Best practice per la distribuzione

Kaspersky Security Center è un'applicazione distribuita. Kaspersky Security Center include le seguenti applicazioni:

• Administration Server - Il componente principale, progettato per la gestione dei dispositivi di un'organizzazione e l'archiviazione dei dati in un sistema DBMS.
• Administration Console - Lo strumento di base per l'amministratore. Administration Console è distribuito insieme ad Administration Server, ma può anche essere installato singolarmente in uno o più dispositivi eseguiti dall'amministratore.
• Network Agent – Utilizzato per gestire l'applicazione di protezione installata in un dispositivo, nonché per ottenere informazioni sul dispositivo e per trasferire queste informazioni ad Administration Server. I Network Agent vengono installati nei dispositivi di un'organizzazione.

La distribuzione di Kaspersky Security Center nella rete di un'organizzazione viene eseguita come segue:

• Installazione di Administration Server
• Installazione di Administration Console nel dispositivo dell'amministratore
• Installazione di Network Agent e dell'applicazione di protezione nei dispositivi dell'organizzazione

Guida all'hardening

Kaspersky Security Center è progettato per l'esecuzione centralizzata delle attività di base di amministrazione e manutenzione nella rete di un'organizzazione. L'applicazione fornisce all'amministratore l'accesso a informazioni dettagliate sul livello di sicurezza della rete dell'organizzazione. Kaspersky Security Center consente di configurare tutti i componenti della protezione creati utilizzando le applicazioni Kaspersky.

Kaspersky Security Center Administration Server ha accesso completo alla gestione della protezione dei dispositivi client ed è il componente più importante del sistema di sicurezza dell'organizzazione. Pertanto, per Administration Server sono necessari metodi di protezione avanzati.

Prima della configurazione, creare una copia di backup di Kaspersky Security Center Administration Server utilizzando l'attività Backup dei dati di Administration Server o l'utilità klbackup e salvarla in una posizione sicura.

Nella Guida all'hardening, sono descritti i suggerimenti e le caratteristiche della configurazione di Kaspersky Security Center e dei suoi componenti, intesi a ridurre i rischi di compromissione.

La Guida all'hardening contiene le seguenti informazioni:

• Selezione dell'architettura di Administration Server
• Configurazione di una connessione sicura ad Administration Server
• Configurazione degli account per l'accesso ad Administration Server
• Gestione della protezione di Administration Server
• Gestione della protezione dei dispositivi client
• Configurazione della protezione per le applicazioni gestite
• Manutenzione di Administration Server
• Trasferimento di informazioni ad applicazioni di terzi
• Suggerimenti sulla sicurezza per i sistemi informativi di terze parti

Distribuzione di Administration Server

Architettura di Administration Server

In generale, la scelta di un'architettura di gestione centralizzata dipende dalla posizione dei dispositivi protetti, dall'accesso da reti adiacenti, dagli schemi di distribuzione degli aggiornamenti del database e così via.

Nella fase iniziale dello sviluppo dell'architettura, si consiglia di familiarizzare con i componenti di Kaspersky Security Center e con le modalità di interazione tra essi, così come con gli schemi per il traffico dati e l'utilizzo delle porte.

Sulla base di queste informazioni, è possibile formare un'architettura che specifichi:

• La posizione di Administration Server e le connessioni di rete
• L'organizzazione delle aree di lavoro dell'amministratore e i metodi di connessione ad Administration Server
• I metodi di distribuzione per Network Agent e il software di protezione
• L'utilizzo dei punti di distribuzione
• L'utilizzo di Administration Server virtuali
• L'utilizzo di una gerarchia di Administration Server
• Lo schema di aggiornamento del database anti-virus
• Altri flussi informativi

Selezione di un dispositivo per l'installazione di Administration Server

Si consiglia di installare Administration Server in un server dedicato nell'infrastruttura dell'organizzazione. Se nel server non è installato altro software di terzi, è possibile configurare le impostazioni di sicurezza in base ai requisiti di Kaspersky Security Center, senza dipendere dai requisiti del software di terzi.

È possibile distribuire Administration Server in un server fisico o in un server virtuale. Verificare che il dispositivo selezionato soddisfi i requisiti hardware e software.

Posizione dell'Administration Server

I dispositivi gestiti da Administration Server possono essere posizionati come segue:

• Su una rete locale (LAN)

• Su internet

• Nella zona perimetrale (DMZ)

Al contempo, Administration Server può trovarsi anche in diversi segmenti: industriale, aziendale e DMZ.

Se si utilizza Kaspersky Security Center per gestire la protezione di un segmento di rete isolato, si consiglia di distribuire Administration Server in un segmento della zona perimetrale (DMZ). In questo modo, è possibile organizzare una corretta segmentazione della rete e ridurre al minimo il flusso di traffico verso il segmento protetto, mantenendo al contempo le funzionalità di gestione completa e la distribuzione degli aggiornamenti.

Limitazione della distribuzione di Administration Server in un controller di dominio, un server terminal o un dispositivo utente

Si sconsiglia vivamente di installare Administration Server in un controller di dominio, un server terminal o un dispositivo utente.

Si consiglia di fornire la separazione funzionale dei nodi chiave di rete. Questo approccio consente di mantenere l'operatività di diversi sistemi quando un nodo si guasta o è compromesso. Al contempo, è possibile creare diversi criteri di sicurezza per ciascun nodo.

Ad esempio, le limitazioni di sicurezza generalmente applicate a un controller di dominio possono ridurre significativamente le prestazioni di Administration Server e rendere impossibile l'utilizzo di alcune funzionalità di Administration Server. Se un intruso ottiene l'accesso privilegiato al controller di dominio, il database di AD DS (Active Directory Domain Services) può essere modificato, danneggiato o distrutto. Inoltre, tutti i sistemi e gli account gestiti da Active Directory possono essere compromessi.

Account per l'installazione e l'esecuzione di Administration Server

Si consiglia di eseguire l'installazione di Administration Server con un account amministratore locale per evitare di utilizzare account di dominio per accedere al database di Administration Server. Un set di account richiesti e i loro diritti dipende dal tipo di DBMS selezionato, dalla posizione del DBMS e dal metodo di creazione del database di Administration Server.

Durante l'installazione di Kaspersky Security Center vengono creati automaticamente i gruppi KLAdmins e KLOperators. A questi gruppi vengono concesse le autorizzazioni per la connessione ad Administration Server e per l'elaborazione dei relativi oggetti.

A seconda del tipo di account utilizzato per l'installazione di Kaspersky Security Center, i gruppi KLAdmins e KLOperators vengono creati come segue:

• Se l'applicazione è installata tramite un account utente incluso in un dominio, i gruppi vengono creati sia nel dispositivo Administration Server che nel dominio che include l'Administration Server.
• Se l'applicazione è installata tramite un account di sistema, i gruppi vengono creati soltanto nel dispositivo Administration Server.

Per evitare di creare i gruppi KLAdmins e KLOperators nel dominio e, di conseguenza, fornire i privilegi per gestire Administration Server a un account esterno al dispositivo Administration Server, si consiglia di installare Kaspersky Security Center con un account locale.

Durante l'installazione di Administration Server, selezionare l'account che verrà utilizzato per avviare Administration Server come servizio. Per impostazione predefinita, l'applicazione crea un account locale denominato KL-AK-*, con il quale verrà eseguito il servizio Administration Server (il servizio klserver).

Se necessario, il servizio Administration Server può essere eseguito con l'account selezionato. A questo account devono essere concessi i diritti richiesti per accedere al DBMS. Per motivi di sicurezza, utilizzare un account senza privilegi per eseguire il servizio Administration Server.

Per evitare l'uso di impostazioni dell'account errate, si consiglia di generare l'account automaticamente.

Esclusione di Administration Server da un dominio

Se si utilizza Administration Server per proteggere gruppi di dispositivi di importanza critica, si sconsiglia di includere il dispositivo Administration Server nel dominio. In questo modo, è possibile differenziare i diritti di gestione di Kaspersky Security Center e impedire l'accesso ad Administration Server nel caso in cui l'account di dominio venga compromesso.

Tenere presente che se si installa Administration Server in un dispositivo incluso nel gruppo di lavoro, i seguenti scenari di utilizzo di Administration Server non saranno disponibili:

• Utilizzo di un cluster di failover Kaspersky Security Center
• Utilizzo di un cluster di failover di Windows Server
• Utilizzo di SQL Server in un dispositivo separato

  È possibile utilizzare SQL Server in un dispositivo separato solo se Administration Server e SQL Server sono inclusi nel dominio.

• Installazione remota con gli strumenti di Administration Server tramite i criteri di gruppo di Active Directory

Se è necessario disconnettere Administration Server dal dominio Active Directory, attenersi alla procedura descritta nell'argomento: Come modificare il nome di Kaspersky Security Center.

Se è necessario installare Administration Server in un dispositivo incluso nel gruppo di lavoro, è possibile utilizzare anche Kaspersky Security Center Linux anziché Kaspersky Security Center Windows.

Sicurezza della connessione

Utilizzo di TLS

Si consiglia di vietare le connessioni non sicure ad Administration Server. Ad esempio, è possibile vietare le connessioni che utilizzano HTTP nelle impostazioni di Administration Server.

Si noti che, per impostazione predefinita, diverse porte HTTP di Administration Server sono chiuse. La porta rimanente viene utilizzata per il server Web di Administration Server (8060). Questa porta può essere limitata dalle impostazioni del firewall del dispositivo Administration Server.

Impostazioni TLS rigorose

Si consiglia di utilizzare il protocollo TLS versione 1.2 e successive e di limitare o vietare gli algoritmi di criptaggio non sicuri.

È possibile configurare i protocolli di criptaggio (TLS) utilizzati da Administration Server. Si noti che al momento del rilascio di una versione di Administration Server, le impostazioni del protocollo di criptaggio sono configurate per impostazione predefinita per garantire un trasferimento sicuro dei dati.

Limitazione dell'accesso al database di Administration Server

Si consiglia di limitare l'accesso al database di Administration Server. Ad esempio, concedere l'accesso solo dal dispositivo Administration Server. In questo modo, si riduce la probabilità che il database di Administration Server venga compromesso a causa di vulnerabilità note.

È possibile configurare i parametri in base alle istruzioni operative del database utilizzato, nonché fornire porte chiuse sui firewall.

Divieto di autenticazione remota tramite account Windows

È possibile utilizzare il contrassegno LP_RestrictRemoteOsAuth per vietare le connessioni SSPI da indirizzi remoti. Questo contrassegno consente di vietare l'autenticazione remota in Administration Server utilizzando account Windows locali o di dominio.

Per commutare il contrassegno LP_RestrictRemoteOsAuth nella modalità di divieto delle connessioni dagli indirizzi remoti:

1. Eseguire il prompt dei comandi di Windows con diritti di amministratore, quindi modificare la directory corrente nella directory con l'utilità klscflag. L'utilità klscflag si trova nella cartella in cui è installato Administration Server. Il percorso di installazione predefinito è <Disco>:\Programmi (x86)\ Kaspersky Lab\ Kaspersky Security Center.
2. Eseguire il comando riportato di seguito nella riga di comando per specificare il valore del contrassegno LP_RestrictRemoteOsAuth:

   klscflag.exe -fset -pv .core/.independent -s KLLIM -n LP_RestrictRemoteOsAuth -t d -v 1

3. Riavviare il servizio Administration Server.

Il contrassegno LP_RestrictRemoteOsAuth non funziona se l'autenticazione remota viene eseguita tramite Kaspersky Security Center Web Console o Administration Console installato nel dispositivo Administration Server.

Autenticazione di Microsoft SQL Server

Se Kaspersky Security Center utilizza Microsoft SQL Server come DBMS, è necessario proteggere i dati di Kaspersky Security Center trasferiti da o verso il database e i dati archiviati nel database da accessi non autorizzati. A tale scopo, è necessario fornire comunicazione sicura tra Kaspersky Security Center e SQL Server. Il modo più affidabile per garantire comunicazioni sicure è installare Kaspersky Security Center e SQL Server nello stesso dispositivo e utilizzare il meccanismo di memoria condivisa per entrambe le applicazioni. In tutti gli altri casi, è consigliabile utilizzare un certificato SSL/TLS per autenticare l'istanza di SQL Server.

In genere, Administration Server può indirizzare SQL Server tramite i seguenti provider:

• SQLOLEDB tramite TCP/IP o Named Pipe

  Questo provider è installato nel sistema operativo Windows e utilizzato per impostazione predefinita.

• MSOLEDBSQL tramite TCP/IP, Named Pipe o Memoria condivisa

  Se si desidera utilizzare questo provider, è necessario installarlo nel dispositivo con Administration Server, quindi impostare il valore 1 sulla variabile di ambiente globale KLDBADO_UseMSOLEDBSQL.

• MSOLEDBSQL19 utilizzando TCP/IP, Named Pipe o Memoria condivisa

  Se si desidera utilizzare questo provider, è necessario installarlo nel dispositivo con Administration Server, quindi impostare il valore 1 sulla variabile di ambiente globale KLDBADO_UseMSOLEDBSQL e il valore MSOLEDBSQL19 nella variabile di ambiente globale KLDBADO_ProviderName.

Inoltre, prima di utilizzare TCP/IP, Named Pipe o Memoria condivisa, verificare che il protocollo richiesto sia abilitato.

Configurazione di una lista di indirizzi IP consentiti per la connessione ad Administration Server

Per impostazione predefinita, gli utenti possono accedere a Kaspersky Security Center da qualsiasi dispositivo in cui possono aprire Kaspersky Security Center Web Console o in cui è installata Administration Console basata su MMC. Tuttavia, è possibile configurare Administration Server in modo che gli utenti possano connettersi ad esso solo da dispositivi con indirizzi IP consentiti. In questo caso, anche se un utente malintenzionato sottrae un account Kaspersky Security Center, sarà in grado di accedere a Kaspersky Security Center solo dagli indirizzi IP presenti nella lista consentiti.

Account e autenticazione

Prima di eseguire i seguenti passaggi, creare una copia di backup di Kaspersky Security Center Administration Server utilizzando Backup dei dati di Administration Server o l'utilità klbackup e salvarla in una posizione sicura.

Utilizzo della verifica in due passaggi con Administration Server

Kaspersky Security Center fornisce la verifica in due passaggi per gli utenti di Kaspersky Security Center Web Console e Administration Console, basata sullo standard RFC 6238 (algoritmo TOTP, Time-based One-time Password).

Quando la verifica in due passaggi è abilitata per il proprio account, ogni volta che si accede a Kaspersky Security Center Web Console o Administration Console è necessario immettere il nome utente, la password e un codice di sicurezza monouso aggiuntivo. Se si utilizza l'autenticazione del dominio per il proprio account, è sufficiente immettere un codice di sicurezza monouso aggiuntivo. Per ricevere un codice di sicurezza monouso è necessario installare un'app di autenticazione nel computer o nel dispositivo mobile.

Esistono autenticatori software e hardware (token) che supportano lo standard RFC 6238. Ad esempio, gli autenticatori software includono Google Authenticator, Microsoft Authenticator, FreeOTP.

Si sconsiglia vivamente di installare l'app di autenticazione nello stesso dispositivo da cui viene stabilita la connessione ad Administration Server. È possibile installare un'app di autenticazione nel dispositivo mobile.

Utilizzo dell'autenticazione a due fattori per un sistema operativo

Si consiglia di utilizzare l'autenticazione a più fattori (MFA) per l'autenticazione nel dispositivo Administration Server utilizzando un token, una smart card o un altro metodo (se possibile).

Divieto di salvare la password amministratore

Se si utilizza Administration Console, si sconsiglia di salvare la password dell'amministratore nella finestra di dialogo di connessione di Administration Server.

Se si utilizza Kaspersky Security Center Web Console, si sconsiglia di salvare la password amministratore nel browser installato nel dispositivo dell'utente.

Autenticazione di un account utente interno

Per impostazione predefinita, la password di un account utente interno di Administration Server deve rispettare le seguenti regole:

• La password deve avere una lunghezza compresa tra 8 e 16 caratteri.

• La password deve contenere caratteri da almeno tre dei gruppi elencati di seguito:

  • Lettere maiuscole (A-Z)

  • Lettere minuscole (a-z)

  • Numeri (0-9)

  • Caratteri speciali (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;)

• La password non deve contenere spazi, caratteri Unicode o la combinazione di "." e "@", quando "." si trova prima di "@".

Per impostazione predefinita, il numero massimo di tentativi di immissione della password consentiti è 10. È possibile modificare il numero di tentativi di immissione della password consentiti.

L'utente di Kaspersky Security Center può immettere una password non valida un numero limitato di volte. Una volta raggiunto il limite, l'account utente viene bloccato per un'ora.

Gruppo di amministrazione dedicato per Administration Server

Si consiglia di creare un gruppo di amministrazione dedicato per Administration Server. Concedere a questo gruppo diritti di accesso speciali e creare un criterio di sicurezza speciale per lo stesso.

Per evitare di abbassare intenzionalmente il livello di sicurezza di Administration Server, si consiglia di limitare l'elenco degli account che possono gestire il gruppo di amministrazione dedicato.

I gruppi KLAdmins e KLOperators

Durante l'installazione di Kaspersky Security Center vengono creati automaticamente i gruppi KLAdmins e KLOperators. Al gruppo KLAdmins vengono concessi tutti i diritti di accesso. Al gruppo KLOperators sono concessi solo i diritti di lettura ed esecuzione. I diritti concessi al gruppo KLAdmins sono bloccati.

È possibile visualizzare i gruppi KLAdmins e KLOperators e apportare modifiche a questi utilizzando gli strumenti di amministrazione standard del sistema operativo.

Quando si sviluppano i regolamenti per l'utilizzo di Administration Server, è necessario determinare se lo specialista della sicurezza delle informazioni richiede l'accesso completo (e l'inclusione nel gruppo KLAdmins) per eseguire le attività standard.

La maggior parte delle attività amministrative di base può essere distribuita tra reparti aziendali (o diversi dipendenti dello stesso reparto) e di conseguenza tra diversi account. In Kaspersky Security Center, è inoltre possibile impostare la differenziazione dell'accesso ai gruppi di amministrazione. Di conseguenza, è possibile implementare uno scenario in cui l'autorizzazione per gli account del gruppo KLAdmins sarà anomala e potrebbe essere considerata un incidente.

Se Kaspersky Security Center è stato installato con un account di sistema, i gruppi vengono creati solo nel dispositivo Administration Server. In questo caso, si consiglia di verificare che nel gruppo siano incluse solo le voci create durante l'installazione di Kaspersky Security Center. Si sconsiglia di aggiungere gli eventuali gruppi al gruppo KLAdmins (locale e/o di dominio) creato automaticamente durante l'installazione di Kaspersky Security Center. È inoltre necessario limitare i diritti per modificare questo gruppo. Il gruppo KLAdmins deve includere solo singoli account senza privilegi.

Se l'installazione è stata eseguita con un account utente di dominio, i gruppi KLAdmins e KLOperators vengono creati sia in Administration Server che nel dominio che include Administration Server. Si consiglia un approccio simile come l'installazione di un account locale.

Limitazione dell'appartenenza al ruolo di amministratore principale

Si consiglia di limitare l'appartenenza al ruolo di amministratore principale.

Per impostazione predefinita, dopo l'installazione di Administration Server, il ruolo di amministratore principale viene assegnato al gruppo di amministratori locali e al gruppo KLAdmins creato. È utile per la gestione, ma è fondamentale dal punto di vista della sicurezza, poiché il ruolo di amministratore principale ha una vasta gamma di privilegi. L'assegnazione di questo ruolo agli utenti dovrebbe essere strettamente regolamentata.

Gli amministratori locali possono essere esclusi dall'elenco di utenti con privilegi di amministratore di Kaspersky Security Center. Il ruolo di amministratore principale non può essere rimosso dal gruppo KLAdmins. È possibile includere nel gruppo KLAdmins gli account che verranno utilizzati per gestire Administration Server.

Se si utilizza l'autenticazione del dominio, si consiglia di limitare i privilegi degli account amministratore di dominio in Kaspersky Security Center. Per impostazione predefinita, questi account hanno il ruolo di amministratore principale. Inoltre, un amministratore di dominio può includere il proprio account nel gruppo KLAdmins per ottenere il ruolo di amministratore principale. Per evitare questo, nelle impostazioni di sicurezza di Kaspersky Security Center è possibile aggiungere il gruppo Domain Users e quindi definire le relative regole di divieto. Queste regole devono avere la precedenza su quelle di autorizzazione.

È inoltre possibile utilizzare i ruoli utente predefiniti con un set di diritti già configurato.

Configurazione dei diritti di accesso alle funzionalità dell'applicazione

Si consiglia di utilizzare una configurazione flessibile dei diritti di accesso alle funzionalità di Kaspersky Security Center per ciascun utente o gruppo di utenti.

Il controllo degli accessi in base al ruolo consente la creazione di ruoli utente standard con un set di diritti predefinito e l'assegnazione di tali ruoli agli utenti sulla base dell'ambito delle relative mansioni lavorative.

Principali vantaggi del modello di controllo degli accessi in base al ruolo:

• Amministrazione semplificata
• Gerarchia dei ruoli
• Approccio con privilegio minimo
• Separazione dei compiti

È possibile assegnare ruoli predefiniti a determinati dipendenti in base alle loro posizioni o creare ruoli completamente nuovi.

Durante la configurazione dei ruoli, prestare attenzione ai privilegi associati alla modifica dello stato della protezione del dispositivo Administration Server e all'installazione remota di software di terzi:

• Gestione dei gruppi di amministrazione.
• Operazioni con Administration Server.
• Installazione remota.
• Modifica dei parametri per l’archiviazione di eventi e l’invio delle notifiche.

  Questo privilegio consente di impostare notifiche che eseguono uno script o un modulo eseguibile nel dispositivo Administration Server quando si verifica un evento.

Account separato per l'installazione remota delle applicazioni

Oltre alla differenziazione di base dei diritti di accesso, si consiglia di limitare l'installazione remota delle applicazioni per tutti gli account (ad eccezione dell'amministratore principale o di un altro account specializzato).

Si consiglia di utilizzare un account separato per l'installazione remota delle applicazioni. È possibile assegnare un ruolo o autorizzazioni all'account separato.

Protezione degli accessi privilegiati di Windows

Si consiglia di consultare i suggerimenti di Microsoft per garantire la sicurezza degli accessi privilegiati. Per visualizzare questi suggerimenti, consultare l'articolo Protezione degli accessi privilegiati.

Utilizzo di un account MSA (Managed Service Account) o di account gMSA (group Managed Service Account) per eseguire il servizio Administration Server

Active Directory dispone di un tipo speciale di account per l'esecuzione sicura dei servizi, denominati MSA/gMSA. Kaspersky Security Center supporta gli account MSA e gli account gMSA. Se nel dominio vengono utilizzati questi tipi di account, è possibile selezionarne uno come account del servizio Administration Server.

Controllo periodico di tutti gli utenti e delle azioni degli utenti

Si consiglia di eseguire un controllo periodico di tutti gli utenti sul dispositivo Administration Server. In questo modo, è possibile rispondere a determinati tipi di minacce alla sicurezza associate alla possibile compromissione del dispositivo.

È inoltre possibile monitorare le azioni degli utenti, ad esempio la connessione e la disconnessione da Administration Server, la connessione ad Administration Server con un errore e la modifica degli oggetti (per gli oggetti che supportano la gestione delle revisioni).

Gestione della protezione di Administration Server

Selezione di un software di protezione di Administration Server

A seconda del tipo di distribuzione di Administration Server e della strategia di protezione generale, selezionare l'applicazione per proteggere il dispositivo Administration Server.

Se si distribuisce Administration Server in un dispositivo dedicato, si consiglia di selezionare l'applicazione Kaspersky Endpoint Security per proteggere il dispositivo Administration Server. In questo modo, è possibile applicare tutte le tecnologie disponibili per proteggere il dispositivo Administration Server, inclusi i moduli di analisi del comportamento.

Se Administration Server è installato in un dispositivo esistente nell'infrastruttura ed è stato utilizzato in precedenza per altre attività, si consiglia di prendere in considerazione il seguente software di protezione:

• Kaspersky Industrial CyberSecurity for Nodes. Si consiglia di installare questa applicazione nei dispositivi inclusi in una rete industriale. Kaspersky Industrial CyberSecurity for Nodes è un'applicazione che dispone di certificati di compatibilità con vari produttori di software industriale.
• Prodotti di sicurezza suggeriti. Se Administration Server è installato in un dispositivo con altro software, si consiglia di consultare i suggerimenti del fornitore del software sulla compatibilità delle soluzioni di sicurezza (potrebbero già essere disponibili suggerimenti per la selezione di una soluzione di sicurezza e potrebbe essere necessario configurare l'area attendibile).

Creazione di un criterio di sicurezza separato per l'applicazione di protezione

Si consiglia di creare un criterio di sicurezza separato per l'applicazione che protegge il dispositivo Administration Server. Questo criterio deve essere diverso dal criterio di sicurezza per i dispositivi client. In questo modo, è possibile specificare le impostazioni di sicurezza più appropriate per Administration Server, senza influire sul livello di protezione di altri dispositivi.

Si consiglia di dividere i dispositivi in gruppi e quindi di inserire il dispositivo Administration Server in un gruppo separato per il quale è possibile creare criteri di sicurezza speciali.

Moduli di protezione

In assenza di suggerimenti speciali da parte del fornitore del software di terzi installato nello stesso dispositivo di Administration Server, si consiglia di attivare e configurare tutti i moduli di protezione disponibili (dopo aver verificato il funzionamento di tali moduli di protezione per un certo periodo di tempo).

Configurazione del firewall del dispositivo Administration Server

Nel dispositivo Administration Server, si consiglia di configurare il firewall in modo da limitare il numero di dispositivi da cui gli amministratori possono connettersi ad Administration Server tramite Administration Console o Kaspersky Security Center Web Console.

Per impostazione predefinita, Administration Server utilizza la porta 13291 per ricevere connessioni da Administration Console e la porta 13299 per ricevere connessioni da Kaspersky Security Center Web Console. Si consiglia di limitare il numero di dispositivi da cui è possibile gestire Administration Server utilizzando queste porte.

Gestione della protezione dei dispositivi client

Limitazione dell'aggiunta di chiavi di licenza ai pacchetti di installazione

I pacchetti di installazione sono archiviati nella cartella condivisa di Administration Server, nella sottocartella Pacchetti. Se si aggiunge una chiave di licenza a un pacchetto di installazione, la chiave di licenza potrebbe essere compromessa poiché i diritti di accesso in lettura condivisi sono abilitati per l'archivio dei pacchetti di installazione.

Per evitare di compromettere la chiave di licenza, si sconsiglia di aggiungere chiavi di licenza ai pacchetti di installazione.

Si consiglia di utilizzare la distribuzione automatica delle chiavi di licenza ai dispositivi gestiti, la distribuzione tramite l'attività Aggiungi chiave di licenza per un'applicazione gestita e aggiungere manualmente un codice di attivazione o un file chiave ai dispositivi.

Regole automatiche per lo spostamento dei dispositivi tra i gruppi di amministrazione

Si consiglia di limitare l'uso delle regole automatiche per lo spostamento dei dispositivi tra i gruppi di amministrazione.

Se si utilizzano regole automatiche per lo spostamento dei dispositivi, ciò potrebbe comportare la propagazione di criteri che forniscono più privilegi al dispositivo spostato rispetto a quelli di cui disponeva prima del riposizionamento.

Inoltre, lo spostamento di un dispositivo client in un altro gruppo di amministrazione può comportare la propagazione delle impostazioni dei criteri. Queste impostazioni dei criteri potrebbero non essere appropriate per la distribuzione a dispositivi guest e non attendibili.

Questo suggerimento non si applica all'allocazione iniziale una tantum dei dispositivi ai gruppi di amministrazione.

Requisiti di sicurezza per i punti di distribuzione e i gateway di connessione

I dispositivi con Network Agent installato possono fungere da punto di distribuzione ed eseguire le seguenti funzioni:

• Distribuire gli aggiornamenti e i pacchetti di installazione ricevuti da Administration Server ai dispositivi client all'interno del gruppo.
• Eseguire l'installazione remota di software di terzi e applicazioni Kaspersky nei dispositivi client.
• Eseguire il polling della rete per rilevare nuovi dispositivi e aggiornare le informazioni sui dispositivi esistenti. Il punto di distribuzione può utilizzare gli stessi metodi di rilevamento dei dispositivi di Administration Server.

Posizionamento dei punti di distribuzione sulla rete dell'organizzazione utilizzati per:

• Riduzione del carico su Administration Server
• Ottimizzazione del traffico
• Concessione all'Administration Server dell'accesso ai dispositivi in parti difficili da raggiungere della rete

Tenendo conto delle capacità disponibili, si consiglia di proteggere i dispositivi che fungono da punti di distribuzione da qualsiasi tipo di accesso non autorizzato (anche fisico).

Limitazione dell'assegnazione automatica dei punti di distribuzione

Per semplificare l'amministrazione e assicurare l'operatività della rete, si consiglia di utilizzare l'assegnazione automatica dei punti di distribuzione. Tuttavia, per le reti industriali e le reti di piccole dimensioni, si consiglia di evitare l'assegnazione automatica dei punti di distribuzione, poiché, ad esempio, le informazioni private degli account utilizzati per il push delle attività di installazione remota possono essere trasferite ai punti di distribuzione tramite il sistema operativo.

Per le reti industriali e le reti di piccole dimensioni, è possibile assegnare manualmente i dispositivi in modo che fungano da punti di distribuzione.

È inoltre possibile visualizzare il Rapporto sull'attività dei punti di distribuzione.

Configurazione della protezione per le applicazioni gestite

Criteri delle applicazioni gestite

Si consiglia di creare un criterio per ogni tipo di applicazione utilizzata e componente di Kaspersky Security Center (Network Agent, Kaspersky Endpoint Security for Windows, Kaspersky Endpoint Agent e altri). Questo criterio deve essere applicato a tutti i dispositivi gestiti (il gruppo di amministrazione principale) o a un gruppo separato in cui i nuovi dispositivi gestiti vengono automaticamente spostati in base alle regole di spostamento configurate.

Indicazione della password per disabilitare la protezione e disinstallare l'applicazione

Per impedire agli intrusi di disabilitare le applicazioni di protezione Kaspersky, si consiglia vivamente di abilitare la protezione tramite password per disabilitare la protezione e disinstallare le applicazioni di protezione Kaspersky. È possibile impostare la password, ad esempio, per Kaspersky Endpoint Security for Windows, Kaspersky Security for Windows Server, Network Agent e altre applicazioni Kaspersky. Dopo aver abilitato la protezione tramite password, si consiglia di bloccare queste impostazioni chiudendo il "lucchetto".

Specificazione della password per la connessione manuale di un dispositivo client ad Administration Server (utilità klmover)

L'utilità klmover consente di connettere manualmente un dispositivo client ad Administration Server. Quando si installa Network Agent su un dispositivo client, l'utilità viene automaticamente copiata nella cartella di installazione di Network Agent.

Per impedire agli intrusi di spostare i dispositivi fuori dal controllo di Administration Server, si consiglia di abilitare la protezione tramite password per l'esecuzione dell'utilità klmover. Per abilitare la protezione con password, selezionare l'opzione Usa password di disinstallazione nelle impostazioni dei criteri di Network Agent.

L'utilità klmover richiede i diritti di amministratore locale. La protezione tramite password per l'esecuzione dell'utilità klmover può essere omessa per i dispositivi utilizzati senza diritti di amministratore locale.

L'abilitazione dell'opzione Usa password di disinstallazione abilita anche la protezione con password per lo strumento Cleaner (cleaner.exe).

Utilizzo di Kaspersky Security Network

In tutti i criteri delle applicazioni gestite e nelle proprietà di Administration Server, si consiglia di abilitare l'uso di Kaspersky Security Network (KSN) e di accettare l'Informativa KSN. Quando si aggiorna o si effettua l'upgrade di Administration Server, è possibile accettare l'Informativa KSN aggiornata. In alcuni casi, quando l'uso dei servizi cloud è vietato dalla legge o da altri regolamenti, è possibile disabilitare KSN.

Scansione regolare dei dispositivi gestiti

Per tutti i gruppi di dispositivi, si consiglia di creare un'attività che esegua periodicamente una scansione completa dei dispositivi.

Individuazione di nuovi dispositivi

Si consiglia di configurare correttamente le impostazioni di rilevamento dei dispositivi: impostare l'integrazione con Active Directory e specificare gli intervalli di indirizzi IP per il rilevamento di nuovi dispositivi.

Per motivi di sicurezza, è possibile utilizzare il gruppo di amministrazione predefinito che include tutti i nuovi dispositivi e i criteri predefiniti che interessano questo gruppo.

Selezione di una cartella condivisa

Se si distribuisce Administration Server nel dispositivo in cui viene eseguito Windows con la selezione di una cartella condivisa esistente (utilizzata, ad esempio, per l'inserimento dei pacchetti di installazione e l'archiviazione dei database aggiornati), si consiglia di verificare che i diritti di lettura siano concessi al gruppo Everyone, e i diritti di scrittura sono concessi al gruppo KLAdmins.

Manutenzione di Administration Server

Copia di backup dei dati di Administration Server

Backup dei dati consente di ripristinare i dati di Administration Server senza perdita di dati.

Le impostazioni dell'attività di backup dei dati possono essere modificate come segue:

• La frequenza di backup aumenta
• Viene specificata una directory speciale per il salvataggio delle copie
• Le password per le copie di backup sono state modificate

Se si archiviano copie di backup in una directory speciale, diversa dalla directory predefinita, si consiglia di limitare l'elenco di controllo di accesso (ACL, Access Control List) per questa directory. Gli account di Administration Server e gli account del database di Administration Server devono disporre dell'accesso in scrittura per questa directory.

Manutenzione di Administration Server

La manutenzione di Administration Server consente di ridurre il volume del database e migliorare le prestazioni e l'affidabilità delle operazioni dell'applicazione. È consigliabile eseguire la manutenzione di Administration Server almeno ogni settimana.

La manutenzione di Administration Server viene eseguita tramite un'attività specializzata. Durante la manutenzione di Administration Server, l'applicazione esegue le azioni seguenti:

• Verifica se sono presenti errori nel database
• Riorganizza gli indici del database
• Aggiorna le statistiche del database
• Riduce le dimensioni del database (se necessario)

Installazione degli aggiornamenti del sistema operativo e degli aggiornamenti software di terzi

Si consiglia vivamente di installare periodicamente gli aggiornamenti software per il sistema operativo e il software di terzi nel dispositivo Administration Server.

I dispositivi client non richiedono una connessione continua ad Administration Server, quindi è possibile riavviare il dispositivo Administration Server in modo sicuro dopo aver installato gli aggiornamenti. Tutti gli eventi registrati nei dispositivi client durante il periodo di inattività di Administration Server vengono inviati ad esso dopo il ripristino della connessione.

Trasferimento di eventi a sistemi di terzi

Monitoraggio e generazione dei rapporti

Per una risposta tempestiva agli incidenti di sicurezza, si consiglia di configurare le funzionalità di monitoraggio e generazione dei rapporti.

Esportazione di eventi nei sistemi SIEM

Per il rilevamento rapido degli incidenti prima che si verifichino danni significativi, si consiglia di utilizzare l'esportazione degli eventi in un sistema SIEM.

Notifiche e-mail degli eventi di controllo

Kaspersky Security Center consente di ricevere informazioni sugli eventi che si verificano durante l'esecuzione di Administration Server e delle applicazioni Kaspersky installate nei dispositivi gestiti. Per una risposta tempestiva alle emergenze, si consiglia di configurare Administration Server in modo che invii notifiche sugli eventi di controllo, gli eventi critici, gli eventi di errore e gli avvisi pubblicati.

Poiché questi eventi sono eventi interni al sistema, è prevedibile che se ne verifichino pochi; si tratta di una situazione abbastanza normale per la posta.

Preparazione per la distribuzione

Questa sezione descrive le operazioni che è necessario eseguire prima della distribuzione di Kaspersky Security Center.

Pianificazione della distribuzione di Kaspersky Security Center

Questa sezione contiene informazioni sulle opzioni più convenienti per la distribuzione dei componenti di Kaspersky Security Center nella rete di un'organizzazione a seconda dei seguenti criteri:

• Numero totale di dispositivi
• Unità (sedi locali, filiali) separate a livello organizzativo o geografico
• Reti distinte connesse tramite canali con larghezza di banda ridotta
• Necessità dell'accesso via Internet all'Administration Server

Schemi tipici di distribuzione di un sistema di protezione

In questa sezione vengono descritti gli schemi standard per la distribuzione di un sistema di protezione anti-virus in una rete aziendale tramite Kaspersky Security Center.

Il sistema deve essere protetto contro qualsiasi tipo di accesso non autorizzato. È consigliabile installare tutti gli aggiornamenti della protezione disponibili per il sistema operativo prima di installare l'applicazione nel dispositivo e proteggere fisicamente Administration Server e punti di distribuzione.

È possibile utilizzare Kaspersky Security Center per distribuire un sistema di protezione in una rete aziendale tramite i seguenti schemi di distribuzione:

• Distribuzione di un sistema di protezione tramite Kaspersky Security Center, mediante uno dei seguenti modi:
  • Tramite Administration Console
  • Tramite Kaspersky Security Center Web Console

  Le applicazioni Kaspersky vengono installate automaticamente nei dispositivi client che, a loro volta, vengono connessi automaticamente ad Administration Server utilizzando Kaspersky Security Center.

  Lo schema di distribuzione di base prevede la distribuzione di un sistema di protezione tramite Administration Console. L'utilizzo di Kaspersky Security Center Web Console consente di avviare l'installazione delle applicazioni Kaspersky da un browser.

• Distribuzione manuale di un sistema di protezione utilizzando pacchetti di installazione indipendenti generati da Kaspersky Security Center.

  L'installazione delle applicazioni Kaspersky nei dispositivi client e nella workstation dell'amministratore viene eseguita manualmente; le impostazioni per la connessione dei dispositivi client ad Administration Server vengono specificate durante l'installazione di Network Agent.

  Questo metodo di distribuzione è consigliato nei casi in cui l'installazione remota non è possibile.

Kaspersky Security Center consente inoltre di distribuire il sistema di protezione utilizzando i criteri di gruppo di Microsoft Active Directory.

Informazioni sulla pianificazione della distribuzione di Kaspersky Security Center nella rete di un'organizzazione

Un solo Administration Server può supportare un massimo di 100.000 dispositivi. Se il numero totale di dispositivi nella rete di un'organizzazione è superiore a 100.000, è necessario distribuire più Administration Server nella rete e combinarli in una gerarchia per gestirli comodamente in modo centralizzato.

Se un'organizzazione include sedi locali remote su larga scala (filiali) con amministratori distinti, è consigliabile distribuire gli Administration Server in tali sedi. In caso contrario, tali filiali devono essere considerate reti distinte connesse tramite canali a basso throughput; vedere la sezione "Configurazione standard: poche sedi su larga scala gestite da amministratori distinti".

Quando si utilizzano reti distinte connesse tramite canali con larghezza di banda ridotta, è possibile ridurre il traffico assegnando a uno o più Network Agent il ruolo di punto di distribuzione (vedere la tabella per il calcolo del numero di punti di distribuzione). In questo caso, tutti i dispositivi in una rete distinta recupereranno gli aggiornamenti da tali centri di aggiornamento locali. I punti di distribuzione effettivi possono scaricare gli aggiornamenti sia da Administration Server (scenario predefinito) sia dai server Kaspersky in Internet (vedere la sezione "Configurazione standard: più sedi remote di piccole dimensioni").

La sezione "Configurazioni standard di Kaspersky Security Center" fornisce descrizioni dettagliate delle configurazioni standard di Kaspersky Security Center. Durante la pianificazione della distribuzione, scegliere la configurazione standard più adatta, in base alla struttura dell'organizzazione.

In fase di pianificazione della distribuzione, deve essere valutata l'assegnazione di uno speciale certificato X.509 all'Administration Server. L'assegnazione del certificato X.509 all'Administration Server può essere utile nei seguenti casi (elenco parziale):

• Ispezione del traffico SSL (Secure Sockets Layer) per mezzo di un proxy con terminazione SSL o per l'utilizzo di un proxy inverso
• Integrazione con l'infrastruttura PKI (Public Key Infrastructure) di un'organizzazione
• Specificazione dei valori richiesti nei campi del certificato
• Specificazione del livello di criptaggio richiesto di un certificato

Selezione di una struttura per la protezione di un'azienda

La selezione di una struttura per la protezione di un'organizzazione viene definita dai seguenti fattori:

• Topologia della rete dell'organizzazione.
• Struttura dell'organizzazione.
• Numero di dipendenti responsabili della protezione della rete e allocazione delle relative responsabilità.
• Risorse hardware che possono essere allocate nei componenti di gestione della protezione.
• Throughput dei canali di comunicazione che è possibile allocare per la manutenzione dei componenti della protezione nella rete dell'organizzazione.
• Limiti di tempo per l'esecuzione di operazioni amministrative critiche nella rete dell'organizzazione. Le operazioni amministrative critiche includono, ad esempio, la distribuzione dei database anti-virus e la modifica dei criteri per i dispositivi client.

Quando si seleziona una struttura di protezione, è innanzitutto consigliabile effettuare una stima delle risorse hardware e di rete disponibili che è possibile utilizzare per l'esecuzione di un sistema di protezione centralizzato.

Per analizzare l'infrastruttura di rete e hardware, è consigliabile attenersi alla seguente procedura:

1. Definire le seguenti impostazioni della rete per cui verrà distribuita la protezione:
   • Numero di segmenti di rete.
   • Velocità dei canali di comunicazione tra i singoli segmenti di rete.
   • Numero di dispositivi gestiti in ciascun segmento di rete.
   • Throughput di ciascun canale di comunicazione che è possibile allocare per garantire il funzionamento della protezione.
2. Determinare il tempo massimo consentito per l'esecuzione delle operazioni di amministrazione chiave per tutti i dispositivi gestiti.
3. Analizzare le informazioni dei passaggi 1 e 2, oltre ai dati dai test di carico del sistema di amministrazione. In base all'analisi, rispondere alle seguenti domande:
   • È possibile servire tutti i client con un solo Administration Server o è necessaria una gerarchia di Administration Server?
   • Quale configurazione hardware di Administration Server è necessaria per gestire tutti i client nel rispetto dei limiti di tempo specificati al passaggio 2?
   • È necessario utilizzare i punti di distribuzione per ridurre il carico sui canali di comunicazione?

Dopo aver ottenuto le risposte alle domande indicate nel passaggio 3, è possibile compilare un set di strutture consentite per la protezione dell'organizzazione.

Nella rete dell'organizzazione è possibile utilizzare una delle seguenti strutture di protezione standard:

• Un solo Administration Server. Tutti i dispositivi client sono connessi a un solo Administration Server. Administration Server opera come punto di distribuzione.
• Un solo Administration Server con punti di distribuzione. Tutti i dispositivi client sono connessi a un solo Administration Server. Alcuni dispositivi client della rete operano come punti di distribuzione.
• Gerarchia di Administration server. Per ciascun segmento di rete viene allocato un singolo Administration Server, che entra a far parte di una gerarchia generale di Administration Server. L'Administration Server primario opera come punto di distribuzione.
• Gerarchia di Administration Server con punti di distribuzione. Per ciascun segmento di rete viene allocato un singolo Administration Server, che entra a far parte di una gerarchia generale di Administration Server. Alcuni dispositivi client della rete operano come punti di distribuzione.

Configurazioni standard di Kaspersky Security Center

Questa sezione descrive le seguenti configurazioni standard utilizzate per la distribuzione dei componenti di Kaspersky Security Center nella rete di un'organizzazione:

• Singola sede
• Poche sedi su larga scala, separate a livello geografico e gestite da amministratori distinti
• Più sedi di piccole dimensioni, separate a livello geografico

Configurazione standard: singola sede

È possibile distribuire uno o più Administration Server nella rete dell'organizzazione. Il numero di Administration Server che è possibile selezionare può essere basato sull'hardware disponibile o sul numero totale di dispositivi gestiti.

Un solo Administration Server può supportare fino a 100.000 dispositivi. È necessario tenere conto della possibilità di aumentare il numero di dispositivi gestiti in futuro: può essere utile connettere un numero più limitato di dispositivi a un singolo Administration Server.

Gli Administration Server possono essere distribuiti nella rete interna o nella rete perimetrale, a seconda del fatto che sia necessario o meno l'accesso via Internet agli Administration Server.

Se vengono utilizzati più server, è consigliabile combinarli in una gerarchia. L'utilizzo di una gerarchia di Administration Server consente di evitare la duplicazione di criteri e attività e di amministrare l'intero set di dispositivi gestiti come se fossero gestiti da un singolo Administration Server (ricerca di dispositivi, creazione di selezioni di dispositivi e generazione di rapporti).

Configurazione standard: poche sedi su larga scala gestite da amministratori distinti

Se un'organizzazione ha diverse sedi su larga scala e geograficamente distanti, è necessario prendere in considerazione l'opzione di distribuire Administration Server in ciascuna sede. Per ogni sede possono essere distribuiti uno o più server di amministrazione, a seconda del numero di dispositivi client e dell'hardware disponibile. In questo caso, ciascuna sede avrà le caratteristiche descritte nello scenario "Configurazione standard: singola sede". Per semplificare l'amministrazione è consigliabile combinare tutti gli Administration Server in una gerarchia (possibilmente multi-livello).

Se alcuni dipendenti si spostano da un ufficio all'altro con i propri dispositivi (laptop), creare profili di connessione di Network Agent nel criterio di Network Agent. I profili di connessione di Network Agent sono supportati solo per i dispositivi Windows e macOS.

Configurazione standard: più sedi remote di piccole dimensioni

Questa configurazione standard prevede una sede centrale e diverse sedi remote di piccole dimensioni che possono comunicare con la sede centrale tramite Internet. Ogni sede remota può essere posizionata dietro un NAT (Network Address Translation), quindi non è possibile stabilire alcuna connessione tra due sedi remote poiché sono isolate.

È necessario distribuire un Administration Server nella sede centrale e assegnare uno o più punti di distribuzione a tutte le altre sedi. Se le sedi sono collegate via Internet, può essere utile creare un'attività Scarica aggiornamenti negli archivi dei punti di distribuzione per i punti di distribuzione, in modo gli aggiornamenti vengano scaricati direttamente dai server di Kaspersky, dalla cartella locale o di rete, invece che da Administration Server.

Se alcuni dispositivi in una sede remota non hanno accesso diretto all'Administration Server (ad esempio, l'accesso all'Administration Server viene fornito via Internet ma alcuni dispositivi non hanno accesso a Internet), i punti di distribuzione devono essere impostati in modalità gateway di connessione. In questo caso, i Network Agent nei dispositivi della sede remota saranno connessi per l'ulteriore sincronizzazione all'Administration Server, ma attraverso il gateway, non direttamente.

Poiché in genere l'Administration Server non è in grado di eseguire il polling della rete della sede remota, può essere utile assegnare questa funzione a un punto di distribuzione.

L'Administration Server non potrà inviare notifiche tramite la porta UDP 15000 ai dispositivi gestiti posizionati dietro il NAT nella sede remota. Per risolvere questo problema, è possibile abilitare la modalità di connessione continua ad Administration Server nelle proprietà dei dispositivi che operano come punti di distribuzione (casella di controllo Non eseguire la disconnessione da Administration Server). Questa modalità è disponibile se il numero totale di punti di distribuzione non è superiore a 300. Utilizzare i server push per assicurarsi che vi sia una connettività costante tra un dispositivo gestito e l'Administration Server. Per ulteriori dettagli, fare riferimento al seguente argomento: Utilizzo di un punto di distribuzione come server push.

Selezione di un DBMS

Durante la selezione del sistema di gestione database (DBMS) che deve essere utilizzato da un Administration Server, è necessario tenere conto del numero di dispositivi coperti dall'Administration Server.

Nella seguente tabella, sono elencate le opzioni DBMS valide, nonché i suggerimenti e le limitazioni per il relativo utilizzo.

Suggerimenti e limitazioni su DBMS

Se si utilizza un DBMS PostgreSQL, MariaDB o MySQL, la scheda Eventi potrebbe mostrare un elenco incompleto di eventi per il dispositivo client selezionato. Questo si verifica quando il DBMS archivia una quantità molto elevata di eventi. È possibile aumentare il numero di eventi visualizzati effettuando una delle seguenti operazioni:

• Rimozione degli eventi non necessari.
• Riduzione del periodo di archiviazione per gli eventi non necessari.

Per visualizzare un elenco completo degli eventi registrati in Administration Server per il dispositivo, utilizzare Rapporti.

Se si utilizza SQL Server 2019 come DBMS e non si dispone della patch cumulativa CU12 o versione successiva, è necessario eseguire le seguenti operazioni dopo l'installazione di Kaspersky Security Center:

1. Stabilire la connessione a SQL Server utilizzando SQL Management Studio.
2. Eseguire il seguente comando (se è stato selezionato un nome diverso per il database, utilizza quel nome invece di KAV):

   USE KAV

   GO

   ALTER DATABASE SCOPED CONFIGURATION SET TSQL_SCALAR_UDF_INLINING = OFF

   GO

3. Riavviare il servizio SQL Server 2019.

In alternativa, l'utilizzo di SQL Server 2019 può generare errori, ad esempio "Memoria di sistema insufficiente nel pool di risorse 'interno' per l'esecuzione di questa query".

Configurazione del server MariaDB x64 per l'utilizzo con Kaspersky Security Center 14.2

Kaspersky Security Center 14.2 supporta il DBMS MariaDB. Per ulteriori informazioni sulle versioni supportate di MariaDB, vedere la sezione Requisiti hardware e software.

Se si utilizza il DBMS MariaDB per Kaspersky Security Center, abilitare il supporto per InnoDB e l'archiviazione MEMORY, nonché per le codifiche UTF-8 e UCS-2.

Impostazioni consigliate per il file my.ini

Per configurare il file my.ini:

1. Aprire il file my.ini in un editor di testo.
2. Aggiungere le seguenti righe nella sezione [mysqld] del file my.ini:

   sort_buffer_size=10M

   join_buffer_size=100M

   join_buffer_space_limit=300M

   join_cache_level=8

   tmp_table_size=512M

   max_heap_table_size=512M

   key_buffer_size=200M

   innodb_buffer_pool_size=<valore>

   innodb_thread_concurrency=20

   innodb_flush_log_at_trx_commit=0

   innodb_lock_wait_timeout=300

   max_allowed_packet=32M

   max_connections=151

   max_prepared_stmt_count=12800

   table_open_cache=60000

   table_open_cache_instances=4

   table_definition_cache=60000

   Il valore di "innodb_buffer_pool_size non deve essere inferiore all'80% della dimensione del database KAV prevista. Si noti che la memoria specificata viene allocata all'avvio del server. Se la dimensione del database è inferiore alla dimensione del buffer specificata, viene allocata solo la memoria richiesta. Se si utilizza MariaDB 10.4.3 o versione precedente, la dimensione effettiva della memoria allocata è di circa il 10% maggiore rispetto alla dimensione del buffer specificata.

   È consigliabile utilizzare il valore del parametro innodb_flush_log_at_trx_commit=0, perché i valori "1" o "2" influiscono negativamente sulla velocità di esecuzione di MariaDB. Assicurarsi che il parametro innodb_file_per_table sia impostato su 1.

   Per MariaDB 10.6, immettere inoltre le seguenti righe nella sezione [mysqld]:

   optimizer_prune_level=0

   optimizer_search_depth=8

Per impostazione predefinita, i componenti aggiuntivi dell'ottimizzatore join_cache_incremental, join_cache_hashed e join_cache_bka sono abilitati. Se questi componenti aggiuntivi non sono abilitati, è necessario abilitarli.

Per verificare se i componenti aggiuntivi dell'ottimizzatore sono abilitati:

1. Nella console del client MariaDB eseguire il comando:

   SELECT @@optimizer_switch;

2. Verificare che l'output del comando contenga le seguenti righe:

   join_cache_incremental=on

   join_cache_hashed=on

   join_cache_bka=on

   Se queste righe sono presenti e hanno il valore on, i componenti aggiuntivi dell'ottimizzatore sono abilitati.

   Se queste righe non sono presenti o hanno il valore off, eseguire le seguenti operazioni:

   1. Aprire il file my.ini in un editor di testo.
   2. Aggiungere le seguenti righe nella sezione [mysqld] del file my.ini:

      optimizer_switch='join_cache_incremental=on'

      optimizer_switch='join_cache_hashed=on'

      optimizer_switch='join_cache_bka=on'

I componenti aggiuntivi join_cache_incremental, join_cache_hash e join_cache_bka vengono abilitati.

Configurazione del server MySQL x64 per l'utilizzo con Kaspersky Security Center 14.2

Se si utilizza il DBMS MySQL per Kaspersky Security Center, abilitare il supporto per InnoDB e l'archiviazione MEMORY, nonché per le codifiche UTF-8 e UCS-2.

Impostazioni consigliate per il file my.ini

Per configurare il file my.ini:

1. Aprire il file my.ini in un editor di testo.
2. Aggiungere le seguenti righe nella sezione [mysqld] del file my.ini:

   sort_buffer_size=10M

   join_buffer_size=20M

   tmp_table_size=600M

   max_heap_table_size=600M

   key_buffer_size=200M

   innodb_buffer_pool_size=il valore reale non deve essere inferiore all'80% delle dimensioni previste del database KAV

   innodb_thread_concurrency=20

   innodb_flush_log_at_trx_commit=0 (nella maggior parte dei casi il server utilizza piccole transazioni)

   innodb_lock_wait_timeout=300

   max_allowed_packet=32M

   max_connections=151

   max_prepared_stmt_count=12800

   table_open_cache=60000

   table_open_cache_instances=4

   table_definition_cache=60000

   Si noti che la memoria specificata nel valore innodb_buffer_pool_size viene allocato all'avvio del server. Se la dimensione del database è inferiore alla dimensione del buffer specificata, viene allocata solo la memoria richiesta. La dimensione effettiva della memoria allocata è di circa il 10% maggiore rispetto alla dimensione del buffer specificata. Per ulteriori dettagli, consultare la documentazione di MySQL.

   È consigliabile utilizzare il valore del parametro innodb_flush_log_at_trx_commit = 0, perché i valori "1" o "2" influiscono negativamente sulla velocità di esecuzione di MySQL. Assicurarsi che il parametro innodb_file_per_table sia impostato su 1.

Configurazione del server PostgreSQL o Postgres per l'utilizzo con Kaspersky Security Center 14.2

Kaspersky Security Center 14.2 supporta i DBMS PostgreSQL e Postgres Pro. Se si utilizza uno di questi DBMS, prendere in considerazione la configurazione dei parametri del server DBMS per ottimizzare il funzionamento del DBMS con Kaspersky Security Center.

Il percorso predefinito del file di configurazione è: C:\Program Files\PostgreSQL\<VERSIONE>\data\postgresql.conf

Parametri consigliati per PostgreSQL e Postgres Pro:

• shared_buffers = 25% del valore della RAM del dispositivo in cui è installato il DBMS

  Se la RAM è inferiore a 1 GB, lasciare il valore predefinito.

• max_stack_depth = 2MB
• temp_buffers = 24MB
• work_mem = 16MB
• max_connections = 151
• max_parallel_workers_per_gather = 0
• maintenance_work_mem = 128MB

Assicurarsi che il parametro standard_conforming_strings sia impostato sul valore predefinito on. Ricaricare la configurazione o riavviare il server dopo aver aggiornato il file postgresql.conf. Per ulteriori dettagli, consultare la documentazione di PostgreSQL.

Per informazioni dettagliate sui parametri dei server PostgreSQL e Postgres Pro e su come specificarli, fare riferimento alla documentazione del DBMS corrispondente.

Per ulteriori dettagli sulla creazione e la configurazione degli account per PostgreSQL e Postgres Pro, consultare il seguente argomento: Configurazione degli account per l'utilizzo di PostgreSQL e Postgres Pro.

Gestione dei dispositivi mobili con Kaspersky Endpoint Security for Android

I dispositivi mobili in cui è installato Kaspersky Endpoint Security for Android (di seguito denominati dispositivi KES) sono gestiti tramite l'Administration Server. Kaspersky Security Center supporta le seguenti funzionalità per la gestione dei dispositivi KES:

• Gestione dei dispositivi mobili come dispositivi client:
  • Appartenenza ai gruppi di amministrazione
  • Monitoraggio, ad esempio la visualizzazione di stati, eventi e rapporti
  • Modifica delle impostazioni locali e assegnazione di criteri per Kaspersky Endpoint Security for Android
• Invio di comandi in modalità centralizzata
• Installazione remota di pacchetti app mobili

Administration Server gestisce i dispositivi KES tramite TLS, porta TCP 13292.

Concessione dell'accesso via Internet all'Administration Server

L'accesso via Internet all'Administration Server è necessario nei seguenti casi:

• Aggiornamento periodico dei database, dei moduli software e delle applicazioni Kaspersky
• Aggiornamento di software di terze parti

  Per impostazione predefinita, non è richiesta la connessione Internet per l'installazione degli aggiornamenti software Microsoft nei dispositivi gestiti da parte di Administration Server. I dispositivi gestiti possono ad esempio scaricare gli aggiornamenti software Microsoft direttamente dai server Microsoft Update o da Windows Server con Microsoft Windows Server Update Services (WSUS) distribuito nella rete dell'organizzazione. Administration Server deve essere connesso a Internet nei seguenti casi:

  • Quando si usa Administration Server come server WSUS
  • Per installare gli aggiornamenti di software di terze parti diverso dal software Microsoft
• Correzione delle vulnerabilità del software di terze parti

  È necessaria una connessione Internet affinché Administration Server esegua le seguenti attività:

  • Per creare un elenco di correzioni consigliate per le vulnerabilità del software Microsoft. L'elenco viene creato e aggiornato regolarmente dagli specialisti Kaspersky.
  • Per correggere le vulnerabilità in software di terze parti diverso dal software Microsoft.
• Gestione dei dispositivi (portatili) degli utenti fuori sede
• Gestione dei dispositivi nelle sedi remote
• Interazione con gli Administration Server primari o secondari situati nelle sedi remote
• Gestione dei dispositivi mobili

Questa sezione descrive i modi tipici per fornire l'accesso via Internet all'Administration Server. Ciascuno dei casi che prevedono l'accesso via Internet ad Administration Server può richiedere un certificato dedicato per Administration Server.

Accesso a Internet: Administration Server in una rete locale

Se l'Administration Server è posizionato nella rete interna di un'organizzazione, è consigliabile rendere la porta TCP 13000 dell'Administration Server accessibile dall'esterno per mezzo del port forwarding. Se è necessaria la gestione dei dispositivi mobili, è consigliabile rendere accessibile la porta TCP 13292.

Accesso a Internet: Administration Server in una rete perimetrale

Se l'Administration Server è posizionato nella rete perimetrale dell'organizzazione, non ha accesso alla rete interna dell'organizzazione. Si applicano pertanto le seguenti limitazioni:

• L'Administration Server non può rilevare nuovi dispositivi.
• Administration Server non può eseguire la distribuzione iniziale di Network Agent tramite l'installazione forzata sui dispositivi nella rete interna dell'organizzazione.

Questo vale solo per l'installazione iniziale di Network Agent. Qualsiasi ulteriore upgrade di Network Agent o l'installazione dell'applicazione di protezione potranno comunque essere eseguiti dall'Administration Server. Allo stesso tempo, la distribuzione iniziale dei Network Agent può essere eseguita con altri sistemi, ad esempio tramite i criteri di gruppo di Microsoft Active Directory.

• L'Administration Server non può inviare notifiche ai dispositivi gestiti tramite la porta UDP 15000, che non è critica per il funzionamento di Kaspersky Security Center.
• L'Administration Server non può eseguire il polling di Active Directory. Tuttavia, i risultati del polling di Active Directory non sono richiesti nella maggior parte degli scenari.

Se le limitazioni precedenti sono considerate di importanza critica, possono essere rimosse utilizzando punti di distribuzione posizionati nella rete dell'organizzazione:

• Per eseguire la distribuzione iniziale nei dispositivi senza Network Agent, installare Network Agent in uno dei dispositivi e quindi assegnargli lo stato di punto di distribuzione. L'installazione iniziale di Network Agent negli altri dispositivi sarà eseguita da Administration Server tramite questo punto di distribuzione.
• Per rilevare i nuovi dispositivi nella rete interna dell'organizzazione ed eseguire il polling di Active Directory, è necessario abilitare i metodi di device discovery appropriati in uno dei punti di distribuzione.

Per assicurare il corretto invio delle notifiche alla porta UDP 15000 sui dispositivi gestiti nella rete interna dell'organizzazione, è necessario coprire l'intera rete con punti di distribuzione. Nelle proprietà dei punti di distribuzione assegnati selezionare la casella di controllo Non eseguire la disconnessione da Administration Server. Administration Server stabilirà una connessione continua ai punti di distribuzione e questi potranno inviare notifiche alla porta UDP 15000 nei dispositivi che si trovano nella rete interna dell'organizzazione (può trattarsi di una rete IPv4 o IPv6).

Accesso a Internet: Network Agent come gateway di connessione nella rete perimetrale

Administration Server può essere posizionato nella rete interna dell'organizzazione: in una rete perimetrale (DMZ) di tale rete può essere presente un dispositivo con Network Agent eseguito come gateway di connessione con connettività inversa (Administration Server stabilisce una connessione a Network Agent). In questo caso, devono essere soddisfatte le seguenti condizioni per garantire l'accesso a Internet:

• Nel dispositivo posizionato nella rete perimetrale deve essere installato Network Agent. Quando si installa Network Agent, nella finestra Gateway di connessione dell'Installazione guidata selezionare Utilizzare Network Agent come gateway di connessione nella rete perimetrale.
• Il dispositivo con il gateway di connessione installato deve essere aggiunto come punto di distribuzione. Quando si aggiunge il gateway di connessione, nella finestra Aggiungi punto di distribuzione selezionare l'opzione Seleziona → Aggiungi gateway di connessione nella rete perimetrale in base all'indirizzo.
• Per utilizzare una connessione Internet per connettere dispositivi desktop esterni ad Administration Server, è necessario correggere il pacchetto di installazione per Network Agent. Nelle proprietà del pacchetto di installazione creato selezionare l'opzione Avanzate →Esegui la connessione ad Administration Server utilizzando un gateway di connessione, quindi specificare il nuovo gateway di connessione creato.

Per il gateway di connessione nella rete perimetrale, Administration Server crea un certificato firmato con il certificato di Administration Server. Se l'amministratore decide di assegnare un certificato personalizzato ad Administration Server, questa operazione deve essere eseguita prima di creare un gateway di connessione nella rete perimetrale.

Se alcuni dipendenti utilizzano computer portatili che possono connettersi ad Administration Server sia dalla rete locale che via Internet, può essere utile creare una regola per il passaggio di Network Agent nel criterio di Network Agent.

Informazioni sui punti di distribuzione

Un dispositivo in cui è installato Network Agent può essere utilizzato come punto di distribuzione. In questa modalità, Network Agent può eseguire le seguenti funzioni:

• Distribuire gli aggiornamenti (recuperati dall'Administration Server o dai server di Kaspersky). Nel secondo caso, è necessario creare l'attività Scarica aggiornamenti negli archivi dei punti di distribuzione per il dispositivo che opera come punto di distribuzione:
  • Installare il software (inclusa la distribuzione iniziale dei Network Agent) in altri dispositivi.
  • Eseguire il polling della rete per rilevare nuovi dispositivi e aggiornare le informazioni sui dispositivi esistenti. Un punto di distribuzione può applicare gli stessi metodi di device discovery di Administration Server.

La distribuzione dei punti di distribuzione nella rete di un'organizzazione ha i seguenti obiettivi:

• Riduzione del carico sull'Administration Server.
• Ottimizzazione del traffico.
• Concessione all'Administration Server dell'accesso ai dispositivi in posizioni difficili da raggiungere della rete dell'organizzazione. La disponibilità di un punto di distribuzione nella rete dietro un NAT (in relazione all'Administration Server) consente all'Administration Server di eseguire le seguenti azioni:
  • Inviare notifiche ai dispositivi tramite UDP nella rete IPv4 o IPv6
  • Eseguire il polling della rete IPv4 o IPv6
  • Eseguire la distribuzione iniziale
  • Fungere da server push

Un punto di distribuzione viene assegnato a un gruppo di amministrazione. In questo caso, l'ambito del punto di distribuzione include tutti i dispositivi all'interno del gruppo di amministrazione e di tutti i relativi sottogruppi. Tuttavia, il dispositivo che opera come punto di distribuzione può non essere incluso nel gruppo di amministrazione a cui è stato assegnato.

È possibile far funzionare un punto di distribuzione come gateway di connessione. In questo caso, i dispositivi nell'ambito del punto di distribuzione saranno connessi all'Administration Server tramite il gateway, non direttamente. Questa modalità può essere utile negli scenari che non consentono di stabilire una connessione diretta tra Administration Server e dispositivi gestiti.

Se si utilizza un dispositivo basato su Linux come punto di distribuzione, si consiglia vivamente di aumentare il limite dei descrittori di file per il servizio klnagent, poiché se l'ambito del punto di distribuzione include molti dispositivi, il numero massimo predefinito di file che è possibile aprire potrebbe non essere sufficiente.

Aumento del limite dei descrittori di file per il servizio klnagent

Se l'ambito di un punto di distribuzione basato su Linux include molti dispositivi, il limite predefinito di file che è possibile aprire (descrittori di file) potrebbe non essere sufficiente. Per evitare questo, è possibile aumentare il limite dei descrittori di file per il servizio klnagent.

Per aumentare il limite dei descrittori di file per il servizio klnagent:

1. Nel dispositivo basato su Linux che funge da punto di distribuzione, aprire il file /lib/systemd/system/klnagent64.service, quindi specificare i limiti hard e soft dei descrittori di file nel parametro LimitNOFILE della sezione [Service]:

   LimitNOFILE=<soft_resource_limit>:<hard_resource_limit>

   Ad esempio, LimitNOFILE=32768:131072. Si noti che il limite soft dei descrittori di file deve essere inferiore o uguale al limite hard.

2. Eseguire il seguente comando per assicurarsi che i parametri siano specificati correttamente:

   systemd-analyze verify klnagent64.service

   Se i parametri sono specificati in modo errato, questo comando può generare uno dei seguenti errori:

   • /lib/systemd/system/klnagent64.service:11: Failed to parse resource value, ignoring: 32768:13107

     Se si verifica questo errore, i simboli nella riga LimitNOFILE sono stati specificati in modo errato. È necessario controllare e correggere la riga immessa.

   • /lib/systemd/system/klnagent64.service:11: Soft resource limit chosen higher than hard limit, ignoring: 32768:13107

     Se si verifica questo errore, il limite soft dei descrittori di file immessi è maggiore del limite hard. È necessario controllare la riga immessa e assicurarsi che il limite soft dei descrittori di file sia uguale o inferiore al limite hard.

3. Eseguire il seguente comando per ricaricare il processo systemd:

   systemctl daemon-reload

4. Eseguire il seguente comando per riavviare il servizio Network Agent:

   systemctl restart klnagent

5. Eseguire il seguente comando per assicurarsi che i parametri specificati vengano applicati correttamente:

   less /proc/<nagent_proc_id>/limits

   dove il parametro <nagent_proc_id> è l'identificatore del processo di Network Agent. È possibile eseguire il seguente comando per ottenere l'identificatore:

   ps -ax | grep klnagent

Per il punto di distribuzione basato su Linux, il limite di file che è possibile aprire è stato aumentato.

Calcolo del numero e configurazione dei punti di distribuzione

Più dispositivi client contiene una rete, maggiore è il numero dei punti di distribuzione richiesti. È consigliabile non disabilitare l'assegnazione automatica dei punti di distribuzione. Quando è abilitata l'assegnazione automatica dei punti di distribuzione, Administration Server assegna i punti di distribuzione se il numero dei dispositivi client è ampio e definisce la configurazione.

Utilizzo di punti di distribuzione assegnati in modo esclusivo

Se si prevede di utilizzare alcuni dispositivi specifici come punti di distribuzione (ovvero, server assegnati in modo esclusivo), è possibile scegliere di non utilizzare l'assegnazione automatica dei punti di distribuzione. In questo caso, verificare che i dispositivi a cui assegnare il ruolo di punti di distribuzione dispongano di un volume sufficiente di spazio libero su disco, che non vengano arrestati regolarmente e che la modalità di sospensione sia disabilitata.

Numero di punti di distribuzione assegnati in modo esclusivo in una rete che contiene un solo segmento di rete, in base al numero di dispositivi di rete

Numero di punti di distribuzione assegnati in modo esclusivo in una rete che contiene più segmenti di rete, in base al numero di dispositivi di rete

Utilizzo di dispositivi client standard (workstation) come punti di distribuzione

Se si prevede di utilizzare dispositivi client standard (ovvero, workstation) come punti di distribuzione, è consigliabile assegnare i punti di distribuzione come indicato nelle tabelle seguenti per evitare un carico eccessivo sui canali di comunicazione e su Administration Server:

Numero di workstation che operano come punti di distribuzione in una rete che contiene un solo segmento di rete, in base al numero di dispositivi di rete

Numero di workstation che operano come punti di distribuzione in una rete che contiene più segmenti di rete, in base al numero di dispositivi di rete

Se un punto di distribuzione viene arrestato (o non è disponibile per altri motivi), i dispositivi gestiti nel relativo ambito possono accedere ad Administration Server per gli aggiornamenti.

Gerarchia di Administration Server

Un MSP può eseguire diversi Administration Server. Poiché può essere scomodo amministrare più Administration Server distinti, è possibile applicare una gerarchia. Una configurazione "primario/secondario" per due Administration Server fornisce le seguenti opzioni:

• Un Administration Server secondario eredita i criteri e le attività dall'Administration Server primario, evitando così la duplicazione delle impostazioni.
• Le selezioni di dispositivi nell'Administration Server primario possono includere i dispositivi degli Administration Server secondari.
• I rapporti nell'Administration Server primario possono contenere dati (incluse informazioni dettagliate) ottenuti dagli Administration Server secondari.

L'Administration Server primario riceve i dati solo dagli Administration Server secondari non virtuali nell'ambito delle opzioni elencate sopra. Questa limitazione non si applica agli Administration Server virtuali, che condividono il database con l'Administration Server primario.

Administration Server virtuali

Sulla base di un Administration Server fisico, è possibile creare più Administration Server virtuali, simili agli Administration Server secondari. Rispetto al modello di accesso discrezionale, che è basato su elenchi di controllo di accesso (ACL), il modello degli Administration Server virtuali è più funzionale e fornisce un maggior livello di isolamento. Oltre a una struttura dedicata di gruppi di amministrazione per i dispositivi assegnati con criteri e attività, ogni Administration Server virtuale dispone di un proprio gruppo di dispositivi non assegnati, di insiemi di rapporti, dispositivi ed eventi selezionati, pacchetti di installazione, regole di spostamento e così via. L'ambito funzionale degli Administration Server virtuali può essere utilizzato sia dai provider di servizi (xSP) per massimizzare l'isolamento dei clienti, sia da organizzazioni su vasta scala con flussi di lavoro sofisticati e numerosi amministratori.

Gli Administration Server virtuali sono molto simili agli Administration Server secondari, ma con le seguenti distinzioni:

• Un Administration Server virtuale non dispone della maggior parte delle impostazioni globali e di specifiche porte TCP.
• Un Administration Server virtuale non dispone di Administration Server secondari.
• Un Administration Server virtuale non include altri Administration Server virtuali.
• Un Administration Server fisico visualizza i dispositivi, i gruppi, gli eventi e gli oggetti nei dispositivi gestiti (elementi in Quarantena, registro delle applicazioni e così via) di tutti i relativi Administration Server virtuali.
• Un Administration Server virtuale può eseguire solo la scansione della rete a cui sono connessi punti di distribuzione.

Informazioni sulle limitazioni di Kaspersky Security Center

Nella seguente tabella sono riportate le limitazioni della versione corrente di Kaspersky Security Center.

Limitazioni di Kaspersky Security Center

Carico di rete

Questa sezione contiene informazioni sul volume del traffico di rete scambiato tra i dispositivi client e Administration Server durante gli scenari di amministrazione chiave.

Il carico principale sulla rete è causato dai seguenti scenari di amministrazione:

• Distribuzione iniziale della protezione anti-virus
• Aggiornamento iniziale dei database anti-virus
• Sincronizzazione di un dispositivo client con Administration Server
• Aggiornamenti periodici dei database anti-virus
• Elaborazione di eventi nei dispositivi client da parte di Administration Server

Distribuzione iniziale della protezione anti-virus

In questa sezione, vengono fornite informazioni sui valori del volume del traffico registrati dopo l'installazione di Network Agent e Kaspersky Endpoint Security for Windows nel dispositivo client (vedere la tabella seguente).

Network Agent viene installato utilizzando l'installazione forzata, in cui i file necessari per l'installazione vengono copiati da Administration Server in una cartella condivisa nel dispositivo client. Al termine dell'installazione, Network Agent recupera il pacchetto di distribuzione di Kaspersky Endpoint Security for Windows utilizzando la connessione ad Administration Server.

Traffico

Dopo l'installazione di Network Agent nei dispositivi client, a uno dei dispositivi nel gruppo di amministrazione può essere assegnato il ruolo di punto di distribuzione. Questo viene utilizzato per la distribuzione dei pacchetti di installazione. In questo caso, il volume di traffico trasferito durante la distribuzione iniziale della protezione anti-virus varia in modo significativo a seconda del fatto che si utilizzi o meno la modalità IP multicast.

Se viene utilizzata la modalità IP multicast, i pacchetti di installazione vengono inviati una sola volta a tutti i dispositivi in esecuzione nel gruppo di amministrazione. Il traffico totale si riduce quindi di N volte, dove N è il numero totale di dispositivi in esecuzione nel gruppo di amministrazione. Se non si utilizza la modalità IP multicast, il traffico totale è identico al traffico calcolato quando i pacchetti di distribuzione vengono scaricati da Administration Server. Tuttavia, l'origine dei pacchetti è il punto di distribuzione anziché Administration Server.

Aggiornamento iniziale dei database anti-virus

I valori del traffico durante l'aggiornamento iniziale dei database anti-virus (al primo avvio dell'attività di aggiornamento del database in un dispositivo client) sono i seguenti:

• Traffico da un dispositivo client ad Administration Server: 1,8 MB.
• Traffico da Administration Server a un dispositivo client: 113 MB.
• Traffico totale (per un singolo dispositivo client): 114 MB.

I dati possono variare leggermente a seconda della versione corrente del database anti-virus.

Sincronizzazione di un client con Administration Server

Questo scenario descrive lo stato del sistema di amministrazione nei casi in cui si verifica una sincronizzazione intensiva dei dati tra un dispositivo client e Administration Server. I dispositivi client si connettono ad Administration Server in base all'intervallo definito dall'amministratore. Administration Server confronta lo stato dei dati in un dispositivo client con quello sul server, registra le informazioni nel database sull'ultima connessione del dispositivo client e sincronizza i dati.

Questa sezione contiene informazioni sui valori del traffico per scenari di amministrazione di base durante la connessione di un client ad Administration Server (vedere la tabella seguente). I dati nella tabella possono variare leggermente a seconda della versione corrente del database anti-virus.

Traffico

Il volume del traffico complessivo varia considerevolmente a seconda dell'utilizzo della modalità IP multicast nei gruppi di amministrazione. Se si utilizza la modalità IP multicast, il volume di traffico totale diminuisce approssimativamente di N volte per il gruppo, dove N sta per il numero totale di dispositivi inclusi nel gruppo di amministrazione.

Il volume di traffico al momento della sincronizzazione iniziale prima e dopo un aggiornamento dei database è specificato per i seguenti casi:

• Installazione di Network Agent e di un'applicazione di protezione in un dispositivo client
• Trasferimento di un dispositivo client in un gruppo di amministrazione
• Applicazione in un dispositivo client di un criterio e delle attività che sono state create per il gruppo per impostazione predefinita

Questa tabella specifica i valori del traffico in caso di modifiche di una delle impostazioni di protezione incluse nelle impostazioni del criterio di Kaspersky Endpoint Security. I dati per le altre impostazioni dei criteri possono risultare diversi da quelli riportati nella tabella.

Aggiornamento aggiuntivo dei database anti-virus

I valori del traffico in caso di aggiornamento incrementale dei database anti-virus 20 ore dopo l'aggiornamento precedente sono i seguenti:

• Traffico da un dispositivo client ad Administration Server: 169 KB.
• Traffico da Administration Server a un dispositivo client: 16 MB.
• Traffico totale (per un singolo dispositivo client): 16,3 MB.

I dati nella tabella possono variare leggermente a seconda della versione corrente del database anti-virus.

Il volume del traffico varia considerevolmente a seconda dell'utilizzo della modalità IP multicast nei gruppi di amministrazione. Se si utilizza la modalità IP multicast, il volume di traffico totale diminuisce approssimativamente di N volte per il gruppo, dove N sta per il numero totale di dispositivi inclusi nel gruppo di amministrazione. 

Elaborazione di eventi nei client da parte di Administration Server

In questa sezione vengono fornite informazioni sui valori del traffico quando in un dispositivo client si verifica un evento di rilevamento di virus, che viene quindi inviato ad Administration Server e registrato nel database (vedere la tabella seguente). 

Traffico

I dati nella tabella possono variare leggermente a seconda della versione corrente dell'applicazione anti-virus e degli eventi definiti nel relativo criterio per la registrazione nel database di Administration Server. 

Traffico nell'arco di 24 ore

Questa sezione contiene informazioni sui valori del traffico per 24 ore di attività del sistema di amministrazione in condizione di "inattività", quando non vengono apportate modifiche ai dati né dai dispositivi client né da Administration Server (vedere la tabella seguente).

I dati presentati nella tabella descrivono la condizione della rete dopo l'installazione standard di Kaspersky Security Center e il completamento dell'Avvio rapido guidato. La frequenza di sincronizzazione del dispositivo client con Administration Server era di 20 minuti; gli aggiornamenti venivano scaricati nell'archivio di Administration Server ogni ora.

Valori del traffico per 24 ore nello stato inattivo

Preparazione per Mobile Device Management

Questa scheda fornisce le seguenti informazioni:

• Informazioni sul server per dispositivi mobili Exchange utilizzato per la gestione dei dispositivi mobili tramite il protocollo Exchange ActiveSync
• Informazioni sul server MDM iOS utilizzato per la gestione dei dispositivi iOS installando profili MDM iOS dedicati in tali dispositivi
• Informazioni sulla gestione dei dispositivi mobili in cui è installato Kaspersky Endpoint Security for Android

Server per dispositivi mobili Exchange

Un server per dispositivi mobili Exchange consente di gestire i dispositivi mobili connessi a un Administration Server utilizzando il protocollo Exchange ActiveSync (dispositivi EAS).

Come distribuire un server per dispositivi mobili Exchange

Se nell'organizzazione sono stati distribuiti più server Microsoft Exchange in un array del server Accesso client, è necessario installare un server per dispositivi mobili Exchange in ognuno dei server nell'array. L'opzione Modalità cluster deve essere abilitata nell'Installazione guidata del server per dispositivi mobili Exchange. In questo caso, il set di istanze del server per dispositivi mobili Exchange installato nei server dell'array è denominato cluster di server per dispositivi mobili Exchange.

Se nell'organizzazione non è stato distribuito alcun array del server Accesso client di server Microsoft Exchange, è necessario installare un server per dispositivi mobili Exchange in un server Microsoft Exchange che disponga di Accesso client. In questo caso, è necessario abilitare l'opzione Modalità standard nell'Installazione guidata del server per dispositivi mobili Exchange.

Insieme con il server per dispositivi mobili Exchange, è necessario installare nel dispositivo Network Agent, che consente di integrare il server per dispositivi mobili Exchange con Kaspersky Security Center.

L'ambito della scansione predefinito del server per dispositivi mobili Exchange è il dominio Active Directory corrente in cui è stato installato. La distribuzione di un server per dispositivi mobili Exchange in un server in cui è installato Microsoft Exchange Server (versioni 2010 e 2013) consente di espandere l'ambito della scansione, in modo da includere l'intera foresta di dominio nel server per dispositivi mobili Exchange (vedere la sezione "Configurazione dell'ambito della scansione"). Le informazioni richieste durante una scansione includono gli account degli utenti del server Microsoft Exchange, i criteri Exchange ActiveSync e i dispositivi mobili degli utenti connessi al server Microsoft Exchange tramite il protocollo Exchange ActiveSync.

Non è possibile installare più istanze di un server per dispositivi mobili Exchange in un singolo dominio se sono in esecuzione in Modalità standard e sono gestite da un unico Administration Server. Anche all'interno di una singola foresta di dominio Active Directory non è possibile installare più istanze di un server per dispositivi mobili Exchange (o più cluster di server per dispositivi mobili Exchange), se sono in esecuzione in Modalità standard con un ambito della scansione espanso che include l'intera foresta di dominio e sono connesse a un singolo Administration Server.

Diritti richiesti per la distribuzione di un server per dispositivi mobili Exchange

La distribuzione di un server per dispositivi mobili Exchange in Microsoft Exchange Server 2010 o 2013 richiede diritti di amministratore di dominio e il ruolo Gestione organizzazione. La distribuzione di un server per dispositivi mobili Exchange in Microsoft Exchange Server 2007 richiede diritti di amministratore di dominio e l'appartenenza al gruppo di sicurezza Exchange Organization Administrators.

Account per il servizio Exchange ActiveSync

Durante l'installazione di un server per dispositivi mobili Exchange, viene automaticamente creato un account in Active Directory:

• In Microsoft Exchange Server 2010 o 2013: l'account KLMDM4ExchAdmin***** con il ruolo KLMDM Role Group.
• In Microsoft Exchange Server 2007: l'account KLMDM4ExchAdmin*****, un membro del gruppo di sicurezza KLMDM Secure Group.

Il servizio Server per dispositivi mobili Exchange viene eseguito con questo account.

Se si desidera annullare la generazione automatica di un account, è necessario crearne uno personalizzato con i seguenti diritti:

• Se si utilizza Microsoft Exchange Server (2010 o 2013), all'account deve essere assegnato un ruolo che consenta di eseguire i seguenti cmdlet:
  • Get-CASMailbox
  • Set-CASMailbox
  • Remove-ActiveSyncDevice
  • Clear-ActiveSyncDevice
  • Get-ActiveSyncDeviceStatistics
  • Get-AcceptedDomain
  • Set-AdServerSettings
  • Get-ActiveSyncMailboxPolicy
  • New-ActiveSyncMailboxPolicy
  • Set-ActiveSyncMailboxPolicy
  • Remove-ActiveSyncMailboxPolicy
• Se si utilizza Microsoft Exchange Server 2007, all'account devono essere concessi i diritti di accesso per gli oggetti di Active Directory (vedere la seguente tabella).

  Diritti di accesso per gli oggetti di Active Directory

  Accesso	Oggetto	Cmdlet
  Completo	Thread "CN=Mobile Mailbox Policies,CN=<Nome organizzazione>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Nome dominio>"	Add-ADPermission -User <Nome utente o gruppo> -Identity "CN=Mobile Mailbox Policies,CN=<Nome organizzazione>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Nome dominio>" -InheritanceType All -AccessRight GenericAll
  Lettura	Thread "CN=<Nome organizzazione>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Nome dominio>"	Add-ADPermission -User <Nome utente o gruppo> -Identity "CN=<Nome organizzazione>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Nome dominio>" -InheritanceType All -AccessRight GenericRead
  Lettura/scrittura	Proprietà msExchMobileMailboxPolicyLink e msExchOmaAdminWirelessEnable per gli oggetti in Active Directory	Add-ADPermission -User <Nome utente o gruppo> -Identity "DC=<Nome dominio>" -InheritanceType All -AccessRight ReadProperty,WriteProperty -Properties msExchMobileMailboxPolicyLink, msExchOmaAdminWirelessEnable
  Diritto esteso ms-Exch-Store-Active	Archivi di cassette postali del server Exchange, thread "CN=Databases,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=<Nome organizzazione>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Nome dominio>"	Get-MailboxDatabase | Add-ADPermission -User <Nome utente o gruppo> -ExtendedRights ms-Exch-Store-Admin

Server per dispositivi mobili MDM iOS

Il server MDM iOS consente di gestire i dispositivi iOS installando profili MDM iOS dedicati in tali dispositivi. Sono supportate le seguenti funzionalità:

• Blocco del dispositivo
• Reimpostazione della password
• Cancellazione dei dati
• Installazione o rimozione di app
• Utilizzo di un profilo MDM iOS con impostazioni avanzate (ad esempio per VPN, e-mail, Wi-Fi, fotocamera, certificati e così via)

Il server MDM iOS è un servizio Web che riceve le connessioni in entrata dai dispositivi mobili tramite la porta TLS (per impostazione predefinita, la porta 443), che è gestita da Kaspersky Security Center mediante Network Agent. Network Agent è installato in locale in un dispositivo in cui è distribuito un server MDM iOS.

Durante la distribuzione di un server MDM iOS, l'amministratore deve eseguire le seguenti operazioni:

• Fornire a Network Agent l'accesso all'Administration Server
• Fornire ai dispositivi mobili l'accesso alla porta TCP del server MDM iOS

In questa sezione sono descritte due configurazioni standard di un server MDM iOS.

Configurazione standard: gestione di Kaspersky Device Management for iOS nella rete perimetrale

Un server MDM iOS è posizionato nella rete perimetrale della rete locale di un'organizzazione con accesso a Internet. Una caratteristica speciale di questo approccio è l'assenza di qualsiasi problema quando i dispositivi accedono al servizio Web MDM iOS via Internet.

Poiché la gestione di un server MDM iOS richiede l'installazione di Network Agent in locale, è necessario garantire l'interazione di Network Agent con l'Administration Server. A tale scopo, è possibile utilizzare uno dei seguenti metodi:

• Spostamento di Administration Server nella rete perimetrale.
• Utilizzo di un gateway di connessione:
  1. Nel dispositivo in cui è distribuito il server MDM iOS connettere Network Agent all'Administration Server tramite un gateway di connessione.
  2. Nel dispositivo in cui è distribuito il server MDM iOS assegnare a Network Agent il ruolo di gateway di connessione.

Configurazione standard: server per dispositivi mobili MDM iOS nella rete locale di un'organizzazione

Un server per dispositivi mobili MDM iOS è posizionato nella rete interna di un'organizzazione. La porta 443 (porta predefinita) deve essere abilitata per l'accesso esterno, ad esempio pubblicando il servizio Web MDM iOS nel proxy inverso che supporta la delega vincolata Kerberos.

Qualsiasi configurazione standard richiede l'accesso ai servizi Web di Apple per il server MDM iOS (intervallo 17.0.0.0/8) tramite la porta TCP 2197. La porta viene utilizzata per informare i dispositivi dei nuovi comandi tramite un servizio dedicato denominato APNs.

Gestione dei dispositivi mobili con Kaspersky Endpoint Security for Android

I dispositivi mobili in cui è installato Kaspersky Endpoint Security for Android (di seguito denominati dispositivi KES) sono gestiti tramite l'Administration Server. Kaspersky Security Center supporta le seguenti funzionalità per la gestione dei dispositivi KES:

• Gestione dei dispositivi mobili come dispositivi client:
  • Appartenenza ai gruppi di amministrazione
  • Monitoraggio, ad esempio la visualizzazione di stati, eventi e rapporti
  • Modifica delle impostazioni locali e assegnazione di criteri per Kaspersky Endpoint Security for Android
• Invio di comandi in modalità centralizzata
• Installazione remota di pacchetti app mobili

Administration Server gestisce i dispositivi KES tramite TLS, porta TCP 13292.

Informazioni sulle prestazioni di Administration Server

Questa sezione presenta i risultati dei test sulle prestazioni di Administration Server per differenti configurazioni hardware e le limitazioni per la connessione dei dispositivi gestiti all'Administration Server.

Limitazioni relative alla connessione a un Administration Server

Un Administration Server supporta la gestione di un massimo di 100000 dispositivi senza compromettere le prestazioni.

Limitazioni per le connessioni a un Administration Server senza compromettere le prestazioni:

• Un solo Administration Server può supportare fino a 500 Administration Server virtuali.
• L'Administration Server primario supporta non più di 1000 sessioni contemporaneamente.
• Gli Administration Server virtuali supportano non più di 1000 sessioni contemporaneamente.

Risultati dei test sulle prestazioni di Administration Server

I risultati dei test sulle prestazioni di Administration Server hanno consentito di determinare il numero massimo di dispositivi client con cui Administration Server può essere sincronizzato per gli intervalli di tempo specificati. È possibile utilizzare queste informazioni per selezionare lo schema ottimale per la distribuzione della protezione anti-virus nelle reti di computer.

I dispositivi con le seguenti configurazioni hardware (vedere le seguenti tabelle) sono stati utilizzati per i test:

Configurazione hardware di Administration Server

Configurazione hardware del dispositivo SQL Server

Administration Server supportava la creazione di 500 Administration Server virtuali.

L'intervallo di sincronizzazione era di 15 minuti per ogni 10.000 dispositivi gestiti (vedere la tabella di seguito).

Riepilogo dei risultati dei test di carico di Administration Server

Se si connette Administration Server a un server database MySQL o SQL Express, è consigliabile evitare di utilizzare l'applicazione per gestire più di 10000 dispositivi. Per il sistema di gestione database MariaDB, il numero massimo di dispositivi gestiti consigliato è 20.000.

Risultati dei test sulle prestazioni del server proxy KSN

Se la rete aziendale include una grande quantità di dispositivi client che utilizzano Administration Server come server proxy KSN, l'hardware di Administration Server deve soddisfare requisiti specifici per essere in grado di elaborare le richieste provenienti dai dispositivi client. È possibile utilizzare i risultati dei test di seguito per valutare il carico di Administration Server nella rete e pianificare le risorse hardware per garantire il corretto funzionamento del servizio proxy KSN.

Le seguenti tabelle mostrano la configurazione hardware di Administration Server e SQL Server. Questa configurazione è stata utilizzata per i test.

Configurazione hardware di Administration Server

Configurazione hardware di SQL Server

La tabella seguente consente di visualizzare i risultati del test.

Riepilogo dei risultati dei test sulle prestazioni del server proxy KSN

Impostazioni di rete per l'interazione con servizi esterni

Kaspersky Security Center utilizza le seguenti impostazioni di rete per l'interazione con i servizi esterni.

Impostazioni di rete

Per una corretta interazione di Kaspersky Security Center con i servizi esterni, tenere conto dei seguenti suggerimenti:
- Il traffico di rete non criptato deve essere consentito sulle porte 443 e 1443 dell'apparecchiatura di rete e del server proxy dell'organizzazione.
- Quando Administration Server interagisce con i server di aggiornamento Kaspersky e con i server di Kaspersky Security Network, è necessario evitare di dirottare il traffico di rete con la sostituzione del certificato (

Per scaricare gli aggiornamenti tramite il protocollo HTTP o HTTPS utilizzando l'utilità klscflag:

1. Eseguire il prompt dei comandi di Windows con diritti di amministratore, quindi modificare la directory corrente nella directory con l'utilità klscflag. L'utilità klscflag si trova nella cartella in cui è installato Administration Server. Il percorso di installazione predefinito è <Disco>:\Programmi (x86)\ Kaspersky Lab\ Kaspersky Security Center.
2. Se si desidera scaricare gli aggiornamenti tramite il protocollo HTTP, eseguire uno dei seguenti comandi:
   • Nel dispositivo in cui è installato Administration Server:

     klscflag.exe -fset -pv klserver -s Updater -n DisableKLHttps -t d -v 1

   • Su un punto di distribuzione;

     klscflag.exe -fset -pv klnagent -s Updater -n DisableKLHttps -t d -v 1

   Se si desidera scaricare gli aggiornamenti tramite il protocollo HTTPS, eseguire uno dei seguenti comandi:

   • Nel dispositivo in cui è installato Administration Server:

     klscflag.exe -fset -pv klserver -s Updater -n DisableKLHttps -t d -v 0

   • Su un punto di distribuzione;

     klscflag.exe -fset -pv klnagent -s Updater -n DisableKLHttps -t d -v 0

Distribuzione di Network Agent e dell'applicazione di protezione

Per gestire i dispositivi in un'organizzazione, è necessario installare Network Agent su ciascuno di essi. La distribuzione di Kaspersky Security Center nei dispositivi di un'organizzazione in genere ha inizio con l'installazione di Network Agent nei dispositivi.

In Microsoft Windows XP Network Agent potrebbe non eseguire correttamente le seguenti operazioni: download degli aggiornamenti direttamente dai server di Kaspersky (come punto di distribuzione); funzionamento come un server proxy KSN (come punto di distribuzione); e rilevamento di vulnerabilità di terze parti (se è in uso Vulnerability e patch management).

Distribuzione iniziale

Per gestire i dispositivi in un'organizzazione, è necessario installare Network Agent su ciascun dispositivo.

L'installazione di Network Agent nel dispositivo gestito che esegue Windows può essere effettuata nei seguenti modi:

• Con strumenti di terze parti per l'installazione remota delle applicazioni.
• Clonando un'immagine del disco rigido dell'amministratore con il sistema operativo e Network Agent, utilizzando gli strumenti forniti da Kaspersky Security Center per la gestione delle immagini disco o con strumenti di terze parti.
• Con i criteri di gruppo di Windows, utilizzando gli strumenti di gestione standard di Windows per i criteri di gruppo o in modalità automatica, attraverso l'apposita opzione corrispondente nell'attività di installazione remota di Kaspersky Security Center.
• In modalità forzata, utilizzando le risorse del sistema operativo tramite l'attività di installazione remota di Kaspersky Security Center.
• Inviando agli utenti dei dispositivi collegamenti ai pacchetti indipendenti generati da Kaspersky Security Center. I pacchetti indipendenti sono moduli eseguibili che contengono i pacchetti di distribuzione delle applicazioni selezionate con le relative impostazioni definite.
• Manualmente, eseguendo i programmi di installazione delle applicazioni nei dispositivi.

L'installazione iniziale di Network Agent nel dispositivo gestito Linux può essere effettuata nei seguenti modi:

• Collegandosi al dispositivo gestito tramite SSH ed eseguendo l'attività di installazione remota.
• Eseguendo l'installazione del pacchetto nel dispositivo gestito.

L'installazione iniziale di Network Agent nel dispositivo gestito macOS può essere effettuata nei seguenti modi:

• Eseguendo l'attività di installazione remota nel punto di distribuzione macOS.
• Inviando agli utenti dei dispositivi collegamenti ai pacchetti indipendenti generati da Kaspersky Security Center. I pacchetti indipendenti sono moduli eseguibili che contengono i pacchetti di distribuzione delle applicazioni selezionate, con le impostazioni predefinite.

Dopo aver installato Network Agent su un dispositivo, è possibile eseguire l'installazione remota delle applicazioni Kaspersky su tale dispositivo tramite Network Agent. Il pacchetto di distribuzione di un'applicazione da installare viene trasferito mediante i canali di comunicazione tra i Network Agent e Administration Server, insieme alle impostazioni di installazione definite dall'amministratore. Per trasferire il pacchetto di distribuzione, è possibile utilizzare nodi di distribuzione per il trasferimento, cioè punti di distribuzione, recapito multicast e così via.

Al momento della scelta di un metodo e di una strategia per la distribuzione delle applicazioni in una rete gestita, è necessario considerare diversi fattori (elenco parziale):

• Configurazione della rete dell'organizzazione.
• Numero totale di dispositivi.
• Presenza nella rete dell'organizzazione di dispositivi che non appartengono ad alcun dominio Active Directory e presenza di account uniformi con diritti di amministratore su tali dispositivi.
• Capacità del canale tra l'Administration Server e i dispositivi.
• Tipo di comunicazione tra Administration Server e le subnet remote e capacità dei canali di rete in tali subnet.
• Impostazioni di sicurezza applicate sui dispositivi remoti all'inizio della distribuzione. Questi parametri consentono di stabilire la connessione remota al dispositivo gestito e di avviare il programma di installazione.

Configurazione dei programmi di installazione

Prima di avviare la distribuzione delle applicazioni Kaspersky in una rete, è necessario specificare le impostazioni di installazione, ovvero quelle definite durante l'installazione dell'applicazione. Durante l'installazione di Network Agent, è necessario specificare almeno un indirizzo per la connessione ad Administration Server, tuttavia possono essere richieste anche alcune impostazioni avanzate. A seconda del metodo di installazione selezionato, è possibile definire le impostazioni in diversi modi. Nel caso più semplice (installazione interattiva manuale in un dispositivo selezionato), tutte le impostazioni appropriate possono essere definite attraverso l'interfaccia utente del programma di installazione.

Questo metodo per definire le impostazioni non è appropriato per l'installazione automatica delle applicazioni in gruppi di dispositivi. In generale, l'amministratore deve specificare i valori per le impostazioni in modalità centralizzata. Tali valori possono successivamente essere utilizzati per l'installazione automatica nei dispositivi della rete selezionati.

Pacchetti di installazione

Il metodo principale per definire le impostazioni di installazione delle applicazioni è adatto per tutti i metodi di installazione, sia con gli strumenti di Kaspersky Security Center che con la maggior parte strumenti di terze parti. Questo metodo consiste nella creazione di pacchetti di installazione delle applicazioni in Kaspersky Security Center.

I pacchetti di installazione sono generati utilizzando i seguenti metodi:

• Automaticamente, dai pacchetti di distribuzione specificati, in base ai descrittori inclusi (file con estensione kud che contengono regole per l'installazione e l'analisi dei risultati e altre informazioni)
• Dai file eseguibili dei programmi di installazione o dai programmi di installazione in formato nativo (.msi, .deb, .rpm) per le applicazioni standard o supportate

I pacchetti di installazione generati sono organizzati gerarchicamente come cartelle con sottocartelle e file. Oltre al pacchetto di distribuzione originale, un pacchetto di installazione contiene impostazioni modificabili (incluse le impostazioni del programma di installazione e le regole per elaborare casi come la necessità di riavviare il sistema operativo per completare l'installazione), nonché moduli ausiliari minori.

I valori delle impostazioni di installazione specifici per una singola applicazione supportata possono essere definiti nell'interfaccia utente di Administration Console al momento della creazione del pacchetto di installazione. Durante l'esecuzione dell'installazione remota delle applicazioni tramite gli strumenti di Kaspersky Security Center, i pacchetti di installazione vengono inviati ai dispositivi. L'esecuzione del programma di installazione di un'applicazione rende disponibili tutte le impostazioni definite dall'amministratore per tale applicazione. Quando si utilizzano strumenti di terze parti per l'installazione delle applicazioni Kaspersky, è sufficiente garantire la disponibilità dell'intero pacchetto di installazione nel dispositivo, ovvero la disponibilità del pacchetto di distribuzione e delle relative impostazioni. I pacchetti di installazione vengono creati e archiviati da Kaspersky Security Center in un'apposita sottocartella della cartella condivisa.

Non specificare dettagli degli account privilegiati nei parametri dei pacchetti di installazione.

Per istruzioni sull'utilizzo di questo metodo di configurazione per le applicazioni Kaspersky prima della distribuzione mediante strumenti di terze parti, vedere la sezione "Distribuzione tramite i criteri di gruppo di Microsoft Windows".

Subito dopo l'installazione di Kaspersky Security Center, alcuni pacchetti di installazione vengono generati automaticamente: sono pronti per l'installazione e includono i pacchetti di Network Agent e i pacchetti delle applicazioni di protezione per Microsoft Windows.

Anche se è possibile impostare la chiave di licenza per un'applicazione nelle proprietà di un pacchetto di installazione, è consigliabile evitare questo metodo di distribuzione della licenza, perché è semplice ottenere l'accesso in lettura ai pacchetti di installazione. È necessario utilizzare chiavi di licenza distribuite automaticamente o le attività di installazione per le chiavi di licenza.

Proprietà e file di trasformazione MSI

Un altro modo per configurare l'installazione nella piattaforma Windows è definire le proprietà e i file di trasformazione MSI. Questo metodo può essere applicato nei seguenti casi:

• Durante l'installazione tramite i criteri di gruppo di Windows, utilizzando gli strumenti standard di Microsoft o altri strumenti di terze parti per la gestione dei criteri di gruppo di Windows.
• Durante l'installazione delle applicazioni tramite strumenti di terze parti per la gestione dei programmi di installazione in formato Microsoft Installer.

Distribuzione con strumenti di terze parti per l'installazione remota delle applicazioni

Se nell'organizzazione sono disponibili strumenti per l'installazione remota delle applicazioni (ad esempio, Microsoft System Center), è possibile eseguire la distribuzione iniziale utilizzando tali strumenti.

È necessario eseguire le seguenti operazioni:

• Selezionare il metodo per la configurazione dell'installazione più adatto per lo strumento di distribuzione da utilizzare.
• Definire il meccanismo per la sincronizzazione tra la modifica delle impostazioni dei pacchetti di installazione (attraverso l'interfaccia di Administration Console) e l'esecuzione degli strumenti di terze parti selezionati utilizzati per la distribuzione delle applicazioni dai dati dei pacchetti di installazione.
• Durante l'esecuzione dell'installazione da una cartella condivisa, è necessario assicurarsi che tale risorsa file abbia una capacità sufficiente.

Informazioni sulle attività di installazione remota in Kaspersky Security Center

Kaspersky Security Center fornisce diversi meccanismi per l'installazione remota delle applicazioni, che sono implementati come attività di installazione remota (installazione forzata, installazione tramite copia di un'immagine del disco rigido, installazione tramite i criteri di gruppo di Microsoft Windows). È possibile creare un'attività di installazione remota sia per un gruppo di amministrazione specificato che per dispositivi specifici o per una selezione di dispositivi (tali attività sono visualizzate in Administration Console, nella cartella Attività). Durante la creazione di un'attività, è possibile selezionare i pacchetti di installazione (quelli di Network Agent e/o di un'altra applicazione) per l'installazione con questa attività, nonché specificare determinate impostazioni che definiscono il metodo di installazione remota. È inoltre possibile utilizzare l'Installazione remota guidata, che è basata sulla creazione di un'attività di installazione remota e sul monitoraggio dei risultati.

Le attività per i gruppi di amministrazione influiscono sia sui dispositivi inclusi in un gruppo specificato che su tutti i dispositivi in tutti i sottogruppi compresi in tale gruppo di amministrazione. Un'attività copre i dispositivi degli Administration Server secondari inclusi in un gruppo o in qualsiasi dei relativi sottogruppi se l'impostazione corrispondente è abilitata nell'attività.

Le attività per dispositivi specifici aggiornano l'elenco dei dispositivi client a ogni esecuzione, in conformità con i contenuti della selezione al momento dell'avvio dell'attività. Se una selezione include dispositivi che sono stati connessi ad Administration Server secondari, l'attività verrà eseguita anche in tali dispositivi. Per informazioni dettagliate sulle impostazioni e i metodi di installazione, vedere più avanti in questa sezione.

Per garantire la corretta esecuzione di un'attività di installazione remota nei dispositivi connessi agli Administration Server secondari, è necessario utilizzare l'attività di trasmissione per trasferire anticipatamente i pacchetti di installazione utilizzati dall'attività agli Administration Server secondari corrispondenti.

Distribuzione tramite l'acquisizione e la copia dell'immagine di un dispositivo

Se Network Agent deve essere installato in dispositivi in cui è necessario installare (o reinstallare) anche un sistema operativo e altro software, è possibile utilizzare il meccanismo di acquisizione e copia dell'immagine del dispositivo.

Per eseguire la distribuzione acquisendo e copiando un disco rigido:

1. Creare un dispositivo "di riferimento" con un sistema operativo e il software appropriato installato, incluso Network Agent e un'applicazione di protezione.
2. Acquisire l'immagine di riferimento nel dispositivo e distribuire tale immagine nei nuovi dispositivi tramite l'attività dedicata di Kaspersky Security Center.

   Per acquisire e installare le immagini disco, è possibile utilizzare gli strumenti di terze parti disponibili nell'organizzazione o la funzionalità fornita (con la licenza Vulnerability e patch management) da Kaspersky Security Center.

Se si utilizza uno strumento di terze parti per elaborare le immagini disco, è necessario eliminare le informazioni utilizzate da Kaspersky Security Center per identificare il dispositivo gestito, al momento della distribuzione in un dispositivo da un'immagine di riferimento. In caso contrario, Administration Server non sarà in grado di distinguere correttamente i dispositivi che sono stati creati copiando la stessa immagine.

In caso di acquisizione di un'immagine disco con gli strumenti di Kaspersky Security Center, questo problema viene risolto automaticamente.

Copia di un'immagine disco con strumenti di terze parti

Quando si applicano strumenti di terze parti per l'acquisizione dell'immagine di un dispositivo con Network Agent installato, utilizzare uno dei seguenti metodi:

• Metodo consigliato. Durante l'installazione di Network Agent in un dispositivo di riferimento acquisire l'immagine del dispositivo prima della prima esecuzione del servizio Network Agent (perché le informazioni univoche che identificano il dispositivo vengono create alla prima connessione di Network Agent ad Administration Server). È quindi consigliabile evitare di eseguire il servizio Network Agent fino al completamento dell'operazione di acquisizione dell'immagine.
• Sul dispositivo di riferimento, interrompere il servizio Network Agent ed eseguire l'utilità klmover con l'opzione -dupfix. L'utilità klmover è inclusa nel pacchetto di installazione di Network Agent. Evitare qualsiasi successiva esecuzione del servizio Network Agent finché l'operazione di acquisizione dell'immagine non viene completata.
• Verificare che l'utilità klmover venga eseguita con l'opzione -dupfix prima (requisito obbligatorio) della prima esecuzione del servizio Network Agent nei dispositivi di destinazione, al primo avvio del sistema operativo dopo la distribuzione dell'immagine. L'utilità klmover è inclusa nel pacchetto di installazione di Network Agent.
• Utilizzare la modalità di clonazione del disco di Network Agent.

Se l'immagine del disco rigido è stata copiata in modo errato, è possibile risolvere il problema.

È inoltre possibile acquisire l'immagine di un dispositivo senza Network Agent installato. A tale scopo, eseguire la distribuzione dell'immagine nei dispositivi di destinazione, quindi distribuire Network Agent. Se si utilizza questo metodo, fornire l'accesso alla cartella di rete con i pacchetti di installazione indipendenti da un dispositivo.

Errori di copia di un'immagine del disco rigido

Se è stata copiata un'immagine del disco rigido in cui è installato Network Agent senza seguire le regole di distribuzione, alcuni dispositivi possono essere visualizzati insieme in Administration Console con un'unica icona e con un nome che subisce continue variazioni.

È possibile risolvere il problema utilizzando uno dei seguenti metodi:

• Rimozione di Network Agent

  Questo metodo è il più affidabile. È necessario rimuovere Network Agent dai dispositivi che sono stati copiati in modo errato dall'immagine, utilizzando strumenti di terze parti, e quindi installarlo di nuovo. Network Agent non può essere rimosso tramite gli strumenti di Kaspersky Security Center, perché Administration Server non può distinguere fra i dispositivi in errore (tutti condividono la stessa icona in Administration Console).

• Esecuzione dell'utilità klmover con l'opzione "-dupfix"

  Utilizzare strumenti di terze parti per eseguire una volta l'utilità klmover, disponibile nella cartella di installazione di Network Agent, con l'opzione "-dupfix" (klmover-dupfix) nei dispositivi in errore (quelli copiati in modo errato dall'immagine). Non è possibile eseguire l'utilità tramite gli strumenti di Kaspersky Security Center, perché Administration Server non può distinguere fra i dispositivi in errore (tutti condividono la stessa icona in Administration Console).

  Eliminare quindi l'icona con cui erano visualizzati i dispositivi in errore prima dell'esecuzione dell'utilità.

• Modifica della regola per il rilevamento dei dispositivi copiati in modo errato.

  Questo metodo è applicabile solo se sono installati Administration Server e Network Agent versione 10 Service Pack 1 o successiva.

  La regola per il rilevamento dei Network Agent copiati in modo errato deve essere modificata in modo che la modifica del nome NetBIOS di un dispositivo determini una "correzione" automatica di tali Network Agent (presupponendo che tutti i dispositivi copiati abbiano nomi NetBIOS univoci).

  Nel dispositivo con Administration Server è necessario importare nel Registro di sistema il file reg indicato di seguito e quindi riavviare il servizio Administration Server.

  • Se nel dispositivo con Administration Server è installato un sistema operativo a 32 bit:

  REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\1093\1.0.0.0\ServerFlags] "KLSRV_CheckClones"=dword:00000003

  • Se nel dispositivo con Administration Server è installato un sistema operativo a 64 bit:

  REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\1093\1.0.0.0\ServerFlags] "KLSRV_CheckClones"=dword:00000003

Distribuzione tramite i criteri di gruppo di Microsoft Windows

È consigliabile eseguire la distribuzione iniziale dei Network Agent tramite i criteri di gruppo di Microsoft Windows se sono soddisfatte le seguenti condizioni:

• Il dispositivo fa parte di un dominio Active Directory.
• Lo schema di distribuzione consente di attendere il successivo riavvio abituale dei dispositivi di destinazione prima di avviare la distribuzione nei Network Agent su di essi (oppure è possibile forzare l'applicazione di un criterio di gruppo di Windows in tali dispositivi).

Questo schema di distribuzione comprende quanto segue:

• Il pacchetto di distribuzione dell'applicazione in formato Microsoft Installer (pacchetto MSI) è disponibile in una cartella condivisa (una cartella per cui gli account LocalSystem dei dispositivi di destinazione dispongono di autorizzazioni di lettura).
• Nel criterio di gruppo di Active Directory, viene creato un oggetto di installazione per il pacchetto di distribuzione.
• L'ambito di installazione è impostato specificando l'unità organizzativa (UO) e / o il gruppo di protezione che include i dispositivi di destinazione.
• Al successivo accesso al dominio di un dispositivo di destinazione (prima che gli utenti del dispositivo accedano al sistema), tutte le applicazioni installate vengono esaminate per verificare che sia presente l'applicazione richiesta. Se l'applicazione non viene trovata, il pacchetto di distribuzione viene scaricato dalla risorsa specificata nel criterio e quindi viene installato.

Un vantaggio di questo schema di distribuzione è il fatto che le applicazioni assegnate sono installate nei dispositivi di destinazione durante il caricamento del sistema operativo, prima che l'utente acceda al sistema. Anche se un utente con diritti sufficienti rimuove l'applicazione, questa sarà reinstallata al successivo avvio del sistema operativo. Lo svantaggio di questo schema di distribuzione è che le modifiche apportate dall'amministratore al criterio di gruppo non hanno effetto finché i dispositivi non vengono riavviati (se non vengono utilizzati strumenti aggiuntivi).

È possibile utilizzare i criteri di gruppo per installare sia Network Agent che altre applicazioni se i relativi programmi di installazione sono in formato Windows Installer.

Quando si seleziona questo schema di distribuzione, è anche necessario valutare il carico sulla risorsa file da cui saranno copiati i file nei dispositivi dopo l'applicazione del criterio di gruppo di Windows.

Gestione dei criteri di Microsoft Windows tramite l'attività di installazione remota di Kaspersky Security Center

Il modo più semplice per installare le applicazioni tramite i criteri di gruppo di Microsoft Windows è selezionare l'opzione Assegna l'installazione del pacchetto in Criteri di gruppo di Active Directory nelle proprietà dell'attività di installazione remota di Kaspersky Security Center. In questo caso, Administration Server esegue automaticamente le azioni seguenti durante l'esecuzione dell'attività:

• Crea gli oggetti richiesti nel criterio di gruppo di Microsoft Windows.
• Crea gruppi di protezione dedicati, include i dispositivi di destinazione in tali gruppi e assegna l'installazione delle applicazioni selezionate per i dispositivi. Il set di gruppi di protezione sarà aggiornato a ogni esecuzione dell'attività, in base al pool di dispositivi al momento dell'esecuzione.

Per rendere disponibile questa funzionalità, nelle proprietà dell'attività specificare un account con autorizzazioni di scrittura nei criteri di gruppo di Active Directory.

Se si prevede di installare sia Network Agent che un'altra applicazione tramite la stessa attività, la selezione dell'opzione Assegna l'installazione del pacchetto in Criteri di gruppo di Active Directory determina la creazione di un oggetto di installazione nel criterio di Active Directory solo per Network Agent. La seconda applicazione selezionata nell'attività sarà installata tramite gli strumenti di Network Agent non appena quest'ultimo viene installato nel dispositivo. Se si desidera installare un'applicazione diversa da Network Agent tramite i criteri di gruppo di Windows, è necessario creare un'attività di installazione solo per tale pacchetto di installazione (senza il pacchetto di Network Agent). Non tutte le applicazioni possono essere installate utilizzando i criteri di gruppo Microsoft Windows. Per ottenere informazioni su questa funzionalità, è possibile fare riferimento alle informazioni sui possibili metodi per installare l'applicazione.

Se gli oggetti richiesti sono creati nel criterio di gruppo utilizzando gli strumenti di Kaspersky Security Center, verrà utilizzata la cartella condivisa di Kaspersky Security Center come origine del pacchetto di installazione. Durante la pianificazione della distribuzione, è necessario correlare la velocità di lettura per questa cartella con il numero di dispositivi e le dimensioni del pacchetto di distribuzione da installare. Può essere utile posizionare la cartella condivisa di Kaspersky Security Center in un archivio di file dedicato a elevate prestazioni.

Oltre alla sua facilità di utilizzo, la creazione automatica dei criteri di gruppo di Windows tramite Kaspersky Security Center offre un particolare vantaggio: durante la pianificazione dell'installazione di Network Agent, è possibile specificare facilmente il gruppo di amministrazione di Kaspersky Security Center in cui i dispositivi saranno spostati automaticamente al termine dell'installazione. È possibile specificare questo gruppo nella Creazione guidata nuova attività o nella finestra delle impostazioni dell'attività di installazione remota.

Quando si gestiscono i criteri di gruppo di Windows tramite Kaspersky Security Center, è possibile specificare i dispositivi per un oggetto criteri di gruppo creando un gruppo di protezione. Kaspersky Security Center sincronizza i contenuti del gruppo di protezione con il set corrente di dispositivi nell'attività. Utilizzando altri strumenti per gestire i criteri di gruppo, è possibile associare direttamente gli oggetti criteri di gruppo alle unità organizzative di Active Directory selezionate.

Installazione non assistita delle applicazioni tramite i criteri di Microsoft Windows

L'amministratore può creare autonomamente gli oggetti richiesti per l'installazione in un criterio di gruppo di Windows. In questo caso, può fornire collegamenti ai pacchetti archiviati nella cartella condivisa di Kaspersky Security Center oppure caricare i pacchetti su un file server dedicato e fornire collegamenti a tali pacchetti.

Sono possibili i seguenti scenari di installazione:

• L'amministratore crea un pacchetto di installazione e ne imposta le proprietà in Administration Console. L'oggetto criteri di gruppo fornisce un collegamento al file MSI di questo pacchetto archiviato nella cartella condivisa di Kaspersky Security Center.
• L'amministratore crea un pacchetto di installazione e ne imposta le proprietà in Administration Console. L'amministratore copia quindi l'intera sottocartella EXEC di questo pacchetto dalla cartella condivisa di Kaspersky Security Center in una cartella su una risorsa file dedicata dell'organizzazione. L'oggetto criteri di gruppo fornisce un collegamento al file MSI di questo pacchetto archiviato in una sottocartella sulla risorsa file dedicata dell'organizzazione.
• L'amministratore scarica da Internet il pacchetto di distribuzione dell'applicazione (incluso quello di Network Agent) e lo carica nella risorsa file dedicata dell'organizzazione. L'oggetto criteri di gruppo fornisce un collegamento al file MSI di questo pacchetto archiviato in una sottocartella sulla risorsa file dedicata dell'organizzazione. Le impostazioni di installazione sono definite configurando le proprietà MSI o configurando i file di trasformazione MST.

Distribuzione forzata tramite l'attività di installazione remota di Kaspersky Security Center

Per eseguire la distribuzione iniziale di Network Agent o di altre applicazioni, è possibile forzare l'installazione dei pacchetti di installazione selezionati utilizzando l'attività di installazione remota di Kaspersky Security Center, a condizione che ogni dispositivo disponga di uno o più account utente con diritti di amministratore locali.

L'installazione forzata può anche essere applicata se i dispositivi non sono direttamente accessibili da Administration Server, ad esempio se i dispositivi sono in rete isolata o se si trovano in una rete locale mentre Administration Server è in una rete perimetrale.

In caso di distribuzione iniziale, Network Agent non è installato. Pertanto, nelle impostazioni dell'attività di installazione remota, non è possibile selezionare la distribuzione dei file richiesti per l'installazione dell'applicazione utilizzando Network Agent. È possibile scegliere di distribuire i file solo utilizzando le risorse del sistema operativo tramite Administration Server o i punti di distribuzione.

Il servizio Administration Server deve essere eseguito con un account con privilegi di amministratore nei dispositivi di destinazione. In alternativa, è possibile specificare un account che ha accesso alla condivisione admin$ nelle impostazioni dell'attività di installazione remota.

Per impostazione predefinita, l'attività di installazione remota si connette ai dispositivi utilizzando le credenziali dell'account con cui è in esecuzione Administration Server. È importante chiarire che questo è l'account utilizzato per accedere alla condivisione admin$, anziché l'account con cui viene eseguita l'attività di installazione remota. L'installazione viene eseguita con l'account LocalSystem.

È possibile specificare i dispositivi di destinazione esplicitamente (con un elenco), selezionando il gruppo di amministrazione di Kaspersky Security Center a cui appartengono o creando una selezione di dispositivi in base a un criterio specifico. L'ora di inizio dell'installazione è definita dalla pianificazione dell'attività. Se l'impostazione Esegui attività non effettuate è abilitata nelle proprietà dell'attività, l'attività può essere eseguita subito dopo l'accensione dei dispositivi di destinazione o quando vengono spostati nel gruppo di amministrazione di destinazione.

L'installazione forzata consiste nella distribuzione dei pacchetti di installazione ai dispositivi di destinazione, nella successiva copia dei file nella risorsa admin$ in ciascuno dei dispositivi di destinazione e nella registrazione remota dei servizi di supporto in tali dispositivi. L'invio dei pacchetti di installazione ai dispositivi di destinazione viene eseguito tramite una funzionalità di Kaspersky Security Center che garantisce l'interazione di rete. In questo caso, devono essere soddisfatte le seguenti condizioni:

• I dispositivi di destinazione sono accessibili dal lato di Administration Server o dal lato del punto di distribuzione.
• La risoluzione dei nomi per i dispositivi di destinazione funziona correttamente nella rete.
• Le condivisioni amministrative (admin$) rimangono abilitate nei dispositivi di destinazione.
• I seguenti servizi di sistema sono in esecuzione nei dispositivi di destinazione:
  • Server (LanmanServer)

    Per impostazione predefinita, questo servizio è in esecuzione.

  • DCOM Server Process Launcher (DcomLaunch)
  • RPC Endpoint Mapper (RpcEptMapper)
  • Remote Procedure Call (RpcSs)
• La porta TCP 445 è aperta nei dispositivi di destinazione per abilitare l'accesso remoto tramite Windows Management Instrumentation.

  TCP 139, UDP 137 e UDP 138 vengono utilizzati dai protocolli precedenti e non sono più necessari per le applicazioni correnti.

  Le porte di accesso dinamiche in uscita devono essere consentite nel firewall per le connessioni da Administration Server e dai punti di distribuzione ai dispositivi di destinazione.

• Le impostazioni di protezione del criterio di dominio di Active Directory possono fornire il funzionamento del protocollo NTLM durante la distribuzione di Network Agent.
• Nei dispositivi di destinazione che eseguono Microsoft Windows XP, la modalità Simple File Sharing è disabilitata.
• Nei dispositivi di destinazione, il modello di protezione e condivisione dell'accesso è impostato su Classico: gli utenti locali eseguono l'autenticazione come se stessi. Non può in alcun modo essere Solo Guest: gli utenti locali si autenticano come Guest.
• I dispositivi di destinazione sono utenti del dominio o vengono creati anticipatamente account uniformi con diritti di amministratore nei dispositivi di destinazione.

Per distribuire correttamente Network Agent o altre applicazioni in un dispositivo che non fa parte di un dominio Active Directory di Windows Server 2003 o versione successiva, è necessario disabilitare Controllo dell'account utente remoto in tale dispositivo. Controllo dell'account utente remoto è uno dei motivi che impedisce agli account amministrativi locali di accedere ad admin$, necessario per la distribuzione forzata di Network Agent o di altre applicazioni. La disabilitazione di Controllo dell'account utente remoto non influisce su Controllo dell'account utente locale.

Durante l'installazione in nuovi dispositivi che non sono stati ancora assegnati ad alcun gruppo di amministrazione di Kaspersky Security Center, è possibile aprire le proprietà dell'attività di installazione remota e specificare il gruppo di amministrazione in cui spostare i dispositivi dopo l'installazione di Network Agent.

Al momento della creazione di un'attività di gruppo, tenere presente che ogni attività di gruppo influisce su tutti i dispositivi in tutti i gruppi nidificati all'interno un gruppo selezionato. È pertanto necessario evitare di duplicare le attività di installazione nei sottogruppi.

Un modo semplificato per creare attività per l'installazione forzata delle applicazioni è l'installazione automatica. A tale scopo, è necessario aprire le proprietà del gruppo di amministrazione, aprire l'elenco dei pacchetti di installazione e selezionare quelli da installare nei dispositivi di questo gruppo. I pacchetti di installazione selezionati saranno installati automaticamente in tutti i dispositivi di questo gruppo e di tutti i relativi sottogruppi. L'intervallo di tempo richiesto per l'installazione dei pacchetti dipende dalla velocità effettiva della rete e dal numero totale di dispositivi in rete.

Per ridurre il carico su Administration Server durante la distribuzione dei pacchetti di installazione ai dispositivi di destinazione, è possibile selezionare l'installazione tramite i punti di distribuzione nell'attività di installazione. Tenere presente che questo metodo di installazione comporta un carico significativo per i dispositivi che operano come punti di distribuzione. Pertanto, si consiglia di selezionare i dispositivi che soddisfano i requisiti per i punti di distribuzione. Se si utilizzano punti di distribuzione, è necessario assicurarsi che siano presenti in ciascuna delle subnet isolate che ospitano i dispositivi di destinazione.

L'utilizzo dei punti di distribuzione come centri di installazione locali può anche essere utile durante l'installazione nei dispositivi in subnet che comunicano con Administration Server tramite un canale con una capacità limitata, mentre è disponibile un canale con una maggiore capacità tra i dispositivi nella stessa subnet.

Lo spazio libero su disco nella partizione con la cartella %ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit deve superare, di diverse volte, le dimensioni totali dei pacchetti di distribuzione delle applicazioni installate.

Esecuzione di pacchetti indipendenti creati tramite Kaspersky Security Center

I metodi descritti in precedenza per la distribuzione iniziale di Network Agent e delle altre applicazioni non possono essere sempre implementati perché non è possibile soddisfare tutte le condizioni applicabili. In tali casi, è possibile creare un comune file eseguibile denominato pacchetto di installazione indipendente tramite Kaspersky Security Center, utilizzando i pacchetti di installazione con le impostazioni di installazione appropriate che sono stati preparati dall'amministratore. Il pacchetto di installazione indipendente è archiviato nella cartella condivisa di Kaspersky Security Center.

È possibile utilizzare Kaspersky Security Center per inviare agli utenti selezionati un messaggio e-mail che contiene un collegamento a questo file nella cartella condivisa, richiedendo loro di eseguire il file (in modalità interattiva o con l'opzione "-s" per l'installazione automatica). È possibile allegare il pacchetto di installazione indipendente a un messaggio e-mail e quindi inviarlo agli utenti dei dispositivi che non hanno accesso alla cartella condivisa di Kaspersky Security Center. L'amministratore può anche copiare il pacchetto indipendente in un'unità rimovibile, trasferirlo in un dispositivo appropriato e quindi eseguirlo in un secondo momento.

È possibile creare un pacchetto indipendente da un pacchetto di Network Agent, un pacchetto di un'altra applicazione (ad esempio, l'applicazione di protezione) o entrambi. Se il pacchetto indipendente è stato creato da Network Agent e un'altra applicazione, l'installazione inizia da Network Agent.

Durante la creazione di un pacchetto indipendente con Network Agent, è possibile specificare il gruppo di amministrazione nel quale verranno automaticamente spostati i nuovi dispositivi (quelli che non sono stati allocati ad alcun gruppo di amministrazione) al termine dell'installazione di Network Agent.

I pacchetti indipendenti possono essere eseguiti in modalità interattiva (per impostazione predefinita), visualizzando il risultato dell'installazione delle applicazioni che contengono, o possono essere eseguiti in modalità automatica (con l'opzione "-s"). La modalità automatica può essere utilizzata per l'installazione tramite script, ad esempio script configurati per l'esecuzione dopo la distribuzione dell'immagine di un sistema operativo. Il risultato dell'installazione in modalità automatica è determinato dal codice restituito del processo.

Opzioni per l'installazione manuale delle applicazioni

Gli amministratori o gli utenti esperti possono installare manualmente le applicazioni in modalità interattiva. Possono utilizzare i pacchetti di distribuzione originali o pacchetti di installazione generati da questi ultimi e archiviati nella cartella condivisa di Kaspersky Security Center. Per impostazione predefinita, i programmi di installazione vengono eseguiti in modalità interattiva e richiedono agli utenti tutti i valori richiesti. Tuttavia, eseguendo il processo setup.exe dalla radice di un pacchetto di installazione con l'opzione "-s", il programma di installazione verrà eseguito in modalità automatica e con le impostazioni che sono state definite durante la configurazione del pacchetto di installazione.

Quando si esegue setup.exe dalla radice di un pacchetto di installazione archiviato nella cartella condivisa di Kaspersky Security Center, il pacchetto sarà prima copiato in una cartella locale temporanea e quindi sarà eseguito il programma di installazione dell'applicazione dalla cartella locale.

Creazione di un file MST

Per trasformare il contenuto di un pacchetto MSI e applicare le impostazioni personalizzate a un file MSI esistente, è necessario creare un file di trasformazione in formato MST. A tale scopo, utilizzare l'editor Orca.exe, incluso in Windows SDK.

Per creare un file MST:

1. Eseguire l'editor Orca.exe.
2. Passare alla scheda File e nel menu fare clic su Apri.
3. Selezionare il file Kaspersky Network Agent.msi.
4. Passare alla scheda Trasformazione e nel menu selezionare Nuova trasformazione.
5. Nella colonna Tabelle selezionare Proprietà e scrivere i seguenti valori:
   • EULA=1
   • SERVERADDRESS=<Indirizzo di Administration Server>

   Fare clic sul pulsante Salva.

6. Passare alla scheda Trasforma e nel menu selezionare Genera trasformazione.
7. Nella finestra visualizzata, specificare un nome per il file di trasformazione creato, quindi fare clic sul pulsante Salva.

Il file MST viene salvato.

Installazione remota delle applicazioni nei dispositivi in cui è installato Network Agent

Se un Network Agent connesso all'Administration Server primario (o a uno dei relativi Server secondari) è installato in un dispositivo, è possibile eseguire l'upgrade di Network Agent in tale dispositivo, nonché installare, aggiornare o rimuovere qualsiasi applicazione supportata tramite Network Agent.

È possibile abilitare l'opzione Utilizzando Network Agent nelle proprietà dell'attività di installazione remota.

Se questa opzione è selezionata, i pacchetti di installazione con le impostazioni di installazione definite dall'amministratore saranno trasferiti ai dispositivi di destinazione tramite i canali di comunicazione tra Network Agent e Administration Server.

Per ottimizzare il carico su Administration Server e ridurre al minimo il traffico tra Administration Server e i dispositivi, è consigliabile assegnare punti di distribuzione in ogni rete remota o in ogni dominio di trasmissione (vedere le sezioni "Informazioni sui punti di distribuzione" e "Creazione di una struttura di gruppi di amministrazione e assegnazione dei punti di distribuzione". In questo caso, i pacchetti di installazione e le impostazioni del programma di installazione sono distribuiti dall'Administration Server ai dispositivi di destinazione tramite i punti di distribuzione.

È inoltre possibile utilizzare i punti di distribuzione per l'invio (multicast) dei pacchetti di installazione, che consente di ridurre considerevolmente il traffico di rete durante la distribuzione delle applicazioni.

Durante il trasferimento dei pacchetti di installazione ai dispositivi di destinazione tramite i canali di comunicazione tra i Network Agent e l'Administration Server, tutti i pacchetti di installazione che sono stati preparati per il trasferimento saranno anche memorizzati nella cache nella cartella %ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit\1093\.working\FTServer. Quando si utilizzano diversi pacchetti di installazione di grandi dimensioni, di vari tipi e che coinvolgono numerosi punti di distribuzione, le dimensioni di questa cartella possono aumentare notevolmente.

I file non possono essere eliminati manualmente della cartella FTServer. Quando i pacchetti di installazione originali vengono eliminati, i dati corrispondenti sono eliminati automaticamente della cartella FTServer.

I dati ricevuti dai punti di distribuzione vengono salvati nella cartella %ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit\1103\$FTClTmp.

I file non possono essere eliminati manualmente della cartella $FTClTmp. Al termine delle attività che utilizzano i dati in questa cartella, i contenuti della cartella saranno eliminati automaticamente.

Poiché i pacchetti di installazione sono distribuiti tramite i canali di comunicazione tra Administration Server e i Network Agent da un archivio intermedio in un formato ottimizzato per i trasferimenti in rete, non sono consentite modifiche ai pacchetti di installazione archiviati nella cartella originale di ogni pacchetto di installazione. Tali modifiche non saranno registrate automaticamente da Administration Server. Se è necessario modificare manualmente i file dei pacchetti di installazione (sebbene sia consigliabile evitare questo scenario), è necessario modificare qualsiasi impostazione di un pacchetto di installazione in Administration Console. La modifica delle impostazioni di un pacchetto di installazione in Administration Console fa sì che Administration Server aggiorni l'immagine del pacchetto nella cache che è stato preparato per il trasferimento nei dispositivi di destinazione.

Gestione dei riavvii dei dispositivi nell'attività di installazione remota

I dispositivi spesso richiedono un riavvio per completare l'installazione remota delle applicazioni (in particolare in Windows).

Se si utilizza l'attività Installazione remota di Kaspersky Security Center, nella Creazione guidata nuova attività o nella finestra delle proprietà dell'attività che è stata creata (sezione Riavvio del sistema operativo), è possibile selezionare l'azione da eseguire quando il dispositivo Windows richiede un riavvio:

• Non riavviare il dispositivo. In questo caso, non sarà eseguito alcun riavvio automatico. Per completare l'installazione, è necessario riavviare il dispositivo (ad esempio, manualmente o tramite l'attività di gestione del dispositivo). Le informazioni sul riavvio richiesto saranno salvate nei risultati dell'attività e nello stato del dispositivo. Questa opzione è adatta per le attività di installazione nei server e negli altri dispositivi per cui il funzionamento continuo è di importanza critica.
• Riavvia il dispositivo. In questo caso, il dispositivo viene sempre riavviato automaticamente quando è richiesto un riavvio per il completamento dell'installazione. Questa opzione è utile per le attività di installazione nei dispositivi per cui sono previste pause periodiche durante la relativa esecuzione (chiusura o riavvio).
• Richiedi l'intervento dell'utente. In questo caso, sarà visualizzata una notifica del riavvio sullo schermo del dispositivo client e verrà richiesto all'utente di riavviare il dispositivo manualmente. Per questa opzione è possibile definire alcune impostazioni avanzate: il testo del messaggio per l'utente, la frequenza di visualizzazione del messaggio e l'intervallo di tempo al termine del quale sarà forzato il riavvio (senza la conferma dell'utente). L'opzione Richiedi l'intervento dell'utente è la più adatta per le workstation, in cui gli utenti devono avere la possibilità di selezionare l'orario che preferiscono per un riavvio del sistema.

Aggiornamento dei database in un pacchetto di installazione di un'applicazione di protezione

Prima di avviare la distribuzione della protezione, è necessario tenere presente che è possibile aggiornare i database anti-virus (inclusi i moduli delle patch automatiche) forniti con il pacchetto di distribuzione dell'applicazione di protezione. È consigliabile aggiornare i database nel pacchetto di installazione dell'applicazione prima di avviare la distribuzione (ad esempio, utilizzando il comando corrispondente nel menu di scelta rapida di un pacchetto di installazione selezionato). In tal modo, è possibile ridurre il numero di riavvii richiesti per il completamento della distribuzione della protezione nei dispositivi di destinazione.

Utilizzo di strumenti per l'installazione remota di applicazioni in Kaspersky Security Center per l'esecuzione di file eseguibili nei dispositivi gestiti

Utilizzando la Creazione guidata nuovo pacchetto, è possibile selezionare qualsiasi file eseguibile e definire le impostazioni della riga di comando per tale file. È possibile aggiungere al pacchetto di installazione il file selezionato o l'intera cartella che lo contiene. È quindi necessario creare l'attività di installazione remota e selezionare il pacchetto di installazione che è stato creato.

Durante l'esecuzione dell'attività, il file eseguibile specificato con le impostazioni definite del prompt dei comandi verrà eseguito nei dispositivi di destinazione.

Se si utilizzano programmi di installazione in formato Microsoft Windows Installer (MSI), Kaspersky Security Center analizza i risultati dell'installazione per mezzo di strumenti standard.

Se è disponibile una licenza per Vulnerability e patch management, Kaspersky Security Center (durante la creazione di un pacchetto di installazione per qualsiasi applicazione supportata nell'ambiente aziendale) utilizza anche regole per l'installazione e l'analisi dei risultati dell'installazione presenti nel proprio database aggiornabile.

In caso contrario, l'attività predefinita per i file eseguibili attende il completamento del processo in esecuzione e di tutti i relativi processi secondari. Dopo completamento di tutti i processi in esecuzione, l'attività verrà completata correttamente, indipendentemente dal codice restituito del processo iniziale. Per modificare il comportamento di questa attività, prima di creare l'attività, è necessario modificare manualmente i file .kpd che sono stati generati da Kaspersky Security Center nella cartella del pacchetto di installazione appena creato e nelle relative sottocartelle.

I file .kpd utilizzano la codifica ASCII. I file .kud utilizzano la codifica Unicode.

Per fare in modo che l'attività non attenda il completamento del processo in esecuzione, impostare il valore dell'impostazione Wait su 0 nella sezione [SetupProcessResult]:

Per fare in modo che l'attività attenda solo il completamento del processo in esecuzione in Windows, e non quello di tutti i processi secondari, impostare il valore dell'impostazione WaitJob su 0 nella sezione [SetupProcessResult], ad esempio:

Affinché l'attività venga completata correttamente o restituisca un errore a seconda del codice di ritorno del processo in esecuzione, creare un file .bat eseguibile che salvi il codice di errore in un file, ad esempio:

Quindi modificare i file .kud generati da Kaspersky Security Center nella cartella del pacchetto di installazione appena creato:

In questo caso, qualsiasi codice diverso da quelli elencati determinerà la restituzione di un errore.

Per visualizzare nei risultati dell'attività una stringa con un commento relativo al completamento dell'attività o un errore, immettere brevi descrizioni degli errori che corrispondono ai codici restituiti del processo nelle sezioni [SetupProcessResult_SuccessCodes] e [SetupProcessResult_ErrorCodes], ad esempio:

Per utilizzare gli strumenti di Kaspersky Security Center per gestire il riavvio del dispositivo (se è necessario un riavvio per completare un'operazione), elencare i codici restituiti del processo che indicano che deve essere eseguito un riavvio nella sezione [SetupProcessResult_NeedReboot]:

Monitoraggio della distribuzione

Per monitorare la distribuzione di Kaspersky Security Center e verificare che un'applicazione di protezione e Network Agent siano installati nei dispositivi gestiti, è necessario controllare l'indicatore a semaforo nella sezione Distribuzione. Questo indicatore a semaforo è disponibile nell'area di lavoro del nodo Administration Server nella finestra principale di Administration Console. L'indicatore a semaforo riflette lo stato corrente della distribuzione. Il numero di dispositivi con Network Agent e applicazioni di protezione installate è visualizzato accanto all'indicatore. Quando qualsiasi attività di installazione è in esecuzione, qui è possibile monitorarne lo stato di avanzamento. Se si verificano errori, il numero di errori viene visualizzato qui. È possibile visualizzare i dettagli di qualsiasi errore facendo clic sul collegamento.

È anche possibile utilizzare lo schema della distribuzione nell'area di lavoro della cartella Dispositivi gestiti nella scheda Gruppi. Il grafico riflette il processo di distribuzione, visualizzando il numero di dispositivi senza Network Agent, con Network Agent o con Network Agent e un'applicazione di protezione.

Per ulteriori informazioni sullo stato di avanzamento della distribuzione (o sull'esecuzione di una specifica attività di installazione), aprire la finestra dei risultati dell'attività di installazione remota appropriata: fare clic con il pulsante destro del mouse sull'attività, quindi selezionare Risultati nel menu di scelta rapida. La finestra visualizza due elenchi: quello superiore contiene gli stati dell'attività nei dispositivi, mentre quello inferiore contiene gli eventi dell'attività sul dispositivo attualmente selezionato nell'elenco superiore.

Le informazioni sugli errori di distribuzione vengono aggiunte al registro eventi Kaspersky su Administration Server. Le informazioni sugli errori sono anche disponibili tramite la selezione eventi corrispondente nel nodo Administration Server della scheda Eventi.

Configurazione dei programmi di installazione

Questa sezione fornisce informazioni sui file dei programmi di installazione di Kaspersky Security Center e sulle impostazioni di installazione, oltre a raccomandazioni su come installare Administration Server e Network Agent in modalità automatica.

Informazioni generali

I programmi di installazione di Kaspersky Security Center 14.2 (Administration Server, Network Agent e Administration Console) sono basati sulla tecnologia Windows Installer. L'elemento fondamentale di un programma di installazione è un pacchetto MSI. Questo formato dei pacchetti consente di sfruttare tutti i vantaggi offerti da Windows Installer: la scalabilità, la disponibilità di un sistema di applicazione delle patch, il sistema di trasformazione, l'installazione centralizzata tramite soluzioni di terze parti e la registrazione trasparente con il sistema operativo.

Installazione in modalità automatica (con un file di risposta)

I programmi di installazione di Administration Server e Network Agent supportano l'utilizzo di un file di risposta (ss_install.xml), in cui sono integrate le parametri per l'installazione in modalità automatica senza la partecipazione dell'utente. Il file ss_install.xml è disponibile nella stessa cartella del pacchetto MSI e viene utilizzato automaticamente durante l'installazione in modalità automatica. È possibile abilitare la modalità di installazione automatica con il tasto della riga di comando "/s".

Un esempio di esecuzione del comando è il seguente:

Prima di avviare il programma di installazione in modalità automatica, leggere il Contratto di licenza con l'utente finale (EULA). Se il kit di distribuzione di Kaspersky Security Center non include un file TXT con il testo dell'EULA, è possibile scaricare il file dal sito Web di Kaspersky.

Il file ss_install.xml è un'istanza del formato interno dei parametri del programma di installazione di Kaspersky Security Center. I pacchetti di distribuzione contengono il file ss_install.xml con i parametri predefiniti.

Non modificare il file ss_install.xml manualmente. Questo file può essere modificato mediante gli strumenti di Kaspersky Security Center durante la modifica dei parametri dei pacchetti di installazione in Administration Console.

Per modificare il file di risposta per l'installazione di Administration Server:

1. Aprire il pacchetto di distribuzione di Kaspersky Security Center. Se si utilizza un file EXE del pacchetto completo, decomprimerlo.
2. Nella cartella Server, aprire la riga di comando e quindi eseguire il seguente comando:

   setup.exe /r ss_install.xml

   Viene avviato il programma di installazione di Kaspersky Security Center.

3. Seguire i passaggi della procedura guidata per configurare l'installazione di Kaspersky Security Center.

Una volta completata la procedura guidata, il file di risposta viene modificato automaticamente in base alle nuove impostazioni specificate.

Installazione di Network Agent in modalità automatica (senza un file di risposta)

È possibile installare Network Agent con un singolo pacchetto .msi, specificando i valori delle proprietà MSI nella modalità standard. Questo scenario consente l'installazione di Network Agent tramite i criteri di gruppo.

Non rinominare il pacchetto di installazione Kaspersky Network Agent.msi. La ridenominazione del pacchetto potrebbe causare errori di installazione durante gli aggiornamenti futuri di Network Agent.

Per evitare conflitti tra i parametri definiti attraverso le proprietà MSI e i parametri definiti nel file di risposta, è possibile disabilitare il file di risposta impostando la proprietà DONT_USE_ANSWER_FILE=1. Il file MSI è disponibile nel pacchetto di distribuzione di Kaspersky Security Center, nella cartella Packages\NetAgent\exec. Un esempio di esecuzione del programma di installazione di Network Agent con un pacchetto .msi è il seguente.

L'installazione di Network Agent in modalità automatica richiede l'accettazione delle condizioni del Contratto di licenza con l'utente finale. Utilizzare il parametro EULA=1 solo se l'utente ha letto, compreso e accettato i termini del Contratto di licenza con l'utente finale.

È anche possibile definire i parametri di installazione per un pacchetto msi preparando in anticipo il file di risposta (con estensione mst). Questo comando si presenta come segue:

È possibile specificare diversi file di risposta in un singolo comando.

Configurazione parziale dell'installazione tramite setup.exe

Durante l'esecuzione dell'installazione delle applicazioni tramite setup.exe, è possibile aggiungere i valori di qualsiasi proprietà MSI al pacchetto MSI.

Questo comando si presenta come segue:

Parametri di installazione di Administration Server

Nella tabella seguente sono descritte le proprietà MSI che è possibile configurare durante l'installazione di Administration Server. Tutti i parametri sono facoltativi, ad eccezione di EULA e PRIVACYPOLICY.

Parametri dell'installazione di Administration Server in modalità automatica

Parametri di installazione di Network Agent

Nella tabella seguente sono descritte le proprietà MSI che è possibile configurare durante l'installazione di Network Agent. Tutti i parametri sono facoltativi, ad eccezione di EULA e SERVERADDRESS.

Parametri dell'installazione di Network Agent in modalità automatica

Infrastruttura virtuale

Kaspersky Security Center supporta l'utilizzo di macchine virtuali. È possibile installare Network Agent e l'applicazione di protezione in ogni macchina virtuale, nonché proteggere le macchine virtuali a livello di hypervisor. Nel primo caso è possibile utilizzare un'applicazione di protezione standard o Kaspersky Security for Virtualization Light Agent per proteggere le macchine virtuali. Nel secondo caso è possibile utilizzare Kaspersky Security for Virtualization Agentless.

Kaspersky Security Center supporta i rollback delle macchine virtuali allo stato precedente.

Suggerimenti per la riduzione del carico sulle macchine virtuali

Durante l'installazione di Network Agent in una macchina virtuale, è consigliabile valutare se disabilitare alcune funzionalità di Kaspersky Security Center che risultano di scarsa utilità per le macchine virtuali.

Quando si installa Network Agent in una macchina virtuale o in un modello utilizzato per la generazione di macchine virtuali, è consigliabile eseguire le seguenti azioni:

• Se si esegue un'installazione remota, nella finestra delle proprietà del pacchetto di installazione di Network Agent, nella sezione Avanzate selezionare l'opzione Ottimizza le impostazioni per VDI.
• Se si esegue un'installazione interattiva tramite una procedura guidata, nella finestra della procedura guidata selezionare l'opzione Ottimizza le impostazioni di Network Agent per l'infrastruttura virtuale.

La selezione di queste opzioni modifica le impostazioni di Network Agent in modo da mantenere disabilitate le seguenti funzionalità per impostazione predefinita (prima dell'applicazione di un criterio):

• Recupero delle informazioni sul software installato
• Recupero delle informazioni sull'hardware
• Recupero delle informazioni sulle vulnerabilità rilevate
• Recupero delle informazioni sugli aggiornamenti richiesti

In genere, queste funzionalità non sono necessarie nelle macchine virtuali perché utilizzano software uniforme e hardware virtuale.

La disabilitazione delle funzionalità è reversibile. Se è richiesta una delle funzionalità disabilitate, è possibile abilitarla tramite il criterio di Network Agent o mediante le impostazioni locali di Network Agent. Le impostazioni locali di Network Agent sono disponibili tramite il menu di scelta rapida del dispositivo appropriato in Administration Console.

Supporto delle macchine virtuali dinamiche

Kaspersky Security Center supporta le macchine virtuali dinamiche. Se nella rete dell'organizzazione è stata distribuita un'infrastruttura virtuale, in alcuni casi è possibile utilizzare macchine virtuali (temporanee) dinamiche. Le macchine virtuali dinamiche vengono create con nomi univoci in base a un modello che è stato preparato dall'amministratore. L'utente lavora su una macchina virtuale per un certo periodo e, dopo lo spegnimento, questa macchina virtuale sarà rimossa dall'infrastruttura virtuale. Se Kaspersky Security Center è stato distribuito nella rete dell'organizzazione, una macchina virtuale con Network Agent installato verrà aggiunta al database di Administration Server. Dopo lo spegnimento di una macchina virtuale, anche la voce corrispondente deve essere rimossa dal database di Administration Server.

Per rendere disponibile la funzionalità di rimozione automatica delle voci nelle macchine virtuali, durante l'installazione di Network Agent in un modello per le macchine virtuali dinamiche, selezionare l'opzione Abilita modalità dinamica per VDI:

• Per l'installazione remota - Nella finestra delle proprietà del pacchetto di installazione di Network Agent (sezione Avanzate)
• Per l'installazione interattiva - Nell'Installazione guidata di Network Agent

Evitare di selezionare l'opzione Abilita modalità dinamica per VDI durante l'installazione di Network Agent nei dispositivi fisici.

Se si desidera archiviare gli eventi generati dalle macchine virtuali dinamiche in Administration Server per un certo periodo dopo la rimozione delle macchine virtuali, nella finestra delle proprietà di Administration Server, nella sezione Archivio eventi, selezionare l'opzione Archivia eventi dopo l'eliminazione dei dispositivi e specificare il periodo di archiviazione massimo degli eventi (in giorni).

Supporto della copia delle macchine virtuali

La copia di una macchina virtuale con Network Agent installato o la creazione di una macchina virtuale da un modello con Network Agent installato sono identiche alla distribuzione dei Network Agent tramite l'acquisizione e la copia di un'immagine del disco rigido. In generale, durante la copia delle macchine virtuali è necessario eseguire le stesse azioni previste durante la distribuzione di Network Agent tramite la copia un'immagine del disco.

Tuttavia, nei due casi descritti di seguito viene illustrato Network Agent, che rileva automaticamente la copia. Per i motivi indicati in precedenza, non è necessario eseguire le operazioni sofisticate descritte in "Distribuzione tramite l'acquisizione e la copia dell'immagine del disco rigido di un dispositivo":

• L'opzione Abilita modalità dinamica per VDI era selezionata durante l'installazione di Network Agent: dopo ogni riavvio del sistema operativo, questa macchina virtuale sarà riconosciuta come un nuovo dispositivo, indipendentemente dal fatto che sia stata copiata.
• È in uso uno dei seguenti hypervisor: VMware, HyperV o Xen: Network Agent rileva la copia della macchina virtuale in base agli ID modificati dell'hardware virtuale.

L'analisi delle modifiche nell'hardware virtuale non è assolutamente affidabile. Prima di applicare questo metodo su larga scala, è necessario testarlo su un piccolo gruppo di macchine virtuali per la versione dell'hypervisor attualmente in uso nell'organizzazione.

Supporto del rollback del file system per i dispositivi con Network Agent

Kaspersky Security Center è un'applicazione distribuita. Il rollback del file system uno stato precedente in un dispositivo con Network Agent installato determinerà la mancata sincronizzazione dei dati e impedirà il corretto funzionamento di Kaspersky Security Center.

È possibile eseguire il rollback del file system (o di una sua parte) nei seguenti casi:

• Durante la copia di un'immagine del disco rigido.
• Durante il ripristino di uno stato della macchina virtuale tramite l'infrastruttura virtuale.
• Durante il ripristino dei dati da una copia di backup o da un punto di ripristino.

Gli scenari in cui software di terze parti nei dispositivi con Network Agent installato influisce sulla cartella %ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit\ sono solo scenari critici per Kaspersky Security Center. Pertanto, è necessario escludere sempre questa cartella dalla procedura di ripristino, se possibile.

Dal momento che le regole per l'ambiente di lavoro di alcune organizzazioni consentono i rollback del file system nei dispositivi, il supporto per il rollback del file system nei dispositivi con Network Agent installato è stato aggiunto a Kaspersky Security Center a partire dalla versione 10 Maintenance Release 1 (Administration Server e i Network Agent devono essere della versione 10 Maintenance Release 1 o successiva). Quando sono rilevati, tali dispositivi vengono riconnessi automaticamente all'Administration Server con una cancellazione completa dei dati e una sincronizzazione completa.

Per impostazione predefinita, il supporto per il rilevamento del rollback del file system è abilitato in Kaspersky Security Center 14.2.

Per quanto possibile, evitare di eseguire il rollback della cartella %ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit\ nei dispositivi con Network Agent installato, perché la risincronizzazione completa dei dati richiede una notevole quantità di risorse.

Non è assolutamente consentito un rollback dello stato del sistema in un dispositivo con Administration Server installato, né un rollback del database utilizzato da Administration Server.

È possibile ripristinare uno stato di Administration Server da una copia di backup solo con l'utilità klbackup standard.

Installazione locale delle applicazioni

In questa sezione viene descritta una procedura di installazione per le applicazioni che possono essere installate solo nei dispositivi in locale.

Per eseguire l'installazione locale delle applicazioni in un dispositivo client specifico, è necessario disporre di diritti di amministratore per il dispositivo.

Per installare le applicazioni in locale in un dispositivo client specifico:

1. Installare Network Agent nel dispositivo client e configurare la connessione tra il dispositivo client e Administration Server.
2. Installare le applicazioni richieste nel dispositivo, come descritto nei manuali delle applicazioni.
3. Installare un plug-in di gestione per ognuna delle applicazioni installate nella workstation dell'amministratore.

Kaspersky Security Center supporta inoltre l'opzione per l'installazione locale delle applicazioni utilizzando un pacchetto di installazione indipendente. Kaspersky Security Center non supporta l'installazione di tutte le applicazioni Kaspersky.

Installazione locale di Network Agent

Espandi tutto | Comprimi tutto

Per installare Network Agent in locale in un dispositivo:

1. Nel dispositivo eseguire il file setup.exe dal pacchetto di distribuzione scaricato da Internet. Per informazioni dettagliate, fare riferimento al seguente argomento: Acquisizione del pacchetto di installazione di Network Agent dal kit di distribuzione di Kaspersky Security Center.

   Verrà visualizzata una finestra che richiede di selezionare le applicazioni Kaspersky da installare.

2. Nella finestra di selezione dell'applicazione fare clic sul collegamento Installa solo Kaspersky Security Center 14.2 Network Agent per avviare l'Installazione guidata di Network Agent. Seguire le istruzioni della procedura guidata.
   1. Administration Server

      Porta

      Specifica la porta non SSL utilizzata da Administration Server per ricevere le connessioni dai Network Agent.

      Per impostazione predefinita, questa opzione è impostata su 14000.

      Porta SSL

      Specifica la porta SSL utilizzata da Administration Server per ricevere le connessioni dai Network Agent.

      Per impostazione predefinita, questa opzione è impostata su 13000.

      Usa SSL per la connessione ad Administration Server

      Se questa opzione è abilitata, la connessione ad Administration Server viene stabilita attraverso una porta sicura tramite SSL.

      Per impostazione predefinita, questa opzione è abilitata.

      Consenti a Network Agent di aprire la porta UDP

      Se questa opzione è abilitata, il programma di installazione apre automaticamente la porta utilizzata da Administration Server per gestire il dispositivo client e ricevere informazioni al riguardo.

      Per impostazione predefinita, questa opzione è abilitata.

      Porta UDP

      Consente di configurare la porta utilizzata da Administration Server per gestire il dispositivo client e ricevere informazioni su di esso.

      Per impostazione predefinita, questa opzione è impostata su 15000.

   2. Configurazione del server proxy

      Usa server proxy

      Se questa opzione è abilitata, è possibile specificare le credenziali per l'autenticazione del server proxy.

      È consigliabile specificare le credenziali di un account con i privilegi minimi richiesti solo per l'autenticazione del server proxy.

      Per impostazione predefinita, questa opzione è disabilitata.

      Indirizzo

      Porta

      Account

      Nome utente dell'account con cui viene stabilita la connessione al server proxy.

      È consigliabile specificare le credenziali di un account con i privilegi minimi richiesti solo per l'autenticazione del server proxy.

      Password

      Password dell'account con cui viene stabilita la connessione al server proxy.

      È consigliabile specificare le credenziali di un account con i privilegi minimi richiesti solo per l'autenticazione del server proxy.

   3. Gateway di connessione

      Non utilizzare gateway di connessione

      Utilizzare Network Agent come gateway di connessione nella rete perimetrale

      Selezionare questa opzione per utilizzare Network Agent come gateway di connessione nella rete perimetrale per connettersi ad Administration Server, comunicare con esso e assicurare la protezione dei dati in Network Agent durante la trasmissione dei dati.

      Esegui la connessione ad Administration Server utilizzando un gateway di connessione

      Selezionare questa opzione e quindi specificare il dispositivo che fungerà da gateway di connessione.

   4. Certificato di Administration Server
   5. Tag agente
   6. Impostazioni avanzate

      Installa automaticamente le patch e gli aggiornamenti applicabili per i componenti con lo stato Indefinito

      Si consiglia di mantenere questa opzione abilitata. È possibile deselezionare questa opzione per disabilitare l'aggiornamento automatico e l'applicazione di patch per i componenti di Kaspersky Security Center. L'amministratore può riabilitare l'installazione automatica di aggiornamenti e patch in un secondo momento utilizzando un criterio.

      Per impostazione predefinita, questa opzione è disabilitata.

      Abilita la protezione del servizio Network Agent

      Quando questa opzione è abilitata, dopo l'installazione di Network Agent in un dispositivo gestito, il componente non può essere rimosso o riconfigurato senza i privilegi richiesti. Il servizio Network Agent non può essere arrestato. Questa opzione non ha effetto sui controller di dominio.

      Abilitare questa opzione per proteggere Network Agent sulle workstation gestite con diritti di amministratore locale.

      Per impostazione predefinita, questa opzione è disabilitata.

      Abilita modalità dinamica per VDI

      Se questa opzione è abilitata, la modalità dinamica per Virtual Desktop Infrastructure (VDI) sarà abilitata per Network Agent installato in una macchina virtuale.

      Per impostazione predefinita, questa opzione è disabilitata.

      Ottimizzare le impostazioni di Kaspersky Security Center Network Agent per l'infrastruttura virtuale. Disabilitare la scansione delle vulnerabilità e l'inventario di applicazioni e hardware. È possibile modificare le impostazioni correnti tramite i criteri di Network Agent.

      Se questa opzione è abilitata, le seguenti funzionalità sono disabilitate nelle impostazioni di Network Agent:

      • Recupero delle informazioni sul software installato
      • Recupero delle informazioni sull'hardware
      • Recupero delle informazioni sulle vulnerabilità rilevate
      • Recupero delle informazioni sugli aggiornamenti richiesti

      Per impostazione predefinita, questa opzione è disabilitata.

   7. Avvia applicazione

Al termine dell'Installazione guidata, Network Agent viene installato nel dispositivo.

È possibile visualizzare le proprietà del servizio Kaspersky Security Center Network Agent; è inoltre possibile avviare, arrestare e monitorare l'esecuzione di Network Agent utilizzando gli strumenti standard di Microsoft Windows: Gestione computer\Servizi.

Installazione di Network Agent in modalità automatica

Network Agent può essere installato in modalità automatica, ovvero senza l'input dei parametri di installazione. L'installazione automatica utilizza un pacchetto di installazione di Windows (MSI) per Network Agent. Il file MSI è disponibile nel pacchetto di distribuzione di Kaspersky Security Center, nella cartella Packages\NetAgent\exec.

Non rinominare il pacchetto di installazione Kaspersky Network Agent.msi. La ridenominazione del pacchetto potrebbe causare errori di installazione durante gli aggiornamenti futuri di Network Agent.

L'installazione di Network Agent dal pacchetto MSI è possibile solo in modalità automatica, l'installazione interattiva dal pacchetto MSI non è supportata.

Per installare Network Agent in un dispositivo locale in modalità automatica:

1. Leggere il Contratto di licenza con l'utente finale. Utilizzare il comando di seguito solo se sono stati compresi e accettati i termini del Contratto di licenza con l'utente finale.
2. Eseguire il comando

   msiexec /i "Kaspersky Network Agent.msi" /qn <parametri_installazione>

   dove parametri_installazione è un elenco di parametri e dei valori corrispondenti separati da uno spazio (PROP1=PROP1VAL PROP2=PROP2VAL).

   Nell'elenco dei parametri è necessario includere EULA=1. In caso contrario Network Agent non verrà installato.

Se si utilizzano le impostazioni di connessione standard per Kaspersky Security Center e Network Agent nei dispositivi remoti, eseguire il comando:

/l*vx è la chiave per la scrittura dei log. Il log viene creato durante l'installazione di Network Agent e salvato in C:\windows\temp\nag_inst.log.

Oltre a nag_inst.log, l'applicazione crea il file $klssinstlib.log, che contiene il log di installazione. Questo file è archiviato nella cartella %windir%\temp or %temp%. Per la risoluzione dei problemi, l'utente o un esperto del Servizio di assistenza tecnica Kaspersky potrebbe aver bisogno di entrambi i file di log: nag_inst.log e $klssinstlib.log.

Se è necessario specificare la porta per la connessione ad Administration Server, eseguire il comando:

Il parametro SERVERPORT corrisponde al numero di porta per la connessione ad Administration Server.

I nomi e i possibili valori per i parametri che è possibile utilizzare durante l'installazione di Network Agent in modalità automatica sono elencati nella sezione Parametri di installazione di Network Agent.

Installazione di Network Agent per Linux in modalità automatica (con un file di risposte)

È possibile installare Network Agent nei dispositivi Linux utilizzando un file di risposte, vale a dire un file di testo contenente un set personalizzato di parametri di installazione: variabili e rispettivi valori. L'uso di questo file di risposte consente di eseguire un'installazione in modalità automatica, ovvero senza la partecipazione dell'utente.

Per eseguire l'installazione di Network Agent per Linux in modalità automatica:

1. Preparare il dispositivo Linux attinente per l'installazione remota. Scaricare e creare il pacchetto di installazione remota, utilizzando un pacchetto .deb o .rpm di Network Agent, tramite qualsiasi sistema di gestione dei pacchetti idoneo.
2. Se si desidera installare Network Agent nei dispositivi con sistema operativo SUSE Linux Enterprise Server 15, installare il pacchetto insserv-compat prima di configurare Network Agent.
3. Leggere il Contratto di licenza con l'utente finale. Seguire i passaggi di seguito solo se sono stati compresi e accettati i termini del Contratto di licenza con l'utente finale.
4. Impostare il valore della variabile di ambiente KLAUTOANSWERS nell'ambiente radice o utente inserendo il nome completo del file di risposte (incluso il percorso), ad esempio come segue:

   export KLAUTOANSWERS=/tmp/nagent_install/answers.txt

5. Creare il file di risposte (in formato TXT) nella directory specificata nella variabile di ambiente. Aggiungere al file di risposte un elenco di variabili nel formato NOME_VARIABILE=valore_variabile, ognuna su una riga separata.

   Per il corretto utilizzo del file di risposte, è necessario includere un set minimo delle tre variabili richieste:

   • KLNAGENT_SERVER
   • KLNAGENT_AUTOINSTALL
   • EULA_ACCEPTED

   È inoltre possibile aggiungere eventuali variabili opzionali per utilizzare parametri più specifici dell'installazione remota. La tabella seguente elenca tutte le variabili che possono essere incluse nel file di risposte:

   Variabili del file di risposte utilizzate come parametri dell'installazione di Network Agent per Linux in modalità automatica

   Variabili del file di risposte utilizzate come parametri dell'installazione di Network Agent per Linux in modalità automatica

   Nome della variabile	Richiesto	Descrizione	Valori possibili
   KLNAGENT_SERVER	Sì	Contiene il nome di Administration Server sotto forma di nome di dominio completo (FQDN) o indirizzo IP.	Nome DNS o indirizzo IP.
   KLNAGENT_AUTOINSTALL	Sì	Indica se la modalità di installazione automatica è abilitata.	1—La modalità automatica è abilitata; l'utente non deve eseguire alcuna operazione durante l'installazione. Altro—La modalità automatica è disabilitata; all'utente può essere richiesto di eseguire operazioni durante l'installazione.
   EULA_ACCEPTED	Sì	Indica se l'utente accetta il Contratto di licenza con l'utente finale (EULA) di Network Agent; se non disponibile, può essere interpretato come la mancata accettazione dell'EULA.	1 - Confermo di aver letto, compreso e accettato i termini e le condizioni del presente Contratto di licenza con l'utente finale Altro o non specificato—Non accetto i termini del Contratto di licenza (l'installazione non viene eseguita).
   KLNAGENT_PROXY_USE	No	Indica se la connessione con Administration Server utilizzerà le impostazioni del proxy. Il valore predefinito è 0.	1—Le impostazioni del proxy vengono utilizzate. Altro—Le impostazioni del proxy non vengono utilizzate.
   KLNAGENT_PROXY_ADDR	No	Indica l'indirizzo del server proxy utilizzato per la connessione con Administration Server.	Nome DNS o indirizzo IP.
   KLNAGENT_PROXY_LOGIN	No	Indica il nome utente utilizzato per l'accesso al server proxy.	Qualsiasi nome utente esistente.
   KLNAGENT_PROXY_PASSWORD	No	Indica la password utente utilizzata per l'accesso al server proxy.	Qualsiasi set di caratteri alfanumerici consentiti dal formato password nel sistema operativo.
   KLNAGENT_VM_VDI	No	Indica se Network Agent è installato in un'immagine per la creazione di macchine virtuali dinamiche.	1—Network Agent è installato in un'immagine, che verrà successivamente utilizzata per la creazione di macchine virtuali dinamiche. Altro—Non viene utilizzata alcuna immagina durante l'installazione.
   KLNAGENT_VM_OPTIMIZE	No	Indica se le impostazioni di Network Agent sono ottimali per l'hypervisor.	1—Le impostazioni locali predefinite di Network Agent vengono modificate per consentire l'utilizzo ottimizzato nell'hypervisor.
   KLNAGENT_TAGS	No	Elenca i tag assegnati all'istanza di Network Agent.	Uno o più nomi di tag separati da un punto e virgola.
   KLNAGENT_UDP_PORT	No	Indica la porta UDP utilizzata da Network Agent. Il valore predefinito è 15000.	Qualsiasi numero di porta esistente.
   KLNAGENT_PORT	No	Definisce la porta non TLS utilizzata da Network Agent. Il valore predefinito è 14000.	Qualsiasi numero di porta esistente.
   KLNAGENT_SSLPORT	No	Definisce la porta TLS utilizzata da Network Agent. Il valore predefinito è 13000.	Qualsiasi numero di porta esistente.
   KLNAGENT_USESSL	No	Indica se per la connessione viene utilizzato Transport Layer Security (TLS).	1 (predefinito)—TLS viene utilizzato. Altro—TLS non viene utilizzato.
   KLNAGENT_GW_MODE	No	Indica se viene utilizzato il gateway di connessione.	1 (predefinito)—Le impostazioni correnti non vengono modificate (alla prima chiamata non viene specificato alcun gateway di connessione). 2—Non viene utilizzato alcun gateway di connessione. 3—Il gateway di connessione viene utilizzato. 4—L'istanza di Network Agent viene utilizzata come gateway di connessione nella rete perimetrale (DMZ).
   KLNAGENT_GW_ADDRESS	No	Indica l'indirizzo del gateway di connessione. Il valore è applicabile solo se KLNAGENT_GW_MODE=3.	Nome DNS o indirizzo IP.

6. Installazione di Network Agent:
   • Per installare Network Agent da un pacchetto RPM in un sistema operativo a 32 bit, eseguire il comando seguente:
     # rpm -i klnagent-<numero build>.i386.rpm
   • Per installare Network Agent da un pacchetto RPM in un sistema operativo a 64 bit, eseguire il comando seguente:
     # rpm -i klnagent64-<numero build>.x86_64.rpm
   • Per installare Network Agent da un pacchetto RPM in un sistema operativo a 64 bit per l’architettura Arm, eseguire il comando seguente:
     # rpm -i klnagent64-<numero build>.aarch64.rpm
   • Per installare Network Agent da un pacchetto DEB in un sistema operativo a 32 bit, eseguire il comando seguente:
     # apt-get install ./klnagent_<numero build>_i386.deb
   • Per installare Network Agent da un pacchetto DEB in un sistema operativo a 64 bit, eseguire il comando seguente:
     # apt-get install ./klnagent64_<numero build>_amd64.deb
   • Per installare Network Agent da un pacchetto DEB in un sistema operativo a 64 bit per l’architettura Arm, eseguire il comando seguente:
     # apt-get install ./klnagent64_<numero build>_arm64.deb

   Per installare Network Agent nell'ambiente utente, aggiungere sudo -E prima del comando. Ad esempio, per installare Network Agent da un pacchetto RPM su un sistema operativo a 32 bit, eseguire il seguente comando:

   $ sudo -E rpm -i klnagent-<numero build>.i386.rpm

L'installazione di Network Agent per Linux viene avviata in modalità automatica; all'utente non viene richiesto di eseguire alcuna operazione durante il processo.

Installazione di Network Agent per Linux in modalità interattiva

Questo articolo descrive come installare Network Agent nei dispositivi Linux in modalità interattiva, specificando passo dopo passo i parametri di installazione. In alternativa, è possibile utilizzare un file di risposte: un file di testo contenente un set personalizzato di parametri di installazione: variabili e rispettivi valori. L'uso di questo file di risposte consente di eseguire un'installazione in modalità automatica, ovvero senza la partecipazione dell'utente.

Per installare Network Agent in modalità interattiva:

1. Eseguire l'installazione di Network Agent. A seconda della distribuzione Linux, eseguire uno dei seguenti comandi:
   • Per installare Network Agent da un pacchetto RPM in un sistema operativo a 32 bit:

     # yum -i klnagent-<numero build>.i386.rpm

   • Per installare Network Agent da un pacchetto RPM in un sistema operativo a 64 bit:

     # yum -i klnagent64-<numero build>.x86_64.rpm

   • Per installare Network Agent da un pacchetto RPM in un sistema operativo a 64 bit per l'architettura Arm:

     # yum -i klnagent64-<numero build>.aarch64.rpm

   • Per installare Network Agent da un pacchetto DEB in un sistema operativo a 32 bit:

     # apt install ./klnagent_<numero build>_i386.deb

   • Per installare Network Agent da un pacchetto DEB in un sistema operativo a 64 bit:

     # apt install ./klnagent64_<numero build>_amd64.deb

   • Per installare Network Agent da un pacchetto DEB in un sistema operativo a 64 bit per l'architettura Arm:

     # apt install ./klnagent64_<numero build>_arm64.deb

2. Eseguire la configurazione di Network Agent:

   # /opt/kaspersky/klnagent64/bin/setup/postinstall.pl

3. Leggere il Contratto di licenza con l'utente finale (EULA). Il testo viene visualizzato nella finestra della riga di comando. Premere la barra spaziatrice per visualizzare il segmento di testo successivo. Quando richiesto inserire uno dei seguenti valori:
   • Immettere y se i termini del Contratto di licenza con l'utente finale sono stati compresi e accettati.
   • Immettere n se non si accettano i termini del Contratto di licenza con l'utente finale. Per utilizzare Network Agent, è necessario accettare i termini del Contratto di licenza con l'utente finale.
   • Immettere r per mostrare nuovamente il Contratto di licenza con l'utente finale.
4. Immettere l'indirizzo IP o il nome DNS di Administration Server.
5. Immettere il numero di porta di Administration Server. Per impostazione predefinita, viene utilizzata la porta 14000.
6. Immettere il numero di porta SSL di Administration Server. Per impostazione predefinita, viene utilizzata la porta 13000.
7. Immettere y se si desidera utilizzare il criptaggio SSL per il traffico tra Network Agent e Administration Server. In caso contrario, immettere n.
8. Selezionare una delle seguenti opzioni per configurare Network Agent:
   • [1]: non configurare un gateway di connessione.

     Il dispositivo non fungerà da gateway di connessione e non si connetterà ad Administration Server tramite un gateway di connessione.

   • [2]: non utilizzare un gateway di connessione.

     Il dispositivo non si connetterà ad Administration Server tramite un gateway di connessione.

   • [3]: eseguire la connessione al server utilizzando un gateway di connessione.

     Il dispositivo si connetterà ad Administration Server tramite un gateway di connessione.

   • [4]: utilizzare come gateway di connessione.

     Il dispositivo fungerà da gateway di connessione.

Network Agent viene installato in un dispositivo Linux.

Preparazione di un dispositivo in cui viene eseguito Astra Linux in modalità ambiente software chiuso per l'installazione di Network Agent

Prima di installare Network Agent in un dispositivo in cui viene esegue Astrito Linux in modalità ambiente software chiuso, è necessario eseguire due procedure di preparazione: quella nelle istruzioni riportate di seguito e i passaggi generali di preparazione per qualsiasi dispositivo Linux.

Prima di iniziare:

• Verificare che il dispositivo in cui si desidera installare Network Agent for Linux esegua una delle distribuzioni Linux supportate.
• Scaricare il file di installazione di Network Agent necessario dal sito Web di Kaspersky.

Eseguire i comandi presenti in questa istruzione con un account con privilegi di root.

Per preparare un dispositivo in cui viene eseguito Astra Linux in modalità ambiente software chiuso per l'installazione di Network Agent:

1. Aprire il file /etc/digsig/digsig_initramfs.conf, quindi specificare la seguente impostazione:

   DIGSIG_ELF_MODE=1

2. Nella riga di comando, eseguire il seguente comando per installare il pacchetto di compatibilità:

   apt install astra-digsig-oldkeys

3. Creare una directory per la chiave dell'applicazione:

   mkdir -p /etc/digsig/keys/legacy/kaspersky/

4. Posizionare la chiave dell'applicazione /opt/kaspersky/ksc64/share/kaspersky_astra_pub_key.gpg nella directory creata nel passaggio precedente:

   cp kaspersky_astra_pub_key.gpg /etc/digsig/keys/legacy/kaspersky/

   Se il kit di distribuzione di Kaspersky Security Center non include la chiave dell'applicazione kaspersky_astra_pub_key.gpg, è possibile scaricarla facendo clic sul collegamento: https://media.kaspersky.com/utilities/CorporateUtilities/kaspersky_astra_pub_key.gpg.

5. Aggiornare i dischi RAM:

   update-initramfs -u -k all

   Riavviare il sistema.

6. Eseguire i passaggi di preparazione comuni per qualsiasi dispositivo Linux.

Il dispositivo è preparato. È ora possibile procedere all'installazione di Network Agent.

Installazione locale del plug-in di gestione dell'applicazione

Per installare il plug-in di gestione dell'applicazione:

In un dispositivo in cui è installato Administration Console, eseguire il file eseguibile klcfginst.exe, incluso nel pacchetto di distribuzione dell'applicazione.

Il file klcfginst.exe è incluso in tutte le applicazioni che possono essere gestite tramite Kaspersky Security Center. L'installazione è agevolata dalla procedura guidata e non richiede la configurazione manuale delle impostazioni.

Installazione di applicazioni in modalità automatica

Per installare un'applicazione in modalità automatica:

1. Aprire la finestra principale dell'applicazione di Kaspersky Security Center.
2. Nella cartella Installazione remota della struttura della console, nella sottocartella Pacchetti di installazione, selezionare il pacchetto di installazione dell'applicazione desiderata o creare un nuovo pacchetto di installazione per l'applicazione.

   Il pacchetto di installazione verrà memorizzato in Administration Server, nella sottocartella Packages della cartella condivisa. A ogni pacchetto di installazione corrisponde una sottocartella distinta.

3. Aprire la cartella che contiene il pacchetto di installazione richiesto in uno dei seguenti modi:
   • Copiando la cartella che corrisponde al pacchetto di installazione appropriato dall'Administration Server nel dispositivo client e aprendo la cartella copiata nel dispositivo client.
   • Aprendo dal dispositivo client la cartella condivisa che corrisponde al pacchetto di installazione desiderato in Administration Server.

   Se la cartella condivisa si trova in un dispositivo con sistema operativo Microsoft Windows Vista, selezionare il valore Disabilitato per l'impostazione Controllo dell'account utente: esegui tutti gli amministratori in modalità Approvazione amministratore (Start → Pannello di controllo → Amministrazione → Criteri di protezione locali → Impostazioni di protezione).

4. A seconda dell'applicazione selezionata, eseguire le seguenti operazioni:
   • Per Kaspersky Anti-Virus for Windows Workstations, Kaspersky Anti-Virus for Windows Servers e Kaspersky Security Center, aprire la sottocartella exec, quindi eseguire il file eseguibile (con estensione .exe) con la chiave /s.
   • Per le altre applicazioni Kaspersky, eseguire il file eseguibile (con estensione .exe) con l'opzione /s dalla cartella aperta.

   L'esecuzione del file eseguibile con le chiavi EULA=1 e PRIVACYPOLICY=1 comporta la lettura, la comprensione e l'accettazione dei termini del Contratto di licenza con l'utente finale e dell'Informativa sulla privacy. L'utente è inoltre consapevole che i dati verranno gestiti e trasmessi (anche a paesi terzi) come descritto nell'Informativa sulla privacy. Il testo del Contratto di licenza e dell'Informativa sulla privacy è incluso nel kit di distribuzione di Kaspersky Security Center. È necessario accettare le condizioni del Contratto di licenza e dell'Informativa sulla privacy per installare l'applicazione o per eseguire l'upgrade da una versione precedente dell'applicazione.

Installazione delle applicazioni tramite pacchetti indipendenti

Kaspersky Security Center consente di creare pacchetti di installazione indipendenti per le applicazioni. Un pacchetto di installazione indipendente è un file eseguibile che può essere posizionato su un server Web, inviato per e-mail o trasferito in altro modo a un dispositivo client. Il file ricevuto può essere eseguito in locale nel dispositivo client per installare un'applicazione senza utilizzare Kaspersky Security Center.

Per installare un'applicazione utilizzando un pacchetto di installazione indipendente:

1. Eseguire la connessione all'Administration Server desiderato.
2. Nella cartella Installazione remota della struttura della console selezionare la sottocartella Pacchetti di installazione.
3. Nell'area di lavoro selezionare il pacchetto di installazione dell'applicazione desiderata.
4. Avviare il processo di creazione di un pacchetto di installazione indipendente in uno dei seguenti modi:
   • Selezionando Crea pacchetto di installazione indipendente nel menu di scelta rapida del pacchetto di installazione.
   • Fare clic sul collegamento Crea pacchetto di installazione indipendente nell'area di lavoro del pacchetto di installazione.

   Verrà avviata la Creazione guidata pacchetto di installazione indipendente. Seguire le istruzioni della procedura guidata.

   Nel passaggio finale della procedura guidata, selezionare un metodo per il trasferimento del pacchetto di installazione indipendente a un dispositivo client.

5. Trasferire il pacchetto di installazione indipendente nel dispositivo client.
6. Eseguire il pacchetto di installazione indipendente nel dispositivo client.

L'applicazione verrà installata nel dispositivo client con le impostazioni specificate nel pacchetto indipendente.

Quando si crea un pacchetto di installazione indipendente, questo viene automaticamente pubblicato nel server Web. Il collegamento per il download del pacchetto indipendente viene visualizzato nell'elenco dei pacchetti di installazione indipendenti creati. Se necessario, è possibile annullare la pubblicazione del pacchetto indipendente selezionato e ripubblicarlo sul server Web. Per impostazione predefinita, per il download dei pacchetti di installazione indipendenti viene utilizzata la porta 8060.

Impostazioni del pacchetto di installazione di Network Agent

Espandi tutto | Comprimi tutto

Per configurare un pacchetto di installazione di Network Agent:

1. Nella cartella Installazione remota della struttura della console selezionare la sottocartella Pacchetti di installazione.

   La cartella Installazione remota è una sottocartella della cartella Avanzate per impostazione predefinita.

2. Nel menu di scelta rapida del pacchetto di installazione di Network Agent selezionare Proprietà.

Verrà visualizzata la finestra delle proprietà del pacchetto di installazione di Network Agent.

Generale

Nella sezione Generale vengono visualizzate informazioni generali sul pacchetto di installazione:

• Nome pacchetto di installazione
• Nome e versione dell'applicazione per cui è stato creato il pacchetto di installazione
• Dimensione del pacchetto di installazione
• Data di creazione del pacchetto di installazione
• Percorso della cartella del pacchetto di installazione

Impostazioni

Questa sezione presenta le impostazioni necessarie per assicurare il corretto funzionamento di Network Agent subito dopo essere stato installato. Le impostazioni in questa sezione sono disponibili solo nei dispositivi che eseguono Windows.

Nel gruppo di impostazioni Cartella di destinazione è possibile selezionare la cartella del dispositivo client in cui verrà installato Network Agent.

• Installa nella cartella predefinita

  Se questa opzione è selezionata, Network Agent verrà installato nella cartella <Unità>:\Programmi\Kaspersky Lab\NetworkAgent. Se la cartella non esiste, verrà creata automaticamente.

  Per impostazione predefinita, questa opzione è selezionata.

• Installa nella cartella specificata

  Se questa opzione è selezionata, Network Agent verrà installato nella cartella specificata nel campo di immissione.

Nel seguente gruppo di impostazioni è possibile impostare una password per l'attività di disinstallazione remota di Network Agent:

• Usa password di disinstallazione

  Se questa opzione è abilitata, facendo clic sul pulsante Modifica è possibile immettere la password di disinstallazione (disponibile solo per Network Agent nei dispositivi che eseguono sistemi operativi Windows).

  Per impostazione predefinita, questa opzione è disabilitata.

• Stato

  Stato della password: Password impostata o Password non impostata.

  Per impostazione predefinita, questa password non è impostata.

• Proteggi il servizio Network Agent dalle operazioni non autorizzate di rimozione o terminazione e impedisci la modifica delle impostazioni

  Quando questa opzione è abilitata, dopo l'installazione di Network Agent in un dispositivo gestito, il componente non può essere rimosso o riconfigurato senza i privilegi richiesti. Il servizio Network Agent non può essere arrestato. Questa opzione non ha effetto sui controller di dominio.

  Abilitare questa opzione per proteggere Network Agent sulle workstation gestite con diritti di amministratore locale.

  Per impostazione predefinita, questa opzione è disabilitata.

• Installa automaticamente le patch e gli aggiornamenti applicabili per i componenti con lo stato Indefinito

  Se questa opzione è abilitata, tutti gli aggiornamenti e le patch scaricati per Administration Server, Network Agent, Administration Console, server per dispositivi mobili Exchange e server per dispositivi mobili MDM iOS verranno installati automaticamente.

  Se questa opzione è disabilitata, tutti gli aggiornamenti e le patch scaricati verranno installati solo dopo l'impostazione dello stato su Approvato. Gli aggiornamenti e le patch con lo stato Indefinito non verranno installati.

  Per impostazione predefinita, questa opzione è abilitata.

Connessione

In questa sezione è possibile configurare la connessione di Network Agent ad Administration Server. Per stabilire una connessione, è possibile utilizzare il protocollo SSL o UDP. Per configurare la connessione, specificare le seguenti impostazioni:

• Administration Server

  Indirizzo del dispositivo in cui è installato Administration Server.

• Porta

  Il numero di porta utilizzato per la connessione.

• Porta SSL

  Numero di porta utilizzato per la connessione tramite il protocollo SSL.

• Usa certificato server

  Se questa opzione è abilitata, l'autenticazione dell'accesso di Network Agent ad Administration Server utilizzerà il file di certificato che è possibile specificare facendo clic sul pulsante Sfoglia.

  Se questa opzione è disabilitata, il file di certificato verrà ricevuto da Administration Server alla prima connessione di Network Agent all'indirizzo specificato nel campo Indirizzo server.

  È consigliabile non disabilitare questa opzione, poiché la ricezione automatica di un certificato di Administration Server da parte di Network Agent al momento della connessione ad Administration Server è considerata non sicura.

  Per impostazione predefinita, questa casella di controllo è selezionata.

• Usa SSL

  Se questa opzione è abilitata, la connessione ad Administration Server viene stabilita attraverso una porta sicura tramite SSL.

  Per impostazione predefinita, questa opzione è disabilitata. È consigliabile non disabilitare questa opzione in modo che la connessione rimanga protetta.

• Usa porta UDP

  Se questa opzione è abilitata, Network Agent è connesso ad Administration Server tramite una porta UDP. Ciò consente di gestire i dispositivi client e ricevere informazioni in merito.

  La porta UDP deve essere aperta nei dispositivi gestiti in cui è installato Network Agent. È pertanto consigliabile non disabilitare questa opzione.

  Per impostazione predefinita, questa opzione è abilitata.

• Numero di porta UDP

  In questo campo è possibile specificare la porta utilizzata per la connessione di Administration Server a Network Agent tramite il protocollo UDP.

  La porta UDP predefinita è 15000.

• Apri porte di Network Agent in Microsoft Windows Firewall

  Se questa opzione è abilitata, le porte utilizzate da Network Agent vengono aggiunte all'elenco di esclusioni di Microsoft Windows Firewall.

  Per impostazione predefinita, questa opzione è abilitata.

• Usa server proxy

  Se questa opzione è abilitata, specificare i parametri del server proxy:

  • Indirizzo server proxy
  • Porta server proxy

  Se il server proxy richiede l'autenticazione, abilitare l'opzione Autenticazione server proxy e specificare il Nome utente e la Password dell'account con cui viene stabilita la connessione al server proxy. È consigliabile specificare le credenziali di un account con i privilegi minimi richiesti solo per l'autenticazione del server proxy.

Per motivi di compatibilità, non è consigliabile specificare le impostazioni di connessione proxy nelle impostazioni del pacchetto di installazione di Network Agent.

Avanzate

Nella sezione Avanzate è possibile configurare il metodo di utilizzo del gateway di connessione. A tale scopo, è possibile eseguire le seguenti operazioni:

• Utilizzare Network Agent come gateway di connessione nella rete perimetrale per connettersi ad Administration Server, comunicare con esso e assicurare la protezione dei dati in Network Agent durante la trasmissione dei dati.
• Connettersi ad Administration Server utilizzando un gateway di connessione per ridurre il numero di connessioni ad Administration Server. In questo caso, inserire l'indirizzo del dispositivo che fungerà da gateway di connessione nel campo Indirizzo gateway connessione.
• Configurare la connessione per Virtual Desktop Infrastructure (VDI) se la rete include macchine virtuali. A tale scopo, eseguire le seguenti operazioni:
  • Abilita modalità dinamica per VDI

    Se questa opzione è abilitata, la modalità dinamica per Virtual Desktop Infrastructure (VDI) sarà abilitata per Network Agent installato in una macchina virtuale.

    Per impostazione predefinita, questa opzione è disabilitata.

  • Ottimizza le impostazioni per VDI

    Se questa opzione è abilitata, le seguenti funzionalità sono disabilitate nelle impostazioni di Network Agent:

    • Recupero delle informazioni sul software installato
    • Recupero delle informazioni sull'hardware
    • Recupero delle informazioni sulle vulnerabilità rilevate
    • Recupero delle informazioni sugli aggiornamenti richiesti

    Per impostazione predefinita, questa opzione è disabilitata.

Componenti aggiuntivi

In questa sezione è possibile selezionare i componenti aggiuntivi per l'installazione simultanea con Network Agent.

Tag

La sezione Tag visualizza un elenco di parole chiave (tag) che possono essere aggiunte ai dispositivi client dopo l'installazione di Network Agent. È possibile aggiungere e rimuovere tag dall'elenco, nonché rinominarli.

Se la casella di controllo accanto a un tag è selezionata, il tag viene aggiunto automaticamente ai dispositivi gestiti durante l'installazione di Network Agent.

Se la casella di controllo accanto a un tag è deselezionata, il tag non viene aggiunto automaticamente ai dispositivi gestiti durante l'installazione di Network Agent. È possibile aggiungere manualmente il tag ai dispositivi.

Rimuovendo un tag dall'elenco, il tag viene rimosso automaticamente da tutti i dispositivi a cui è stato aggiunto.

Cronologia revisioni

In questa sezione è possibile visualizzare la cronologia delle revisioni del pacchetto di installazione. È possibile confrontare le revisioni, visualizzare le revisioni, salvare le revisioni in un file e aggiungere e modificare le descrizioni delle revisioni.

Le impostazioni del pacchetto di installazione di Network Agent disponibili per un sistema operativo specifico sono riportate nella tabella seguente.

Impostazioni del pacchetto di installazione di Network Agent

Visualizzazione dell'Informativa sulla privacy

L'Informativa sulla privacy è disponibile online all'indirizzo https://www.kaspersky.com/products-and-services-privacy-policy ed è disponibile anche offline. È possibile leggere l'Informativa sulla privacy ad esempio prima di installare Network Agent.

Per leggere l'Informativa sulla privacy offline:

1. Avviare il programma di installazione di Kaspersky Security Center.
2. Nella finestra del programma di installazione passare al collegamento Estrai pacchetti di installazione.
3. Nell'elenco visualizzato selezionare Kaspersky Security Center Network Agent, quindi fare clic su Avanti.

Il file privacy_policy.txt viene visualizzato nel dispositivo, nella cartella specificata, nella sottocartella NetAgent.

Distribuzione di sistemi per la gestione dei dispositivi mobili

In questa sezione viene descritta la distribuzione di sistemi per la gestione dei dispositivi mobili tramite i protocolli Exchange ActiveSync, MDM iOS e Kaspersky Endpoint Security.

Distribuzione di un sistema per la gestione tramite il protocollo Exchange ActiveSync

Kaspersky Security Center consente di gestire i dispositivi mobili connessi ad Administration Server tramite il protocollo Exchange ActiveSync. I dispositivi mobili Exchange ActiveSync (EAS) sono quelli connessi a un server per dispositivi mobili Exchange e gestiti tramite Administration Server.

I seguenti sistemi operativi supportano il protocollo Exchange ActiveSync:

• Windows Phone 8
• Windows Phone 8.1
• Windows 10 Mobile
• Android 
• iOS

Il set di impostazioni di gestione per un dispositivo Exchange ActiveSync dipende dal sistema operativo del dispositivo mobile. Per informazioni dettagliate sulle funzionalità di supporto del protocollo Exchange ActiveSync per un sistema operativo specifico, fare riferimento alla documentazione inclusa nel sistema operativo.

La distribuzione di un sistema per la gestione dei dispositivi mobili tramite il protocollo Exchange ActiveSync include i seguenti passaggi:

1. L'amministratore installa il server per dispositivi mobili Exchange nel dispositivo client selezionato.
2. L'amministratore crea uno o più profili di gestione in Administration Console per la gestione dei dispositivi EAS e aggiunge tali profili alle cassette postali degli utenti di Exchange ActiveSync.

   Il profilo di gestione dei dispositivi mobili Exchange ActiveSync è un criterio di ActiveSync utilizzato in un server Microsoft Exchange per la gestione dei dispositivi mobili Exchange ActiveSync. È possibile assegnare un solo profilo di gestione dei dispositivi EAS a una cassetta postale di Microsoft Exchange.

   Gli utenti dei dispositivi mobili EAS eseguono la connessione alle proprie cassette postali di Exchange. Qualsiasi profilo di gestione impone alcune restrizioni relative ai dispositivi mobili.

Installazione di un server per dispositivi mobili Exchange ActiveSync

Viene installato un server per dispositivi mobili Exchange in un dispositivo client in cui è installato un server Microsoft Exchange. È consigliabile installare il server per dispositivi mobili Exchange in un server Microsoft Exchange a cui è assegnato il ruolo di Client Access. Se nello stesso dominio si combinano più server Microsoft Exchange con ruolo di Client Access in un array di Client Access, è consigliabile installare il server per dispositivi mobili Exchange in ciascun server Microsoft Exchange in tale array in modalità cluster.

Per installare un server per dispositivi mobili Exchange in un dispositivo locale:

1. Eseguire il file eseguibile setup.exe.

   Verrà visualizzata una finestra che richiede di selezionare le applicazioni Kaspersky da installare.

2. Nella finestra di selezione delle applicazioni, fare clic sul collegamento Installa server per dispositivi mobili Exchange per eseguire l'Installazione guidata del server per dispositivi mobili Exchange.
3. Nella finestra Impostazioni di installazione selezionare il tipo di installazione del server per dispositivi mobili Exchange:
   • Per installare il server per dispositivi mobili Exchange con le impostazioni predefinite, selezionare Installazione standard e fare clic sul pulsante Avanti.
   • Per definire manualmente le impostazioni per l'installazione del server per dispositivi mobili Exchange, selezionare Installazione personalizzata e fare clic su Avanti. Eseguire le seguenti operazioni:
     1. Selezionare la cartella di destinazione nella finestra Cartella di destinazione. La cartella predefinita è <Unità>:\Program Files\Kaspersky Lab\Mobile Device Management for Exchange. Se tale cartella non esiste, verrà creata automaticamente durante l'installazione. È possibile modificare la cartella di destinazione utilizzando il pulsante Sfoglia.
     2. Scegliere il tipo di installazione del server per dispositivi mobili Exchange nella finestra Modalità di installazione: modalità normale o cluster.
     3. Nella finestra Seleziona account scegliere un account che verrà utilizzato per gestire i dispositivi mobili:
        • Crea gruppo di ruoli e account automaticamente. L'account verrà creato automaticamente.
        • Specificare un account. L'account deve essere selezionato manualmente. Fare clic sul pulsante Sfoglia per selezionare l'utente il cui account verrà utilizzato e specificare la password. L'utente selezionato deve appartenere a un gruppo che dispone dei diritti per la gestione dei dispositivi mobili utilizzando ActiveSync.
     4. Nella finestra Impostazioni IIS consentire o impedire la configurazione automatica delle proprietà del server Web Internet Information Services (IIS).

        Se viene impedita la configurazione automatica delle proprietà di IIS, abilitare manualmente il meccanismo "Autenticazione di Windows" nelle impostazioni di IIS per la directory virtuale di Microsoft PowerShell. Se il meccanismo "Autenticazione di Windows" è disabilitato, il server per dispositivi mobili Exchange non funzionerà correttamente. Per ulteriori informazioni sulla configurazione di IIS, fare riferimento alla documentazione di IIS.

     5. Fare clic su Avanti.
4. Nella finestra visualizzata, verificare le proprietà di installazione del server per dispositivi mobili Exchange, quindi fare clic su installa.

Al termine della procedura guidata, il server per dispositivi mobili Exchange viene installato nel dispositivo locale. Il server per dispositivi mobili Exchange verrà visualizzato nella cartella Mobile Device Management nella struttura della console.

Connessione dei dispositivi mobili a un server per dispositivi mobili Exchange

Prima di connettere i dispositivi mobili, è necessario configurare Microsoft Exchange Server in modo da consentire la connessione dei dispositivi utilizzando il protocollo ActiveSync.

Per connettere un dispositivo mobile a un server per dispositivi mobili Exchange, l'utente esegue la connessione alla propria cassetta postale di Microsoft Exchange dal dispositivo mobile tramite ActiveSync. Durante la connessione, l'utente deve specificare le impostazioni di connessione nel client ActiveSync, ad esempio l'indirizzo e-mail e la password.

Il dispositivo mobile dell'utente connesso al server Microsoft Exchange viene visualizzato nella sottocartella Dispositivi mobili, contenuta nella cartella Mobile Device Management nella struttura della console.

Dopo aver connesso il dispositivo mobile Exchange ActiveSync a un server per dispositivi mobili Exchange, l'amministratore può gestire il dispositivo mobile Exchange ActiveSync connesso.

Configurazione del server Web Internet Information Services

Durante l'utilizzo di Microsoft Exchange Server (versioni 2010 e 2013), è necessario attivare il meccanismo di autenticazione di Windows per una directory virtuale Windows PowerShell nelle impostazioni del server Web Internet Information Services (IIS). Questo meccanismo di autenticazione è attivato automaticamente se è selezionata l'opzione Configura Microsoft Internet Information Services (IIS) automaticamente nell'Installazione guidata del server per dispositivi mobili Exchange (opzione predefinita).

In caso contrario, sarà necessario attivare manualmente il meccanismo di autenticazione.

Per attivare manualmente il meccanismo di autenticazione di Windows per una directory virtuale PowerShell:

1. Nella console Gestione Internet Information Services (IIS) aprire le proprietà della directory virtuale PowerShell.
2. Passare alla sezione Autenticazione.
3. Selezionare Autenticazione di Microsoft Windows e quindi fare clic sul pulsante Abilita.
4. Aprire Impostazioni avanzate.
5. Selezionare l'opzione Abilita autenticazione in modalità kernel.
6. Nell'elenco a discesa Protezione estesa selezionare Richiesta.

Se si utilizza Microsoft Exchange Server 2007, il server Web IIS non richiede alcuna configurazione.

Installazione locale di un server per dispositivi mobili Exchange

Per un'installazione locale di un server per dispositivi mobili Exchange, l'amministratore deve eseguire le seguenti operazioni:

1. Copiare il contenuto della cartella \Server\Packages\MDM4Exchange\ dal pacchetto di distribuzione di Kaspersky Security Center in un dispositivo client.
2. Eseguire il file eseguibile setup.exe.

L'installazione locale include due tipi di installazione:

• L'installazione standard è un'installazione semplificata che non richiede la specificazione di alcuna impostazione da parte dell'amministratore. È consigliata nella maggior parte dei casi.
• L'installazione estesa è un'installazione che richiede la specificazione delle seguenti impostazioni da parte dell'amministratore:
  • Percorso per l'installazione del server per dispositivi mobili Exchange.
  • Modalità operativa del server per dispositivi mobili Exchange: modalità standard o modalità cluster.
  • Possibilità di specificare l'account con cui verrà eseguito il servizio del server per dispositivi mobili Exchange.
  • Abilitazione/disabilitazione della configurazione automatica del server Web IIS.

È necessario eseguire la Distribuzione guidata server per dispositivi mobili Exchange con un account che dispone di tutti i diritti richiesti.

Installazione remota di un server per dispositivi mobili Exchange

Per configurare l'installazione remota di un server per dispositivi mobili Exchange, l'amministratore deve eseguire le seguenti operazioni:

1. Nella struttura di Kaspersky Security Center Administration Console selezionare la cartella Installazione remota, quindi la sottocartella Pacchetti di installazione.
2. Nella sottocartella Pacchetti di installazione aprire le proprietà del pacchetto Plug-in server per dispositivi mobili Exchange.
3. Passare alla sezione Impostazioni.

   Questa sezione contiene le stesse impostazioni utilizzate per l'installazione locale dell'applicazione.

Dopo aver configurato l'installazione remota, è possibile avviare l'installazione del server per dispositivi mobili Exchange.

Per installare un server per dispositivi mobili Exchange:

1. Nella struttura di Kaspersky Security Center Administration Console selezionare la cartella Installazione remota, quindi la sottocartella Pacchetti di installazione.
2. Nella sottocartella Pacchetti di installazione selezionare il pacchetto Plug-in server per dispositivi mobili Exchange.
3. Aprire il menu di scelta rapida del pacchetto, quindi selezionare Installa applicazione.
4. Nell'Installazione remota guidata visualizzata selezionare un dispositivo (o più dispositivi per l'installazione in modalità cluster).
5. Nel campo Esegui l'installazione guidata dell'applicazione con l'account specificato specificare l'account con cui verrà eseguito il processo di installazione nel dispositivo remoto.

   L'account deve disporre dei diritti richiesti.

Distribuzione di un sistema per la gestione tramite il protocollo MDM iOS

Kaspersky Security Center consente di gestire i dispositivi mobili in cui viene eseguito iOS. I dispositivi MDM iOS sono dispositivi mobili iOS connessi a un server MDM iOS e gestiti da Administration Server.

I dispositivi mobili sono connessi a un server MDM iOS tramite i seguenti passaggi:

1. L'amministratore installa il server MDM iOS.
2. L'amministratore riceve un certificato Apple Push Notification Service (APNs) (Ricezione di un certificato APNs, https://support.kaspersky.com/help/KSMM/4.1/en-US/64900.htm).

   Il certificato APNs consente ad Administration Server di connettersi al server APNs per inviare notifiche push ai dispositivi MDM iOS.

3. L'amministratore installa il certificato APNs nel server per dispositivi mobili MDM iOS.
4. L'amministratore crea un profilo MDM iOS per l'utente del dispositivo mobile iOS.

   Il profilo MDM iOS contiene una raccolta di impostazioni per la connessione dei dispositivi mobili iOS all'Administration Server.

Dopo aver installato il profilo MDM iOS e aver sincronizzato il dispositivo MDM iOS con Administration Server, il dispositivo verrà visualizzato in Mobile devices, una sottocartella di Mobile Device Management nella struttura della console.

Installazione del server MDM iOS

Per installare il server MDM iOS in un dispositivo locale:

1. Eseguire il file eseguibile setup.exe.

   Verrà visualizzata una finestra che richiede di selezionare le applicazioni Kaspersky da installare.

   Nella finestra di selezione delle applicazioni fare clic sul collegamento Installa server MDM iOS per eseguire l'Installazione guidata del server MDM iOS.

2. Selezionare una cartella di destinazione.

   La cartella predefinita è <Unità>:\Program Files\Kaspersky Lab\Mobile Device Management for iOS. Se tale cartella non esiste, verrà creata automaticamente durante l'installazione. È possibile modificare la cartella di destinazione utilizzando il pulsante Sfoglia.

3. Nella finestra Specificare le impostazioni per la connessione al server MDM iOS della procedura guidata, nel campo Porta esterna per la connessione al servizio MDM iOS, specificare una porta esterna per la connessione dei dispositivi mobili al servizio MDM iOS.

   I dispositivi mobili utilizzano la porta esterna 5223 per la comunicazione con il server APNs. Verificare che la porta 5223 sia aperta nel firewall per la connessione con l'intervallo di indirizzi 17.0.0.0/8.

   La porta 443 è utilizzata per impostazione predefinita per la connessione al server MDM iOS. Se la porta 443 è già in uso da parte di un altro servizio o un'altra applicazione, può essere sostituita, ad esempio dalla porta 9443.

   Il server MDM iOS utilizza la porta esterna 2197 per l'invio delle notifiche al server APNs.

   I server APNs vengono eseguiti in modalità di bilanciamento del carico. I dispositivi mobili non si connettono sempre agli stessi indirizzi IP per la ricezione delle notifiche. L'intervallo di indirizzi 17.0.0.0/8 è riservato per Apple, pertanto è consigliabile specificare questo intero intervallo come intervallo consentito nelle impostazioni del firewall.

4. Per configurare manualmente le porte di interazione per i componenti dell'applicazione, selezionare l'opzione Configura porte locali manualmente e specificare i valori per le seguenti impostazioni:
   • Porta per la connessione a Network Agent. In questo campo specificare una porta per la connessione del servizio MDM iOS a Network Agent. Il numero di porta predefinito è 9799.
   • Porta locale per la connessione al servizio MDM iOS. In questo campo specificare una porta locale per la connessione di Network Agent al servizio MDM iOS. Il numero di porta predefinito è 9899.

   È consigliabile utilizzare i valori predefiniti.

5. Nella finestra Indirizzo esterno del server per dispositivi mobili della procedura guidata, nel campo Indirizzo Web per la connessione remota al server per dispositivi mobili, specificare l'indirizzo del dispositivo client in cui deve essere installato il server per dispositivi mobili MDM iOS.

   Questo indirizzo verrà utilizzato per la connessione dei dispositivi mobili gestiti al servizio MDM iOS. Il dispositivo client deve essere disponibile per la connessione dei dispositivi MDM iOS.

   È possibile specificare l'indirizzo di un dispositivo client in qualsiasi dei seguenti formati:

   • FQDN del dispositivo (ad esempio mdm.example.com)
   • Nome NetBIOS del dispositivo

   Evitare di aggiungere lo schema URL e il numero di porta alla stringa dell'indirizzo: questi valori verranno aggiunti automaticamente.

Al termine della procedura guidata, il server MDM iOS viene installato nel dispositivo locale. Il server per dispositivi mobili MDM iOS verrà visualizzato nella cartella Mobile Device Management nella struttura della console.

Installazione di un server MDM iOS in modalità automatica

Kaspersky Security Center consente di installare il server MDM iOS in un dispositivo locale in modalità automatica, ovvero senza l'immissione interattiva delle impostazioni di installazione.

Per installare un server MDM iOS in un dispositivo locale in modalità automatica:

1. Leggere il Contratto di licenza con l'utente finale. Utilizzare il comando di seguito solo se sono stati compresi e accettati i termini del Contratto di licenza con l'utente finale.
2. Eseguire il seguente comando:

   .\exec\setup.exe /s /v"DONT_USE_ANSWER_FILE=1 EULA=1 <parametri_installazione>"

   dove parametri_installazione è un elenco di impostazioni e dei valori corrispondenti separati da spazi (PROP1=PROP1VAL PROP2=PROP2VAL). Il file setup.exe è posizionato nella cartella Server, appartenente al kit di distribuzione di Kaspersky Security Center.

I nomi e i possibili valori per i parametri che è possibile utilizzare durante l'installazione del server per dispositivi mobili MDM iOS in modalità automatica sono elencati nella seguente tabella. I parametri possono essere specificati in qualsiasi ordine.

I parametri di installazione del server MDM iOS in modalità automatica

I parametri di installazione del server per dispositivi mobili MDM iOS sono specificati in dettaglio nella sezione "Installazione del server per dispositivi mobili MDM iOS".

Scenari di distribuzione del server MDM iOS

Il numero di copie del server MDM iOS da installare può essere selezionato in base all'hardware disponibile o al numero totale di dispositivi mobili coperti.

Tenere presente che il numero massimo consigliato di dispositivi mobili per una singola installazione di Kaspersky Device Management for iOS è 50.000. Per ridurre il carico, l'intero pool di dispositivi può essere distribuito tra diversi server in cui è installato il server MDM iOS.

L'autenticazione dei dispositivi MDM iOS è eseguita tramite i certificati utente (qualsiasi profilo installato in un dispositivo contiene il certificato del proprietario del dispositivo). Sono pertanto possibili due schemi di distribuzione per un server MDM iOS:

• Schema semplificato
• Schema di distribuzione tramite Kerberos Constrained Delegation (KCD)

Schema di distribuzione semplificato

Durante la distribuzione di un server MDM iOS in base allo schema semplificato, i dispositivi mobili si connettono direttamente al servizio Web MDM iOS. In questo caso, i certificati utente emessi da Administration Server possono essere applicati solo per l'autenticazione dei dispositivi. L'integrazione con l'infrastruttura a chiave pubblica (PKI) è impossibile per i certificati utente.

Schema di distribuzione tramite Kerberos Constrained Delegation (KCD)

Per utilizzare lo schema di distribuzione con la delega vincolata Kerberos (KCD), è necessario soddisfare i seguenti requisiti:

• Administration Server e il server MDM iOS si trovano nella rete interna dell'organizzazione.
• È in uso un proxy inverso con supporto di KCD.

Questo schema di distribuzione offre quanto segue:

• Integrazione con il proxy inverso che supporta KCD
• Utilizzo di KCD per l'autenticazione dei dispositivi mobili
• Integrazione con PKI per l'applicazione dei certificati utente

Quando si utilizza questo schema di distribuzione, è necessario eseguire le seguenti operazioni:

• In Administration Console, nelle impostazioni del servizio Web MDM iOS, selezionare la casella di controllo Assicura la compatibilità con la delega vincolata Kerberos.
• Come certificato per il servizio Web MDM iOS, specificare il certificato personalizzato che è stato definito al momento della pubblicazione del servizio Web MDM iOS nel proxy inverso.
• I certificati utente per i dispositivi iOS devono essere emessi dall'Autorità di certificazione (CA) del dominio. Se il dominio contiene più Autorità di certificazione radice, i certificati utente devono essere emessi dall'Autorità di certificazione che è stata specificata al momento della pubblicazione del servizio Web MDM iOS nel proxy inverso.

  È possibile garantire che il certificato utente sia conforme con questo requisito di emissione da parte dell'Autorità di certificazione utilizzando uno dei seguenti metodi:

  • Specificare il certificato utente nella procedura guidata per la creazione di un nuovo profilo MDM iOS e nell'Installazione guidata certificato.
  • Integrare l'Administration Server con l'infrastruttura PKI del dominio e definire l'impostazione corrispondente nelle regole per l'emissione dei certificati:
    1. Nella struttura della console espandere la cartella Mobile Device Management, quindi selezionare la sottocartella Certificati.
    2. Nell'area di lavoro della cartella Certificati fare clic sul pulsante Configura regole di emissione certificati per aprire la finestra Regole di emissione certificati.
    3. Nella sezione Integrazione con PKI configurare l'integrazione con l'infrastruttura a chiave pubblica (PKI).
    4. Nella sezione Emissione di certificati mobili specificare l'origine dei certificati.

Di seguito è riportato un esempio di configurazione di Kerberos Constrained Delegation (KCD) con i seguenti presupposti:

• Il servizio Web MDM iOS è in esecuzione sulla porta 443.
• Il nome del dispositivo con il proxy inverso è firewall.mydom.local.
• Il nome del dispositivo con il servizio Web MDM iOS è iosmdm.mydom.local.
• Il nome della pubblicazione esterna del servizio Web MDM iOS è iosmdm.mydom.global.

Nome dell'entità servizio per http/iosmdm.mydom.local

Nel dominio è necessario registrare il nome dell'entità servizio (SPN) per il dispositivo con il servizio Web MDM iOS (iosmdm.mydom.local):

setspn -a http/iosmdm.mydom.local iosmdm

Configurazione delle proprietà di dominio del dispositivo con il proxy inverso (firewall.mydom.local)

Per delegare il traffico, impostare come attendibile il dispositivo con il proxy inverso (firewall.mydom.local) per il servizio definito dall'SPN (http/iosmdm.mydom.local).

Per impostare come attendibile il dispositivo con il proxy inverso per il servizio definito dall'SPN (http/iosmdm.mydom.local), l'amministratore deve eseguire seguenti le operazioni:

1. Nello snap-in Microsoft Management Console "Utenti e computer di Active Directory" selezionare il dispositivo in cui è installato il proxy inverso (firewall.mydom.local).
2. Nelle proprietà del dispositivo, nella scheda Delega, impostare l'interruttore Computer attendibile per la delega solo ai servizi specificati su Utilizza un qualsiasi protocollo di autenticazione.
3. Aggiungere l'SPN (http/iosmdm.mydom.local) all'elenco Servizi ai quali l'account può presentare credenziali delegate.

Speciale certificato (personalizzato) per il servizio Web pubblicato (iosmdm.mydom.global)

È necessario emettere uno speciale certificato (personalizzato) per il servizio Web MDM iOS sul nome FQDN iosmdm.mydom.global e specificare che sostituisce il certificato predefinito nelle impostazioni del servizio Web MDM iOS in Administration Console.

Il contenitore del certificato (file con estensione p12 o pfx) deve anche contenere una catena di certificati radice (chiavi pubbliche).

Pubblicazione del servizio Web MDM iOS nel proxy inverso

Nel proxy inverso, per il traffico da un dispositivo mobile alla porta 443 di iosmdm.mydom.global, è necessario configurare KCD sull'SPN (http/iosmdm.mydom.local) utilizzando il certificato emesso per il nome FQDN (iosmdm.mydom.global). Tenere presente che la pubblicazione e il servizio Web pubblicato devono condividere lo stesso certificato server.

Ricezione di un certificato APNs

Se si dispone già di un certificato APNs, è opportuno rinnovarlo anziché crearne uno nuovo. Quando si sostituisce il certificato APNs esistente con uno appena creato, Administration Server perde la capacità di gestire i dispositivi mobili iOS connessi al momento.

Quando, nella prima fase della procedura guidata del certificato APNs, viene creata la richiesta di firma del certificato, la relativa chiave privata viene archiviata nella RAM del dispositivo. Pertanto, è necessario completare tutti i passaggi della procedura guidata in una sola sessione dell'applicazione.

Per ricevere un certificato APNs:

1. Nella cartella Mobile Device Management della struttura della console selezionare la sottocartella Server per dispositivi mobili.
2. Nell'area di lavoro della cartella Server per dispositivi mobili selezionare un server per dispositivi mobili MDM iOS.
3. Nel menu di scelta rapida del server per dispositivi mobili MDM iOS selezionare Proprietà.

   Verrà visualizzata la finestra delle proprietà del server MDM iOS.

4. Nella finestra delle proprietà del server per dispositivi mobili MDM iOS selezionare la sezione Certificati.
5. Nella sezione Certificati, nel gruppo di impostazioni Certificato Apple Push Notification, fare clic sul pulsante Richiedi nuovo.

   Verrà avviata la ricezione guidata del certificato APNs e verrà visualizzata la finestra Richiedi nuovo.

6. Creare una richiesta di firma del certificato (di seguito indicata come CSR, Certificate Signing Request). A tale scopo, eseguire le seguenti operazioni:
   1. Fare clic sul pulsante Crea CSR.
   2. Nella finestra Crea CSR visualizzata specificare un nome per la richiesta, i nomi dell'azienda e del reparto, la città, la regione e il paese.
   3. Fare clic sul pulsante Salva e specificare un nome per il file in cui salvare CSR.

   La chiave privata del certificato verrà salvata nella memoria del dispositivo.

7. Utilizzare il CompanyAccount per inviare il file con CSR creato a Kaspersky per la firma.

   La firma della CSR verrà resa disponibile solo dopo aver caricato nel portale CompanyAccount una chiave che consente l'utilizzo della funzionalità Mobile Device Management.

   Al termine dell'elaborazione della richiesta online, l'utente riceverà un file CSR firmato da Kaspersky.

8. Inviare il file CSR firmato al sito Web Apple Inc. tramite un ID Apple casuale.

   È consigliabile non utilizzare un ID Apple personale. Creare un ID Apple dedicato da utilizzare come ID aziendale. Dopo aver creato un ID Apple, collegarlo alla cassetta postale dell'organizzazione, non alla cassetta postale di un dipendente.

   Al termine dell'elaborazione della CSR in Apple Inc., si riceverà la chiave pubblica del certificato APNs. Salvare il file su disco.

9. Esportare il certificato APNs insieme alla chiave privata creata durante la generazione della CSR, nel formato di file PFX. A tale scopo:
   1. Nella finestra Richiedi nuovo certificato APNs fare clic sul pulsante Completa CSR.
   2. Nella finestra Apri scegliere un file con la chiave pubblica del certificato ricevuto da Apple Inc. al termine dell'elaborazione della CSR, quindi fare clic sul pulsante Apri.

      Verrà avviato il processo di esportazione del certificato.

   3. Nella finestra successiva immettere la password della chiave privata e fare clic su OK.

      Questa password sarà utilizzata per l'installazione del certificato APNs nel server MDM iOS.

   4. Nella finestra Salva certificato APNs specificare il nome del file per il certificato APNs, scegliere una cartella e fare clic su Salva.

Le chiave pubblica e la chiave privata del certificato vengono combinate e il certificato APNs viene salvato in formato PFX. Successivamente è possibile installare il certificato APNs nel server per dispositivi mobili MDM iOS.

Rinnovo di un certificato APNs

Per rinnovare un certificato APNs:

1. Nella cartella Mobile Device Management della struttura della console selezionare la sottocartella Server per dispositivi mobili.
2. Nell'area di lavoro della cartella Server per dispositivi mobili selezionare un server per dispositivi mobili MDM iOS.
3. Nel menu di scelta rapida del server per dispositivi mobili MDM iOS selezionare Proprietà.

   Verrà visualizzata la finestra delle proprietà del server MDM iOS.

4. Nella finestra delle proprietà del server per dispositivi mobili MDM iOS selezionare la sezione Certificati.
5. Nella sezione Certificati, nel gruppo di impostazioni Certificato Apple Push Notification fare clic sul pulsante Rinnova.

   Verrà avviata la procedura guidata di rinnovo del certificato APNs e sarà visualizzata la finestra Rinnova certificato APNs.

6. Creare una richiesta di firma del certificato (di seguito indicata come CSR, Certificate Signing Request). A tale scopo, eseguire le seguenti operazioni:
   1. Fare clic sul pulsante Crea CSR.
   2. Nella finestra Crea CSR visualizzata specificare un nome per la richiesta, i nomi dell'azienda e del reparto, la città, la regione e il paese.
   3. Fare clic sul pulsante Salva e specificare un nome per il file in cui salvare CSR.

   La chiave privata del certificato verrà salvata nella memoria del dispositivo.

7. Utilizzare il CompanyAccount per inviare il file con CSR creato a Kaspersky per la firma.

   La firma della CSR verrà resa disponibile solo dopo aver caricato nel portale CompanyAccount una chiave che consente l'utilizzo della funzionalità Mobile Device Management.

   Al termine dell'elaborazione della richiesta online, l'utente riceverà un file CSR firmato da Kaspersky.

8. Inviare il file CSR firmato al sito Web Apple Inc. tramite un ID Apple casuale.

   È consigliabile non utilizzare un ID Apple personale. Creare un ID Apple dedicato da utilizzare come ID aziendale. Dopo aver creato un ID Apple, collegarlo alla cassetta postale dell'organizzazione, non alla cassetta postale di un dipendente.

   Al termine dell'elaborazione della CSR in Apple Inc., si riceverà la chiave pubblica del certificato APNs. Salvare il file su disco.

9. Richiedere la chiave pubblica del certificato. A tale scopo, eseguire le seguenti operazioni:
   1. Passare al portale Apple Push Certificates. Per accedere al portale, utilizzare l'ID Apple ricevuto al momento della richiesta iniziale del certificato.
   2. Nell'elenco dei certificati selezionare il certificato il cui nome APSP (nel formato "APSP: <numero>") corrisponde al nome APSP del certificato utilizzato dal server per dispositivi mobili MDM iOS, quindi fare clic sul pulsante Rinnova.

      Il certificato APNs viene rinnovato.

   3. Salvare il certificato creato nel portale.
10. Esportare il certificato APNs insieme alla chiave privata creata durante la generazione della CSR, nel formato di file PFX. A tale scopo, eseguire le seguenti operazioni:
    1. Nella finestra Rinnova certificato APNs fare clic sul pulsante Completa CSR.
    2. Nella finestra Apri scegliere un file con la chiave pubblica del certificato, ricevuto da Apple Inc. al termine dell'elaborazione della CSR, e fare clic sul pulsante Apri.

       Verrà avviato il processo di esportazione del certificato.

    3. Nella finestra successiva immettere la password della chiave privata e fare clic su OK.

       Questa password sarà utilizzata per l'installazione del certificato APNs nel server MDM iOS.

    4. Nella finestra Rinnova certificato APNs visualizzata specificare il nome del file per il certificato APNs, scegliere una cartella e fare clic su Salva.

Le chiave pubblica e la chiave privata del certificato vengono combinate e il certificato APNs viene salvato in formato PFX.

Configurazione di un certificato del server per dispositivi mobili MDM iOS di riserva

La funzionalità server per dispositivi mobili MDM iOS consente di emettere un certificato di riserva. Questo certificato è destinato all'utilizzo nei profili MDM iOS, per garantire il passaggio immediato dei dispositivi iOS gestiti dopo la scadenza del certificato del server per dispositivi mobili MDM iOS.

Se il server per dispositivi mobili MDM iOS utilizza un certificato predefinito emesso da Kaspersky, è possibile emettere un certificato di riserva (o specificare il certificato personalizzato in uso come di riserva) prima della scadenza del certificato del server per dispositivi mobili MDM iOS. Per impostazione predefinita, il certificato di riserva viene emesso automaticamente 60 giorni prima della scadenza del certificato del server per dispositivi mobili MDM iOS. Il certificato del server per dispositivi mobili MDM iOS di riserva diventa il certificato principale subito dopo la scadenza del certificato del server per dispositivi mobili MDM iOS. La chiave pubblica viene distribuita a tutti i dispositivi gestiti tramite i profili di configurazione, pertanto non è necessario trasmetterla manualmente.

Per emettere un certificato di riserva del server per dispositivi mobili MDM iOS o specificare un certificato di riserva personalizzato:

1. Nella struttura della console, nella cartella Mobile Device Management, selezionare la sottocartella Server per dispositivi mobili.
2. Nell'elenco dei server per dispositivi mobili selezionare il server per dispositivi mobili MDM iOS pertinente e, nel riquadro di destra, fare clic sul pulsante Configura server per dispositivi mobili MDM iOS.
3. Nella finestra delle impostazioni del server per dispositivi mobili MDM iOS visualizzata selezionare la sezione Certificati.
4. Nel gruppo di impostazioni Certificato di riserva eseguire una delle seguenti operazioni:
   • Se si prevede di continuare a utilizzare un certificato autofirmato (ovvero quello emesso da Kaspersky):
     1. Fare clic sul pulsante Emetti.
     2. Nella finestra Data di attivazione visualizzata selezionare una delle due opzioni per la data di applicazione del certificato di riserva:
        • Se si desidera applicare il certificato di riserva al momento della scadenza del certificato corrente, selezionare l'opzione Allo scadere del certificato corrente.
        • Se si desidera applicare il certificato di riserva prima della scadenza del certificato corrente, selezionare l'opzione Dopo il periodo specificato (giorni). Nel campo di immissione accanto a questa opzione specificare la durata del periodo dopo il quale il certificato di riserva deve sostituire il certificato corrente.

        Il periodo di validità del certificato di riserva specificato non può superare il periodo di validità del certificato del server per dispositivi mobili MDM iOS corrente.

     3. Fare clic sul pulsante OK.

     Verrà emesso il certificato del server per dispositivi mobili MDM iOS di riserva.

   • Se si prevede di utilizzare un certificato personalizzato emesso dall'autorità di certificazione:
     1. Fare clic sul pulsante Aggiungi.
     2. Nella finestra Esplora file visualizzata specificare un file di certificato nel formato PEM, PFX o P12 archiviato nel dispositivo, quindi fare clic sul pulsante Apri.

     Il certificato personalizzato viene specificato come certificato del server per dispositivi mobili MDM iOS di riserva.

È stato specificato un certificato del server per dispositivi mobili MDM iOS di riserva. I dettagli del certificato di riserva sono visualizzati nel gruppo di impostazioni Certificato di riserva (nome del certificato, nome dell'emittente, data di scadenza e data di applicazione del certificato di riserva, se presente).

Installazione di un certificato APNs in un server MDM iOS

Dopo aver ricevuto il certificato APNs, è necessario installarlo nel server per dispositivi mobili MDM iOS.

Per installare il certificato APNs nel server MDM iOS:

1. Nella cartella Mobile Device Management della struttura della console selezionare la sottocartella Server per dispositivi mobili.
2. Nell'area di lavoro della cartella Server per dispositivi mobili selezionare un server per dispositivi mobili MDM iOS.
3. Nel menu di scelta rapida del server per dispositivi mobili MDM iOS selezionare Proprietà.

   Verrà visualizzata la finestra delle proprietà del server MDM iOS.

4. Nella finestra delle proprietà del server per dispositivi mobili MDM iOS selezionare la sezione Certificati.
5. Nella sezione Certificati, nel gruppo di impostazioni Certificato Apple Push Notification, fare clic sul pulsante Installa.
6. Selezionare il file PFX che contiene il certificato APNs.
7. Immettere la password della chiave privata che è stata specificata durante l'esportazione del certificato APNs.

Il certificato APNs verrà installato nel server MDM iOS. I dettagli del certificato verranno visualizzati nella finestra delle proprietà del server per dispositivi mobili MDM iOS, nella sezione Certificati.

Configurazione dell'accesso al servizio Apple Push Notification

Per garantire il corretto funzionamento del servizio Web MDM iOS e risposte tempestive dei dispositivi mobili ai comandi dell'amministratore, è necessario specificare un certificato del servizio Apple Push Notification (di seguito denominato certificato APNs) nelle impostazioni del server MDM iOS.

Interagendo con Apple Push Notification (di seguito denominato APNs), il servizio Web MDM iOS si connette all'indirizzo esterno api.push.apple.com tramite la porta 2197 (in uscita). Pertanto, il servizio Web MDM iOS richiede l'accesso alla porta TCP 2197 per l'intervallo di indirizzi 17.0.0.0/8. Sul lato del dispositivo iOS è necessario l'accesso alla porta TCP 5223 per l'intervallo di indirizzi 17.0.0.0/8.

Se si prevede di accedere ad APNs dal servizio Web MDM iOS tramite un server proxy, è necessario eseguire le seguenti operazioni sul dispositivo in cui è installato il servizio Web MDM iOS:

1. Aggiungere le seguenti stringhe al Registro di sistema:
   • Per i sistemi operativi a 32 bit:

   HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset "ApnProxyHost"="<Nome host proxy>" "ApnProxyPort"="<Porta proxy>" "ApnProxyLogin"="<Nome di accesso proxy>" "ApnProxyPwd"="<Password proxy>"

   • Per i sistemi operativi a 64 bit:

   HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset "ApnProxyHost"="<Nome host proxy>" "ApnProxyPort"="<Porta proxy>" "ApnProxyLogin"="<Nome di accesso proxy>" "ApnProxyPwd"="<Password proxy>"

2. Riavviare il servizio Web MDM iOS.

Emissione e installazione di un certificato condiviso in un dispositivo mobile

Per rilasciare un certificato condiviso a un utente:

1. Nella struttura della console, nella cartella Account utente, selezionare un account utente.
2. Nel menu di scelta rapida dell'account utente selezionare Installa certificato.

Verrà avviata l'Installazione guidata certificato. Seguire le istruzioni della procedura guidata.

Al termine della procedura guidata, verrà creato un certificato, che sarà aggiunto all'elenco dei certificati dell'utente.

Il certificato emesso verrà scaricato dall'utente, insieme al pacchetto di installazione che contiene il profilo MDM iOS.

Una volta connesso il dispositivo mobile al server MDM iOS, le impostazioni del profilo MDM iOS verranno applicate al dispositivo dell'utente. L'amministratore sarà in grado di gestire il dispositivo in seguito alla connessione.

Il dispositivo mobile dell'utente connesso al server per dispositivi mobili MDM iOS viene visualizzato nella sottocartella Dispositivi mobili, all'interno della cartella Mobile Device Management nella struttura della console.

Aggiunta di un dispositivo KES all'elenco dei dispositivi gestiti

Per aggiungere il dispositivo KES di un utente all'elenco dei dispositivi gestiti utilizzando un collegamento a Google Play:

1. Nella struttura della console selezionare la cartella Account utente.

   La cartella Account utente è una sottocartella della cartella Avanzate per impostazione predefinita.

2. Selezionare l'account dell'utente di cui si desidera aggiungere il dispositivo mobile all'elenco dei dispositivi gestiti.
3. Nel menu di scelta rapida dell'account utente selezionare Aggiungi dispositivo mobile.

   Verrà avviata la Connessione guidata nuovo dispositivo mobile. Nella finestra Origine certificato della procedura guidata, è necessario specificare il metodo per la creazione del certificato condiviso che Administration Server utilizzerà per identificare il dispositivo mobile. È possibile specificare un certificato condiviso utilizzando una delle seguenti modalità:

   • Creare un certificato condiviso automaticamente, tramite gli strumenti di Administration Server, e quindi inviare il certificato al dispositivo.
   • Specificare il file di un certificato condiviso.
4. Nella finestra Tipo di dispositivo della procedura guidata selezionare Collegamento a Google Play.
5. Nella finestra Metodo di notifica all'utente della procedura guidata, definire le impostazioni per la notifica all'utente del dispositivo mobile della creazione del certificato con un messaggio SMS, tramite e-mail o visualizzando l'informazione al termine della procedura guidata.
6. Nella finestra Info sul certificato della procedura guidata, fare clic sul pulsante Fine per chiudere la procedura guidata.

Al termine delle attività della procedura guidata, al dispositivo mobile dell'utente verranno inviati un collegamento e un codice QR per consentire il download di Kaspersky Endpoint Security da Google Play. L'utente accede a Google Play utilizzando il collegamento o eseguendo la scansione del codice QR. Dopodiché, il sistema operativo del dispositivo richiede all'utente di accettare l'installazione di Kaspersky Endpoint Security for Android. Dopo il download e l'installazione di Kaspersky Endpoint Security for Android, il dispositivo mobile si connette ad Administration Server e scarica un certificato condiviso. Dopo l'installazione del certificato nel dispositivo mobile, il dispositivo verrà visualizzato nella cartella Dispositivi mobili, una sottocartella di Mobile Device Management nella struttura della console.

Se Kaspersky Endpoint Security for Android è già stato installato nel dispositivo, l'utente deve ricevere le impostazioni di connessione di Administration Server dall'amministratore e quindi immetterle autonomamente. Dopo la definizione delle impostazioni di connessione, il dispositivo mobile si connette ad Administration Server. L'amministratore emette un certificato condiviso per il dispositivo e invia all'utente un messaggio e-mail o un messaggio SMS con un nome utente e una password per il download del certificato. L'utente scarica e installa il certificato condiviso. Dopo l'installazione del certificato nel dispositivo mobile, il dispositivo verrà visualizzato nella cartella Dispositivi mobili, una sottocartella di Mobile Device Management nella struttura della console. In questo caso, Kaspersky Endpoint Security for Android non verrà scaricato e installato nuovamente.

Connessione dei dispositivi KES ad Administration Server

A seconda del metodo utilizzato per la connessione dei dispositivi ad Administration Server, sono possibili due schemi di distribuzione per Kaspersky Device Management for iOS per i dispositivi KES:

• Schema di distribuzione con connessione diretta dei dispositivi all'Administration Server
• Schema di distribuzione che coinvolge un proxy inverso che supporta la delega vincolata Kerberos

Connessione diretta dei dispositivi all'Administration Server

I dispositivi KES possono connettersi direttamente alla porta 13292 di Administration Server.

A seconda del metodo utilizzato per l'autenticazione, sono possibili due opzioni per la connessione dei dispositivi KES all'Administration Server:

• Connessione dei dispositivi con un certificato utente
• Connessione dei dispositivi senza un certificato utente

Connessione di un dispositivo con un certificato utente

Durante la connessione di un dispositivo con un certificato utente, il dispositivo viene associato all'account utente a cui è stato assegnato il certificato corrispondente tramite gli strumenti di Administration Server.

In questo caso verrà utilizzata l'autenticazione SSL bidirezionale (autenticazione reciproca). Sia l'Administration Server che il dispositivo verranno autenticati con certificati.

Connessione di un dispositivo senza un certificato utente

Durante la connessione di un dispositivo senza un certificato utente, il dispositivo non viene associato ad alcun account utente in Administration Server. Tuttavia, quando il dispositivo riceve un certificato, il dispositivo verrà associato all'utente a cui è stato assegnato il certificato corrispondente tramite gli strumenti di Administration Server.

Durante la connessione del dispositivo all'Administration Server, sarà applicata l'autenticazione SSL unidirezionale, il che significa che solo l'Administration Server viene autenticato con il certificato. Dopo il recupero del certificato utente da parte del dispositivo, il tipo di autenticazione diventerà autenticazione SSL bidirezionale (autenticazione SSL bidirezionale, autenticazione reciproca).

Schema per la connessione dei dispositivi KES al server tramite Kerberos Constrained Delegation (KCD)

Lo schema per la connessione dei dispositivi KES all'Administration Server tramite Kerberos Constrained Delegation (KCD) offre quanto segue:

• Integrazione con un proxy inverso che supporta KCD.
• Utilizzo di Kerberos Constrained Delegation (di seguito denominato KCD) per l'autenticazione dei dispositivi mobili.
• Integrazione con l'infrastruttura Public Key Infrastructure (di seguito denominata PKI) per l'applicazione dei certificati utente.

Quando si utilizza questo schema di connessione, tenere presente quanto segue:

• Il tipo di connessione dei dispositivi KES al proxy inverso deve essere l'autenticazione SSL bidirezionale: un dispositivo deve connettersi al proxy inverso tramite il relativo certificato utente proprietario. A tale scopo, è necessario integrare il certificato utente nel pacchetto di installazione di Kaspersky Endpoint Security for Android, che è stato installato nel dispositivo. Questo pacchetto KES deve essere creato dall'Administration Server specificamente per questo dispositivo (utente).
• È necessario specificare lo speciale certificato (personalizzato) invece del certificato server predefinito per il protocollo mobile:
  1. Nella finestra delle proprietà di Administration Server, nella sezione Impostazioni, selezionare la casella di controllo Apri porta per i dispositivi mobili e selezionare Aggiungi certificato nell'elenco a discesa.
  2. Nella finestra visualizzata specificare lo stesso certificato che è stato impostato nel proxy inverso al momento della pubblicazione del punto di accesso al protocollo mobile nell'Administration Server.
• I certificati utente per i dispositivi KES devono essere emessi dall'Autorità di certificazione (CA) del dominio. Tenere presente che se il dominio include più Autorità di certificazione radice, i certificati utente devono essere emessi dall'Autorità di certificazione che è stata impostata nella pubblicazione nel proxy inverso.

  È possibile garantire che il certificato utente sia conforme a tale requisito utilizzando uno dei seguenti metodi:

  • Specificare lo certificato utente speciale nella Creazione guidata nuovo pacchetto e nell'Installazione guidata certificato.
  • Integrare l'Administration Server con l'infrastruttura PKI del dominio e definire l'impostazione corrispondente nelle regole per l'emissione dei certificati:
    1. Nella struttura della console espandere la cartella Mobile Device Management, quindi selezionare la sottocartella Certificati.
    2. Nell'area di lavoro della cartella Certificati fare clic sul pulsante Configura regole di emissione certificati per aprire la finestra Regole di emissione certificati.
    3. Nella sezione Integrazione con PKI configurare l'integrazione con l'infrastruttura a chiave pubblica (PKI).
    4. Nella sezione Emissione di certificati mobili specificare l'origine dei certificati.

Di seguito è riportato un esempio di configurazione di Kerberos Constrained Delegation (KCD) con i seguenti presupposti:

• Il punto di accesso al protocollo mobile in Administration Server è impostato sulla porta 13292.
• Il nome del dispositivo con il proxy inverso è firewall.mydom.local.
• Il nome del dispositivo con Administration Server è ksc.mydom.local.
• Il nome della pubblicazione esterna del punto di accesso al protocollo mobile è kes4mob.mydom.global.

Account di dominio per Administration Server

È necessario creare un account di dominio (ad esempio, KSCMobileSrvcUsr) con cui verrà eseguito il servizio Administration Server. È possibile specificare un account per il servizio Administration Server al momento dell'installazione di Administration Server o tramite l'utilità klsrvswch. L'utilità klsrvswch è disponibile nella cartella di installazione di Administration Server. Il percorso di installazione predefinito: <Disco>:\Programmi (x86)\ Kaspersky Lab\ Kaspersky Security Center.

È necessario specificare un account di dominio per i motivi seguenti:

• La funzionalità di gestione dei dispositivi KES è una parte integrante di Administration Server.
• Per garantire il corretto funzionamento di Kerberos Constrained Delegation (KCD), la parte ricevente (ovvero, Administration Server) deve essere in esecuzione con un account di dominio.

Nome dell'entità servizio per http/kes4mob.mydom.local

Nel dominio, con l'account KSCMobileSrvcUsr, aggiungere un SPN per pubblicare il servizio del protocollo mobile sulla porta 13292 del dispositivo con Administration Server. Per il dispositivo kes4mob.mydom.local con Administration Server, si presenta come segue:

setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr

Configurazione delle proprietà di dominio del dispositivo con il proxy inverso (firewall.mydom.local)

Per delegare il traffico, è necessario impostare come attendibile il dispositivo con il proxy inverso (firewall.mydom.local) per il servizio definito dall'SPN (http/kes4mob.mydom.local:13292).

Per impostare come attendibile il dispositivo con il proxy inverso per il servizio definito dall'SPN (http/kes4mob.mydom.local:13292), l'amministratore deve eseguire seguenti le operazioni:

1. Nello snap-in Microsoft Management Console "Utenti e computer di Active Directory" selezionare il dispositivo in cui è installato il proxy inverso (firewall.mydom.local).
2. Nelle proprietà del dispositivo, nella scheda Delega, impostare l'interruttore Computer attendibile per la delega solo ai servizi specificati su Utilizza un qualsiasi protocollo di autenticazione.
3. Nell'elenco Servizi ai quali l'account può presentare credenziali delegate aggiungere l'SPN http/kes4mob.mydom.local:13292.

Speciale certificato (personalizzato) per la pubblicazione (kes4mob.mydom.global)

Per pubblicare il protocollo mobile di Administration Server, è necessario emettere uno speciale certificato (personalizzato) per il nome FQDN kes4mob.mydom.global e specificarlo invece del certificato server predefinito nelle impostazioni del protocollo mobile di Administration Server in Administration Console. A tale scopo, nella finestra delle proprietà di Administration Server, nella sezione Impostazioni, selezionare la casella di controllo Apri porta per i dispositivi mobili e quindi selezionare Aggiungi certificato nell'elenco a discesa.

Il contenitore del certificato server (file con estensione p12 o pfx) deve anche contenere una catena di certificati radice (chiavi pubbliche).

Configurazione della pubblicazione nel proxy inverso

Nel proxy inverso, per il traffico dal dispositivo mobile alla porta 13292 kes4mob.mydom.global, è necessario configurare KCD sull'SPN (http/kes4mob.mydom.local:13292) utilizzando il certificato server emesso per il nome FQDN kes4mob.mydom.global. La pubblicazione e il punto di accesso pubblicato (la porta 13292 di Administration Server) devono condividere lo stesso certificato server.

Utilizzo di Firebase Cloud Messaging

Per garantire l'invio tempestivo dei comandi ai dispositivi KES gestiti dal sistema operativo Android, Kaspersky Security Center usa il meccanismo delle notifiche push. Le notifiche push vengono scambiate tra i dispositivi KES e Administration Server tramite Firebase Cloud Messaging (di seguito FCM). In Kaspersky Security Center Administration Console è possibile specificare le impostazioni di Cloud Firebase Messaging per la connessione dei dispositivi KES al servizio.

Per recuperare le impostazioni di Firebase Cloud Messaging, è necessario disporre di un account Google.

Per abilitare l'utilizzo di FCM:

1. In Administration Console selezionare il nodo Mobile Device Management e la cartella Dispositivi mobili.
2. Dal menu di scelta rapida della cartella Dispositivi mobili selezionare Proprietà.
3. Nelle proprietà della cartella selezionare la sezione Impostazioni di Google Firebase Cloud Messaging.
4. Nel campo ID mittente, specificare l'ID del mittente FCM.
5. Nel campo File della chiave privata (in formato JSON), selezionare il file della chiave privata.

Alla successiva sincronizzazione con Administration Server, i dispositivi KES gestiti da sistemi operativi Android verranno connessi a Firebase Cloud Messaging.

È possibile modificare le impostazioni di Firebase Cloud Messaging facendo clic sul pulsante Ripristina impostazioni.

Quando si passa a un progetto Firebase diverso, è necessario attendere 10 minuti per il ripristino di FCM.

Il servizio FCM viene eseguito nei seguenti intervalli di indirizzi:

• Sul lato del dispositivo KES, è necessario l'accesso alle porte 443 (HTTPS), 5228 (HTTPS), 5229 (HTTPS) e 5230 (HTTPS) dei seguenti indirizzi:
  • google.com
  • fcm.googleapis.com
  • android.apis.google.com
  • Tutti gli indirizzi IP elencati nell'ASN Google numero 15169
• Sul lato dell'Administration Server, è necessario l'accesso alla porta 443 (HTTPS) dei seguenti indirizzi:
  • fcm.googleapis.com
  • Tutti gli indirizzi IP elencati nell'ASN Google numero 15169

Se le impostazioni del server proxy (Avanzate / Configurazione dell'accesso a Internet) sono state specificate nelle proprietà di Administration Server in Administration Console, saranno utilizzate per l'interazione con FCM.

Configurazione di FCM: ottenere l'ID del mittente e il file della chiave privata

Per configurare il FCM:

1. Eseguire la registrazione nel portale Google.
2. Passare alla console Firebase.
3. Eseguire una delle seguenti operazioni:
   • Per creare un nuovo progetto, fare clic su Crea un progetto e seguire le istruzioni sullo schermo.
   • Aprire un progetto esistente.
4. Fare clic sull'icona a forma di ingranaggio e selezionare Impostazioni progetto.

   Verrà visualizzata la finestra Impostazioni progetto.

5. Selezionare la scheda Cloud Messaging.
6. Recuperare l'ID del mittente pertinente dal campo ID mittente nella sezione Firebase Cloud Messaging API (V1).
7. Selezionare la scheda Account di servizio e fare clic su Genera nuova chiave privata.
8. Nella finestra visualizzata, fare clic su Genera chiave per generare e scaricare un file di chiave privata.

Firebase Cloud Messaging è ora configurato.

Integrazione con PKI (Public Key Infrastructure)

L'integrazione con l'infrastruttura Public Key Infrastructure (di seguito denominata PKI) ha principalmente l'obiettivo di semplificare l'emissione dei certificati utente di dominio da parte di Administration Server.

L'amministratore può assegnare un certificato di dominio per un utente in Administration Console. A tale scopo, è possibile utilizzare uno dei seguenti metodi:

• Assegnare all'utente uno speciale certificato (personalizzato) da un file nell'Installazione guidata certificato.
• Eseguire l'integrazione con PKI e assegnare a PKI il ruolo di origine dei certificati per un tipo specifico di certificati o per tutti i tipi di certificati.

Le impostazioni dell'integrazione con PKI sono disponibili nell'area di lavoro della cartella Mobile Device Management / Certificati facendo clic sul collegamento Integra con infrastruttura a chiave pubblica (PKI).

Principio generale di integrazione con PKI per l'emissione dei certificati utente di dominio

In Administration Console fare clic sul collegamento Integra con infrastruttura a chiave pubblica (PKI) nell'area di lavoro della cartella Mobile Device Management / Certificati per specificare un account di dominio che sarà utilizzato da Administration Server per emettere i certificati utente di dominio tramite l'Autorità di certificazione del dominio (di seguito denominato account utilizzato per l'integrazione con PKI).

Tenere presente quanto segue:

• Le impostazioni di integrazione con PKI offrono la possibilità di specificare il modello predefinito per tutti i tipi di certificati. Le regole per l'emissione dei certificati (disponibili nell'area di lavoro della cartella Mobile Device Management / Certificati facendo clic sul pulsante Configura regole di emissione certificati) consentono di specificare un singolo modello per ogni tipo di certificati.
• Un speciale certificato Enrollment Agent (EA) deve essere installato nel dispositivo con Administration Server, nell'archivio di certificati dell'account utilizzato per l'integrazione con PKI. Il certificato Enrollment Agent (EA) viene emesso dall'amministratore dell'Autorità di certificazione del dominio.

L'account utilizzato per l'integrazione con PKI deve soddisfare i seguenti criteri:

• È un utente di dominio.
• È un amministratore locale del dispositivo con Administration Server da cui viene avviata l'integrazione con PKI.
• Ha il diritto di accesso come servizio.
• Il dispositivo in cui è installato Administration Server deve essere in esecuzione almeno una volta con questo account per creare un profilo utente permanente.

Server Web di Kaspersky Security Center

Il Server Web di Kaspersky Security Center (di seguito denominato server Web) è un componente di Kaspersky Security Center. Il server Web è progettato per la pubblicazione di pacchetti di installazione indipendenti, pacchetti di installazione indipendenti per dispositivi mobili, profili MDM iOS e file da una cartella condivisa.

I profili MDM iOS e i pacchetti di installazione creati vengono pubblicati automaticamente sul server Web e sono rimossi dopo il primo download. L'amministratore può inviare il nuovo collegamento all'utente con qualsiasi sistema (ad esempio, tramite e-mail).

Facendo clic su questo collegamento, l'utente può scaricare le informazioni richieste in un dispositivo mobile.

Impostazioni del server Web

Se è necessario modificare la configurazione del server Web, le proprietà del server Web di Administration Console offrono la possibilità di modificare le porte per HTTP (8060) e HTTPS (8061). Oltre a modificare le porte, è possibile sostituire il certificato server per HTTPS e modificare il nome FQDN del server Web per HTTP.