore funzionale: Impostazioni attività non valide. Impostazioni non applicate
• Nella scheda Avviso:
  • L'Auto-difesa è disabilitata
  • Chiave di riserva errata
  • L'utente ha scelto di non applicare il criterio di criptaggio
• Nella scheda Informazioni: Avvio dell'applicazione non consentito in modalità di test

Configurazione manuale dell'attività di gruppo di aggiornamento per Kaspersky Endpoint Security

Se Administration Server opera come sorgente degli aggiornamenti, l'opzione di pianificazione ottimale e consigliata per Kaspersky Endpoint Security è Quando vengono scaricati nuovi aggiornamenti nell'archivio con la casella di controllo Usa automaticamente il ritardo casuale per l'avvio delle attività selezionata.

Se si crea un'attività locale di download degli aggiornamenti dai server Kaspersky nell'archivio in ogni punto di distribuzione, la pianificazione periodica sarà ottimale e consigliata per l'attività di aggiornamento di gruppo di Kaspersky Endpoint Security. In questo caso, il valore dell'intervallo con impostazione casuale deve essere impostato su 1 ora.

Configurazione manuale dell'attività di gruppo per la scansione di un dispositivo con Kaspersky Endpoint Security

L'Avvio rapido guidato crea un'attività di gruppo per la scansione di un dispositivo. Per impostazione predefinita, all'attività viene assegnata una pianificazione Esegui il venerdì alle 19:00 con un'impostazione casuale automatica e la casella di controllo Esegui attività non effettuate è deselezionata.

Di conseguenza, se i dispositivi in un'organizzazione vengono spenti ad esempio il venerdì alle 18:30, l'attività di scansione del dispositivo non verrà eseguita. È necessario impostare la pianificazione appropriata per questa attività in base alle regole per l'ambiente di lavoro adottate nell'organizzazione.

Pianificazione dell'attività Trova vulnerabilità e aggiornamenti richiesti

L'Avvio rapido guidato crea l'attività Trova vulnerabilità e aggiornamenti richiesti per Network Agent. Per impostazione predefinita, all'attività viene assegnata una pianificazione Esegui il martedì alle 19:00 con un'impostazione casuale automatica e la casella di controllo Esegui attività non effettuate è selezionata.

Se le regole dell'organizzazione per l'ambiente di lavoro prevedono lo spegnimento di tutti i dispositivi in tale orario, l'attività Trova vulnerabilità e aggiornamenti richiesti verrà eseguita dopo la riaccensione dei dispositivi, il mercoledì mattina. Un'attività di questo tipo potrebbe essere indesiderabile perché una Scansione vulnerabilità può aumentare il carico sui sottosistemi del disco e della CPU. È necessario impostare la pianificazione appropriata per l'attività in base alle regole per l'ambiente di lavoro adottate nell'organizzazione.

Configurazione manuale dell'attività di gruppo per l'installazione degli aggiornamenti e la correzione delle vulnerabilità

L'Avvio rapido guidato crea un'attività di gruppo per l'installazione degli aggiornamenti e la correzione delle vulnerabilità per Network Agent. Per impostazione predefinita, l'attività è impostata per l'esecuzione ogni giorno alle 01:00, con un'impostazione casuale automatica, e l'opzione Esegui attività non effettuate non è abilitata.

Se le regole dell'organizzazione per l'ambiente di lavoro prevedono lo spegnimento dei dispositivi durante la notte, l'installazione degli aggiornamenti non verrà eseguita. È necessario impostare la pianificazione appropriata per l'attività Scansione vulnerabilità in base alle regole per l'ambiente di lavoro adottate nell'organizzazione. È anche importante tenere presente che l'installazione degli aggiornamenti può richiedere il riavvio del dispositivo.

Creazione di una struttura di gruppi di amministrazione e assegnazione dei punti di distribuzione

Una struttura di gruppi di amministrazione in Kaspersky Security Center esegue le seguenti funzioni:

• Imposta l'ambito dei criteri.

  È disponibile un metodo alternativo per l'applicazione delle impostazioni appropriate nei dispositivi, utilizzando i profili criterio. In questo caso, l'ambito dei criteri viene definito ad esempio con tag, posizioni dei dispositivi nelle unità organizzative di Active Directory e appartenenza a gruppi di protezione di Active Directory.

• Imposta l'ambito delle attività di gruppo.

  Esiste un approccio alla definizione dell'ambito delle attività di gruppo che non è basato su una gerarchia di gruppi di amministrazione: l'utilizzo di attività per selezioni dispositivi e di attività per dispositivi specifici.

• Imposta i diritti di accesso a dispositivi, Administration Server virtuali e Administration Server secondari.
• Assegna i punti di distribuzione.

Al momento della creazione della struttura dei gruppi di amministrazione, è necessario tenere conto della topologia della rete dell'organizzazione per l'assegnazione ottimale dei punti di distribuzione. La distribuzione ottimale dei punti di distribuzione consente di ridurre il traffico nella rete dell'organizzazione.

A seconda dello schema dell'organizzazione e della topologia di rete adottata dal client MSP, le seguenti configurazioni standard possono essere applicate alla struttura dei gruppi di amministrazione:

• Singola sede
• Più sedi separate di piccole dimensioni

Configurazione del client MSP standard: singola sede

In una configurazione standard con una singola sede, tutti i dispositivi si trovano nella rete dell'organizzazione e sono visibili reciprocamente. La rete dell'organizzazione può comprendere diversi componenti (reti o segmenti di rete) connessi tramite canali con larghezza di banda ridotta.

Sono disponibili i seguenti metodi per creare la struttura dei gruppi di amministrazione:

• Creazione della struttura dei gruppi di amministrazione tenendo conto della topologia di rete. La struttura dei gruppi di amministrazione potrebbe non riflettere la topologia di rete alla perfezione. Una corrispondenza tra i diversi componenti della rete e alcuni gruppi di amministrazione può essere sufficiente. È possibile utilizzare l'assegnazione automatica dei punti di distribuzione o assegnarli manualmente.
• Creazione della struttura dei gruppi di amministrazione senza tenere conto della topologia di rete. In questo caso è necessario disabilitare l'assegnazione automatica dei punti di distribuzione e quindi assegnare a uno o più dispositivi il ruolo di punti di distribuzione per un gruppo di amministrazione radice in ciascun componente della rete, ad esempio per il gruppo Dispositivi gestiti. Tutti i punti di distribuzione saranno allo stesso livello e avranno lo stesso ambito che comprende tutti i dispositivi della rete dell'organizzazione. In questo caso, tutti i Network Agent si connetteranno al punto di distribuzione con il percorso più vicino. Il percorso di un punto di distribuzione è monitorabile con l'utilità tracert.

Configurazione del client MSP standard: più sedi remote di piccole dimensioni

Questa configurazione standard prevede la presenza di diverse sedi remote, che possono comunicare con la sede centrale via Internet. Ogni sede remota è situata dietro il NAT, ovvero la connessione da una sede remota all'altra non è possibile perché le sedi sono isolate tra loro.

La configurazione deve essere riflessa nella struttura dei gruppi di amministrazione: è necessario creare un gruppo di amministrazione distinto per ogni sede remota (i gruppi Sede 1 e Sede 2 nella figura seguente).

Le sedi remote sono incluse nella struttura dei gruppi di amministrazione

È necessario assegnare uno o più punti di distribuzione a ogni gruppo di amministrazione che corrisponde a una sede. I punti di distribuzione devono essere dispositivi nella sede remota con una quantità sufficiente di spazio libero su disco. I dispositivi distribuiti nel gruppo Sede 1, ad esempio, accederanno ai punti di distribuzione assegnati al gruppo di amministrazione Sede 1.

Se alcuni utenti si spostano fisicamente tra le sedi con i loro computer portatili, è necessario selezionare due o più dispositivi (oltre ai punti di distribuzione esistenti) in ogni sede remota e assegnare loro il ruolo di punti di distribuzione per un gruppo di amministrazione di primo livello (Gruppo radice per le sedi nella figura precedente).

Esempio: un computer portatile è distribuito nel gruppo di amministrazione Sede 1 e quindi viene spostato fisicamente nella sede che corrisponde al gruppo di amministrazione Sede 2. Dopo lo spostamento del portatile, Network Agent tenta di accedere ai punti di distribuzione assegnati al gruppo Sede 1, ma tali punti di distribuzione non sono disponibili. Network Agent inizia quindi a tentare di accedere ai punti di distribuzione che sono stati assegnati al Gruppo radice per le sedi. Poiché le sedi remote sono isolate tra loro, i tentativi di accedere ai punti di distribuzione assegnati al gruppo di amministrazione Gruppo radice per le sedi avranno esito positivo solo quando Network Agent tenta di accedere ai punti di distribuzione nel gruppo Sede 2. In altre parole, il computer portatile rimarrà nel gruppo di amministrazione che corrisponde alla sede iniziale, ma utilizzerà il punto di distribuzione della sede in cui si trova fisicamente al momento.

Gerarchia di criteri tramite i profili criterio

Questa sezione fornisce informazioni su come applicare i criteri ai dispositivi nei gruppi di amministrazione. Questa sezione fornisce anche informazioni sui profili dei criteri.

Gerarchia dei criteri

In Kaspersky Security Center i criteri vengono utilizzati per definire una singola raccolta di impostazioni per più dispositivi. Ad esempio, l'ambito del criterio dell'applicazione P definito per il gruppo di amministrazione G include i dispositivi gestiti in cui è installata l'applicazione P che sono stati distribuiti nel gruppo G e in tutti i relativi sottogruppi, ad eccezione dei sottogruppi in cui la casella di controllo Eredita da gruppo padre è deselezionata nelle proprietà.

Un criterio differisce da qualsiasi impostazione locale in base alle icone di blocco () accanto alle relative impostazioni. Se un'impostazione (o un gruppo di impostazioni) è bloccata nelle proprietà del criterio, è necessario in primo luogo utilizzare questa impostazione (o gruppo di impostazioni) durante la creazione delle impostazioni da applicare e, in secondo luogo, scrivere le impostazioni o il gruppo di impostazioni nel criterio downstream.

La creazione delle impostazioni da applicare in un dispositivo può essere descritta come segue: i valori di tutte le impostazioni che non sono state bloccate vengono ottenuti dal criterio, quindi sono sovrascritti con i valori delle impostazioni locali. La raccolta risultante viene quindi sovrascritta con i valori delle impostazioni bloccate ottenuti dal criterio.

I criteri della stessa applicazione si influenzano reciprocamente attraverso la gerarchia dei gruppi di amministrazione: le impostazioni bloccate del criterio upstream sovrascrivono le stesse impostazioni del criterio downstream.

Esiste un criterio speciale per gli utenti fuori sede. Questo criterio ha effetto su un dispositivo quando il dispositivo passa in modalità fuori sede. I criteri fuori sede non influiscono sugli altri criteri attraverso la gerarchia dei gruppi di amministrazione.

Profili criterio

L'applicazione dei criteri ai dispositivi solo tramite la gerarchia dei gruppi di amministrazione in molte circostanze può essere poco pratica. Può essere necessario creare più istanze di un singolo criterio con una o due impostazioni differenti per gruppi di amministrazione diversi e sincronizzare i contenuti di questi criteri in futuro.

Per contribuire a evitare tali problemi, Kaspersky Security Center supporta profili di criteri. Un profilo criterio è un sottoinsieme denominato di impostazioni dei criteri. Questo sottoinsieme viene distribuito nei dispositivi di destinazione insieme al criterio, integrandolo in una condizione specifica definita condizione di attivazione del profilo. I profili contengono solo le impostazioni diverse dal criterio "di base" che è attivo sul dispositivo client (computer o dispositivo mobile). L'attivazione di un profilo determina la modifica delle impostazioni del criterio attivo nel dispositivo prima dell'attivazione del profilo. Tali impostazioni assumono i valori specificati nel profilo.

Attualmente ai profili criterio si applicano le seguenti limitazioni:

• Un criterio può includere al massimo 100 profili.
• Un profilo criterio non può contenere altri profili.
• Un profilo criterio non può contenere impostazioni di notifica.

Contenuto di un profilo

Un profilo criterio contiene i seguenti elementi:

• Nome. I profili con nomi identici si influenzano reciprocamente attraverso la gerarchia dei gruppi di amministrazione con regole comuni.
• Sottoinsieme di impostazioni dei criteri. A differenza del criterio, che contiene tutte le impostazioni, un profilo contiene solo le impostazioni che sono effettivamente richieste (le impostazioni bloccate).
• Condizione di attivazione è un'espressione logica con le proprietà del dispositivo. Un profilo è attivo (integra il criterio) solo quando la condizione di attivazione del profilo diventa vera. In tutti gli altri casi, il profilo è inattivo e viene ignorato. Le seguenti proprietà del dispositivo possono essere incluse nell'espressione logica:
  • Stato della modalità fuori sede.
  • Proprietà dell'ambiente di rete - Nome della regola attiva per la connessione di Network Agent.
  • Presenza o assenza dei tag specificati nel dispositivo.
  • Posizione del dispositivo in un'unità di Active Directory: esplicita (il dispositivo è direttamente nell'unità organizzativa specificata) o implicita (il dispositivo è in un'unità organizzativa che è contenuta nell'unità organizzativa specificata a qualsiasi livello di annidamento).
  • Appartenenza del dispositivo a un gruppo di protezione di Active Directory (esplicita o implicita).
  • Appartenenza del proprietario del dispositivo a un gruppo di protezione di Active Directory (esplicita o implicita).
• Casella di controllo per la disabilitazione del profilo. I profili disabilitati vengono sempre ignorati e le relative condizioni di attivazione non sono verificate.
• Priorità del profilo. Le condizioni di attivazione di differenti profili sono indipendenti, quindi è possibile attivare contemporaneamente più profili. Se i profili attivi contengono raccolte di impostazioni che non si sovrappongono, non si verifica alcun problema. Se invece due profili attivi contengono valori diversi della stessa impostazione, si verifica un'ambiguità. Questa ambiguità deve essere evitata tramite le priorità dei profili: il valore della variabile ambigua viene ottenuto dal profilo che ha la priorità più alta (quello al livello superiore nell'elenco dei profili).

Comportamento dei profili quando i criteri si influenzano reciprocamente attraverso la gerarchia

I profili con lo stesso nome vengono uniti in base alle regole di unione dei criteri. I profili di un criterio upstream hanno una priorità più alta rispetto ai profili di un criterio downstream. Se la modifica delle impostazioni non è consentita nel criterio upstream (è bloccata), il criterio downstream utilizza le condizioni di attivazione del profilo di quello upstream. Se la modifica delle impostazioni è consentita nel criterio upstream, vengono utilizzate le condizioni di attivazione del profilo del criterio downstream.

Poiché un profilo criterio può contenere la proprietà Il dispositivo è offline nella relativa condizione di attivazione, i profili sostituiscono completamente la funzionalità dei criteri per gli utenti fuori sede, che non saranno non più supportati.

Un criterio per gli utenti fuori sede può contenere profili, ma questi profili possono essere attivati solo una volta che il dispositivo passa alla modalità fuori sede.

Attività

Kaspersky Security Center consente di gestire le applicazioni di protezione Kaspersky installate nei dispositivi creando ed eseguendo attività. Le attività sono necessarie per l'installazione, l'avvio e l'arresto delle applicazioni, la scansione dei file, l'aggiornamento dei database e dei moduli software, oltre che per eseguire altre azioni sulle applicazioni.

Le attività per un'applicazione specifica possono essere create solo se è installato il plug-in di gestione per tale applicazione.

Le attività possono essere eseguite nell'Administration Server e nei dispositivi.

Le seguenti attività vengono eseguite nell'Administration Server:

• Distribuzione automatica dei rapporti
• Download degli aggiornamenti nell'archivio di Administration Server
• Backup dei dati di Administration Server
• Manutenzione del database
• Sincronizzazione di Windows Update
• Creazione di un pacchetto di installazione basato su un'immagine del sistema operativo di un dispositivo di riferimento

I seguenti tipi di attività vengono eseguiti nei dispositivi:

• Attività locali - Attività eseguite in un dispositivo specifico

  Le attività locali possono essere modificate dall'amministratore utilizzando gli strumenti di Administration Console oppure dall'utente di un dispositivo remoto (ad esempio, attraverso l'interfaccia dell'applicazione di protezione). Se un'attività locale viene modificata contemporaneamente dall'amministratore e dall'utente di un dispositivo gestito, hanno effetto le modifiche apportate dall'amministratore perché hanno una priorità più alta.

• Attività di gruppo - Attività eseguite su tutti i dispositivi di un gruppo specifico

  A meno che non sia diversamente specificato nelle proprietà dell'attività, un'attività di gruppo si applica anche a tutti i sottogruppi del gruppo selezionato. Un'attività di gruppo influisce anche (facoltativamente) sui dispositivi connessi agli Administration Server secondari e virtuali distribuiti nel gruppo o in uno dei relativi sottogruppi.

• Attività globali - Attività eseguite su un set di dispositivi, indipendentemente dalla loro appartenenza a un gruppo

Per ogni applicazione è possibile creare attività di gruppo, attività globali o attività locali.

È possibile apportare modifiche alle impostazioni delle attività, visualizzarne l'avanzamento, copiarle, esportarle, importarle ed eliminarle.

Le attività vengono avviate in un dispositivo solo se l'applicazione per cui l'attività è stata creata è in esecuzione.

I risultati delle attività sono salvati nel registro eventi di Microsoft Windows e nel registro eventi di Kaspersky Security Center, sia in modo centralizzato in Administration Server che localmente in ogni dispositivo.

Non includere dati privati nelle impostazioni dell'attività. Ad esempio, non specificare la password dell'amministratore del dominio.

Regole di spostamento dei dispositivi

È consigliabile automatizzare l'assegnazione dei dispositivi ai gruppi di amministrazione nel server virtuale corrispondente a un client MSP utilizzando le regole di spostamento dei dispositivi. Una regola di spostamento dei dispositivi comprende tre elementi principali: nome, condizione di esecuzione (espressione logica con gli attributi del dispositivo) e gruppo di amministrazione di destinazione. Una regola sposta un dispositivo nel gruppo di amministrazione di destinazione se gli attributi del dispositivo soddisfano la condizione di esecuzione della regola.

Tutte le regole di spostamento dei dispositivi hanno priorità. L'Administration Server verifica gli attributi del dispositivo per determinare se soddisfano la condizione di esecuzione di ogni regola, in ordine di priorità crescente. Se gli attributi del dispositivo soddisfano la condizione di esecuzione di una regola, il dispositivo viene spostato nel gruppo di destinazione, quindi l'elaborazione della regola è completa per questo dispositivo. Se gli attributi del dispositivo soddisfano le condizioni di più regole, il dispositivo viene spostato nel gruppo di destinazione della regola con la priorità più alta (al livello più alto nell'elenco delle regole).

Le regole di spostamento dei dispositivi possono essere create implicitamente. Ad esempio, nelle proprietà di un pacchetto di installazione o di un'attività di installazione remota è possibile specificare il gruppo di amministrazione in cui deve essere spostato il dispositivo dopo l'installazione di Network Agent. Inoltre, le regole di spostamento dei dispositivi possono essere create esplicitamente dall'amministratore di Kaspersky Security Center nell'elenco delle regole di spostamento. L'elenco è disponibile in Administration Console, nelle proprietà del gruppo Dispositivi non assegnati.

Per impostazione predefinita, una regola di spostamento dei dispositivi viene utilizzata per l'allocazione iniziale dei dispositivi ai gruppi di amministrazione. La regola sposta i dispositivi dal gruppo Dispositivi non assegnati una sola volta. Se in precedenza un dispositivo era stato spostato da questa regola, la regola non lo sposterà di nuovo, anche se si reinserisce manualmente il dispositivo nel gruppo Dispositivi non assegnati. Questo è il modo consigliato per applicare le regole di spostamento.

È possibile spostare i dispositivi che sono già stati assegnati ad alcuni gruppi di amministrazione. A tale scopo, nelle proprietà di una regola, deselezionare la casella di controllo Sposta solo i dispositivi che non appartengono a un gruppo di amministrazione.

L'applicazione delle regole di spostamento a dispositivi che sono già stati assegnati ad alcuni gruppi di amministrazione aumenta considerevolmente il carico sull'Administration Server.

È possibile creare una regola di spostamento da applicare ripetutamente a un singolo dispositivo.

È consigliabile evitare di spostare ripetutamente un singolo dispositivo da un gruppo all'altro (ad esempio, per applicare uno speciale criterio al dispositivo, eseguire una speciale attività di gruppo o aggiornare il dispositivo attraverso un punto di distribuzione specifico).

Tali scenari non sono supportati, perché comportano un notevole aumento del carico su Administration Server e del traffico di rete. Questi scenari anche sono in conflitto con i principi operativi di Kaspersky Security Center (in particolare nell'area di diritti di accesso, eventi e rapporti). Un'altra soluzione deve ad esempio essere trovata attraverso l'utilizzo di profili criterio, attività per selezioni dispositivi, l'assegnazione di Network Agent in base allo scenario di standard e così via.

Classificazione del software

Lo strumento principale per monitorare l'esecuzione delle applicazioni sono le categorie Kaspersky (di seguito denominate anche categorie KL). Le categorie KL consentono agli amministratori di Kaspersky Security Center di semplificare il supporto della classificazione del software e ridurre al minimo il traffico verso i dispositivi gestiti.

È necessario creare categorie utente per le applicazioni che non possono essere classificate in alcuna delle categorie KL esistenti (ad esempio, per il software personalizzato). Le categorie utente vengono create in base al pacchetto di installazione di un'applicazione (MSI) o a una cartella con pacchetti di installazione.

Se è disponibile una raccolta di software di grandi dimensioni che non è stata classificata tramite le categorie KL, può essere utile creare una categoria aggiornata automaticamente. I checksum dei file eseguibili saranno aggiunti automaticamente a questa categoria a ogni modifica della cartella che contiene i pacchetti di distribuzione.

Non creare categorie di software aggiornate automaticamente per le cartelle Documenti, %windir%, %ProgramFiles% e %ProgramFiles(x86)%. Il pool di file in queste cartelle è soggetto a modifiche frequenti, il che comporta un aumento del carico su Administration Server e del traffico di rete. È necessario creare una cartella dedicata con la raccolta del software e aggiungere periodicamente nuovi elementi a tale raccolta.

Informazioni sulle applicazioni multi-tenant

Kaspersky Security Center consente agli amministratori di provider di servizi e agli amministratori di tenant di utilizzare le applicazioni Kaspersky con supporto multi-tenancy. Dopo l'installazione di un'applicazione Kaspersky multi-tenant nell'infrastruttura di un provider di servizi, i tenant possono iniziare a utilizzare l'applicazione.

Per separare attività e criteri relativi a diversi tenant è necessario creare un Administration Server virtuale dedicato in Kaspersky Security Center per ciascun tenant. Tutte le attività e tutti i criteri per le applicazioni multi-tenant in esecuzione per un tenant devono essere creati per il gruppo di amministrazione Dispositivi gestiti dell'Administration Server virtuale corrispondente al tenant. Le attività create per i gruppi di amministrazione relativi all'Administration Server primario non riguardano i dispositivi dei tenant.

A differenza degli amministratori dei provider di servizi, un amministratore di tenant può creare e visualizzare criteri delle applicazioni e attività solo per i dispositivi del tenant corrispondente. I set di attività e le impostazioni dei criteri disponibili per gli amministratori dei provider di servizi e gli amministratori dei tenant sono diversi. Alcune attività e impostazioni dei criteri non sono disponibili per gli amministratori dei tenant.

All'interno della struttura gerarchica di un tenant, i criteri creati per le applicazioni multi-tenant vengono ereditati da gruppi di amministrazione di livello inferiore, nonché da gruppi di amministrazione di livello superiore: il criterio viene propagato a tutti i dispositivi client che appartengono al tenant.

Backup e ripristino delle impostazioni di Administration Server

Il backup delle impostazioni di Administration Server e del relativo database viene eseguito tramite l'attività di backup e l'utilità klbackup. Una copia di backup include tutte le impostazioni e gli oggetti principali relativi ad Administration Server, come certificati, chiavi primarie per il criptaggio delle unità nei dispositivi gestiti, chiavi per varie licenze, struttura dei gruppi di amministrazione con tutti i relativi contenuti, attività, criteri e così via. Con una copia di backup è possibile ripristinare il funzionamento di un Administration Server il prima possibile, un'operazione che richiede da una decina di minuti a un paio d'ore.

Se non è disponibile una copia di backup, un errore può comportare la perdita dei certificati e di tutte le impostazioni di Administration Server. In tal caso, sarà necessario riconfigurare completamente Kaspersky Security Center ed eseguire di nuovo la distribuzione iniziale di Network Agent nella rete dell'organizzazione. Andranno inoltre perse tutte le chiavi primarie per il criptaggio delle unità nei dispositivi gestiti, con il rischio di una perdita irrevocabile dei dati criptati nei dispositivi con Kaspersky Endpoint Security. Pertanto, non dimenticare di eseguire periodicamente backup di Administration Server utilizzando l'attività di backup standard.

L'Avvio rapido guidato crea l'attività di backup per le impostazioni di Administration Server e ne configura l'esecuzione quotidiana, alle 4:00. Le copie di backup vengono salvate per impostazione predefinita nella cartella %ALLUSERSPROFILE%\Application Data\KasperskySC.

Se si utilizza come DBMS un'istanza di Microsoft SQL Server installata in un altro dispositivo, è necessario modificare l'attività di backup specificando un percorso UNC, accessibile in scrittura sia dal servizio Administration Server che dal servizio SQL Server, come cartella per l'archiviazione delle copie di backup. Questo requisito deriva da una speciale funzionalità di backup nel DBMS Microsoft SQL Server.

Se si utilizza come DBMS un'istanza locale di Microsoft SQL Server, è anche consigliabile salvare copie di backup su un supporto dedicato per proteggerle dal danneggiamento insieme con Administration Server.

Poiché una copia di backup contiene dati importanti, l'attività di backup e l'utilità klbackup forniscono funzionalità di protezione tramite password delle copie di backup. Per impostazione predefinita, l'attività di backup viene creata con una password vuota. È necessario impostare una password nelle proprietà dell'attività di backup. Il mancato rispetto di questo requisito causa una situazione in cui tutte le chiavi dei certificati di Administration Server, le chiavi per le licenze e le chiavi primarie per il criptaggio delle unità nei dispositivi gestiti restano non criptate.

In aggiunta al backup periodico, è anche necessario creare una copia di backup prima di ogni modifica significativa, inclusa l'installazione di upgrade e patch di Administration Server.

Se si utilizza Microsoft SQL Server come DBMS, è possibile ridurre al minimo le dimensioni delle copie di backup. A tale scopo, abilitare l'opzione Comprimi backup nelle impostazioni di SQL Server.

Il ripristino da una copia di backup viene eseguito con l'utilità klbackup in un'istanza funzionante di Administration Server che è stata appena installata e con la stessa versione (o una versione successiva) di quella per cui è stata creata la copia di backup.

L'istanza di Administration Server in cui deve essere eseguito il ripristino deve utilizzare un DBMS dello stesso tipo (ad esempio, SQL Server o MariaDB) e della stessa versione o successiva. La versione di Administration Server può essere la stessa (con una patch identica o successiva) o una versione successiva.

In questa sezione sono descritti gli scenari standard per il ripristino delle impostazioni e degli oggetti di Administration Server.

Un dispositivo con Administration Server è inutilizzabile

Se un dispositivo con Administration Server risulta inutilizzabile a causa di un errore, è consigliabile eseguire le seguenti operazioni:

• Al nuovo Administration Server deve essere assegnato lo stesso indirizzo: nome NetBIOS, FQDN o IP statico (a seconda dell'elemento impostato al momento della distribuzione dei Network Agent).
• Installare Administration Server utilizzando un DBMS dello stesso tipo e della stessa versione (o di una versione successiva). È possibile installare la stessa versione del server (con una patch identica o successiva) o una versione successiva. Dopo installazione, non eseguire la configurazione iniziale tramite la procedura guidata.
• Nel menu Start, eseguire l'utilità klbackup e quindi eseguire il ripristino.

Le impostazioni di Administration Server o il database sono danneggiati

Se Administration Server risulta inutilizzabile perché le impostazioni o il database sono danneggiati (ad esempio, in seguito a una sovralimentazione), è consigliabile utilizzare il seguente scenario di ripristino:

1. Eseguire la scansione del file system nel dispositivo danneggiato.
2. Disinstallare la versione inutilizzabile di Administration Server.
3. Reinstallare Administration Server utilizzando un DBMS dello stesso tipo e della stessa versione (o di una versione successiva). È possibile installare la stessa versione del server (con una patch identica o successiva) o una versione successiva. Dopo installazione, non eseguire la configurazione iniziale tramite la procedura guidata.
4. Dal menu Start eseguire l'utilità klbackup e quindi eseguire il ripristino.

Non è consentito ripristinare Administration Server in un modo diverso dall'utilizzo dell'utilità klbackup.

Qualsiasi tentativo di ripristinare Administration Server tramite software di terze parti causerà inevitabilmente la mancata sincronizzazione dei dati nei nodi dell'applicazione Kaspersky Security Center distribuita e, di conseguenza, impedirà il corretto funzionamento dell'applicazione.

Distribuzione di Network Agent e dell'applicazione di protezione

Per gestire i dispositivi in un'organizzazione, è necessario installare Network Agent su ciascuno di essi. La distribuzione di Kaspersky Security Center nei dispositivi di un'organizzazione in genere ha inizio con l'installazione di Network Agent nei dispositivi.

In Microsoft Windows XP Network Agent potrebbe non eseguire correttamente le seguenti operazioni: download degli aggiornamenti direttamente dai server di Kaspersky (come punto di distribuzione); funzionamento come un server proxy KSN (come punto di distribuzione); e rilevamento di vulnerabilità di terze parti (se è in uso Vulnerability e patch management).

Distribuzione iniziale

Se Network Agent è già stato installato in un dispositivo, l'installazione remota delle applicazioni nel dispositivo viene eseguita tramite Network Agent. Il pacchetto di distribuzione di un'applicazione da installare viene trasferito mediante i canali di comunicazione tra i Network Agent e Administration Server, insieme alle impostazioni di installazione definite dall'amministratore. Per trasferire il pacchetto di distribuzione, è possibile utilizzare nodi di distribuzione per il trasferimento, cioè punti di distribuzione, recapito multicast e così via. Ulteriori dettagli su come installare le applicazioni nei dispositivi gestiti in cui è già installato Network Agent sono disponibili di seguito in questa sezione.

È possibile eseguire l'installazione iniziale di Network Agent nei dispositivi Windows utilizzando uno dei seguenti metodi:

• Con strumenti di terze parti per l'installazione remota delle applicazioni.
• Con i criteri di gruppo Windows: utilizzando gli strumenti di gestione standard di Windows per i criteri di gruppo.
• In modalità forzata, utilizzando speciali opzioni nell'attività di installazione remota di Kaspersky Security Center.
• Inviando agli utenti dei dispositivi collegamenti ai pacchetti indipendenti generati da Kaspersky Security Center. I pacchetti indipendenti sono moduli eseguibili che contengono i pacchetti di distribuzione delle applicazioni selezionate con le relative impostazioni definite.
• Manualmente, eseguendo i programmi di installazione delle applicazioni nei dispositivi.

Nelle piattaforme diverse da Microsoft Windows è necessario eseguire l'installazione iniziale di Network Agent nei dispositivi gestiti tramite gli strumenti di terze parti esistenti o manualmente, inviando agli utenti un archivio con un pacchetto di distribuzione preconfigurato. È possibile eseguire l'upgrade di Network Agent a una nuova versione o installare altre applicazioni Kaspersky nelle piattaforme non Windows, utilizzando i Network Agent (già installati nei dispositivi) per eseguire le attività di installazione remota. In questo caso, l'installazione è identica a quella dei dispositivi con sistema operativo Microsoft Windows.

Al momento della scelta di un metodo e di una strategia per la distribuzione delle applicazioni in una rete gestita, è necessario considerare diversi fattori (elenco parziale):

• Configurazione della rete aziendale
• Numero totale di dispositivi
• Presenza di domini Windows nella rete gestita, possibilità di modificare i criteri di gruppo Active Directory in tali domini
• Conoscenza degli account utente con diritti di amministratore locale nei dispositivi in cui è stata pianificata la distribuzione iniziale delle applicazioni Kaspersky (ad esempio disponibilità di un account utente di dominio con diritti di amministratore locale o presenza di account utente locali unificati con diritti di amministratore in tali dispositivi)
• Tipo di connessione e larghezza di banda dei canali di rete tra Administration Server e le reti client MSP, nonché la larghezza di banda dei canali all'interno di tali reti
• Impostazioni di sicurezza applicate ai dispositivi remoti all'inizio della distribuzione (ad esempio, utilizzo di Controllo dell'account utente e modalità Simple File Sharing)

Configurazione dei programmi di installazione

Prima di avviare la distribuzione delle applicazioni Kaspersky in una rete, è necessario specificare le impostazioni di installazione, ovvero quelle definite durante l'installazione dell'applicazione. Durante l'installazione di Network Agent, è necessario specificare almeno un indirizzo per la connessione ad Administration Server e le impostazioni proxy. Possono essere richieste anche alcune impostazioni avanzate. A seconda del metodo di installazione selezionato, è possibile definire le impostazioni in diversi modi. Nel caso più semplice (installazione manuale interattiva in un dispositivo selezionato), tutte le impostazioni attinenti possono essere definite tramite l'interfaccia utente del programma di installazione. Di conseguenza, in alcuni casi la distribuzione iniziale può anche essere eseguita inviando agli utenti un collegamento al pacchetto di distribuzione di Network Agent insieme alle impostazioni (indirizzo di Administration Server e così via) che l'utente deve immettere nell'interfaccia del programma di installazione.

L'utilizzo di questo metodo non è consigliabile dal momento che non risulta ottimale per gli utenti e implica un elevato rischio di errori durante la definizione manuale delle impostazioni. Non è inoltre utilizzabile con l'installazione automatica delle applicazioni nei gruppi di dispositivi. In generale, l'amministratore deve specificare i valori per le impostazioni in modalità centralizzata. Tali valori possono successivamente essere utilizzati per la creazione di pacchetti indipendenti. I pacchetti indipendenti sono archivi autoestraenti che contengono i pacchetti di distribuzione con le impostazioni definite dall'amministratore. I pacchetti indipendenti possono essere posizionati in risorse che consentono sia il download da parte degli utenti finali (ad esempio nel Server Web di Kaspersky Security Center) che l'installazione automatica nei dispositivi della rete selezionati.

Pacchetti di installazione

Il metodo principale per definire le impostazioni di installazione delle applicazioni è adatto per tutti i metodi di installazione, sia con gli strumenti di Kaspersky Security Center che con la maggior parte strumenti di terze parti. Questo metodo consiste nella creazione di pacchetti di installazione delle applicazioni in Kaspersky Security Center.

I pacchetti di installazione sono generati utilizzando i seguenti metodi:

• Automaticamente, dai pacchetti di distribuzione specificati, in base ai descrittori inclusi (file con estensione kud che contengono regole per l'installazione e l'analisi dei risultati e altre informazioni)
• Dai file eseguibili dei programmi di installazione o dai programmi di installazione in formato Microsoft Windows Installer (MSI) per le applicazioni standard o supportate

I pacchetti di installazione generati sono organizzati gerarchicamente come cartelle con sottocartelle e file. Oltre al pacchetto di distribuzione originale, un pacchetto di installazione contiene impostazioni modificabili (incluse le impostazioni del programma di installazione e le regole per elaborare casi come la necessità di riavviare il sistema operativo per completare l'installazione), nonché moduli ausiliari minori.

I valori delle impostazioni di installazione specifiche per il supporto di un'applicazione selezionata possono essere specificati nell'interfaccia utente di Administration Console durante la creazione di un pacchetto di installazione (altre impostazioni sono disponibili nelle proprietà di un pacchetto di installazione già creato). Durante l'esecuzione dell'installazione remota delle applicazioni tramite gli strumenti di Kaspersky Security Center, i pacchetti di installazione vengono inviati ai dispositivi di destinazione. L'esecuzione del programma di installazione di un'applicazione rende disponibili tutte le impostazioni definite dall'amministratore per tale applicazione. Quando si utilizzano strumenti di terze parti per l'installazione delle applicazioni Kaspersky, è sufficiente garantire la disponibilità dell'intero pacchetto di installazione nel dispositivo di destinazione, ovvero la disponibilità del pacchetto di distribuzione e delle relative impostazioni. I pacchetti di installazione vengono creati e archiviati da Kaspersky Security Center in un'apposita sottocartella della cartella dati condivisa.

Non specificare dettagli degli account privilegiati nei parametri dei pacchetti di installazione.

Per istruzioni sull'utilizzo di questo metodo di configurazione per le applicazioni Kaspersky prima della distribuzione mediante strumenti di terze parti, vedere la sezione "Distribuzione tramite i criteri di gruppo di Microsoft Windows".

Subito dopo l'installazione di Kaspersky Security Center, alcuni pacchetti di installazione vengono generati automaticamente: sono pronti per l'installazione e includono i pacchetti di Network Agent e i pacchetti delle applicazioni di protezione per Microsoft Windows.

In alcuni casi, l'utilizzo di pacchetti di installazione per la distribuzione delle applicazioni in una rete client MSP implica l'esigenza di creare pacchetti di installazione nei Server virtuali corrispondenti ai client MSP. La creazione dei pacchetti di installazione nei Server virtuali consente di utilizzare diverse impostazioni di installazione per diversi client MSP. Nella prima istanza ciò si rivela utile in fase di gestione dei pacchetti di installazione di Network Agent, dal momento che i Network Agent distribuiti nelle reti di diversi client MSP utilizzano indirizzi diversi per la connessione ad Administration Server. In realtà, l'indirizzo di connessione determina il Server a cui si connette Network Agent.

Oltre alla possibilità di creare immediatamente nuovi pacchetti di installazione in un Administration Server virtuale, la modalità di esecuzione principale per i pacchetti di installazione negli Administration Server virtuali è la "distribuzione" dei pacchetti di installazione dall'Administration Server primario a quelli virtuali. È possibile distribuire i pacchetti di installazione selezionati (o tutti i pacchetti di installazione) agli Administration Server virtuali (inclusi tutti i server all'interno di un gruppo di amministrazione selezionato) tramite l'attività di Administration Server corrispondente. È inoltre possibile selezionare l'elenco dei pacchetti di installazione dell'Administration Server primario durante la creazione di un nuovo Administration Server virtuale. I pacchetti selezionati verranno immediatamente distribuiti a un nuovo Administration Server virtuale creato.

Durante la distribuzione di un pacchetto di installazione, il relativo contenuto non viene copiato interamente. L'archivio file in un Administration Server virtuale, corrispondente al pacchetto di installazione distribuito, archivia solo i file delle impostazioni specifiche per tale server virtuale. La parte principale del pacchetto di installazione (incluso il pacchetto di distribuzione dell'applicazione da installare) rimane invariata e viene archiviata solo nell'archivio dell'Administration Server primario. In questo modo è possibile incrementare notevolmente le prestazioni di sistema e ridurre il volume disco necessario. Durante la gestione dei pacchetti di installazione distribuiti agli Administration Server virtuali (ad esempio durante l'esecuzione delle attività di installazione remota o la creazione di pacchetti di installazione indipendenti), i dati del pacchetto di installazione originale dell'Administration Server primario vengono "uniti" ai file delle impostazioni corrispondenti al pacchetto distribuito nell'Administration Server virtuale.

Anche se la chiave di licenza per un'applicazione può essere impostata nelle proprietà del pacchetto di installazione, è consigliabile evitare questo metodo di distribuzione delle licenze poiché è facile ottenere involontariamente l'accesso in lettura ai file della cartella. È necessario utilizzare chiavi di licenza distribuite automaticamente o le attività di installazione per le chiavi di licenza.

Proprietà e file di trasformazione MSI

Un altro modo per configurare l'installazione nella piattaforma Windows è definire le proprietà e i file di trasformazione MSI. Questo metodo può essere utilizzato durante l'esecuzione dell'installazione tramite gli strumenti di terze parti destinati ai programmi di installazione nel formato Microsoft Installer e durante l'esecuzione dell'installazione tramite i criteri di gruppo Windows utilizzando gli strumenti Microsoft standard o altri strumenti di terze parti progettati per la gestione dei criteri di gruppo Windows.

Distribuzione con strumenti di terze parti per l'installazione remota delle applicazioni

Se nell'organizzazione sono disponibili strumenti per l'installazione remota delle applicazioni (ad esempio, Microsoft System Center), è possibile eseguire la distribuzione iniziale utilizzando tali strumenti.

È necessario eseguire le seguenti operazioni:

• Selezionare il metodo per la configurazione dell'installazione più adatto per lo strumento di distribuzione da utilizzare.
• Definire il meccanismo per la sincronizzazione tra la modifica delle impostazioni dei pacchetti di installazione (attraverso l'interfaccia di Administration Console) e l'esecuzione degli strumenti di terze parti selezionati utilizzati per la distribuzione delle applicazioni dai dati dei pacchetti di installazione.

Informazioni generali sulle attività di installazione remota in Kaspersky Security Center

Kaspersky Security Center fornisce un'ampia gamma di metodi per l'installazione remota delle applicazioni, implementati come attività di installazione remota. È possibile creare un'attività di installazione remota sia per un gruppo di amministrazione specificato che per dispositivi specifici o per una selezione di dispositivi (tali attività sono visualizzate in Administration Console, nella cartella Attività). Durante la creazione di un'attività, è possibile selezionare i pacchetti di installazione (quelli di Network Agent e/o di un'altra applicazione) per l'installazione con questa attività, nonché specificare determinate impostazioni che definiscono il metodo di installazione remota.

Le attività per i gruppi di amministrazione influiscono sia sui dispositivi inclusi in un gruppo specificato che su tutti i dispositivi in tutti i sottogruppi compresi in tale gruppo di amministrazione. Un'attività copre i dispositivi degli Administration Server secondari inclusi in un gruppo o in qualsiasi dei relativi sottogruppi se l'impostazione corrispondente è abilitata nell'attività.

Le attività per dispositivi specifici aggiornano l'elenco dei dispositivi client a ogni esecuzione, in conformità con i contenuti della selezione al momento dell'avvio dell'attività. Se una selezione include dispositivi che sono stati connessi ad Administration Server secondari, l'attività verrà eseguita anche in tali dispositivi.

Per garantire la corretta esecuzione di un'attività di installazione remota nei dispositivi connessi agli Administration Server secondari, è necessario utilizzare l'attività di distribuzione per distribuire anticipatamente i pacchetti di installazione utilizzati dall'attività agli Administration Server secondari corrispondenti.

Distribuzione tramite i criteri di gruppo di Microsoft Windows

È consigliabile eseguire la distribuzione iniziale dei Network Agent tramite i criteri di gruppo di Microsoft Windows se sono soddisfatte le seguenti condizioni:

• Il dispositivo fa parte di un dominio Active Directory.
• L'accesso al controller di dominio viene concesso con i diritti di amministratore, che consentono di creare e modificare i criteri di gruppo di Active Directory.
• I pacchetti di installazione configurati possono essere spostati nella rete che ospita i dispositivi gestiti di destinazione (in una cartella condivisa disponibile per la lettura da parte di tutti i dispositivi di destinazione).
• Lo schema di distribuzione consente di attendere il successivo riavvio abituale dei dispositivi di destinazione prima di avviare la distribuzione nei Network Agent su di essi (oppure è possibile forzare l'applicazione di un criterio di gruppo di Windows in tali dispositivi).

Questo schema di distribuzione comprende quanto segue:

• Il pacchetto di distribuzione dell'applicazione in formato Microsoft Installer (pacchetto MSI) è disponibile in una cartella condivisa (una cartella per cui gli account LocalSystem dei dispositivi di destinazione dispongono di autorizzazioni di lettura).
• Nel criterio di gruppo di Active Directory, viene creato un oggetto di installazione per il pacchetto di distribuzione.
• L'ambito di installazione è impostato specificando l'unità organizzativa (UO) e / o il gruppo di protezione che include i dispositivi di destinazione.
• Al successivo accesso al dominio di un dispositivo di destinazione (prima che gli utenti del dispositivo accedano al sistema), tutte le applicazioni installate vengono esaminate per verificare che sia presente l'applicazione richiesta. Se l'applicazione non viene trovata, il pacchetto di distribuzione viene scaricato dalla risorsa specificata nel criterio e quindi viene installato.

Un vantaggio di questo schema di distribuzione è il fatto che le applicazioni assegnate sono installate nei dispositivi di destinazione durante il caricamento del sistema operativo, prima che l'utente acceda al sistema. Anche se un utente con diritti sufficienti rimuove l'applicazione, questa sarà reinstallata al successivo avvio del sistema operativo. Lo svantaggio di questo schema di distribuzione è che le modifiche apportate dall'amministratore al criterio di gruppo non hanno effetto finché i dispositivi non vengono riavviati (se non vengono utilizzati strumenti aggiuntivi).

È possibile utilizzare i criteri di gruppo per installare sia Network Agent che altre applicazioni se i relativi programmi di installazione sono in formato Windows Installer.

L'installazione di Network Agent dal pacchetto MSI è possibile solo in modalità automatica, l'installazione interattiva dal pacchetto MSI non è supportata.

Inoltre, quando si seleziona questo metodo di distribuzione, è necessario valutare il carico sulla risorsa file da cui saranno copiati i file nei dispositivi di destinazione dopo l'applicazione del criterio di gruppo di Windows. È inoltre necessario scegliere il metodo di invio del pacchetto di installazione configurato a tale risorsa, nonché il metodo di sincronizzazione delle modifiche attinenti nelle relative impostazioni.

Gestione dei criteri di Microsoft Windows tramite l'attività di installazione remota di Kaspersky Security Center

Questo metodo di distribuzione è disponibile solo se l'accesso al controller di dominio, contenente i dispositivi di destinazione, è possibile dal dispositivo Administration Server, mentre la cartella condivisa di Administration Server (in cui vengono archiviati i pacchetti di installazione) è accessibile per la lettura dai dispositivi di destinazione. Per i motivi precedenti, questo metodo di distribuzione non viene considerato applicabile a MSP.

Installazione non assistita delle applicazioni tramite i criteri di Microsoft Windows

L'amministratore può creare autonomamente gli oggetti richiesti per l'installazione in un criterio di gruppo di Windows. In questo caso è necessario caricare i pacchetti in un file server indipendente e fornire un collegamento a tali pacchetti.

Sono possibili i seguenti scenari di installazione:

• L'amministratore crea un pacchetto di installazione e ne imposta le proprietà in Administration Console. L'amministratore copia quindi l'intera sottocartella EXEC di questo pacchetto dalla cartella condivisa di Kaspersky Security Center in una cartella su una risorsa file dedicata dell'organizzazione. L'oggetto criteri di gruppo fornisce un collegamento al file MSI di questo pacchetto archiviato in una sottocartella sulla risorsa file dedicata dell'organizzazione.
• L'amministratore scarica da Internet il pacchetto di distribuzione dell'applicazione (incluso quello di Network Agent) e lo carica nella risorsa file dedicata dell'organizzazione. L'oggetto criteri di gruppo fornisce un collegamento al file MSI di questo pacchetto archiviato in una sottocartella sulla risorsa file dedicata dell'organizzazione. Le impostazioni di installazione sono definite configurando le proprietà MSI o configurando i file di trasformazione MST.

Distribuzione forzata tramite l'attività di installazione remota di Kaspersky Security Center

Per eseguire la distribuzione iniziale di Network Agent o di altre applicazioni, è possibile forzare l'installazione dei pacchetti di installazione selezionati utilizzando l'attività di installazione remota di Kaspersky Security Center, a condizione che ogni dispositivo disponga di uno o più account utente con diritti di amministratore locali.

L'installazione forzata può anche essere applicata se i dispositivi non sono direttamente accessibili da Administration Server, ad esempio se i dispositivi sono in rete isolata o se si trovano in una rete locale mentre Administration Server è in una rete perimetrale.

In caso di distribuzione iniziale, Network Agent non è installato. Pertanto, nelle impostazioni dell'attività di installazione remota, non è possibile selezionare la distribuzione dei file richiesti per l'installazione dell'applicazione utilizzando Network Agent. È possibile scegliere di distribuire i file solo utilizzando le risorse del sistema operativo tramite Administration Server o i punti di distribuzione.

Il servizio Administration Server deve essere eseguito con un account con privilegi di amministratore nei dispositivi di destinazione. In alternativa, è possibile specificare un account che ha accesso alla condivisione admin$ nelle impostazioni dell'attività di installazione remota.

Per impostazione predefinita, l'attività di installazione remota si connette ai dispositivi utilizzando le credenziali dell'account con cui è in esecuzione Administration Server, ovvero l'account per accedere alla condivisione admin$. È necessario specificare questo account nelle impostazioni dell'attività di installazione remota solo se Network Аgent non è installato nei dispositivi di destinazione.
Quando si crea l'attività di installazione remota da eseguire nei dispositivi basati su Linux, è sempre necessario specificare un account per la creazione di una connessione SSH.

È possibile specificare i dispositivi di destinazione esplicitamente (con un elenco), selezionando il gruppo di amministrazione di Kaspersky Security Center a cui appartengono o creando una selezione di dispositivi in base a un criterio specifico. L'ora di inizio dell'installazione è definita dalla pianificazione dell'attività. Se l'impostazione Esegui attività non effettuate è abilitata nelle proprietà dell'attività, l'attività può essere eseguita subito dopo l'accensione dei dispositivi di destinazione o quando vengono spostati nel gruppo di amministrazione di destinazione.

L'installazione forzata consiste nella distribuzione dei pacchetti di installazione ai dispositivi di destinazione, nella successiva copia dei file nella risorsa admin$ in ciascuno dei dispositivi di destinazione e nella registrazione remota dei servizi di supporto in tali dispositivi. L'invio dei pacchetti di installazione ai dispositivi di destinazione viene eseguito tramite una funzionalità di Kaspersky Security Center che garantisce l'interazione di rete. In questo caso, devono essere soddisfatte le seguenti condizioni:

• I dispositivi di destinazione sono accessibili dal lato di Administration Server o dal lato del punto di distribuzione.
• La risoluzione dei nomi per i dispositivi di destinazione funziona correttamente nella rete.
• Le condivisioni amministrative (admin$) rimangono abilitate nei dispositivi di destinazione.
• I seguenti servizi di sistema sono in esecuzione nei dispositivi di destinazione:
  • Server (LanmanServer)

    Per impostazione predefinita, questo servizio è in esecuzione.

  • DCOM Server Process Launcher (DcomLaunch)
  • RPC Endpoint Mapper (RpcEptMapper)
  • Remote Procedure Call (RpcSs)
• La porta TCP 445 è aperta nei dispositivi di destinazione per abilitare l'accesso remoto tramite gli strumenti di Windows.

  TCP 139, UDP 137 e UDP 138 vengono utilizzati dai protocolli precedenti e non sono più necessari per le applicazioni correnti.

  Le porte di accesso dinamiche in uscita devono essere consentite nel firewall per le connessioni da Administration Server e dai punti di distribuzione ai dispositivi di destinazione.

• Le impostazioni di protezione del criterio di dominio di Active Directory possono fornire il funzionamento del protocollo NTLM durante la distribuzione di Network Agent.
• Nei dispositivi di destinazione che eseguono Microsoft Windows XP, la modalità Simple File Sharing è disabilitata.
• Nei dispositivi di destinazione, il modello di protezione e condivisione dell'accesso è impostato su Classico: gli utenti locali eseguono l'autenticazione come se stessi. Non può in alcun modo essere Solo Guest: gli utenti locali si autenticano come Guest.
• I dispositivi di destinazione sono utenti del dominio o vengono creati anticipatamente account uniformi con diritti di amministratore nei dispositivi di destinazione.

Per distribuire correttamente Network Agent o altre applicazioni in un dispositivo che non fa parte di un dominio Active Directory di Windows Server 2003 o versione successiva, è necessario disabilitare Controllo dell'account utente remoto in tale dispositivo. Controllo dell'account utente remoto è uno dei motivi che impedisce agli account amministrativi locali di accedere ad admin$, necessario per la distribuzione forzata di Network Agent o di altre applicazioni. La disabilitazione di Controllo dell'account utente remoto non influisce su Controllo dell'account utente locale.

Durante l'installazione in nuovi dispositivi che non sono stati ancora assegnati ad alcun gruppo di amministrazione di Kaspersky Security Center, è possibile aprire le proprietà dell'attività di installazione remota e specificare il gruppo di amministrazione in cui spostare i dispositivi dopo l'installazione di Network Agent.

Al momento della creazione di un'attività di gruppo, tenere presente che ogni attività di gruppo influisce su tutti i dispositivi in tutti i gruppi nidificati all'interno un gruppo selezionato. È pertanto necessario evitare di duplicare le attività di installazione nei sottogruppi.

Un modo semplificato per creare attività per l'installazione forzata delle applicazioni è l'installazione automatica. A tale scopo, è necessario aprire le proprietà del gruppo di amministrazione, aprire l'elenco dei pacchetti di installazione e selezionare quelli da installare nei dispositivi di questo gruppo. I pacchetti di installazione selezionati saranno installati automaticamente in tutti i dispositivi di questo gruppo e di tutti i relativi sottogruppi. L'intervallo di tempo richiesto per l'installazione dei pacchetti dipende dalla velocità effettiva della rete e dal numero totale di dispositivi in rete.

Per ridurre il carico su Administration Server durante la distribuzione dei pacchetti di installazione ai dispositivi di destinazione, è possibile selezionare l'installazione tramite i punti di distribuzione nell'attività di installazione. Tenere presente che questo metodo di installazione comporta un carico significativo per i dispositivi che operano come punti di distribuzione. Pertanto, si consiglia di selezionare i dispositivi che soddisfano i requisiti per i punti di distribuzione. Se si utilizzano punti di distribuzione, è necessario assicurarsi che siano presenti in ciascuna delle subnet isolate che ospitano i dispositivi di destinazione.

L'utilizzo dei punti di distribuzione come centri di installazione locali può anche essere utile durante l'installazione nei dispositivi in subnet che comunicano con Administration Server tramite un canale con una capacità limitata, mentre è disponibile un canale con una maggiore capacità tra i dispositivi nella stessa subnet.

Lo spazio libero su disco nella partizione con la cartella %ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit deve superare, di diverse volte, le dimensioni totali dei pacchetti di distribuzione delle applicazioni installate.

Esecuzione di pacchetti indipendenti creati tramite Kaspersky Security Center

I metodi descritti in precedenza per la distribuzione iniziale di Network Agent e delle altre applicazioni non possono essere sempre implementati perché non è possibile soddisfare tutte le condizioni applicabili. In tali casi, è possibile creare un comune file eseguibile denominato pacchetto di installazione indipendente tramite Kaspersky Security Center, utilizzando i pacchetti di installazione con le impostazioni di installazione appropriate che sono stati preparati dall'amministratore. Un pacchetto di installazione indipendente può essere pubblicato in un server Web interno (anche in Kaspersky Security Center) se considerato ragionevole (è stato configurato l'accesso esterno al server Web per gli utenti dei dispositivi di destinazione) o in un server Web distribuito in modo esclusivo incluso in Kaspersky Security Center Web Console. È inoltre possibile copiare i pacchetti indipendenti in un altro server Web.

È possibile utilizzare Kaspersky Security Center per inviare agli utenti selezionati un messaggio e-mail contenente un collegamento al file del pacchetto indipendente nel server Web utilizzato attualmente, richiedendo loro di eseguire il file (in modalità interattiva o con l'opzione "-s" per l'installazione automatica). È possibile allegare il pacchetto di installazione indipendente a un messaggio e-mail e quindi inviarlo agli utenti dei dispositivi che non hanno accesso al server Web. L'amministratore può anche copiare il pacchetto indipendente in un dispositivo esterno, distribuirlo a un dispositivo appropriato e quindi eseguirlo in un secondo momento.

È possibile creare un pacchetto indipendente da un pacchetto di Network Agent, un pacchetto di un'altra applicazione (ad esempio, l'applicazione di protezione) o entrambi. Se il pacchetto indipendente è stato creato da Network Agent e un'altra applicazione, l'installazione inizia da Network Agent.

Durante la creazione di un pacchetto indipendente con Network Agent, è possibile specificare il gruppo di amministrazione nel quale verranno automaticamente spostati i nuovi dispositivi (quelli che non sono stati allocati ad alcun gruppo di amministrazione) al termine dell'installazione di Network Agent.

I pacchetti indipendenti possono essere eseguiti in modalità interattiva (per impostazione predefinita), visualizzando il risultato dell'installazione delle applicazioni che contengono, o possono essere eseguiti in modalità automatica (con l'opzione "-s"). La modalità automatica può essere utilizzata per l'installazione tramite script, ad esempio script configurati per l'esecuzione dopo la distribuzione dell'immagine di un sistema operativo. Il risultato dell'installazione in modalità automatica è determinato dal codice restituito del processo.

Opzioni per l'installazione manuale delle applicazioni

Gli amministratori o gli utenti esperti possono installare manualmente le applicazioni in modalità interattiva. Possono utilizzare i pacchetti di distribuzione originali o pacchetti di installazione generati da questi ultimi e archiviati nella cartella condivisa di Kaspersky Security Center. Per impostazione predefinita, i programmi di installazione vengono eseguiti in modalità interattiva e richiedono agli utenti tutti i valori richiesti. Tuttavia, eseguendo il processo setup.exe dalla radice di un pacchetto di installazione con l'opzione "-s", il programma di installazione verrà eseguito in modalità automatica e con le impostazioni che sono state definite durante la configurazione del pacchetto di installazione.

Quando si esegue setup.exe dalla radice di un pacchetto di installazione, il pacchetto sarà prima copiato in una cartella locale temporanea e quindi sarà eseguito il programma di installazione dell'applicazione dalla cartella locale.

Creazione di un file MST

Per trasformare il contenuto di un pacchetto MSI e applicare le impostazioni personalizzate a un file MSI esistente, è necessario creare un file di trasformazione in formato MST. A tale scopo, utilizzare l'editor Orca.exe, incluso in Windows SDK.

Per creare un file MST:

1. Eseguire l'editor Orca.exe.
2. Passare alla scheda File e nel menu fare clic su Apri.
3. Selezionare il file Kaspersky Network Agent.msi.
4. Passare alla scheda Trasformazione e nel menu selezionare Nuova trasformazione.
5. Nella colonna Tabelle selezionare Proprietà e scrivere i seguenti valori:
   • EULA=1
   • SERVERADDRESS=<Indirizzo di Administration Server>

   Fare clic sul pulsante Salva.

6. Passare alla scheda Trasforma e nel menu selezionare Genera trasformazione.
7. Nella finestra visualizzata, specificare un nome per il file di trasformazione creato, quindi fare clic sul pulsante Salva.

Il file MST viene salvato.

Installazione remota delle applicazioni nei dispositivi in cui è installato Network Agent

Se un Network Agent connesso all'Administration Server primario (o a uno dei relativi Server secondari) è installato in un dispositivo, è possibile eseguire l'upgrade di Network Agent in tale dispositivo, nonché installare, aggiornare o rimuovere qualsiasi applicazione supportata tramite Network Agent.

È possibile abilitare questa opzione se si seleziona la casella di controllo Utilizzo di Network Agent nelle proprietà dell'attività di installazione remota.

Se questa casella di controllo è selezionata, i pacchetti di installazione con le impostazioni di installazione definite dall'amministratore saranno trasferiti ai dispositivi di destinazione tramite i canali di comunicazione tra Network Agent e l'Administration Server.

Per ottimizzare il carico su Administration Server e ridurre al minimo il traffico tra Administration Server e i dispositivi, è consigliabile assegnare punti di distribuzione in ogni rete remota o in ogni dominio di trasmissione (vedere le sezioni Informazioni sui punti di distribuzione e Creazione di una struttura di gruppi di amministrazione e assegnazione dei punti di distribuzione. In questo caso, i pacchetti di installazione e le impostazioni del programma di installazione sono distribuiti dall'Administration Server ai dispositivi di destinazione tramite i punti di distribuzione.

È inoltre possibile utilizzare i punti di distribuzione per l'invio (multicast) dei pacchetti di installazione, che consente di ridurre considerevolmente il traffico di rete durante la distribuzione delle applicazioni.

Durante il trasferimento dei pacchetti di installazione ai dispositivi di destinazione tramite i canali di comunicazione tra i Network Agent e l'Administration Server, tutti i pacchetti di installazione che sono stati preparati per il trasferimento saranno anche memorizzati nella cache nella cartella %ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit\1093\.working\FTServer. Quando si utilizzano diversi pacchetti di installazione di grandi dimensioni, di vari tipi e che coinvolgono numerosi punti di distribuzione, le dimensioni di questa cartella possono aumentare notevolmente.

I file non possono essere eliminati manualmente della cartella FTServer. Quando i pacchetti di installazione originali vengono eliminati, i dati corrispondenti sono eliminati automaticamente della cartella FTServer.

Tutti i dati ricevuti da parte dei punti di distribuzione sono salvati nella cartella %ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit\1103\$FTClTmp.

I file non possono essere eliminati manualmente della cartella $FTClTmp. Al termine delle attività che utilizzano i dati in questa cartella, i contenuti della cartella saranno eliminati automaticamente.

Poiché i pacchetti di installazione sono distribuiti tramite i canali di comunicazione tra Administration Server e i Network Agent da un archivio intermedio in un formato ottimizzato per i trasferimenti in rete, non sono consentite modifiche ai pacchetti di installazione archiviati nella cartella originale di ogni pacchetto di installazione. Tali modifiche non saranno registrate automaticamente da Administration Server. Se è necessario modificare manualmente i file dei pacchetti di installazione (sebbene sia consigliabile evitare questo scenario), è necessario modificare qualsiasi impostazione di un pacchetto di installazione in Administration Console. La modifica delle impostazioni di un pacchetto di installazione in Administration Console fa sì che Administration Server aggiorni l'immagine del pacchetto nella cache che è stato preparato per il trasferimento nei dispositivi di destinazione.

Gestione dei riavvii dei dispositivi nell'attività di installazione remota

I dispositivi spesso richiedono un riavvio per completare l'installazione remota delle applicazioni (in particolare in Windows).

Se si utilizza l'attività Installazione remota di Kaspersky Security Center, nella Creazione guidata nuova attività o nella finestra delle proprietà dell'attività che è stata creata (sezione Riavvio del sistema operativo), è possibile selezionare l'azione da eseguire quando il dispositivo Windows richiede un riavvio:

• Non riavviare il dispositivo. In questo caso, non sarà eseguito alcun riavvio automatico. Per completare l'installazione, è necessario riavviare il dispositivo (ad esempio, manualmente o tramite l'attività di gestione del dispositivo). Le informazioni sul riavvio richiesto saranno salvate nei risultati dell'attività e nello stato del dispositivo. Questa opzione è adatta per le attività di installazione nei server e negli altri dispositivi per cui il funzionamento continuo è di importanza critica.
• Riavvia il dispositivo. In questo caso, il dispositivo viene sempre riavviato automaticamente quando è richiesto un riavvio per il completamento dell'installazione. Questa opzione è utile per le attività di installazione nei dispositivi per cui sono previste pause periodiche durante la relativa esecuzione (chiusura o riavvio).
• Richiedi l'intervento dell'utente. In questo caso, sarà visualizzata una notifica del riavvio sullo schermo del dispositivo client e verrà richiesto all'utente di riavviare il dispositivo manualmente. Per questa opzione è possibile definire alcune impostazioni avanzate: il testo del messaggio per l'utente, la frequenza di visualizzazione del messaggio e l'intervallo di tempo al termine del quale sarà forzato il riavvio (senza la conferma dell'utente). L'opzione Richiedi l'intervento dell'utente è la più adatta per le workstation, in cui gli utenti devono avere la possibilità di selezionare l'orario che preferiscono per un riavvio del sistema.

Aggiornamento dei database in un pacchetto di installazione di un'applicazione anti-virus

Prima di avviare la distribuzione della protezione, è necessario tenere presente che è possibile aggiornare i database anti-virus (inclusi i moduli delle patch automatiche) forniti con il pacchetto di distribuzione dell'applicazione di protezione. È consigliabile aggiornare i database nel pacchetto di installazione dell'applicazione prima di avviare la distribuzione (ad esempio, utilizzando il comando corrispondente nel menu di scelta rapida di un pacchetto di installazione selezionato). In tal modo, è possibile ridurre il numero di riavvii richiesti per il completamento della distribuzione della protezione nei dispositivi di destinazione. Se l'installazione remota interessa pacchetti di installazione che sono stati trasmessi a server virtuali dall'Administration Server primario, è sufficiente aggiornare i database nel pacchetto originale nel server primario. In questo caso, non è necessario aggiornare i database nei pacchetti trasmessi nei Server virtuali.

Rimozione di applicazioni di protezione di terzi non compatibili

L'Installazione delle applicazioni di protezione Kaspersky tramite Kaspersky Security Center può richiedere la rimozione di software di terze parti incompatibile con l'applicazione da installare. Esistono due modi principali per rimuovere le applicazioni di terze parti.

Eliminazione automatica delle applicazioni non compatibili tramite il programma di installazione

Quando si esegue il programma di installazione, viene visualizzato un elenco di applicazioni non compatibili con un'applicazione Kaspersky:

L'elenco delle applicazioni non compatibili visualizzato nell'Installazione guidata remota

Kaspersky Security Center rileva il software non compatibile. Di conseguenza, è possibile selezionare la casella di controllo Disinstalla automaticamente le applicazioni incompatibili per continuare l'installazione. Se si deseleziona questa casella di controllo e non si disinstalla il software non compatibile, si verifica l'errore e l'applicazione Kaspersky non viene installata.

La rimozione automatica delle applicazioni non compatibili è supportata da vari tipi di installazione.

Rimozione delle applicazioni incompatibili tramite un'attività dedicata

Per rimuovere le applicazioni incompatibili, utilizzare l'attività Disinstalla l'applicazione in remoto. Questa attività deve essere eseguita nei dispositivi prima dell'attività di installazione dell'applicazione di protezione. Ad esempio, nell'attività di installazione è possibile selezionare il tipo di pianificazione Al completamento di un'altra attività, dove l'altra attività è Disinstalla l'applicazione in remoto.

Questo metodo di disinstallazione è consigliabile quando il programma di installazione dell'applicazione di protezione non è in grado di rimuovere correttamente un'applicazione incompatibile.

Rimozione di Network Agent protetto da password utilizzando il prompt dei comandi

Per disinstallare da remoto il Network Agent per il quale è stata impostata una password di disinstallazione, è possibile utilizzare il prompt dei comandi.

Se si perde o si dimentica la password di Network Agent protetto da password installato nel dispositivo che non è più sotto la gestione di Kaspersky Security Center, non è possibile rimuovere Network Agent utilizzando l'utilità klmover, lo strumento Cleaner (cleaner.exe) o il prompt dei comandi. In questo caso, è necessario reinstallare il sistema operativo nel dispositivo in cui è installato Network Agent protetto da password.

Per disinstallare Network Agent tramite il prompt dei comandi:

1. Convertire la password di disinstallazione in un codice esadecimale.

   Utilizzare una risorsa Internet, un ambiente di programmazione, un editor di testo o un altro strumento adatto per convertire la password in codice esadecimale.

   Assicurarsi che il delimitatore di output utilizzato per separare il codice esadecimale generato in parti sia impostato su 00. Ad esempio, il codice esadecimale 51 77 65 72 74 79 non è corretto e il codice esadecimale 510077006500720074007900 è corretto.

2. Immettere il seguente comando nel prompt dei comandi, quindi premere INVIO:

   msiexec.exe /x{<codice del prodotto>} /qn KLUNINSTPASSWD=<codice esadecimale della password di disinstallazione>

   È possibile trovare il codice del prodotto del Network Agent nella tabella seguente.

   Codici dei prodotti Network Agent

   Localizzazione	Codice del prodotto
   Arabo	{FA7BF140-F356-404A-BDA3-3EF0878D7C63}
   Bulgaro	{4DBF6741-FA51-4C14-AFD2-B7D9246995F6}
   Ceco	{478A6A0B-D177-4402-B703-808C05C56B13}
   Inglese	{BCF4CF24-88AB-45E1-A6E6-40C8278A70C5}
   Francese	{2924BEDA-E0D7-4DAF-A224-50D2E0B12F5B}
   Tedesco	{2F383CB3-6D7C-449D-9874-164E49E1E0F5}
   Ungherese	{8899A4D4-D678-49F8-AD96-0B784F58D355}
   Italiano	{DC3A3164-36B3-4FB4-B7BF-16A41C35A728}
   Giapponese	{790C176F-7780-4C84-8B9C-455F5C0E61C5}
   Coreano	{70812A40-973B-4DA1-96B9-C2011280CD99}
   Polacco	{1A7B331A-ABBE-4230-995E-BCD99C5A18CF}
   Portoghese	{0F05E4E5-5A89-482C-9A62-47CC58643788}
   Rumeno	{FF802D76-E241-41D3-AAB4-DC7FBD659446}
   Russo	{ED1C2D7E-5C7A-48D8-A697-57D1C080ABA7}
   Cinese semplificato	{FBD7C01E-49CB-4182-8714-9DB1EAE255CB}
   Spagnolo	{F03982CF-1C5C-4E12-9F9E-D36C35E62402}
   Spagnolo (Messico)	{29748B5F-D88A-4933-B614-1CCCD6EFB0B7}
   Cinese tradizionale	{F6AD731A-36B4-4739-B1D4-70D6EDA35147}
   Turco	{2475A66D-698B-4050-93FF-9B48EE82E2BA}

Utilizzo di strumenti per l'installazione remota di applicazioni in Kaspersky Security Center per l'esecuzione di file eseguibili nei dispositivi gestiti

Utilizzando la Creazione guidata nuovo pacchetto, è possibile selezionare qualsiasi file eseguibile e definire le impostazioni della riga di comando per tale file. È possibile aggiungere al pacchetto di installazione il file selezionato o l'intera cartella che lo contiene. È quindi necessario creare l'attività di installazione remota e selezionare il pacchetto di installazione che è stato creato.

Durante l'esecuzione dell'attività, il file eseguibile specificato con le impostazioni definite del prompt dei comandi verrà eseguito nei dispositivi di destinazione.

Se si utilizzano programmi di installazione in formato Microsoft Windows Installer (MSI), Kaspersky Security Center analizza i risultati dell'installazione per mezzo di strumenti standard.

Se è disponibile una licenza per Vulnerability e patch management, Kaspersky Security Center (durante la creazione di un pacchetto di installazione per qualsiasi applicazione supportata nell'ambiente aziendale) utilizza anche regole per l'installazione e l'analisi dei risultati dell'installazione presenti nel proprio database aggiornabile.

In caso contrario, l'attività predefinita per i file eseguibili attende il completamento del processo in esecuzione e di tutti i relativi processi secondari. Dopo completamento di tutti i processi in esecuzione, l'attività verrà completata correttamente, indipendentemente dal codice restituito del processo iniziale. Per modificare il comportamento di questa attività, prima di creare l'attività, è necessario modificare manualmente i file .kpd che sono stati generati da Kaspersky Security Center nella cartella del pacchetto di installazione appena creato e nelle relative sottocartelle.

I file .kpd utilizzano la codifica ASCII. I file .kud utilizzano la codifica Unicode.

Per fare in modo che l'attività non attenda il completamento del processo in esecuzione, impostare il valore dell'impostazione Wait su 0 nella sezione [SetupProcessResult]:

Per fare in modo che l'attività attenda solo il completamento del processo in esecuzione in Windows, e non quello di tutti i processi secondari, impostare il valore dell'impostazione WaitJob su 0 nella sezione [SetupProcessResult], ad esempio:

Affinché l'attività venga completata correttamente o restituisca un errore a seconda del codice di ritorno del processo in esecuzione, creare un file .bat eseguibile che salvi il codice di errore in un file, ad esempio:

Quindi modificare i file .kud generati da Kaspersky Security Center nella cartella del pacchetto di installazione appena creato:

In questo caso, qualsiasi codice diverso da quelli elencati determinerà la restituzione di un errore.

Per visualizzare nei risultati dell'attività una stringa con un commento relativo al completamento dell'attività o un errore, immettere brevi descrizioni degli errori che corrispondono ai codici restituiti del processo nelle sezioni [SetupProcessResult_SuccessCodes] e [SetupProcessResult_ErrorCodes], ad esempio:

Per utilizzare gli strumenti di Kaspersky Security Center per gestire il riavvio del dispositivo (se è necessario un riavvio per completare un'operazione), elencare i codici restituiti del processo che indicano che deve essere eseguito un riavvio nella sezione [SetupProcessResult_NeedReboot]:

Monitoraggio della distribuzione

Per monitorare la distribuzione di Kaspersky Security Center e verificare che un'applicazione di protezione e Network Agent siano installati nei dispositivi gestiti, è necessario controllare l'indicatore a semaforo nella sezione Distribuzione. Questo indicatore a semaforo è disponibile nell'area di lavoro del nodo Administration Server nella finestra principale di Administration Console. L'indicatore a semaforo riflette lo stato corrente della distribuzione. Il numero di dispositivi con Network Agent e applicazioni di protezione installate è visualizzato accanto all'indicatore. Quando qualsiasi attività di installazione è in esecuzione, qui è possibile monitorarne lo stato di avanzamento. Se si verificano errori, il numero di errori viene visualizzato qui. È possibile visualizzare i dettagli di qualsiasi errore facendo clic sul collegamento.

È anche possibile utilizzare lo schema della distribuzione nell'area di lavoro della cartella Dispositivi gestiti nella scheda Gruppi. Il grafico riflette il processo di distribuzione, visualizzando il numero di dispositivi senza Network Agent, con Network Agent o con Network Agent e un'applicazione di protezione.

Per ulteriori informazioni sullo stato di avanzamento della distribuzione (o sull'esecuzione di una specifica attività di installazione), aprire la finestra dei risultati dell'attività di installazione remota appropriata: fare clic con il pulsante destro del mouse sull'attività, quindi selezionare Risultati nel menu di scelta rapida. La finestra visualizza due elenchi: quello superiore contiene gli stati dell'attività nei dispositivi, mentre quello inferiore contiene gli eventi dell'attività sul dispositivo attualmente selezionato nell'elenco superiore.

Le informazioni sugli errori di distribuzione vengono aggiunte al registro eventi Kaspersky su Administration Server. Le informazioni sugli errori sono disponibili anche nella selezione eventi corrispondente nella cartella Rapporti e notifiche, sottocartella Eventi.

Configurazione dei programmi di installazione

Questa sezione fornisce informazioni sui file dei programmi di installazione di Kaspersky Security Center e sulle impostazioni di installazione, oltre a raccomandazioni su come installare Administration Server e Network Agent in modalità automatica.

Informazioni generali

I programmi di installazione di Kaspersky Security Center 14.2 (Administration Server, Network Agent e Administration Console) sono basati sulla tecnologia Windows Installer. L'elemento fondamentale di un programma di installazione è un pacchetto MSI. Questo formato dei pacchetti consente di sfruttare tutti i vantaggi offerti da Windows Installer: la scalabilità, la disponibilità di un sistema di applicazione delle patch, il sistema di trasformazione, l'installazione centralizzata tramite soluzioni di terze parti e la registrazione trasparente con il sistema operativo.

Installazione in modalità automatica (con un file di risposta)

I programmi di installazione di Administration Server e Network Agent supportano l'utilizzo di un file di risposta (ss_install.xml), in cui sono integrate le parametri per l'installazione in modalità automatica senza la partecipazione dell'utente. Il file ss_install.xml è disponibile nella stessa cartella del pacchetto MSI e viene utilizzato automaticamente durante l'installazione in modalità automatica. È possibile abilitare la modalità di installazione automatica con il tasto della riga di comando "/s".

Un esempio di esecuzione del comando è il seguente:

Prima di avviare il programma di installazione in modalità automatica, leggere il Contratto di licenza con l'utente finale (EULA). Se il kit di distribuzione di Kaspersky Security Center non include un file TXT con il testo dell'EULA, è possibile scaricare il file dal sito Web di Kaspersky.

Il file ss_install.xml è un'istanza del formato interno dei parametri del programma di installazione di Kaspersky Security Center. I pacchetti di distribuzione contengono il file ss_install.xml con i parametri predefiniti.

Non modificare il file ss_install.xml manualmente. Questo file può essere modificato mediante gli strumenti di Kaspersky Security Center durante la modifica dei parametri dei pacchetti di installazione in Administration Console.

Per modificare il file di risposta per l'installazione di Administration Server:

1. Aprire il pacchetto di distribuzione di Kaspersky Security Center. Se si utilizza un file EXE del pacchetto completo, decomprimerlo.
2. Nella cartella Server, aprire la riga di comando e quindi eseguire il seguente comando:

   setup.exe /r ss_install.xml

   Viene avviato il programma di installazione di Kaspersky Security Center.

3. Seguire i passaggi della procedura guidata per configurare l'installazione di Kaspersky Security Center.

Una volta completata la procedura guidata, il file di risposta viene modificato automaticamente in base alle nuove impostazioni specificate.

Installazione di Network Agent in modalità automatica (senza un file di risposta)

È possibile installare Network Agent con un singolo pacchetto .msi, specificando i valori delle proprietà MSI nella modalità standard. Questo scenario consente l'installazione di Network Agent tramite i criteri di gruppo.

Non rinominare il pacchetto di installazione Kaspersky Network Agent.msi. La ridenominazione del pacchetto potrebbe causare errori di installazione durante gli aggiornamenti futuri di Network Agent.

Per evitare conflitti tra i parametri definiti attraverso le proprietà MSI e i parametri definiti nel file di risposta, è possibile disabilitare il file di risposta impostando la proprietà DONT_USE_ANSWER_FILE=1. Il file MSI è disponibile nel pacchetto di distribuzione di Kaspersky Security Center, nella cartella Packages\NetAgent\exec. Un esempio di esecuzione del programma di installazione di Network Agent con un pacchetto .msi è il seguente.

L'installazione di Network Agent in modalità automatica richiede l'accettazione delle condizioni del Contratto di licenza con l'utente finale. Utilizzare il parametro EULA=1 solo se l'utente ha letto, compreso e accettato i termini del Contratto di licenza con l'utente finale.

È anche possibile definire i parametri di installazione per un pacchetto msi preparando in anticipo il file di risposta (con estensione mst). Questo comando si presenta come segue:

È possibile specificare diversi file di risposta in un singolo comando.

Configurazione parziale dell'installazione tramite setup.exe

Durante l'esecuzione dell'installazione delle applicazioni tramite setup.exe, è possibile aggiungere i valori di qualsiasi proprietà MSI al pacchetto MSI.

Questo comando si presenta come segue:

Parametri di installazione di Administration Server

Nella tabella seguente sono descritte le proprietà MSI che è possibile configurare durante l'installazione di Administration Server. Tutti i parametri sono facoltativi, ad eccezione di EULA e PRIVACYPOLICY.

Parametri dell'installazione di Administration Server in modalità automatica

Parametri di installazione di Network Agent

Nella tabella seguente sono descritte le proprietà MSI che è possibile configurare durante l'installazione di Network Agent. Tutti i parametri sono facoltativi, ad eccezione di EULA e SERVERADDRESS.

Parametri dell'installazione di Network Agent in modalità automatica

Infrastruttura virtuale

Kaspersky Security Center supporta l'utilizzo di macchine virtuali. È possibile installare Network Agent e l'applicazione di protezione in ogni macchina virtuale, nonché proteggere le macchine virtuali a livello di hypervisor. Nel primo caso è possibile utilizzare un'applicazione di protezione standard o Kaspersky Security for Virtualization Light Agent per proteggere le macchine virtuali. Nel secondo caso è possibile utilizzare Kaspersky Security for Virtualization Agentless.

Kaspersky Security Center supporta i rollback delle macchine virtuali allo stato precedente.

Suggerimenti per la riduzione del carico sulle macchine virtuali

Durante l'installazione di Network Agent in una macchina virtuale, è consigliabile valutare se disabilitare alcune funzionalità di Kaspersky Security Center che risultano di scarsa utilità per le macchine virtuali.

Quando si installa Network Agent in una macchina virtuale o in un modello utilizzato per la generazione di macchine virtuali, è consigliabile eseguire le seguenti azioni:

• Se si esegue un'installazione remota, nella finestra delle proprietà del pacchetto di installazione di Network Agent, nella sezione Avanzate selezionare l'opzione Ottimizza le impostazioni per VDI.
• Se si esegue un'installazione interattiva tramite una procedura guidata, nella finestra della procedura guidata selezionare l'opzione Ottimizza le impostazioni di Network Agent per l'infrastruttura virtuale.

La selezione di queste opzioni modifica le impostazioni di Network Agent in modo da mantenere disabilitate le seguenti funzionalità per impostazione predefinita (prima dell'applicazione di un criterio):

• Recupero delle informazioni sul software installato
• Recupero delle informazioni sull'hardware
• Recupero delle informazioni sulle vulnerabilità rilevate
• Recupero delle informazioni sugli aggiornamenti richiesti

In genere, queste funzionalità non sono necessarie nelle macchine virtuali perché utilizzano software uniforme e hardware virtuale.

La disabilitazione delle funzionalità è reversibile. Se è richiesta una delle funzionalità disabilitate, è possibile abilitarla tramite il criterio di Network Agent o mediante le impostazioni locali di Network Agent. Le impostazioni locali di Network Agent sono disponibili tramite il menu di scelta rapida del dispositivo appropriato in Administration Console.

Supporto delle macchine virtuali dinamiche

Kaspersky Security Center supporta le macchine virtuali dinamiche. Se nella rete dell'organizzazione è stata distribuita un'infrastruttura virtuale, in alcuni casi è possibile utilizzare macchine virtuali (temporanee) dinamiche. Le macchine virtuali dinamiche vengono create con nomi univoci in base a un modello che è stato preparato dall'amministratore. L'utente lavora su una macchina virtuale per un certo periodo e, dopo lo spegnimento, questa macchina virtuale sarà rimossa dall'infrastruttura virtuale. Se Kaspersky Security Center è stato distribuito nella rete dell'organizzazione, una macchina virtuale con Network Agent installato verrà aggiunta al database di Administration Server. Dopo lo spegnimento di una macchina virtuale, anche la voce corrispondente deve essere rimossa dal database di Administration Server.

Per rendere disponibile la funzionalità di rimozione automatica delle voci nelle macchine virtuali, durante l'installazione di Network Agent in un modello per le macchine virtuali dinamiche, selezionare l'opzione Abilita modalità dinamica per VDI:

• Per l'installazione remota - Nella finestra delle proprietà del pacchetto di installazione di Network Agent (sezione Avanzate)
• Per l'installazione interattiva - Nell'Installazione guidata di Network Agent

Evitare di selezionare l'opzione Abilita modalità dinamica per VDI durante l'installazione di Network Agent nei dispositivi fisici.

Se si desidera archiviare gli eventi generati dalle macchine virtuali dinamiche in Administration Server per un certo periodo dopo la rimozione delle macchine virtuali, nella finestra delle proprietà di Administration Server, nella sezione Archivio eventi, selezionare l'opzione Archivia eventi dopo l'eliminazione dei dispositivi e specificare il periodo di archiviazione massimo degli eventi (in giorni).

Supporto della copia delle macchine virtuali

La copia di una macchina virtuale con Network Agent installato o la creazione di una macchina virtuale da un modello con Network Agent installato sono identiche alla distribuzione dei Network Agent tramite l'acquisizione e la copia di un'immagine del disco rigido. In generale, durante la copia delle macchine virtuali è necessario eseguire le stesse azioni previste durante la distribuzione di Network Agent tramite la copia un'immagine del disco.

Tuttavia, nei due casi descritti di seguito viene illustrato Network Agent, che rileva automaticamente la copia. Per i motivi indicati in precedenza, non è necessario eseguire le operazioni sofisticate descritte in "Distribuzione tramite l'acquisizione e la copia dell'immagine del disco rigido di un dispositivo":

• L'opzione Abilita modalità dinamica per VDI era selezionata durante l'installazione di Network Agent: dopo ogni riavvio del sistema operativo, questa macchina virtuale sarà riconosciuta come un nuovo dispositivo, indipendentemente dal fatto che sia stata copiata.
• È in uso uno dei seguenti hypervisor: VMware, HyperV o Xen: Network Agent rileva la copia della macchina virtuale in base agli ID modificati dell'hardware virtuale.

L'analisi delle modifiche nell'hardware virtuale non è assolutamente affidabile. Prima di applicare questo metodo su larga scala, è necessario testarlo su un piccolo gruppo di macchine virtuali per la versione dell'hypervisor attualmente in uso nell'organizzazione.

Supporto del rollback del file system per i dispositivi con Network Agent

Kaspersky Security Center è un'applicazione distribuita. Il rollback del file system uno stato precedente in un dispositivo con Network Agent installato determinerà la mancata sincronizzazione dei dati e impedirà il corretto funzionamento di Kaspersky Security Center.

È possibile eseguire il rollback del file system (o di una sua parte) nei seguenti casi:

• Durante la copia di un'immagine del disco rigido.
• Durante il ripristino di uno stato della macchina virtuale tramite l'infrastruttura virtuale.
• Durante il ripristino dei dati da una copia di backup o da un punto di ripristino.

Gli scenari in cui software di terze parti nei dispositivi con Network Agent installato influisce sulla cartella %ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit\ sono solo scenari critici per Kaspersky Security Center. Pertanto, è necessario escludere sempre questa cartella dalla procedura di ripristino, se possibile.

Dal momento che le regole per l'ambiente di lavoro di alcune organizzazioni consentono i rollback del file system nei dispositivi, il supporto per il rollback del file system nei dispositivi con Network Agent installato è stato aggiunto a Kaspersky Security Center a partire dalla versione 10 Maintenance Release 1 (Administration Server e i Network Agent devono essere della versione 10 Maintenance Release 1 o successiva). Quando sono rilevati, tali dispositivi vengono riconnessi automaticamente all'Administration Server con una cancellazione completa dei dati e una sincronizzazione completa.

Per impostazione predefinita, il supporto per il rilevamento del rollback del file system è abilitato in Kaspersky Security Center 14.2.

Per quanto possibile, evitare di eseguire il rollback della cartella %ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit\ nei dispositivi con Network Agent installato, perché la risincronizzazione completa dei dati richiede una notevole quantità di risorse.

Non è assolutamente consentito un rollback dello stato del sistema in un dispositivo con Administration Server installato, né un rollback del database utilizzato da Administration Server.

È possibile ripristinare uno stato di Administration Server da una copia di backup solo con l'utilità klbackup standard.

Informazioni sui profili di connessione per gli utenti fuori sede

Gli utenti fuori sede con computer portatili (di seguito denominati anche "dispositivi") possono aver bisogno di modificare il metodo di connessione a un Administration Server o passare da un Administration Server all'altro a seconda della posizione corrente del dispositivo nella rete aziendale.

I profili di connessione sono supportati solo per i dispositivi che eseguono Windows e macOS.

Utilizzo di differenti indirizzi di un singolo Administration Server

I dispositivi con Network Agent installato possono connettersi all'Administration Server dalla rete Intranet dell'organizzazione o da Internet. Questa situazione può richiedere l'utilizzo da parte di Network Agent di differenti indirizzi per la connessione ad Administration Server: l'indirizzo esterno dell'Administration Server per la connessione Internet e l'indirizzo interno dell'Administration Server per la connessione dalla rete interna.

A tale scopo, è necessario aggiungere un profilo (per la connessione ad Administration Server da Internet) al criterio di Network Agent. Aggiungere il profilo nelle proprietà del criterio (sezione Connettività, sottosezione Profili connessione). Nella finestra di creazione del profilo è necessario disabilitare l'opzione Usa per ricevere solo aggiornamenti e selezionare l'opzione Sincronizza impostazioni di connessione con le impostazioni di Administration Server specificate nel profilo. Se si utilizza un gateway di connessione per accedere ad Administration Server (ad esempio, in una configurazione di Kaspersky Security Center come quella descritta in Accesso a Internet: Network Agent come gateway nella rete perimetrale), è necessario specificare l'indirizzo del gateway di connessione nel campo corrispondente del profilo di connessione.

Passaggio da un Administration Server all'altro a seconda della rete corrente

Se l'organizzazione ha più sedi con diversi Administration Server e alcuni dispositivi con Network Agent installato si spostano tra di esse, è necessario che Network Agent si connetta all'Administration Server della rete locale nella sede in cui si trova attualmente il dispositivo.

In questo caso, è necessario creare un profilo per la connessione ad Administration Server nelle proprietà del criterio di Network Agent per ciascuna delle sedi, tranne che per la sede principale in cui si trova l'Administration Server principale originale. È necessario specificare gli indirizzi di Administration Server nei profili di connessione e abilitare o disabilitare l'opzione Usa per ricevere solo aggiornamenti:

• Selezionare l'opzione se è necessario sincronizzare Network Agent con l'Administration Server principale e utilizzare il server locale solo per scaricare gli aggiornamenti.
• Disabilitare questa opzione se è necessario che Network Agent sia completamente gestito dall'Administration Server locale.

Sarà quindi necessario impostare le condizioni per il passaggio ai nuovi profili creati: almeno una condizione per ciascuna delle sedi, tranne che per la sede principale. Lo scopo di ogni condizione consiste nel rilevamento degli elementi che sono specifici per l'ambiente di rete di una sede. Se una condizione è vera, il profilo corrispondente viene attivato. Se nessuna delle condizioni è vera, Network Agent passa all'Administration Server principale.

Distribuzione della funzionalità Mobile Device Management

Questa sezione fornisce informazioni sulla distribuzione iniziale della funzionalità Mobile Device Management.

Connessione dei dispositivi KES ad Administration Server

A seconda del metodo utilizzato per la connessione dei dispositivi ad Administration Server, sono possibili due schemi di distribuzione per Kaspersky Device Management for iOS per i dispositivi KES:

• Schema di distribuzione con connessione diretta dei dispositivi all'Administration Server
• Schema di distribuzione che coinvolge un proxy inverso che supporta la delega vincolata Kerberos

Connessione diretta dei dispositivi all'Administration Server

I dispositivi KES possono connettersi direttamente alla porta 13292 di Administration Server.

A seconda del metodo utilizzato per l'autenticazione, sono possibili due opzioni per la connessione dei dispositivi KES all'Administration Server:

• Connessione dei dispositivi con un certificato utente
• Connessione dei dispositivi senza un certificato utente

Connessione di un dispositivo con un certificato utente

Durante la connessione di un dispositivo con un certificato utente, il dispositivo viene associato all'account utente a cui è stato assegnato il certificato corrispondente tramite gli strumenti di Administration Server.

In questo caso verrà utilizzata l'autenticazione SSL bidirezionale (autenticazione reciproca). Sia l'Administration Server che il dispositivo verranno autenticati con certificati.

Connessione di un dispositivo senza un certificato utente

Durante la connessione di un dispositivo senza un certificato utente, il dispositivo non viene associato ad alcun account utente in Administration Server. Tuttavia, quando il dispositivo riceve un certificato, il dispositivo verrà associato all'utente a cui è stato assegnato il certificato corrispondente tramite gli strumenti di Administration Server.

Durante la connessione del dispositivo all'Administration Server, sarà applicata l'autenticazione SSL unidirezionale, il che significa che solo l'Administration Server viene autenticato con il certificato. Dopo il recupero del certificato utente da parte del dispositivo, il tipo di autenticazione diventerà autenticazione SSL bidirezionale (autenticazione SSL bidirezionale, autenticazione reciproca).

Schema per la connessione dei dispositivi KES al server tramite Kerberos Constrained Delegation (KCD)

Lo schema per la connessione dei dispositivi KES all'Administration Server tramite Kerberos Constrained Delegation (KCD) offre quanto segue:

• Integrazione con un proxy inverso che supporta KCD.
• Utilizzo di Kerberos Constrained Delegation (di seguito denominato KCD) per l'autenticazione dei dispositivi mobili.
• Integrazione con l'infrastruttura Public Key Infrastructure (di seguito denominata PKI) per l'applicazione dei certificati utente.

Quando si utilizza questo schema di connessione, tenere presente quanto segue:

• Il tipo di connessione dei dispositivi KES al proxy inverso deve essere l'autenticazione SSL bidirezionale: un dispositivo deve connettersi al proxy inverso tramite il relativo certificato utente proprietario. A tale scopo, è necessario integrare il certificato utente nel pacchetto di installazione di Kaspersky Endpoint Security for Android, che è stato installato nel dispositivo. Questo pacchetto KES deve essere creato dall'Administration Server specificamente per questo dispositivo (utente).
• È necessario specificare lo speciale certificato (personalizzato) invece del certificato server predefinito per il protocollo mobile:
  1. Nella finestra delle proprietà di Administration Server, nella sezione Impostazioni, selezionare la casella di controllo Apri porta per i dispositivi mobili e selezionare Aggiungi certificato nell'elenco a discesa.
  2. Nella finestra visualizzata specificare lo stesso certificato che è stato impostato nel proxy inverso al momento della pubblicazione del punto di accesso al protocollo mobile nell'Administration Server.
• I certificati utente per i dispositivi KES devono essere emessi dall'Autorità di certificazione (CA) del dominio. Tenere presente che se il dominio include più Autorità di certificazione radice, i certificati utente devono essere emessi dall'Autorità di certificazione che è stata impostata nella pubblicazione nel proxy inverso.

  È possibile garantire che il certificato utente sia conforme a tale requisito utilizzando uno dei seguenti metodi:

  • Specificare lo certificato utente speciale nella Creazione guidata nuovo pacchetto e nell'Installazione guidata certificato.
  • Integrare l'Administration Server con l'infrastruttura PKI del dominio e definire l'impostazione corrispondente nelle regole per l'emissione dei certificati:
    1. Nella struttura della console espandere la cartella Mobile Device Management, quindi selezionare la sottocartella Certificati.
    2. Nell'area di lavoro della cartella Certificati fare clic sul pulsante Configura regole di emissione certificati per aprire la finestra Regole di emissione certificati.
    3. Nella sezione Integrazione con PKI configurare l'integrazione con l'infrastruttura a chiave pubblica (PKI).
    4. Nella sezione Emissione di certificati mobili specificare l'origine dei certificati.

Di seguito è riportato un esempio di configurazione di Kerberos Constrained Delegation (KCD) con i seguenti presupposti:

• Il punto di accesso al protocollo mobile in Administration Server è impostato sulla porta 13292.
• Il nome del dispositivo con il proxy inverso è firewall.mydom.local.
• Il nome del dispositivo con Administration Server è ksc.mydom.local.
• Il nome della pubblicazione esterna del punto di accesso al protocollo mobile è kes4mob.mydom.global.

Account di dominio per Administration Server

È necessario creare un account di dominio (ad esempio, KSCMobileSrvcUsr) con cui verrà eseguito il servizio Administration Server. È possibile specificare un account per il servizio Administration Server al momento dell'installazione di Administration Server o tramite l'utilità klsrvswch. L'utilità klsrvswch è disponibile nella cartella di installazione di Administration Server. Il percorso di installazione predefinito: <Disco>:\Programmi (x86)\ Kaspersky Lab\ Kaspersky Security Center.

È necessario specificare un account di dominio per i motivi seguenti:

• La funzionalità di gestione dei dispositivi KES è una parte integrante di Administration Server.
• Per garantire il corretto funzionamento di Kerberos Constrained Delegation (KCD), la parte ricevente (ovvero, Administration Server) deve essere in esecuzione con un account di dominio.

Nome dell'entità servizio per http/kes4mob.mydom.local

Nel dominio, con l'account KSCMobileSrvcUsr, aggiungere un SPN per pubblicare il servizio del protocollo mobile sulla porta 13292 del dispositivo con Administration Server. Per il dispositivo kes4mob.mydom.local con Administration Server, si presenta come segue:

setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr

Configurazione delle proprietà di dominio del dispositivo con il proxy inverso (firewall.mydom.local)

Per delegare il traffico, è necessario impostare come attendibile il dispositivo con il proxy inverso (firewall.mydom.local) per il servizio definito dall'SPN (http/kes4mob.mydom.local:13292).

Per impostare come attendibile il dispositivo con il proxy inverso per il servizio definito dall'SPN (http/kes4mob.mydom.local:13292), l'amministratore deve eseguire seguenti le operazioni:

1. Nello snap-in Microsoft Management Console "Utenti e computer di Active Directory" selezionare il dispositivo in cui è installato il proxy inverso (firewall.mydom.local).
2. Nelle proprietà del dispositivo, nella scheda Delega, impostare l'interruttore Computer attendibile per la delega solo ai servizi specificati su Utilizza un qualsiasi protocollo di autenticazione.
3. Nell'elenco Servizi ai quali l'account può presentare credenziali delegate aggiungere l'SPN http/kes4mob.mydom.local:13292.

Speciale certificato (personalizzato) per la pubblicazione (kes4mob.mydom.global)

Per pubblicare il protocollo mobile di Administration Server, è necessario emettere uno speciale certificato (personalizzato) per il nome FQDN kes4mob.mydom.global e specificarlo invece del certificato server predefinito nelle impostazioni del protocollo mobile di Administration Server in Administration Console. A tale scopo, nella finestra delle proprietà di Administration Server, nella sezione Impostazioni, selezionare la casella di controllo Apri porta per i dispositivi mobili e quindi selezionare Aggiungi certificato nell'elenco a discesa.

Il contenitore del certificato server (file con estensione p12 o pfx) deve anche contenere una catena di certificati radice (chiavi pubbliche).

Configurazione della pubblicazione nel proxy inverso

Nel proxy inverso, per il traffico dal dispositivo mobile alla porta 13292 kes4mob.mydom.global, è necessario configurare KCD sull'SPN (http/kes4mob.mydom.local:13292) utilizzando il certificato server emesso per il nome FQDN kes4mob.mydom.global. La pubblicazione e il punto di accesso pubblicato (la porta 13292 di Administration Server) devono condividere lo stesso certificato server.

Utilizzo di Firebase Cloud Messaging

Per garantire l'invio tempestivo dei comandi ai dispositivi KES gestiti dal sistema operativo Android, Kaspersky Security Center usa il meccanismo delle notifiche push. Le notifiche push vengono scambiate tra i dispositivi KES e Administration Server tramite Firebase Cloud Messaging (di seguito FCM). In Kaspersky Security Center Administration Console è possibile specificare le impostazioni di Cloud Firebase Messaging per la connessione dei dispositivi KES al servizio.

Per recuperare le impostazioni di Firebase Cloud Messaging, è necessario disporre di un account Google.

Per abilitare l'utilizzo di FCM:

1. In Administration Console selezionare il nodo Mobile Device Management e la cartella Dispositivi mobili.
2. Dal menu di scelta rapida della cartella Dispositivi mobili selezionare Proprietà.
3. Nelle proprietà della cartella selezionare la sezione Impostazioni di Google Firebase Cloud Messaging.
4. Nel campo ID mittente, specificare l'ID del mittente FCM.
5. Nel campo File della chiave privata (in formato JSON), selezionare il file della chiave privata.

Alla successiva sincronizzazione con Administration Server, i dispositivi KES gestiti da sistemi operativi Android verranno connessi a Firebase Cloud Messaging.

È possibile modificare le impostazioni di Firebase Cloud Messaging facendo clic sul pulsante Ripristina impostazioni.

Quando si passa a un progetto Firebase diverso, è necessario attendere 10 minuti per il ripristino di FCM.

Il servizio FCM viene eseguito nei seguenti intervalli di indirizzi:

• Sul lato del dispositivo KES, è necessario l'accesso alle porte 443 (HTTPS), 5228 (HTTPS), 5229 (HTTPS) e 5230 (HTTPS) dei seguenti indirizzi:
  • google.com
  • fcm.googleapis.com
  • android.apis.google.com
  • Tutti gli indirizzi IP elencati nell'ASN Google numero 15169
• Sul lato dell'Administration Server, è necessario l'accesso alla porta 443 (HTTPS) dei seguenti indirizzi:
  • fcm.googleapis.com
  • Tutti gli indirizzi IP elencati nell'ASN Google numero 15169

Se le impostazioni del server proxy (Avanzate / Configurazione dell'accesso a Internet) sono state specificate nelle proprietà di Administration Server in Administration Console, saranno utilizzate per l'interazione con FCM.

Configurazione di FCM: ottenere l'ID del mittente e il file della chiave privata

Per configurare il FCM:

1. Eseguire la registrazione nel portale Google.
2. Passare alla console Firebase.
3. Eseguire una delle seguenti operazioni:
   • Per creare un nuovo progetto, fare clic su Crea un progetto e seguire le istruzioni sullo schermo.
   • Aprire un progetto esistente.
4. Fare clic sull'icona a forma di ingranaggio e selezionare Impostazioni progetto.

   Verrà visualizzata la finestra Impostazioni progetto.

5. Selezionare la scheda Cloud Messaging.
6. Recuperare l'ID del mittente pertinente dal campo ID mittente nella sezione Firebase Cloud Messaging API (V1).
7. Selezionare la scheda Account di servizio e fare clic su Genera nuova chiave privata.
8. Nella finestra visualizzata, fare clic su Genera chiave per generare e scaricare un file di chiave privata.

Firebase Cloud Messaging è ora configurato.

Integrazione con PKI (Public Key Infrastructure)

L'integrazione con l'infrastruttura Public Key Infrastructure (di seguito denominata PKI) ha principalmente l'obiettivo di semplificare l'emissione dei certificati utente di dominio da parte di Administration Server.

L'amministratore può assegnare un certificato di dominio per un utente in Administration Console. A tale scopo, è possibile utilizzare uno dei seguenti metodi:

• Assegnare all'utente uno speciale certificato (personalizzato) da un file nell'Installazione guidata certificato.
• Eseguire l'integrazione con PKI e assegnare a PKI il ruolo di origine dei certificati per un tipo specifico di certificati o per tutti i tipi di certificati.

Le impostazioni dell'integrazione con PKI sono disponibili nell'area di lavoro della cartella Mobile Device Management / Certificati facendo clic sul collegamento Integra con infrastruttura a chiave pubblica (PKI).

Principio generale di integrazione con PKI per l'emissione dei certificati utente di dominio

In Administration Console fare clic sul collegamento Integra con infrastruttura a chiave pubblica (PKI) nell'area di lavoro della cartella Mobile Device Management / Certificati per specificare un account di dominio che sarà utilizzato da Administration Server per emettere i certificati utente di dominio tramite l'Autorità di certificazione del dominio (di seguito denominato account utilizzato per l'integrazione con PKI).

Tenere presente quanto segue:

• Le impostazioni di integrazione con PKI offrono la possibilità di specificare il modello predefinito per tutti i tipi di certificati. Le regole per l'emissione dei certificati (disponibili nell'area di lavoro della cartella Mobile Device Management / Certificati facendo clic sul pulsante Configura regole di emissione certificati) consentono di specificare un singolo modello per ogni tipo di certificati.
• Un speciale certificato Enrollment Agent (EA) deve essere installato nel dispositivo con Administration Server, nell'archivio di certificati dell'account utilizzato per l'integrazione con PKI. Il certificato Enrollment Agent (EA) viene emesso dall'amministratore dell'Autorità di certificazione del dominio.

L'account utilizzato per l'integrazione con PKI deve soddisfare i seguenti criteri:

• È un utente di dominio.
• È un amministratore locale del dispositivo con Administration Server da cui viene avviata l'integrazione con PKI.
• Ha il diritto di accesso come servizio.
• Il dispositivo in cui è installato Administration Server deve essere in esecuzione almeno una volta con questo account per creare un profilo utente permanente.

Server Web di Kaspersky Security Center

Il Server Web di Kaspersky Security Center (di seguito denominato server Web) è un componente di Kaspersky Security Center. Il server Web è progettato per la pubblicazione di pacchetti di installazione indipendenti, pacchetti di installazione indipendenti per dispositivi mobili e file dalla cartella condivisa.

I pacchetti di installazione creati vengono pubblicati automaticamente sul server Web e vengono rimossi dopo il primo download. L'amministratore può inviare il nuovo collegamento all'utente con qualsiasi sistema (ad esempio, tramite e-mail).

Facendo clic su questo collegamento, l'utente può scaricare le informazioni richieste in un dispositivo mobile.

Impostazioni del server Web

Se è necessario ottimizzare il server Web, le relative proprietà consentono di modificare le porte per HTTP (8060) e HTTPS (8061). Oltre a modificare le porte, è possibile sostituire il certificato server per HTTPS e modificare il nome FQDN del server Web per HTTP.

Altre operazioni di routine

Questa sezione fornisce raccomandazioni sul funzionamento di routine di Kaspersky Security Center.

Monitoraggio dei semafori e degli eventi registrati in Administration Console

Administration Console consente di valutare rapidamente lo stato attuale di Kaspersky Security Center e dei dispositivi gestiti controllando indicatori a semaforo. Gli indicatori a semaforo sono visualizzati nell'area di lavoro del nodo Administration Server, nella scheda Monitoraggio. La scheda fornisce sei riquadri informazioni con indicatori a semaforo ed eventi registrati. L'indicatore a semaforo è una barra verticale colorata a sinistra di un riquadro. Ogni riquadro con un indicatore corrisponde a uno specifico ambito funzionale di Kaspersky Security Center (vedere la tabella seguente).

Ambiti coperti dagli indicatori a semaforo in Administration Console

Ogni indicatore a semaforo può assumere quattro colori (vedere la tabella seguente). Il colore di un indicatore dipende dallo stato attuale di Kaspersky Security Center e dagli eventi che sono stati registrati.

Colori degli indicatori a semaforo

L'obiettivo dell'amministratore è quello di tenere attivi gli indicatori a semaforo in tutti i riquadri informazioni nella scheda Monitoraggio verde.

I riquadri informazioni mostrano anche gli eventi registrati che interessano i semafori e lo stato di Kaspersky Security Center (vedere la tabella seguente).

Nome, descrizione e colori dei semafori degli eventi registrati

Accesso remoto ai dispositivi gestiti

In questa sezione vengono fornite informazioni sull'accesso remoto ai dispositivi gestiti.

Utilizzo dell'opzione "Non eseguire la disconnessione da Administration Server" per garantire connettività continua tra un dispositivo gestito e Administration Server

Se non si utilizzano server push, Kaspersky Security Center non garantisce una connettività continua tra i dispositivi gestiti e Administration Server. I Network Agent nei dispositivi gestiti stabiliscono periodicamente connessioni ed eseguono la sincronizzazione con l'Administration Server. L'intervallo tra queste sessioni di sincronizzazione è definito in un criterio di Network Agent. Se è necessaria una sincronizzazione preventiva, Administration Server (o un punto di distribuzione, se in uso) invia un pacchetto di rete firmato tramite una rete IPv4 o IPv6 alla porta UDP di Network Agent. Il numero di porta predefinito è 15000. Se non è possibile stabilire la connessione tramite UDP tra Administration Server e un dispositivo gestito, la sincronizzazione verrà eseguita alla successiva connessione periodica di Network Agent ad Administration Server entro l'intervallo di sincronizzazione.

Alcune operazioni non possono essere eseguite senza una connessione preventiva tra Network Agent e Administration Server, come l'esecuzione e l'arresto di attività locali, la ricezione di statistiche per un'applicazione gestita o la creazione di un tunnel. Per risolvere il problema, se non si utilizzano server push è possibile utilizzare l'opzione Non eseguire la disconnessione da Administration Server per assicurarsi che vi sia connettività continua tra un dispositivo gestito e Administration Server.

Per garantire connettività continua tra un dispositivo gestito e Administration Server:

1. Nella struttura della console selezionare la cartella Dispositivi gestiti.
2. Nell'area di lavoro della cartella selezionare il dispositivo gestito con cui si desidera garantire connettività continua.
3. Nel menu di scelta rapida del dispositivo selezionare Proprietà.

   Verrà visualizzata la finestra delle proprietà del dispositivo selezionato.

4. Nella sezione Generale della finestra visualizzata selezionare l'opzione Non eseguire la disconnessione da Administration Server.

Viene stabilita la connettività continua tra il dispositivo gestito e Administration Server.

Il numero massimo di dispositivi con l'opzione Non eseguire la disconnessione da Administration Server selezionata è 300.

Informazioni sul controllo del tempo di connessione tra un dispositivo e Administration Server

Al momento dell'arresto di un dispositivo, Network Agent invia una notifica all'Administration Server di questo evento. In Administration Console il dispositivo è visualizzato come arrestato. Tuttavia, Network Agent non può notificare ad Administration Server tutti gli eventi di questo tipo. Administration Server, pertanto, analizza periodicamente l'attributo Connesso ad Administration Server (il valore di questo attributo è visualizzato in Administration Console, nella sezione Generale delle proprietà del dispositivo) per ogni dispositivo e lo confronta con l'intervallo di sincronizzazione nelle impostazioni correnti di Network Agent. Se un dispositivo non risponde per più di tre intervalli di sincronizzazione consecutivi, il dispositivo è contrassegnato come arrestato.

Informazioni sulla sincronizzazione forzata

Anche se Kaspersky Security Center sincronizza automaticamente lo stato, le impostazioni, le attività e i criteri per i dispositivi gestiti, in alcuni casi l'amministratore ha l'esigenza di sapere esattamente se la sincronizzazione è stata già eseguita per un determinato dispositivo.

Nel menu di scelta rapida dei dispositivi gestiti in Administration Console, la voce di menu Tutte le attività contiene il comando Forza sincronizzazione. Quando Kaspersky Security Center 14.2 esegue questo comando, Administration Server tenta di connettersi al dispositivo. Se questo tentativo va a buon fine viene eseguita la sincronizzazione forzata. In caso contrario, la sincronizzazione verrà forzata solo dopo la successiva connessione pianificata tra Network Agent e l'Administration Server.

Informazioni sul tunneling

Kaspersky Security Center consente il tunneling delle connessioni TCP da Administration Console tramite l'Administration Server e quindi tramite Network Agent su una porta specificata in un dispositivo gestito. Il tunneling è progettato per la connessione di un'applicazione client su un dispositivo con Administration Console installato a una porta TCP in un dispositivo gestito, se non è possibile la connessione diretta tra Administration Console e il dispositivo di destinazione.

Il tunneling viene ad esempio utilizzato per le connessioni a un desktop remoto, sia per connettersi a una sessione esistente che per creare una nuova sessione remota.

È anche possibile abilitare il tunneling utilizzando strumenti esterni. L'amministratore può ad esempio eseguire l'utilità putty, il client VNC e altri strumenti in questo modo.