Criteri e profili criterio

In Kaspersky Security Center Web Console è possibile creare criteri per le applicazioni Kaspersky. Questa sezione descrive i criteri e i profili criterio e fornisce istruzioni per crearli e modificarli.

Gerarchia di criteri tramite i profili criterio

Questa sezione fornisce informazioni su come applicare i criteri ai dispositivi nei gruppi di amministrazione. Questa sezione fornisce anche informazioni sui profili dei criteri.

Gerarchia dei criteri

In Kaspersky Security Center i criteri vengono utilizzati per definire una singola raccolta di impostazioni per più dispositivi. Ad esempio, l'ambito del criterio dell'applicazione P definito per il gruppo di amministrazione G include i dispositivi gestiti in cui è installata l'applicazione P che sono stati distribuiti nel gruppo G e in tutti i relativi sottogruppi, ad eccezione dei sottogruppi in cui la casella di controllo Eredita da gruppo padre è deselezionata nelle proprietà.

Un criterio differisce da qualsiasi impostazione locale in base alle icone di blocco () accanto alle relative impostazioni. Se un'impostazione (o un gruppo di impostazioni) è bloccata nelle proprietà del criterio, è necessario in primo luogo utilizzare questa impostazione (o gruppo di impostazioni) durante la creazione delle impostazioni da applicare e, in secondo luogo, scrivere le impostazioni o il gruppo di impostazioni nel criterio downstream.

La creazione delle impostazioni da applicare in un dispositivo può essere descritta come segue: i valori di tutte le impostazioni che non sono state bloccate vengono ottenuti dal criterio, quindi sono sovrascritti con i valori delle impostazioni locali. La raccolta risultante viene quindi sovrascritta con i valori delle impostazioni bloccate ottenuti dal criterio.

I criteri della stessa applicazione si influenzano reciprocamente attraverso la gerarchia dei gruppi di amministrazione: le impostazioni bloccate del criterio upstream sovrascrivono le stesse impostazioni del criterio downstream.

Esiste un criterio speciale per gli utenti fuori sede. Questo criterio ha effetto su un dispositivo quando il dispositivo passa in modalità fuori sede. I criteri fuori sede non influiscono sugli altri criteri attraverso la gerarchia dei gruppi di amministrazione.

Profili criterio

L'applicazione dei criteri ai dispositivi solo tramite la gerarchia dei gruppi di amministrazione in molte circostanze può essere poco pratica. Può essere necessario creare più istanze di un singolo criterio con una o due impostazioni differenti per gruppi di amministrazione diversi e sincronizzare i contenuti di questi criteri in futuro.

Per contribuire a evitare tali problemi, Kaspersky Security Center supporta profili di criteri. Un profilo criterio è un sottoinsieme denominato di impostazioni dei criteri. Questo sottoinsieme viene distribuito nei dispositivi di destinazione insieme al criterio, integrandolo in una condizione specifica definita condizione di attivazione del profilo. I profili contengono solo le impostazioni diverse dal criterio "di base" che è attivo sul dispositivo client (computer o dispositivo mobile). L'attivazione di un profilo determina la modifica delle impostazioni del criterio attivo nel dispositivo prima dell'attivazione del profilo. Tali impostazioni assumono i valori specificati nel profilo.

Attualmente ai profili criterio si applicano le seguenti limitazioni:

• Un criterio può includere al massimo 100 profili.
• Un profilo criterio non può contenere altri profili.
• Un profilo criterio non può contenere impostazioni di notifica.

Contenuto di un profilo

Un profilo criterio contiene i seguenti elementi:

• Nome. I profili con nomi identici si influenzano reciprocamente attraverso la gerarchia dei gruppi di amministrazione con regole comuni.
• Sottoinsieme di impostazioni dei criteri. A differenza del criterio, che contiene tutte le impostazioni, un profilo contiene solo le impostazioni che sono effettivamente richieste (le impostazioni bloccate).
• Condizione di attivazione è un'espressione logica con le proprietà del dispositivo. Un profilo è attivo (integra il criterio) solo quando la condizione di attivazione del profilo diventa vera. In tutti gli altri casi, il profilo è inattivo e viene ignorato. Le seguenti proprietà del dispositivo possono essere incluse nell'espressione logica:
  • Stato della modalità fuori sede.
  • Proprietà dell'ambiente di rete - Nome della regola attiva per la connessione di Network Agent.
  • Presenza o assenza dei tag specificati nel dispositivo.
  • Posizione del dispositivo in un'unità di Active Directory: esplicita (il dispositivo è direttamente nell'unità organizzativa specificata) o implicita (il dispositivo è in un'unità organizzativa che è contenuta nell'unità organizzativa specificata a qualsiasi livello di annidamento).
  • Appartenenza del dispositivo a un gruppo di protezione di Active Directory (esplicita o implicita).
  • Appartenenza del proprietario del dispositivo a un gruppo di protezione di Active Directory (esplicita o implicita).
• Casella di controllo per la disabilitazione del profilo. I profili disabilitati vengono sempre ignorati e le relative condizioni di attivazione non sono verificate.
• Priorità del profilo. Le condizioni di attivazione di differenti profili sono indipendenti, quindi è possibile attivare contemporaneamente più profili. Se i profili attivi contengono raccolte di impostazioni che non si sovrappongono, non si verifica alcun problema. Se invece due profili attivi contengono valori diversi della stessa impostazione, si verifica un'ambiguità. Questa ambiguità deve essere evitata tramite le priorità dei profili: il valore della variabile ambigua viene ottenuto dal profilo che ha la priorità più alta (quello al livello superiore nell'elenco dei profili).

Comportamento dei profili quando i criteri si influenzano reciprocamente attraverso la gerarchia

I profili con lo stesso nome vengono uniti in base alle regole di unione dei criteri. I profili di un criterio upstream hanno una priorità più alta rispetto ai profili di un criterio downstream. Se la modifica delle impostazioni non è consentita nel criterio upstream (è bloccata), il criterio downstream utilizza le condizioni di attivazione del profilo di quello upstream. Se la modifica delle impostazioni è consentita nel criterio upstream, vengono utilizzate le condizioni di attivazione del profilo del criterio downstream.

Poiché un profilo criterio può contenere la proprietà Il dispositivo è offline nella relativa condizione di attivazione, i profili sostituiscono completamente la funzionalità dei criteri per gli utenti fuori sede, che non saranno non più supportati.

Un criterio per gli utenti fuori sede può contenere profili, ma questi profili possono essere attivati solo una volta che il dispositivo passa alla modalità fuori sede.

Ereditarietà delle impostazioni dei criteri

Un criterio viene specificato per un gruppo di amministrazione. Le impostazioni dei criteri possono essere ereditate, ovvero ricevute nei sottogruppi (gruppi figlio) del gruppo di amministrazione per cui sono state impostate. Da questo momento in poi, un criterio per un gruppo padre viene denominato anche criterio principale.

È possibile abilitare o disabilitare due opzioni di ereditarietà: Eredita impostazioni dal criterio principale e Forza ereditarietà impostazioni nei criteri secondari:

• Se si abilita l'opzione Eredita impostazioni dal criterio principale per un criterio secondario e si bloccano alcune impostazioni nel criterio principale, non è possibile modificare queste impostazioni per il gruppo figlio. Tuttavia, è possibile modificare le impostazioni che non sono bloccate nel criterio principale.
• Se si disabilita l'opzione Eredita impostazioni dal criterio principale per un criterio secondario, è possibile modificare tutte le impostazioni nel gruppo figlio, anche se alcune impostazioni sono bloccate nel criterio principale.
• Se si abilita Forza ereditarietà impostazioni nei criteri secondari nel gruppo padre, viene abilitata l'opzione Eredita impostazioni dal criterio principale per tutti i criteri secondari. In questo caso, non è possibile disabilitare questa opzione per nessun criterio secondario. Tutte le impostazioni bloccate nel criterio principale vengono ereditate forzatamente nei gruppi figlio e non è possibile modificare queste impostazioni nei gruppi figlio.
• Nei criteri per il gruppo Dispositivi gestiti, l'opzione Eredita impostazioni dal criterio principale non influisce su alcuna impostazione, dal momento che il gruppo Dispositivi gestiti non dispone di gruppi upstream e non eredita criteri.

Per impostazione predefinita, l'opzione Eredita impostazioni dal criterio principale è abilitata per un nuovo criterio.

Se un criterio dispone di profili, tutti i criteri secondari ereditano tali profili.

Gestione dei criteri

Le applicazioni installate nei dispositivi client sono configurate in modo centralizzato attraverso la definizione di criteri.

I criteri creati per le applicazioni in un gruppo di amministrazione sono visualizzati nell'area di lavoro, nella scheda Criteri. Prima del nome di ogni criterio viene visualizzata un'icona con il relativo stato.

Quando un criterio viene eliminato o revocato, l'applicazione continua a funzionare con le impostazioni specificate nel criterio. Successivamente tali impostazioni possono essere modificate manualmente.

L'applicazione di un criterio avviene come segue: se un dispositivo esegue attività residenti (attività di protezione in tempo reale), queste continueranno a essere eseguite con i nuovi valori delle impostazioni. Qualsiasi attività periodica avviata (scansione su richiesta, aggiornamento dei database dell'applicazione) continua a essere eseguita senza che i valori siano modificati. Al successivo avvio, verranno eseguite con i nuovi valori delle impostazioni.

I criteri per le applicazioni con supporto multi-tenancy vengono ereditati sia dai gruppi di amministrazione di livello inferiore che da quelli di livello superiore: il criterio viene propagato a tutti i dispositivi client in cui è installata l'applicazione.

Se gli Administration Server sono strutturati gerarchicamente, gli Administration Server secondari ricevono i criteri dall'Administration Server primario e li distribuiscono ai dispositivi client. Se l'ereditarietà è abilitata, le impostazioni dei criteri possono essere modificate nell'Administration Server primario. In seguito, qualsiasi modifica apportata alle impostazioni del criterio viene propagata ai criteri ereditati negli Administration Server secondari.

Se la connessione tra gli Administration Server primari e secondari si interrompe, il criterio nel server secondario continuerà a utilizzare le impostazioni applicate. Le impostazioni dei criteri modificate nell'Administration Server primario vengono distribuite a un Administration Server secondario una volta ristabilita la connessione.

Se l'eredità è disabilitata, le impostazioni dei criteri possono essere modificate in un Administration Server secondario indipendentemente dall'Administration Server primario.

Se la connessione tra un Administration Server e un dispositivo client si interrompe, il dispositivo client inizia a utilizzare il criterio fuori sede (se è stato definito) o il criterio continua a utilizzare le impostazioni applicate finché non viene ristabilita la connessione.

I risultati della distribuzione dei criteri all'Administration Server secondario sono visualizzati nella finestra delle proprietà del criterio della console nell'Administration Server primario.

I risultati della distribuzione dei criteri ai dispositivi client sono visualizzati nella finestra delle proprietà dei criteri dell'Administration Server a cui sono connessi.

Non utilizzare dati privati nelle impostazioni del criterio. Ad esempio, non specificare la password dell'amministratore del dominio.

Creazione di un criterio

In Administration Console è possibile creare i criteri direttamente nella cartella del gruppo di amministrazione per cui è necessario creare un criterio o nell'area di lavoro della cartella Criteri.

Per creare un criterio nella cartella di un gruppo di amministrazione:

1. Nella struttura della console selezionare il gruppo di amministrazione per cui si desidera creare un criterio.
2. Nell'area di lavoro del gruppo selezionare la scheda Criteri.
3. Eseguire la Creazione guidata nuovo criterio facendo clic sul pulsante Nuovo criterio.

Verrà avviata la Creazione guidata nuovo criterio. Seguire le istruzioni della procedura guidata.

Per creare un criterio nell'area di lavoro della cartella Criteri:

1. Nella struttura della console selezionare la cartella Criteri.
2. Eseguire la Creazione guidata nuovo criterio facendo clic sul pulsante Nuovo criterio.

Verrà avviata la Creazione guidata nuovo criterio. Seguire le istruzioni della procedura guidata.

È possibile creare diversi criteri per un'applicazione di un gruppo, ma può essere attivo un solo criterio alla volta. Quando si crea un nuovo criterio attivo, il criterio attivo precedente diventa inattivo.

Quando si crea un criterio, è possibile specificare un set minimo di parametri necessari per il corretto funzionamento dell'applicazione. Per tutti gli altri valori vengono utilizzati i valori predefiniti applicati durante l'installazione locale dell'applicazione. Dopo avere creato il criterio, è possibile modificarlo.

Non utilizzare dati privati nelle impostazioni del criterio. Ad esempio, non specificare la password dell'amministratore del dominio.

Le impostazioni delle applicazioni Kaspersky modificate in seguito all'applicazione dei criteri sono descritte in dettaglio nelle rispettive Guide.

Dopo la creazione del criterio, le impostazioni per cui non è consentita la modifica (contrassegnate con l'icona del lucchetto () diventano effettive nei dispositivi client indipendentemente dalle impostazioni precedentemente specificate per l'applicazione.

Visualizzazione dei criteri ereditati in un sottogruppo

Per abilitare la visualizzazione dei criteri ereditati per un gruppo di amministrazione nidificato:

1. Nella struttura della console selezionare il gruppo di amministrazione per cui visualizzare i criteri ereditati.
2. Nell'area di lavoro del gruppo selezionato selezionare la scheda Criteri.
3. Nel menu di scelta rapida dell'elenco dei criteri selezionare Visualizza → Criteri ereditati.

I criteri ereditati verranno visualizzati nell'elenco dei criteri con la seguente icona:

• – Se sono stati ereditati da un gruppo creato nell'Administration Server primario.
• – Se sono stati ereditati da un gruppo di livello superiore.

Se è abilitata la modalità di ereditarietà delle impostazioni, i criteri ereditati sono disponibili per la modifica solo nel gruppo in cui sono stati creati. La modifica dei criteri ereditati non è disponibile nel gruppo che li eredita.

Attivazione di un criterio

Per rendere attivo un criterio per il gruppo selezionato:

1. Nell'area di lavoro del gruppo, nella scheda Criteri, selezionare il criterio da rendere attivo.
2. Per attivare il criterio, eseguire una delle seguenti azioni:
   • Nel menu di scelta rapida del criterio selezionare Criterio attivo.
   • Nella finestra delle proprietà del criterio aprire la sezione Generale, quindi selezionare Criterio attivo dal gruppo di impostazioni Stato criterio.

Il criterio diventerà attivo per il gruppo di amministrazione selezionato.

Quando un criterio è applicato a un numero elevato di dispositivi client, il carico di Administration Server e il traffico di rete aumentano significativamente per un certo periodo di tempo.

Attivazione automatica di un criterio quando si verifica un evento Epidemia di virus

Per attivare automaticamente un criterio quando si verifica un evento Epidemia di virus:

1. Nella finestra delle proprietà di Administration Server aprire la sezione Epidemia di virus.
2. Aprire la finestra Attivazione dei criteri facendo clic sul collegamento Configura i criteri da attivare se si verifica un evento Epidemia di virus, quindi aggiungere il criterio all'elenco selezionato dei criteri attivati quando viene rilevata un'epidemia di virus.

Se un criterio è stato attivato per l'evento Epidemia di virus, è possibile ripristinare il criterio precedente solo utilizzando la modalità manuale.

Applicazione di un criterio fuori sede

Il criterio fuori sede viene applicato a un dispositivo se questo viene disconnesso dalla rete aziendale.

Per applicare un criterio fuori sede:

Nella finestra delle proprietà del criterio aprire la sezione Generale e nel gruppo di impostazioni Stato criterio selezionare Criterio fuori sede.

Il criterio fuori sede verrà applicato ai dispositivi se vengono disconnessi dalla rete aziendale.

Modifica di un criterio. Rollback delle modifiche

Per modificare un criterio:

1. Nella struttura della console selezionare la cartella Criteri.
2. Nell'area di lavoro della cartella Criteri selezionare un criterio e passare alla finestra delle proprietà del criterio utilizzando il menu di scelta rapida.
3. Apportare le modifiche desiderate.
4. Fare clic su Applica.

Le modifiche apportate al criterio saranno salvate nelle proprietà del criterio, nella sezione Cronologia revisioni.

È possibile eseguire il rollback delle modifiche apportate al criterio, se necessario.

Per eseguire il rollback delle modifiche apportate al criterio:

1. Nella struttura della console selezionare la cartella Criteri.
2. Selezionare il criterio in cui è necessario eseguire il rollback delle modifiche e aprire la finestra delle proprietà del criterio utilizzando il menu di scelta rapida.
3. Nella finestra delle proprietà del criterio selezionare la sezione Cronologia revisioni.
4. Nell'elenco delle revisioni del criterio selezionare il numero della revisione a cui eseguire il rollback delle modifiche.
5. Fare clic sul pulsante Avanzate e selezionare il valore Rollback nell'elenco a discesa.

Visualizzazione del grafico dello stato di distribuzione dei criteri

In Kaspersky Security Center, è possibile visualizzare i risultati dell'applicazione dei criteri in ogni dispositivo.

Per visualizzare lo stato di distribuzione dei criteri in ogni dispositivo:

1. Nell'area di lavoro del gruppo, nella scheda Criteri, selezionare il criterio di cui si desidera visualizzare lo stato di distribuzione.

   Il grafico nel riquadro di destra mostra una panoramica dell'applicazione dei criteri.

2. Fare clic su Dettagli.

   Verrà visualizzata la finestra Risultati dell'applicazione dei criteri.

   È possibile esportare i risultati dell'applicazione dei criteri in un file CSV o TXT.

Confronto dei criteri

È possibile confrontare due criteri per una singola applicazione gestita. Dopo il confronto, è visualizzato un rapporto che indica quali impostazioni dei criteri corrispondono e quali sono diverse. Potrebbe ad esempio essere necessario confrontare i criteri se diversi amministratori hanno creato nelle rispettive sedi più criteri per una singola applicazione gestita oppure se un singolo criterio di primo livello è stato ereditato da tutte le sedi locali e modificato per ciascuna sede. È possibile confrontare i criteri in uno dei seguenti modi: selezionando un criterio e confrontandolo con un altro o confrontando una coppia di criteri dall'elenco dei criteri.

È possibile confrontare solo i criteri con revisioni correnti nella cronologia delle revisioni.

Per confrontare un criterio con un altro:

1. Nella struttura della console selezionare la cartella Criteri.
2. Nell'area di lavoro della cartella Criteri selezionare il criterio che è necessario confrontare con un altro.
3. Dal menu di scelta rapida del criterio selezionare Confronta il criterio con un altro criterio.
4. Nella finestra Seleziona criterio selezionare il criterio con cui confrontare il criterio.
5. Fare clic su OK.

Per il confronto tra i due criteri per la stessa applicazione viene visualizzato un rapporto in formato HTML.

Per confrontare una coppia di criteri dall'elenco dei criteri:

1. Nella cartella Criteri, nell'elenco dei criteri, utilizzare il tasto MAIUSC o CTRL per selezionare due criteri per una singola applicazione gestita.
2. Nel menu di scelta rapida selezionare Confronta.

Per il confronto tra i due criteri per la stessa applicazione viene visualizzato un rapporto in formato HTML.

Il rapporto sul confronto delle impostazioni dei criteri per Kaspersky Endpoint Security for Windows fornisce anche informazioni sul confronto dei profili criterio. È possibile comprimere i risultati del confronto dei profili criterio. Per comprimere la sezione, fare clic sull'icona della freccia () accanto al nome della sezione.

Eliminazione di un criterio

Per eliminare un criterio:

1. Nell'area di lavoro di un gruppo di amministrazione, nella scheda Criteri, selezionare il criterio da eliminare.
2. Eliminare il criterio in uno dei seguenti modi:
   • Selezionando Elimina nel menu di scelta rapida del criterio.
   • Facendo clic sul collegamento Elimina criterio nella finestra di informazioni per il criterio selezionato.

Copia di un criterio

Per copiare un criterio:

1. Nell'area di lavoro del gruppo desiderato, nella scheda Criteri, selezionare un criterio.
2. Nel menu di scelta rapida del criterio selezionare Copia.
3. Nella struttura della console selezionare un gruppo a cui si desidera aggiungere il criterio.

   È possibile aggiungere un criterio al gruppo da cui è stato copiato.

4. Dal menu di scelta rapida dell'elenco dei criteri per il gruppo selezionato, nella scheda Criteri selezionare Incolla.

Il criterio verrà copiato con tutte le relative impostazioni e sarà applicato ai dispositivi del gruppo in cui è stato copiato. Se si incolla il criterio nello stesso gruppo da cui è stato copiato, al nome del criterio viene aggiunto automaticamente l'indice (<numero progressivo successivo>), ad esempio (1), (2).

Un criterio attivo diventa inattivo durante la copia. Se necessario, è possibile renderlo attivo.

Esportazione di un criterio

Per esportare un criterio:

1. Esportare un criterio in uno dei seguenti modi:
   • Selezionando Tutte le attività → Esporta nel menu di scelta rapida del criterio.
   • Facendo clic sul collegamento Esporta criterio in un file nella finestra di informazioni del criterio selezionato.
2. Nella finestra Salva con nome visualizzata specificare il percorso e il nome del file del criterio. Fare clic sul pulsante Salva.

Importazione di un criterio

Per importare un criterio:

1. Nell'area di lavoro del gruppo desiderato, nella scheda Criteri, selezionare uno dei seguenti modi per l'importazione dei criteri:
   • Selezionando Tutte le attività → Importa nel menu di scelta rapida dell'elenco dei criteri.
   • Facendo clic sul pulsante Importa criteri da file nella sezione di gestione per l'elenco dei criteri.
2. Nella finestra visualizzata specificare il percorso del file da cui si desidera importare un criterio. Fare clic sul pulsante Apri.

Il criterio importato viene visualizzato nell'elenco dei criteri. Vengono importati anche le impostazioni e i profili del criterio. Indipendentemente dallo stato del criterio selezionato durante l'esportazione, il criterio importato è inattivo. È possibile modificare lo stato del criterio nelle proprietà del criterio.

Se il criterio appena importato ha un nome identico a quello di un criterio esistente, il nome del criterio importato viene espanso con l'indice (<numero progressivo successivo>), ad esempio: (1), (2).

Conversione di criteri

Kaspersky Security Center è in grado di convertire i criteri delle versioni precedenti delle applicazioni Kaspersky gestite in versioni aggiornate delle stesse applicazioni. I criteri convertiti mantengono le impostazioni dell'amministratore corrente specificate prima dell'aggiornamento, oltre a includere nuove impostazioni dalle versioni aggiornate delle applicazioni. Se un criterio viene convertito in una versione aggiornata di un'applicazione Kaspersky gestita, non è possibile aprire il criterio in un Administration Server in cui è installata una versione precedente del plug-in dell'applicazione. I plug-in di gestione per le applicazioni Kaspersky determinano se la conversione è disponibile per i criteri di queste applicazioni. Per informazioni sulla conversione dei criteri di ciascuna applicazione Kaspersky supportata, fare riferimento alla relativa Guida nel seguente elenco:

• Applicazioni Kaspersky per workstation:
  • Kaspersky Endpoint Security for Windows
  • Kaspersky Endpoint Security for Linux
  • Kaspersky Endpoint Security for Linux Elbrus Edition
  • Kaspersky Endpoint Security for Mac
  • Kaspersky Endpoint Agent
  • Kaspersky Embedded Systems Security for Windows
• Kaspersky Industrial CyberSecurity:
  • Kaspersky Industrial CyberSecurity for Nodes
  • Kaspersky Industrial CyberSecurity for Linux Nodes
  • Kaspersky Industrial CyberSecurity for Networks (la distribuzione centralizzata non è supportata)
• Applicazioni Kaspersky per dispositivi mobili:
  • Kaspersky Endpoint Security for Android
  • Kaspersky Security for iOS
• Applicazioni Kaspersky per file server:
  • Kaspersky Security for Windows Server
  • Kaspersky Endpoint Security for Windows
  • Kaspersky Endpoint Security for Linux
• Applicazioni Kaspersky per macchine virtuali:
  • Kaspersky Security for Virtualization Light Agent
  • Kaspersky Security for Virtualization Agentless
• Applicazioni Kaspersky per sistemi di posta e server SharePoint/di collaborazione:
  • Kaspersky Security for Linux Mail Server
  • Kaspersky Security for Microsoft Exchange Servers
• Applicazioni Kaspersky per il rilevamento di attacchi mirati:
  • Kaspersky Sandbox
  • Kaspersky Endpoint Detection and Response Optimum
  • Kaspersky Managed Detection and Response
• Applicazioni Kaspersky per dispositivi KasperskyOS:
  • Kaspersky IoT Secure Gateway
  • Kaspersky Security Management Suite (plug-in per Kaspersky Thin Client)

Per convertire i criteri:

1. Nella struttura della console selezionare un Administration Server per cui si desidera convertire i criteri.
2. Nel menu di scelta rapida di Administration Server selezionare Tutte le attività → Conversione guidata criteri e attività.

Verrà avviata la Conversione guidata criteri e attività. Seguire le istruzioni della procedura guidata.

Al termine della procedura guidata, vengono creati nuovi criteri che utilizzano le impostazioni dei criteri dell'amministratore corrente e le nuove impostazioni delle versioni aggiornate delle applicazioni Kaspersky.

Gestione dei profili criterio

Questa sezione illustra la gestione dei profili criterio e fornisce informazioni sulla visualizzazione dei profili di un criterio, sulla modifica della priorità di un profilo criterio, sulla creazione di un profilo criterio, sulla modifica di un profilo criterio, sulla copia di un profilo criterio, sulla creazione di una regola di attivazione del profilo criterio e sull'eliminazione di un profilo criterio.

Gestione dei profili criterio

Profilo criterio è una raccolta denominata di impostazioni di un criterio attivato in un dispositivo client (computer o dispositivo mobile) quando il dispositivo soddisfa determinate regole di attivazione. L'attivazione di un profilo determina la modifica delle impostazioni del criterio attivo nel dispositivo prima dell'attivazione del profilo. Tali impostazioni assumono i valori specificati nel profilo.

I profili criterio sono necessari per consentire l'esecuzione dei dispositivi all'interno di un unico gruppo di amministrazione con diverse impostazioni del criterio. Ad esempio, può verificarsi una situazione in cui le impostazioni del criterio devono essere modificate per alcuni dispositivi in un gruppo di amministrazione. In questo caso, è possibile configurare profili criterio per tale criterio, in modo da poter modificare le impostazioni del criterio per determinati dispositivi nel gruppo di amministrazione. Il criterio vieta ad esempio l'esecuzione di un software di navigazione GPS in tutti i dispositivi nel gruppo di amministrazione Utenti. Il software di navigazione GPS è necessario in un solo dispositivo nel gruppo di amministrazione Utenti: quello di proprietà dell'utente che ha il ruolo di corriere. È possibile contrassegnare tale dispositivo semplicemente come "Corriere" e riconfigurare il profilo criterio in modo da consentire l'esecuzione del software di navigazione GPS solo nel dispositivo contrassegnato come "Corriere", mantenendo tutte le altre impostazioni del criterio. In questo caso, se un dispositivo contrassegnato come "Corriere" viene visualizzato nel gruppo di amministrazione Utenti, questo sarà autorizzato a eseguire il software di navigazione GPS. L'esecuzione del software di navigazione GPS continuerà a essere vietata negli altri dispositivi del gruppo di amministrazione Utenti, a meno che anche questi non siano contrassegnati come "Corriere".

I profili sono supportati solo dai seguenti criteri:

• Criteri di Kaspersky Endpoint Security for Windows
• Criteri di Kaspersky Endpoint Security for Mac
• Criteri del plug-in di Kaspersky Mobile Device Management dalla versione 10 Service Pack 1 alla versione 10 Service Pack 3 Maintenance Release 1
• Criteri del plug-in di Kaspersky Device Management for iOS
• Criteri di Kaspersky Security for Virtualization 5.1 Light Agent for Windows
• Criteri di Kaspersky Security for Virtualization 5.1 Light Agent for Linux

I profili criterio semplificano la gestione dei dispositivi client a cui si applicano i criteri:

• Le impostazioni del profilo criterio possono differire dalle impostazioni del criterio.
• Non è necessario gestire e applicare manualmente più istanze di un singolo criterio che variano solo per qualche impostazione.
• Non è necessario allocare un criterio distinto per gli utenti fuori sede.
• È possibile esportare e importare i profili criterio, nonché creare nuovi profili criterio in base a quelli esistenti.
• Un singolo criterio può avere più profili criterio attivi. Solo i profili che soddisfano le regole di attivazione valide nel dispositivo saranno applicati a tale dispositivo.
• I profili sono soggetti alla gerarchia dei criteri. Un criterio ereditato include tutti i profili del criterio di livello più elevato.

Priorità dei profili

I profili creati per un criterio vengono disposti in ordine di priorità decrescente. Ad esempio, se il profilo X si trova più in alto nell'elenco dei profili rispetto al profilo Y, avrà una priorità più alta rispetto a quest'ultimo. A un unico dispositivo possono essere applicati contemporaneamente diversi profili. Se i valori di un'impostazione differiscono in diversi profili, il valore del profilo con priorità più elevata verrà applicato nel dispositivo.

Regole per l'attivazione del profilo

Un profilo criterio viene attivato in un dispositivo client quando viene eseguita una regola di attivazione. Le regole di attivazione sono set di condizioni che, se soddisfatte, avviano il profilo criterio in un dispositivo. Una regola di attivazione può contenere le seguenti condizioni:

• Network Agent in un dispositivo client si connette all'Administration Server con un determinato set di impostazioni di connessione, ad esempio indirizzo dell'Administration Server, numero di porta e così via.
• Il dispositivo client è offline.
• Al dispositivo client sono stati assegnati determinati tag.
• Il dispositivo client è collocato in modo esplicito (il dispositivo viene immediatamente collocato nell'unità specificata) o implicito (il dispositivo è collocato in un'unità che si trova nell'unità specificata a qualsiasi livello di annidamento) in un'unità specifica di Active Directory, il dispositivo o il relativo proprietario si trova in un gruppo di protezione di Active Directory.
• Il dispositivo client appartiene a un determinato proprietario o il proprietario del dispositivo fa parte di un gruppo di protezione interno di Kaspersky Security Center.
• Al proprietario del dispositivo client è stato assegnato un ruolo specificato.

Criteri nella gerarchia dei gruppi di amministrazione

Se si crea un criterio in un gruppo di amministrazione di basso livello, il nuovo criterio eredita tutti i profili del criterio attivo dal gruppo di livello superiore. I profili con nomi identici vengono uniti. I profili criterio per il gruppo di livello superiore hanno una priorità più elevata. Nel gruppo di amministrazione A, ad esempio, il criterio P(A) dispone dei profili X1, X2 e X3 (in ordine di priorità decrescente). Nel gruppo di amministrazione B, che è un sottogruppo del gruppo A, il criterio P(B) è stato creato con i profili X2, X4, X5. Il criterio P(B) verrà quindi modificato con il criterio P(A) affinché l'elenco dei profili nel criterio P(B) venga visualizzato nel modo seguente: X1, X2, X3, X4, X5 (in ordine di priorità decrescente). La priorità del profilo X2 dipenderà dallo stato iniziale del profilo X2 del criterio P(B) e dal profilo X2 del criterio P(A). Dopo la creazione del criterio P(B), il criterio P(A) non verrà più visualizzato nel sottogruppo B.

Il criterio attivo viene ricalcolato ogni volta che si avvia Network Agent, si abilita o disabilita la modalità offline o si modifica l'elenco dei tag assegnati al dispositivo client. Ad esempio, le dimensioni della RAM sono state aumentate nel dispositivo che, a sua volta, ha attivato il profilo criterio applicato nei dispositivi con una RAM di grandi dimensioni.

Proprietà e limitazioni dei profili criterio

I profili dispongono delle seguenti proprietà:

• I profili di un criterio inattivo non hanno impatto sui dispositivi client.
• Se un criterio è impostato sullo stato Criterio fuori sede, anche i profili del criterio verranno applicati quando un dispositivo viene disconnesso dalla rete aziendale.
• I profili non supportano l'analisi statica dell'accesso ai file eseguibili.
• Un profilo criterio non può contenere impostazioni delle notifiche degli eventi.
• Se la porta UDP 15000 viene utilizzata per la connessione di un dispositivo ad Administration Server, il profilo criterio corrispondente viene attivato entro un minuto dall'assegnazione di un tag al dispositivo.
• È possibile utilizzare le regole per la connessione di Network Agent ad Administration Server quando si creano le regole di attivazione del profilo criterio.

Creazione di un profilo criterio

La creazione del profilo è disponibile solo per i criteri delle seguenti applicazioni:

• Kaspersky Endpoint Security 10 Service Pack 1 for Windows e versioni successive
• Kaspersky Endpoint Security 10 Service Pack 1 for Mac
• Plug-in di Kaspersky Mobile Device Management dalla versione 10 Service Pack 1 alla versione 10 Service Pack 3 Maintenance Release 1
• Plug-in di Kaspersky Device Management for iOS
• Kaspersky Security for Virtualization 5.1 Light Agent for Windows and Linux

Per creare un profilo criterio:

1. Nella struttura della console selezionare il gruppo di amministrazione per cui si desidera creare un profilo criterio.
2. Nell'area di lavoro del gruppo di amministrazione selezionare la scheda Criteri.
3. Selezionare un criterio e passare alla finestra delle proprietà del criterio utilizzando il menu di scelta rapida.
4. Aprire la sezione Profili criterio nella finestra delle proprietà del criterio e fare clic sul pulsante Aggiungi.

   Verrà avviata la Creazione guidata nuovo profilo criterio.

5. Nella finestra Nome profilo criterio della procedura guidata specificare quanto segue:
   1. Nome del profilo criterio

      Il nome del profilo non può contenere più di 100 caratteri.

   2. Stato del profilo criterio (Abilitato o Disabilitato)

      È consigliabile creare e abilitare i profili criterio inattivi solo dopo aver completato la definizione delle impostazioni e delle condizioni di attivazione del profilo criterio.

6. Selezionare la casella di controllo Dopo aver chiuso la creazione guidata nuovo profilo criterio, passa alla configurazione della regola di attivazione del profilo criterio per avviare la Creazione guidata nuova regola di attivazione di un profilo criterio. Seguire i passaggi della procedura guidata.
7. Modificare le impostazioni del profilo criterio nella finestra delle proprietà del profilo criterio, in base alle esigenze.
8. Salvare le modifiche facendo clic su OK.

   Il profilo verrà salvato. Il profilo verrà attivato nei dispositivi che soddisfano le regole di attivazione.

È possibile creare più profili per un singolo criterio. I profili creati per un criterio vengono visualizzati nelle proprietà del criterio nella sezione Profili criterio. È possibile modificare un profilo criterio, modificare la priorità del profilo o rimuovere il profilo.

Modifica di un profilo criterio

Modifica delle impostazioni di un profilo criterio

La possibilità di modificare un profilo criterio è disponibile solo per i criteri di Kaspersky Endpoint Security for Windows.

Per modificare un profilo criterio:

1. Nella struttura della console selezionare il gruppo di amministrazione per cui è necessario modificare il profilo criterio.
2. Nell'area di lavoro del gruppo selezionare la scheda Criteri.
3. Selezionare un criterio e passare alla finestra delle proprietà del criterio utilizzando il menu di scelta rapida.
4. Aprire la sezione Profili criterio nelle proprietà del criterio.

   Questa sezione contiene un elenco dei profili creati per il criterio. I profili vengono visualizzati nell'elenco in base alle relative priorità.

5. Selezionare un profilo criterio, quindi fare clic sul pulsante Proprietà.
6. Configurare il profilo nella finestra delle proprietà:
   • Se necessario, nella sezione Generale modificare il nome del profilo e abilitare o disabilitare il profilo utilizzando la casella di controllo Abilita profilo.
   • Nella sezione Regole di attivazione modificare le regole di attivazione del profilo.
   • Modificare le impostazioni del criterio nelle sezioni corrispondenti.
7. Fare clic su OK.

Le impostazioni modificate diventeranno effettive dopo la sincronizzazione del dispositivo con Administration Server (se il profilo criterio è attivo) o dopo l'esecuzione di una regola di attivazione (se il profilo criterio è inattivo).

Modifica della priorità di un profilo criterio

Le priorità dei profili criterio definiscono l'ordine di attivazione dei profili in un dispositivo client. Le priorità vengono utilizzate se sono impostate regole di attivazione identiche per profili criterio differenti.

Ad esempio, sono stati creati due profili criterio: Profilo 1 e Profilo 2 che differiscono per i rispettivi valori di un'unica impostazione (Valore 1 e Valore 2). La priorità del Profilo 1 è più elevata di quella del Profilo 2. Sono inoltre disponibili profili con priorità meno elevate di quella del Profilo 2. Le regole di attivazione per tali profili sono identiche.

Quando si attiva una regola di attivazione, verrà attivato il Profilo 1. L'impostazione nel dispositivo avrà il Valore 1. Se si rimuove il Profilo 1, il Profilo 2 avrà la priorità più elevata, pertanto l'impostazione avrà il Valore 2.

Nell'elenco dei profili criterio i profili sono visualizzati in base alle rispettive priorità. Il profilo con la priorità più elevata viene posizionato per primo. È possibile modificare la priorità di un profilo utilizzando i pulsanti della freccia verso l'alto e della freccia verso il basso .

Eliminazione di un profilo criterio

Per eliminare un profilo criterio:

1. Nella struttura della console selezionare il gruppo di amministrazione per cui si desidera eliminare il profilo criterio.
2. Nell'area di lavoro del gruppo di amministrazione selezionare la scheda Criteri.
3. Selezionare un criterio e passare alla finestra delle proprietà del criterio utilizzando il menu di scelta rapida.
4. Aprire la sezione Profili criterio nelle proprietà del criterio di Kaspersky Endpoint Security.
5. Selezionare il profilo criterio che si desidera eliminare e fare clic sul pulsante Elimina.

Il profilo criterio verrà eliminato. Lo stato attivo passerà a un altro profilo criterio per cui vengono attivate le regole di attivazione nel dispositivo client o al criterio.

Creazione di una regola di attivazione del profilo criterio

Espandi tutto | Comprimi tutto

Per creare una regola di attivazione per un profilo criterio:

1. Nella struttura della console selezionare il gruppo di amministrazione per cui è necessario creare una regola di attivazione per un profilo criterio.
2. Nell'area di lavoro del gruppo selezionare la scheda Criteri.
3. Selezionare un criterio e passare alla finestra delle proprietà del criterio utilizzando il menu di scelta rapida.
4. Selezionare la sezione Profili criterio nella finestra delle proprietà del criterio.
5. Selezionare il profilo criterio per cui è necessario creare una regola di attivazione, quindi fare clic sul pulsante Proprietà.

   Verrà visualizzata la finestra delle proprietà del profilo criterio.

   Se l'elenco dei profili criterio è vuoto, è possibile creare un profilo criterio.

6. Selezionare la sezione Regole di attivazione e fare clic sul pulsante Aggiungi.

   Verrà avviata la Creazione guidata nuova regola di attivazione di un profilo criterio.

7. Nella finestra Regole di attivazione del profilo criterio selezionare le caselle di controllo accanto alle condizioni che devono determinare l'attivazione del profilo criterio che si sta creando:
   • Regole generali per l'attivazione del profilo criterio

     Selezionare questa casella di controllo per configurare le regole di attivazione del profilo criterio nel dispositivo in base allo stato della modalità offline del dispositivo, alla regola per la connessione ad Administration Server e ai tag assegnati al dispositivo.

   • Regole per l'utilizzo di Active Directory

     Selezionare questa casella di controllo per configurare le regole per l'attivazione del profilo criterio nel dispositivo in base alla presenza del dispositivo in un'unità organizzativa di Active Directory o all'appartenenza del dispositivo (o del proprietario) a un gruppo di protezione di Active Directory.

   • Regole per il proprietario di un dispositivo specifico

     Selezionare questa casella di controllo per configurare le regole per l'attivazione del profilo criterio nel dispositivo in base al proprietario del dispositivo.

   • Regole per le specifiche hardware

     Selezionare questa casella di controllo per configurare le regole per l'attivazione del profilo criterio nel dispositivo in base al volume della memoria e al numero di processori logici.

   Il numero delle pagine aggiuntive della procedura guidata dipende dalle impostazioni selezionate nel primo passaggio. È possibile modificare le regole di attivazione del profilo criterio in un secondo momento.

8. Nella finestra Condizioni generali specificare le seguenti impostazioni:
   • Nel campo Il dispositivo è offline specificare nell'elenco a discesa la condizione per la presenza di un dispositivo nella rete:
     • Sì

       Il dispositivo si trova in una rete esterna, pertanto l'Administration Server non è disponibile.

     • No

       Il dispositivo è presente nella rete, pertanto Administration Server è disponibile.

     • Nessun valore selezionato

       Il criterio non verrà applicato.

   • Nella casella Il dispositivo si trova nel percorso di rete specificato utilizzare gli elenchi a discesa per configurare l'attivazione dei profili criterio se la regola di connessione di Administration Server viene eseguita/non eseguita nel dispositivo:
     • Eseguita / Non eseguita

       Condizione di attivazione del profilo criterio (se la regola viene eseguita o meno).

     • Nome regola

       Descrizione del percorso di rete del dispositivo per la connessione ad Administration Server, le cui condizioni devono essere soddisfatte (o non devono essere soddisfatte) per l'attivazione del profilo criterio.

       È possibile creare o configurare una descrizione del percorso di rete dei dispositivi per la connessione a un Administration Server in una regola per il passaggio di Network Agent.

   La finestra Condizioni generali viene visualizzata se è selezionata la casella di controllo Regole generali per l'attivazione del profilo criterio.

9. Nella finestra Condizioni basate sui tag specificare le seguenti impostazioni:
   • Elenco di tag

     Nell'elenco di tag specificare una regola per l'inclusione dei dispositivi nel profilo criterio selezionando le caselle di controllo accanto ai tag appropriati.

     È possibile aggiungere nuovi tag all'elenco immettendoli nel campo sopra l'elenco e facendo clic sul pulsante Aggiungi.

     Il profilo criterio include i dispositivi con descrizioni che contengono tutti i tag selezionati. Se le caselle di controllo sono deselezionate, il criterio non viene applicato. Per impostazione predefinita, queste caselle di controllo sono deselezionate.

   • Applica ai dispositivi senza i tag specificati

     Abilitare questa opzione se è necessario invertire la selezione di tag.

     Se questa opzione è abilitata, il profilo criterio include i dispositivi con descrizioni che non contengono alcuno dei tag selezionati. Se questa opzione è disabilitata, il criterio non viene applicato.

     Per impostazione predefinita, questa opzione è disabilitata.

   La finestra Condizioni basate sui tag viene visualizzata se la casella di controllo Regole generali per l'attivazione del profilo criterio è selezionata.

10. Nella finestra Condizioni basate su Active Directory specificare le seguenti impostazioni:
    • Appartenenza del proprietario del dispositivo al gruppo di protezione di Active Directory

      Se questa opzione è abilitata, il profilo criterio viene attivato nel dispositivo il cui proprietario appartiene al gruppo di protezione specificato. Se questa opzione è disabilitata, il criterio di attivazione del profilo non viene applicato. Per impostazione predefinita, questa opzione è disabilitata.

    • Appartenenza del dispositivo al gruppo di protezione di Active Directory

      Se questa opzione è abilitata, il profilo criterio viene attivato nel dispositivo. Se questa opzione è disabilitata, il criterio di attivazione del profilo non viene applicato. Per impostazione predefinita, questa opzione è disabilitata.

    • Allocazione del dispositivo nell'unità organizzativa di Active Directory

      Se questa opzione è abilitata, il profilo criterio viene attivato nel dispositivo incluso nell'unità organizzativa di Active Directory specificata. Se questa opzione è disabilitata, il criterio di attivazione del profilo non viene applicato.

      Per impostazione predefinita, questa opzione è disabilitata.

    La finestra Condizioni basate su Active Directory viene visualizzata se è selezionata la casella di controllo Regole per l'utilizzo di Active Directory.

11. Nella finestra Condizioni basate sul proprietario del dispositivo specificare le seguenti impostazioni:
    • Proprietario dispositivo

      Abilitare questa opzione per configurare e abilitare la regola di attivazione del profilo nel dispositivo in base al proprietario. Nell'elenco a discesa sotto la casella di controllo è possibile selezionare un criterio per l'attivazione del profilo:

      • Il dispositivo appartiene al proprietario specificato (segno "=").
      • Il dispositivo non appartiene al proprietario specificato (segno "#").

        Se questa opzione è abilitata, il profilo viene attivato nel dispositivo in base al criterio configurato. È possibile specificare il proprietario dispositivo quando l'opzione è abilitata. Se questa opzione è disabilitata, il criterio di attivazione del profilo non viene applicato. Per impostazione predefinita, questa opzione è disabilitata.

    • Il proprietario del dispositivo fa parte di un gruppo di protezione interno

      Abilitare questa opzione per configurare e abilitare la regola di attivazione del profilo nel dispositivo in base all'appartenenza del proprietario a un gruppo di protezione interno di Kaspersky Security Center. Nell'elenco a discesa sotto la casella di controllo è possibile selezionare un criterio per l'attivazione del profilo:

      • Il proprietario dispositivo è un membro del gruppo di protezione specificato (segno "=").
      • Il proprietario dispositivo non è un membro del gruppo di protezione specificato (segno "#").

        Se questa opzione è abilitata, il profilo viene attivato nel dispositivo in base al criterio configurato. È possibile specificare un gruppo di protezione di Kaspersky Security Center. Se questa opzione è disabilitata, il criterio di attivazione del profilo non viene applicato. Per impostazione predefinita, questa opzione è disabilitata.

    • Attiva il profilo criterio in base allo specifico ruolo del proprietario del dispositivo

      Selezionare questa opzione per configurare e abilitare la regola di attivazione del profilo nel dispositivo a seconda del ruolo del proprietario. Aggiungere manualmente il ruolo dall'elenco dei ruoli esistenti.

      Se questa opzione è abilitata, il profilo viene attivato nel dispositivo in base al criterio configurato.

    La finestra Condizioni basate sul proprietario del dispositivo viene visualizzata se è selezionata la casella di controllo Regole per il proprietario di un dispositivo specifico.

12. Nella finestra Condizioni basate sulle specifiche delle apparecchiature specificare le seguenti impostazioni:
    • Dimensione RAM (MB)

      Abilitare questa opzione per configurare e abilitare la regola di attivazione del profilo nel dispositivo in base al volume della RAM disponibile in tale dispositivo. Nell'elenco a discesa sotto la casella di controllo è possibile selezionare un criterio per l'attivazione del profilo:

      • Le dimensioni della RAM del dispositivo sono inferiori al valore specificato (segno "<").
      • Le dimensioni della RAM del dispositivo sono superiori al valore specificato (segno ">").

      Se questa opzione è abilitata, il profilo viene attivato nel dispositivo in base al criterio configurato. È possibile specificare il volume della RAM nel dispositivo. Se questa opzione è disabilitata, il criterio di attivazione del profilo non viene applicato. Per impostazione predefinita, questa opzione è disabilitata.

    • Numero di processori logici

      Abilitare questa opzione per configurare e abilitare la regola di attivazione del profilo nel dispositivo in base al numero di processori logici nel dispositivo. Nell'elenco a discesa sotto la casella di controllo è possibile selezionare un criterio per l'attivazione del profilo:

      • Il numero di processori logici nel dispositivo è inferiore o uguale al valore specificato (segno "<").
      • Il numero di processori logici nel dispositivo è superiore o uguale al valore specificato (segno ">").

      Se questa opzione è abilitata, il profilo viene attivato nel dispositivo in base al criterio configurato. È possibile specificare il numero di processori logici nel dispositivo. Se questa opzione è disabilitata, il criterio di attivazione del profilo non viene applicato. Per impostazione predefinita, questa opzione è disabilitata.

    La finestra Condizioni basate sulle specifiche delle apparecchiature viene visualizzata se è selezionata la casella di controllo Regole per le specifiche hardware.

13. Nella finestra Nome della regola di attivazione del profilo criterio, nel campo Nome regola, specificare un nome per la regola.

Il profilo verrà salvato. Il profilo sarà attivato nel dispositivo quando vengono attivate le regole di attivazione.

Le regole di attivazione del profilo criterio create per il profilo sono visualizzate nelle proprietà del profilo criterio nella sezione Regole di attivazione. È possibile modificare o rimuovere qualsiasi regola di attivazione del profilo criterio.

È possibile attivare contemporaneamente più regole di attivazione.