Configurazione di Administration Server

Questa sezione descrive il processo di configurazione e le proprietà di Kaspersky Security Center Administration Server.

Configurazione della connessione di Kaspersky Security Center Web Console ad Administration Server

Per impostare le porte di connessione di Administration Server:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.

   Verrà visualizzata la finestra delle proprietà di Administration Server.

2. Nella scheda Generale selezionare la sezione Porte di connessione.

L'applicazione visualizzerà le impostazioni di connessione principali del server selezionato.

Kaspersky Security Center Web Console è connesso ad Administration Server tramite la porta SSL TCP 13299. La stessa porta può essere utilizzata dagli oggetti di automazione klakaut.

La porta TCP 14000 può essere utilizzata per connettere Kaspersky Security Center Web Console, punti di distribuzione, Administration Server secondari e oggetti di automazione klakaut, nonché per ricevere i dati dai dispositivi client.

In genere, la porta SSL TCP 13000 può essere utilizzata solo da Network Agent, un Administration Server secondario e dall'Administration Server primario nella rete DMZ. In alcuni casi può essere necessario connettere Kaspersky Security Center Web Console tramite la porta SSL 13000:

• Se è probabile che venga utilizzata una singola porta SSL sia per Kaspersky Security Center Web Console che per altre attività (ricezione dei dati dai dispositivi client, connessione di punti di distribuzione, connessione di Administration Server secondari).
• Se un oggetto di automazione klakaut non è connesso ad Administration Server direttamente, bensì tramite un punto di distribuzione nella rete perimetrale.

Configurazione della registrazione degli eventi di connessione ad Administration Server

È possibile salvare in un file di registro la cronologia delle connessioni e dei tentativi di connessione all'Administration Server durante l'esecuzione. Le informazioni nel file consentono di tenere traccia non solo delle connessioni all'interno dell'infrastruttura di rete, ma anche dei tentativi non autorizzati di accesso al server.

Per registrare gli eventi di connessione all'Administration Server:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.

   Verrà visualizzata la finestra delle proprietà di Administration Server.

2. Nella scheda Generale selezionare la sezione Porte di connessione.
3. Abilitare l'opzione Registra eventi di connessione ad Administration Server.

Tutti gli ulteriori eventi di connessione in entrata all'Administration Server, i risultati di autenticazione e gli errori SSL verranno salvati nel file %ProgramData%\KasperskyLab\adminkit\logs\sc.syslog.

Configurazione delle impostazioni di accesso a Internet per Administration Server

Espandi tutto | Comprimi tutto

È necessario configurare l'accesso a Internet per utilizzare Kaspersky Security Network e per scaricare gli aggiornamenti dei database anti-virus per Kaspersky Security Center e le applicazioni Kaspersky gestite.

Per specificare le impostazioni di accesso a Internet per Administration Server:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server.

   Verrà visualizzata la finestra delle proprietà di Administration Server.

2. Nella scheda Generale selezionare la sezione Configurazione dell'accesso a Internet.
3. Se si desidera utilizzare un server proxy durante la connessione a Internet, abilitare l'opzione Usa server proxy. Se questa opzione è abilitata, i campi sono disponibili per l'immissione delle impostazioni. Specificare le seguenti impostazioni per la connessione a un server proxy:
   • Indirizzo

     Indirizzo del server proxy utilizzato per la connessione di Kaspersky Security Center a Internet.

   • Numero di porta

     Numero della porta utilizzata per stabilire la connessione al proxy di Kaspersky Security Center.

   • Ignora il server proxy per gli indirizzi locali

     Non verrà utilizzato alcun server proxy per la connessione ai dispositivi dalla rete locale.

   • Autenticazione server proxy

     Se questa casella di controllo è selezionata, nei campi di immissione è possibile specificare le credenziali per l'autenticazione del server proxy.

     Questo campo di immissione è disponibile se la casella di controllo Usa server proxy è selezionata.

   • Nome utente

     Account utente con il quale è stata stabilita la connessione al server proxy (questo campo è disponibile se la casella di controllo Autenticazione server proxy è selezionata).

   • Password

     Password impostata dall'utente di cui è stato utilizzato l'account per stabilire la connessione al server proxy (questo campo è disponibile se la casella di controllo Autenticazione server proxy è selezionata).

     Per visualizzare la password immessa, tenere premuto il pulsante Mostra per il tempo necessario.

È inoltre possibile configurare l'accesso a Internet utilizzando l'Avvio rapido guidato.

Impostazione del numero massimo di eventi nell'archivio eventi

Nella sezione Archivio eventi della finestra delle proprietà di Administration Server è possibile modificare le impostazioni per l'archiviazione degli eventi nel database di Administration Server, limitando il numero di record degli eventi e il periodo di archiviazione dei record. Quando si specifica il numero massimo di eventi, l'applicazione calcola approssimativamente la quantità di spazio di archiviazione necessario per il numero specificato. È possibile utilizzare questo calcolo approssimativo per valutare se è necessario liberare spazio su disco per evitare l'overflow del database. La capacità predefinita del database di Administration Server è di 400.000 eventi. La capacità massima consigliata del database è di 45 milioni di eventi.

L'applicazione controlla il database ogni 10 minuti. Se il numero di eventi raggiunge il valore massimo specificato più 10.000, l'applicazione elimina gli eventi meno recenti in modo che rimanga solo il numero massimo di eventi specificato.

Quando l'Administration Server elimina gli eventi meno recenti, non può salvare i nuovi eventi nel database. Durante questo periodo di tempo, le informazioni sugli eventi rifiutati vengono scritte nel registro eventi Kaspersky. I nuovi eventi vengono accodati e quindi salvati nel database al termine dell'operazione di eliminazione.

Per limitare il numero di eventi che è possibile archiviare nell'archivio eventi di Administration Server:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.

   Verrà visualizzata la finestra delle proprietà di Administration Server.

2. Nella scheda Generale selezionare la sezione Archivio eventi. Specificare il numero massimo di eventi archiviati nel database.
3. Fare clic sul pulsante Salva.

Inoltre, è possibile procedere come segue:

• Modificare le impostazioni di qualsiasi attività per salvare gli eventi relativi all'avanzamento dell'attività oppure salvare solo i risultati dell'esecuzione dell'attività.
• Ridurre o disabilitare il periodo di archiviazione per gli eventi delle applicazioni di Administration Server, Network Agent e Kaspersky installate nei dispositivi gestiti.

In tal modo si riduce il numero di eventi nel database, si aumenta la velocità di esecuzione degli scenari associati all'analisi della tabella degli eventi nel database e si limita il rischio che gli eventi critici vengano sovrascritti da un ampio numero di eventi.

Impostazioni di connessione dei dispositivi di protezione UEFI

Espandi tutto | Comprimi tutto

Un dispositivo di protezione UEFI è un dispositivo con una soluzione Kaspersky per UEFI integrata al livello del BIOS. La protezione integrata garantisce la sicurezza del dispositivo fin dall'avvio del sistema, mentre la protezione nei dispositivi senza software integrato inizia solo dopo l'avvio dell'applicazione di protezione. Kaspersky Security Center supporta la gestione di tali dispositivi.

Per modificare le impostazioni di connessione dei dispositivi di protezione UEFI:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.

   Verrà visualizzata la finestra delle proprietà di Administration Server.

2. Nella scheda Generale selezionare la sezione Porte aggiuntive.
3. Modificare le impostazioni appropriate:
   • Porta aperta per i dispositivi di protezione UEFI e i dispositivi KasperskyOS

     I dispositivi di protezione UEFI possono connettersi all'Administration Server.

   • Porta per i dispositivi di protezione UEFI e i dispositivi KasperskyOS

     È possibile modificare il numero di porta se l'opzione Porta aperta per i dispositivi di protezione UEFI e i dispositivi KasperskyOS è abilitata. Il numero di porta predefinito è 13294.

4. Fare clic sul pulsante Salva.

I dispositivi di protezione UEFI ora possono connettersi all'Administration Server.

Creazione di una gerarchia di Administration Server: l'aggiunta un Administration Server secondario

Espandi tutto | Comprimi tutto

Aggiunta di un Administration Server secondario (eseguita sul futuro Administration Server primario)

È possibile aggiungere un Administration Server come Administration Server secondario, configurando una gerarchia "primario/secondario".

Per aggiungere un Administration Server secondario disponibile per la connessione tramite Kaspersky Security Center Web Console:

1. Verificare che la porta 13000 del futuro Administration Server primario sia disponibile per la ricezione delle connessioni dagli Administration Server secondari.
2. Nel futuro Administration Server primario, fare clic sull'icona delle impostazioni ().
3. Nella pagina delle proprietà visualizzata, selezionare la scheda Administration Server.
4. Selezionare la casella di controllo accanto al nome del gruppo di amministrazione a cui si desidera aggiungere l'Administration Server.
5. Nella riga del menu fare clic su Connetti Administration Server secondario.

   Verrà avviata l'Aggiunta guidata Administration Server secondari. Procedere con la procedura guidata utilizzando il pulsante Avanti.

6. Compilare i seguenti campi:
   • Connetti l'Administration Server primario all'Administration Server secondario nella rete perimetrale

     Selezionare questa opzione se l'Administration Server secondario si trova in una rete perimetrale (DMZ).

     Se questa opzione è selezionata, è necessario specificare il parametro Indirizzo del server secondario.

     Se questa opzione è selezionata, l'Administration Server primario avvia la connessione all'Administration Server secondario. In caso contrario, l'Administration Server secondario avvia una connessione con l'Administration Server primario.

   • Nome visualizzato dell'Administration Server secondario

     Un nome con cui l'Administration Server secondario verrà visualizzato nella gerarchia. Se si desidera, è possibile immettere l'indirizzo IP come nome, oppure è possibile utilizzare un nome come "Server secondario per il gruppo 1".

   • Indirizzo dell'Administration Server secondario (facoltativo)

     Specificare l'indirizzo IP o il nome di dominio dell'Administration Server secondario.

     Questo parametro è obbligatorio se l'opzione Connetti l'Administration Server primario all'Administration Server secondario in DMZ è abilitata.

   • Porta SSL Administration Server

     Specificare il numero della porta SSL nell'Administration Server primario. Il numero di porta predefinito è 13000.

   • Porta API Administration Server

     Specificare il numero della porta nell'Administration Server primario per la ricezione delle connessioni tramite OpenAPI. Il numero di porta predefinito è 13299.

7. Specificare il certificato dell'Administration Server secondario. Se è stato specificato il parametro Indirizzo del server secondario, è possibile fare clic sul pulsante Ottieni da Administration Server secondario per ottenere il certificato. In caso contrario, fare clic sul pulsante Sfoglia il file del certificato e individuare il file del certificato.
8. Specificare le impostazioni di connessione:
   • Immettere l'indirizzo del futuro Administration Server primario.
   • Se il futuro Administration Server secondario utilizza un server proxy, immettere l'indirizzo del server proxy e le credenziali dell'utente per connettersi al server proxy.
9. Immettere le credenziali dell'utente che dispone dei diritti di accesso sul futuro Administration Server secondario.
10. Se la verifica in due passaggi è abilitata e configurata, specificare il codice di sicurezza generato dall'app di autenticazione.

    Se la verifica in due passaggi è abilitata ma non configurata per l'account specificato, creare la gerarchia dal futuro server secondario (consultare le istruzioni di seguito).

Se le impostazioni di connessione sono corrette, viene stabilita la connessione con il futuro Administration Server secondario e viene costruita la gerarchia "primario/secondario". Se la connessione non è riuscita, verificare le impostazioni di connessione o specificare il certificato del futuro Administration Server secondario manualmente.

La connessione tra l'Administration Server primario e quello secondario viene stabilita tramite la porta 13000. Le attività e i criteri dall'Administration Server primario vengono ricevuti e applicati. L'Administration Server secondario viene visualizzato nell'Administration Server primario, nel gruppo di amministrazione a cui è stato aggiunto.

Aggiunta di un Administration Server secondario (eseguita sul futuro Administration Server secondario)

Se non è possibile connettersi al futuro Administration Server secondario (ad esempio, perché temporaneamente disconnesso o non disponibile), è comunque possibile aggiungere un Administration Server secondario.

Per aggiungere come secondario un Administration Server non disponibile per la connessione tramite Kaspersky Security Center Web Console:

1. Inviare il file del certificato del futuro Administration Server primario all'amministratore di sistema dell'ufficio in cui si trova il futuro Administration Server secondario. È ad esempio possibile scrivere il file su un dispositivo esterno, come un'unità flash, o inviarlo via e-mail.

   Il file di certificato è disponibile nel futuro Administration Server primario, in %ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit\1093\cert\klserver.cer.

2. Richiedere all'amministratore di sistema responsabile del futuro Administration Server secondario di eseguire le seguenti operazioni:
   1. Fare clic sull'icona delle impostazioni ().
   2. Nella pagina delle proprietà visualizzata passare alla sezione Gerarchia di Administration Server della scheda Generale.
   3. Selezionare l'opzione Questo Administration Server è secondario nella gerarchia.
   4. Nel campo Indirizzo Administration Server primario immettere il nome della rete del futuro Administration Server primario.
   5. Selezionare il file precedentemente salvato con il certificato del futuro Administration Server primario facendo clic su Sfoglia.
   6. Se necessario, selezionare la casella di controllo Connetti l'Administration Server primario all'Administration Server secondario nella rete perimetrale.
   7. Se la connessione al futuro Administration Server secondario viene eseguita tramite un server proxy, selezionare l'opzione Usa server proxy e specificare le impostazioni di connessione.
   8. Fare clic su Salva.

Verrà creata la gerarchia "primario/secondario". L'Administration Server primario inizia a ricevere la connessione dall'Administration Server secondario tramite la porta 13000. Le attività e i criteri dall'Administration Server primario vengono ricevuti e applicati. L'Administration Server secondario viene visualizzato nell'Administration Server primario, nel gruppo di amministrazione a cui è stato aggiunto.

Visualizzazione dell'elenco degli Administration Server secondari

Per visualizzare l'elenco degli Administration Server secondari (inclusi quelli virtuali):

Nel menu principale, fare clic sul nome di Administration Server, accanto all'icona delle impostazioni ().

Viene visualizzato l'elenco a discesa degli Administration Server secondari (inclusi quelli virtuali).

È possibile passare a uno di questi Administration Server facendo clic sul relativo nome.

Vengono visualizzati anche i gruppi di amministrazione, che sono però disattivati e non disponibili per la gestione in questo menu.

Se si è connessi all'Administration Server primario in Kaspersky Security Center Web Console e non è possibile connettersi a un Administration Server virtuale gestito da un Administration Server secondario, è possibile utilizzare uno dei seguenti modi:

• Modificare l'installazione esistente di Kaspersky Security Center Web Console per aggiungere il server secondario all'elenco degli Administration Server attendibili. Sarà quindi possibile connettersi all'Administration Server virtuale in Kaspersky Security Center Web Console.
  1. Nel dispositivo in cui è installato Kaspersky Security Center Web Console, avviare il file di installazione ksc-web-console-<numero versione><numero build>.exe con un account con privilegi di amministratore.

     Verrà avviata l'Installazione guidata. Procedere con la procedura guidata utilizzando il pulsante Avanti.

  2. Selezionare l'opzione Upgrade.
  3. Nel passaggio Tipo di modifica selezionare l'opzione Modifica impostazioni di connessione.
  4. Nel passaggio Administration Server attendibili, aggiungere l'Administration Server secondario richiesto.
  5. Nell'ultimo passaggio fare clic su Modifica per applicare le nuove impostazioni.
  6. Al termine della riconfigurazione dell'applicazione, fare clic sul pulsante Fine.
• Utilizzare Kaspersky Security Center Web Console per connettersi direttamente all'Administration Server secondario in cui è stato creato il server virtuale. Sarà quindi possibile passare all'Administration Server virtuale in Kaspersky Security Center Web Console.
• Utilizzare Administration Console basata su MMC per connettersi direttamente al server virtuale.

Eliminazione di una gerarchia di Administration Server

Se non si desidera più avere una gerarchia di Administration Server, è possibile disconnetterli da tale gerarchia.

Per eliminare una gerarchia di Administration Server:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server primario.
2. Nella pagina visualizzata passare alla scheda Administration Server.
3. Nel gruppo di amministrazione da cui si desidera eliminare l'Administration Server secondario selezionare l'Administration Server secondario.
4. Nella riga del menu fare clic su Elimina.
5. Nella finestra di dialogo visualizzata fare clic su OK per confermare che si desidera eliminare l'Administration Server secondario.

I precedenti Administration Server primario e secondario sono ora indipendenti l'uno dall'altro. La gerarchia non è più presente.

Manutenzione di Administration Server

La manutenzione di Administration Server consente di liberare spazio nella cartella di Administration Server e ridurre il volume del database eliminando gli oggetti non più necessari. Ciò consente di migliorare le prestazioni e l'affidabilità operativa dell'applicazione. È consigliabile eseguire la manutenzione di Administration Server almeno ogni settimana.

La manutenzione di Administration Server viene eseguita tramite un'attività specializzata. Durante la manutenzione di Administration Server, l'applicazione esegue le azioni seguenti:

• Elimina le cartelle e i file non necessari dalla cartella di archiviazione.
• Elimina i record non necessari dalle tabelle (noti anche come "puntatori pendenti").
• Cancella la cache.
• Esegue la manutenzione del database (se si utilizza SQL Server o PostgreSQL come DBMS):
  • Verifica la presenza di errori nel database (disponibile solo per SQL Server).
  • Riorganizza gli indici del database.
  • Aggiorna le statistiche del database.
  • Riduce le dimensioni del database (se necessario).

L'attività Manutenzione di Administration Server supporta le versioni MariaDB 10.3 e successive. Se si utilizza MariaDB 10.2 o versioni precedenti, gli amministratori devono mantenere questo DBMS in autonomia.

L'attività di Manutenzione di Administration Server viene creata automaticamente durante l'installazione di Kaspersky Security Center. Se l'attività di Manutenzione di Administration Server viene eliminata, è possibile crearla manualmente.

Per creare l'attività di Manutenzione di Administration Server:

1. Nel menu principale, passare a Dispositivi → Attività.
2. Fare clic sul pulsante Aggiungi.

   Verrà avviata la Creazione guidata nuova attività.

3. Nella finestra Nuova attività della procedura guidata selezionare Manutenzione di Administration Server come tipo di attività e fare clic su Avanti.
4. Seguire le rimanenti istruzioni della procedura guidata.

La nuova attività creata verrà visualizzata nell'elenco delle attività. Una sola attività di Manutenzione di Administration Server può essere in esecuzione per un singolo Administration Server. Se è stata già creata l'attività di Manutenzione di Administration Server per un Administration Server, non può essere creata alcuna nuova attività di Manutenzione di Administration Server.

Configurazione dell'interfaccia

È possibile configurare l'interfaccia di Kaspersky Security Center Web Console in modo da visualizzare e nascondere sezioni ed elementi di interfaccia, a seconda delle funzionalità utilizzate.

Per configurare l'interfaccia di Kaspersky Security Center Web Console in base al set di funzionalità utilizzate al momento:

1. Nel menu principale, passare alle impostazioni dell'account, quindi selezionare Opzioni di interfaccia.
2. Nella finestra Opzioni di interfaccia visualizzata abilitare o disabilitare le opzioni richieste.
3. Fare clic su Salva.

Successivamente, la console visualizza le sezioni nel menu principale in base alle opzioni abilitate. Ad esempio, se si abilita Mostra avvisi EDR, nel menu principale viene visualizzata la sezione Monitoraggio e generazione dei rapporti → Avvisi.

Gestione di Administration Server virtuali

Questa sezione descrive le seguenti azioni per gestire Administration Server virtuali:

• Creare Administration Server virtuali
• Abilitare e disabilitare Administration Server virtuali
• Assegnare un amministratore per un Administration Server virtuale
• Modificare Administration Server per i dispositivi client
• Eliminare Administration Server virtuali

Creazione di un Administration Server virtuale

È possibile creare Administration Server virtuali e aggiungerli ai gruppi di amministrazione.

Quando si crea un Administration Server virtuale, eredita l'elenco di utenti e tutti i diritti utente dell'Administration Server primario. Se un utente dispone dei diritti di accesso al server primario, ha anche i diritti di accesso al server virtuale. Dopo la creazione, si configurano i diritti di accesso ai server in modo indipendente.

Per creare e aggiungere un Administration Server virtuale:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.
2. Nella pagina visualizzata passare alla scheda Administration Server.
3. Selezionare il gruppo di amministrazione a cui si desidera aggiungere un Administration Server virtuale.
   L'Administration Server virtuale gestirà i dispositivi del gruppo selezionato (compresi i sottogruppi).
4. Nella riga del menu fare clic su Nuovo Administration Server virtuale.
5. Nella pagina visualizzata definire le proprietà del nuovo Administration Server virtuale:
   • Nome Administration Server virtuale.
   • Indirizzo connessione Administration Server

     È possibile specificare il nome o l'indirizzo IP di Administration Server.

6. Nell'elenco degli utenti selezionare l'amministratore dell'Administration Server virtuale. Se si desidera, è possibile modificare uno degli account esistenti prima di assegnargli il ruolo di amministratore o creare un nuovo account utente.
7. Fare clic su Salva.

Il nuovo Administration Server virtuale verrà creato, aggiunto al gruppo di amministrazione e visualizzato nella scheda Administration Server.

Se si è connessi all'Administration Server primario in Kaspersky Security Center Web Console e non è possibile connettersi a un Administration Server virtuale gestito da un Administration Server secondario, è possibile utilizzare uno dei seguenti modi:

• Modificare l'installazione esistente di Kaspersky Security Center Web Console per aggiungere il server secondario all'elenco degli Administration Server attendibili. Sarà quindi possibile connettersi all'Administration Server virtuale in Kaspersky Security Center Web Console.
  1. Nel dispositivo in cui è installato Kaspersky Security Center Web Console, avviare il file di installazione ksc-web-console-<numero versione><numero build>.exe con un account con privilegi di amministratore.

     Verrà avviata l'Installazione guidata. Procedere con la procedura guidata utilizzando il pulsante Avanti.

  2. Selezionare l'opzione Upgrade.
  3. Nel passaggio Tipo di modifica selezionare l'opzione Modifica impostazioni di connessione.
  4. Nel passaggio Administration Server attendibili, aggiungere l'Administration Server secondario richiesto.
  5. Nell'ultimo passaggio fare clic su Modifica per applicare le nuove impostazioni.
  6. Al termine della riconfigurazione dell'applicazione, fare clic sul pulsante Fine.
• Utilizzare Kaspersky Security Center Web Console per connettersi direttamente all'Administration Server secondario in cui è stato creato il server virtuale. Sarà quindi possibile passare all'Administration Server virtuale in Kaspersky Security Center Web Console.
• Utilizzare Administration Console basata su MMC per connettersi direttamente al server virtuale.

Abilitazione e disabilitazione di un Administration Server virtuale

Quando si crea un nuovo Administration Server virtuale, questo viene abilitato per impostazione predefinita. È possibile disabilitarlo o abilitarlo nuovamente in qualsiasi momento. La disabilitazione o l'abilitazione di un Administration Server virtuale equivale alla disattivazione o all'attivazione di un Administration Server fisico.

Per abilitare o disabilitare un Administration Server virtuale:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.
2. Nella pagina visualizzata passare alla scheda Administration Server.
3. Selezionare l'Administration Server virtuale che si desidera abilitare o disabilitare.
4. Nella riga del menu fare clic sul pulsante Abilita/disabilita l'Administration Server virtuale.

Lo stato dell'Administration Server virtuale viene modificato in abilitato o disabilitato, a seconda del suo stato precedente. Viene visualizzato lo stato aggiornato accanto al nome dell'Administration Server.

Assegnazione di un amministratore per un Administration Server virtuale

Quando si utilizzano Administration Server virtuali nell'organizzazione, è consigliabile assegnare un amministratore dedicato per ciascun Administration Server virtuale. Questo potrebbe ad esempio essere utile quando si creano Administration Server virtuali per gestire uffici o reparti separati della propria organizzazione oppure se si è un provider MSP e si gestiscono i tenant tramite Administration Server virtuali.

Quando si crea un Administration Server virtuale, eredita l'elenco di utenti e tutti i diritti utente dell'Administration Server primario. Se un utente dispone dei diritti di accesso al server primario, ha anche i diritti di accesso al server virtuale. Dopo la creazione, si configurano i diritti di accesso ai server in modo indipendente. Se si desidera assegnare un amministratore solo per un Administration Server virtuale, accertarsi che l'amministratore non disponga dei diritti di accesso nell'Administration Server primario.

Si assegna un amministratore per un Administration Server virtuale concedendo all'amministratore i diritti di accesso all'Administration Server virtuale. È possibile concedere i diritti di accesso necessari in uno dei seguenti modi:

• Configurare manualmente i diritti di accesso per l'amministratore
• Assegnare uno o più ruoli utente per l'amministratore

Per accedere a Kaspersky Security Center Web Console, un amministratore di un Administration Server virtuale specifica il nome, il nome utente e la password dell'Administration Server virtuale. Kaspersky Security Center Web Console autentica l'amministratore e apre l'Administration Server virtuale per il quale l'amministratore dispone dei diritti di accesso. L'amministratore non può passare da un Administration Server all'altro.

Prerequisiti

Prima di iniziare, assicurarsi che vengano soddisfatte le seguenti condizioni:

• L'Administration Server virtuale è stato creato.
• Nell'Administration Server primario è stato creato un account per l'amministratore che si desidera assegnare per l'Administration Server virtuale.
• L'utente dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali → Autorizzazioni utente.

Configurazione manuale dei diritti di accesso

Per assegnare un amministratore per un Administration Server virtuale:

1. Nella menu principale, passare all'Administration Server virtuale desiderato:
   1. Fare clic sull'icona a forma di freccia di espansione () a destra del nome corrente dell'Administration Server.
   2. Selezionare l'Administration Server desiderato.
2. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome di Administration Server.

   Verrà visualizzata la finestra delle proprietà di Administration Server.

3. Nella scheda Diritti di accesso, fare clic sul pulsante Aggiungi.

   Viene visualizzato un elenco unificato di utenti dell'Administration Server primario e dell'Administration Server virtuale corrente.

4. Nell'elenco di utenti selezionare l'account dell'amministratore che si desidera assegnare per l'Administration Server virtuale, quindi fare clic sul pulsante OK.

   L'applicazione aggiunge l'utente selezionato all'elenco utenti nella scheda Diritti di accesso.

5. Selezionare la casella di controllo accanto all'account aggiunto, quindi fare clic sul pulsante Diritti di accesso.
6. Configurare i diritti che l'amministratore avrà sull'Administration Server virtuale.

   Per fare in modo che l'autenticazione vada a buon fine, l'amministratore deve disporre almeno dei seguenti diritti:

   • Diritto Lettura nell'area funzionale Caratteristiche generali → Funzionalità di base
   • Diritto Lettura nell'area funzionale Caratteristiche generali → Administration Server virtuali

L'applicazione salva i diritti utente modificati nell'account amministratore.

Configurazione dei diritti di accesso assegnando ruoli utente

In alternativa, è possibile concedere i diritti di accesso a un amministratore dell'Administration Server virtuale tramite i ruoli utente. Questo potrebbe ad esempio essere utile se si desidera assegnare più amministratori nello stesso Administration Server virtuale. In tal caso, è possibile assegnare agli account degli amministratori gli stessi ruoli utente (uno o più di questi) anziché configurare gli stessi diritti utente per più amministratori.

Per assegnare un amministratore a un Administration Server virtuale assegnando ruoli utente:

1. Nell'Administration Server primario creare un nuovo ruolo utente, quindi specificare tutti i diritti di accesso necessari di cui un amministratore deve disporre nell'Administration Server virtuale. È possibile creare più ruoli, ad esempio, se si desidera separare l'accesso a diverse aree funzionali.
2. Nella menu principale, passare all'Administration Server virtuale desiderato:
   1. Fare clic sull'icona a forma di freccia di espansione () a destra del nome corrente dell'Administration Server.
   2. Selezionare l'Administration Server desiderato.
3. Assegnare il nuovo ruolo o diversi ruoli all'account amministratore.

L'applicazione assegna i ruoli all'account amministratore.

Configurazione dei diritti di accesso a livello di oggetto

Oltre ad assegnare diritti di accesso a livello di area funzionale, è possibile configurare l'accesso a oggetti specifici nell'Administration Server virtuale, ad esempio, a un gruppo di amministrazione specifico o a un'attività. A tale scopo, passare all'Administration Server virtuale, quindi configurare i diritti di accesso nelle proprietà dell'oggetto.

Modifica di Administration Server per i dispositivi client

Espandi tutto | Comprimi tutto

È possibile sostituire l'Administration Server che gestisce i dispositivi client con un altro server mediante l'attività Cambia Administration Server. Dopo il completamento dell'attività, i dispositivi client selezionati passeranno sotto la gestione dell'Administration Server specificato.

Non è possibile utilizzare l'attività Cambia Administration Server per i dispositivi client connessi ad Administration Server tramite gateway di connessione. Per tali dispositivi è necessario riconfigurare Network Agent o reinstallarlo e specificare il gateway di connessione.

Per sostituire l'Administration Server che gestisce i dispositivi client con un altro server:

1. Nella finestra principale dell'applicazione, passare a Dispositivi → Attività.
2. Fare clic su Aggiungi.

   Verrà avviata la Creazione guidata nuova attività. Procedere con la procedura guidata utilizzando il pulsante Avanti.

3. Nel passaggio Nuova attività, specificare le seguenti impostazioni:
   1. Nell'elenco a discesa Applicazione, selezionare Kaspersky Security Center.
   2. Nel campo Tipo di attività, selezionare Cambia Administration Server.
   3. Nel campo Nome attività, specificare il nome dell'attività che si intende creare.

      Il nome di un'attività non può superare i 100 caratteri e non può includere caratteri speciali ("*<>?\:|).

   4. Selezionare i dispositivi a cui assegnare l'attività:
      • Assegna attività a un gruppo di amministrazione

        L'attività viene assegnata ai dispositivi inclusi in un gruppo di amministrazione. È possibile specificare uno dei gruppi esistenti o crearne uno nuovo.

        Questa opzione può ad esempio essere utilizzata per eseguire un'attività di invio di un messaggio agli utenti se il messaggio è specifico per i dispositivi inclusi in un determinato gruppo di amministrazione.

        Se un'attività è assegnata a un gruppo di amministrazione, la scheda Sicurezza non viene visualizzata nella finestra delle proprietà dell'attività perché le attività di gruppo sono soggette alle impostazioni di protezione dei gruppi ai quali si applicano.

      • Usa indirizzi dei dispositivi specificati manualmente o importati da un elenco

        È possibile specificare nomi NetBIOS, nomi DNS, indirizzi IP e subnet IP dei dispositivi a cui si desidera assegnare l'attività.

        Questa opzione può essere utilizzata per eseguire un'attività per una subnet specifica. È ad esempio possibile installare una determinata applicazione nei dispositivi degli addetti alla contabilità o eseguire la scansione dei dispositivi in una subnet potenzialmente infetta.

      • Assegna attività a una selezione dispositivi

        L'attività viene assegnata ai dispositivi inclusi in una selezione dispositivi. È possibile specificare una delle selezioni esistenti.

        Questa opzione può ad esempio essere utilizzata per eseguire un'attività nei dispositivi con una versione specifica del sistema operativo.

4. Nel passaggio Ambito attività della procedura guidata, specificare un gruppo di amministrazione, dispositivi con indirizzi specifici o una selezione di dispositivi.
5. In questo passaggio della procedura guidata, confermare di accettare i termini di modifica di Administration Server per i dispositivi client.
6. In questo passaggio della procedura guidata, selezionare l'Administration Server che si desidera utilizzare per gestire i dispositivi selezionati:
   • Passa a un altro Administration Server primario

     Per spostare i dispositivi client su un altro Administration Server primario, specificare le seguenti impostazioni di connessione dell'Administration Server:

     1. Nel campo Indirizzo di Administration Server, specificare l'indirizzo del nuovo Administration Server primario.
     2. Nel campo Numero di porta, specificare il numero di porta per connettersi all'Administration Server.

        Il numero di porta predefinito è 14000.

     3. Nel campo Porta SSL, specificare il numero della porta SSL nell'Administration Server primario.

        Il numero di porta predefinito è 13000.

     4. Se necessario, abilitare l'opzione Usa server proxy.

        Se questa opzione è disabilitata, viene utilizzata la connessione diretta per connettere il dispositivo all'Administration Server.

        Se questa opzione è abilitata, specificare i parametri del server proxy:

        • Indirizzo server proxy
        • Porta server proxy

        Se il server proxy richiede l'autenticazione, nei campi Nome utente e Password specificare le credenziali dell'account con cui viene stabilita la connessione al server proxy. È consigliabile specificare le credenziali di un account con i privilegi minimi richiesti solo per l'autenticazione del server proxy.

     5. Se necessario, caricare un nuovo certificato di Administration Server.
   • Passa a un altro server virtuale in questo server primario

     Selezionare questa opzione per spostare i dispositivi client sull'Administration Server virtuale sull'Administration Server primario corrente. A tale scopo, nell'elenco a discesa Nome Administration Server virtuale, selezionare l'Administration Server virtuale necessario.

7. Nel passaggio Selezione di un account per l'esecuzione dell'attività della procedura guidata, specificare le impostazioni dell'account:
   • Account predefinito

     L'attività verrà eseguita tramite lo stesso account dell'applicazione che esegue l'attività.

     Per impostazione predefinita, questa opzione è selezionata.

   • Specifica account

     Compilare i campi Account e Password per specificare i dettagli di un account con cui viene eseguita l'attività. L'account deve disporre di diritti sufficienti per questa attività.

     • Account

       Account tramite il quale viene eseguita l'attività.

     • Password

       Password dell'account con cui verrà eseguita l'attività.

8. Se si desidera modificare le impostazioni predefinite dell'attività, nella fase Completare la creazione dell'attività della procedura guidata, abilitare l'opzione Apri i dettagli dell'attività al termine della creazione.

   Se non si abilita questa opzione, l'attività viene creata con le impostazioni predefinite. È possibile modificare le impostazioni predefinite in seguito in qualsiasi momento.

9. Fare clic sul pulsante Fine.

   L'attività verrà creata e visualizzata nell'elenco delle attività.

10. Fare clic sul nome dell'attività creata per aprire la finestra delle proprietà dell'attività.
11. Se si desidera modificare le impostazioni predefinite dell'attività, nella finestra delle proprietà dell'attività specificare le impostazioni generali dell'attività in base alle proprie esigenze.
12. Fare clic sul pulsante Salva.

    L'attività verrà creata e configurata.

13. Eseguire l'attività creata.

Dopo il completamento dell'attività, i dispositivi client per cui è stata creata passano sotto la gestione dell'Administration Server specificato nelle impostazioni dell'attività.

Eliminazione di un Administration Server virtuale

Quando si elimina un Administration Server virtuale, verranno eliminati anche tutti gli oggetti creati nell'Administration Server, inclusi criteri e attività. I dispositivi gestiti dei gruppi di amministrazione che erano gestiti dall'Administration Server virtuale verranno rimossi dai gruppi di amministrazione. Per far tornare i dispositivi sotto la gestione di Kaspersky Security Center, eseguire il polling di rete, quindi spostare i dispositivi rilevati dal gruppo Dispositivi non assegnati ai gruppi di amministrazione.

Per eliminare un Administration Server virtuale:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome di Administration Server.
2. Nella pagina visualizzata passare alla scheda Administration Server.
3. Selezionare l'Administration Server virtuale che si desidera eliminare.
4. Nella riga del menu fare clic sul pulsante Elimina.

L'Administration Server virtuale viene eliminato.

Abilitazione della protezione dell'account dalle modifiche non autorizzate

È possibile abilitare un'opzione aggiuntiva per proteggere un account utente dalle modifiche non autorizzate. Se questa opzione è abilitata, la modifica delle impostazioni dell'account utente richiede l'autorizzazione dell'utente con i diritti di modifica.

Per abilitare o disabilitare la protezione dell'account dalle modifiche non autorizzate:

1. Nel menu principale accedere a Utenti e ruoli → Utenti.
2. Fare clic sul nome dell'account utente interno per cui specificare la protezione dell'account dalle modifiche non autorizzate.
3. Nella finestra delle impostazioni utente visualizzata selezionare la scheda Protezione account.
4. Nella scheda Protezione account selezionare l'opzione Richiedi l'autenticazione per verificare l'autorizzazione di modifica degli account utente se si desidera richiedere le credenziali ogni volta che le impostazioni dell'account vengono modificate. In caso contrario, selezionare l'opzione Consentire agli utenti di modificare questo account senza autenticazione aggiuntiva.
5. Fare clic sul pulsante Salva.

La protezione dell'account da modifiche non autorizzate è abilitata per un account utente.

Verifica in due passaggi

Questa sezione descrive come utilizzare la verifica in due passaggi per ridurre il rischio di accesso non autorizzato a Kaspersky Security Center Web Console.

Informazioni sulla verifica in due passaggi

Quando la verifica in due passaggi è abilitata per un account, è necessario un codice di sicurezza monouso, oltre al nome utente e alla password, per accedere ad Administration Console o Kaspersky Security Center Web Console. Con l'autenticazione del dominio abilitata, l'utente deve solo immettere il codice di sicurezza monouso.

Per utilizzare la verifica in due passaggi, installa un'app di autenticazione che generi codici di protezione monouso nel dispositivo mobile o nel computer. È possibile utilizzare qualsiasi applicazione che supporti l'algoritmo TOTP (Time-based One-time Password), ad esempio:

• Google Authenticator
• Microsoft Authenticator
• Bitrix24 OTP
• Yandex Key
• Avanpost Authenticator
• Aladdin 2FA

Per verificare se Kaspersky Security Center supporta l'app di autenticazione che si desidera utilizzare, abilitare la verifica in due passaggi per tutti gli utenti o per un determinato utente.

Uno dei passaggi suggerisce di specificare il codice di sicurezza generato dall'app di autenticazione. In caso di esito positivo, Kaspersky Security Center supporta l'applicazione di autenticazione selezionata.

Si consiglia vivamente di salvare la chiave segreta o il codice QR e conservarla in un luogo sicuro. Questo codice consentirà di ripristinare l'accesso a Kaspersky Security Center Web Console nel caso in cui si perda l'accesso al dispositivo mobile.

Per proteggere l'utilizzo di Kaspersky Security Center, è possibile abilitare la verifica in due passaggi per il proprio account e abilitare la verifica in due passaggi per tutti gli utenti.

È possibile escludere gli account dalla verifica in due passaggi. Questa operazione può essere necessaria per gli account di servizio che non possono ricevere un codice di sicurezza per l'autenticazione.

Regole e limitazioni

Per poter attivare la verifica in due passaggi per tutti gli utenti e disattivare la verifica in due passaggi per utenti particolari:

• Verificare che l'account disponga del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente.
• Abilitare la verifica in due passaggi per il proprio account.

Per poter disattivare la verifica in due passaggi per tutti gli utenti:

• Verificare che l'account disponga del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente.
• Accedere a Kaspersky Security Center Web Console utilizzando la verifica in due passaggi.

Se la verifica in due passaggi è abilitata per un account utente in Kaspersky Security Center Administration Server versione 13 o successive, l'utente non sarà in grado di accedere a Kaspersky Security Center Web Console versione 12, 12.1 o 12.2.

Riemissione della chiave segreta

Qualsiasi utente può riemettere la chiave segreta utilizzata per la verifica in due passaggi. Quando un utente accede ad Administration Server con la chiave segreta riemessa, la nuova chiave segreta viene salvata per l'account utente. Se l'utente immette la nuova chiave segreta in modo errato, la nuova chiave segreta non viene salvata e la chiave segreta corrente rimane valida.

Un codice di sicurezza ha un identificatore denominato nome dell'emittente. Il nome dell'emittente del codice di sicurezza viene utilizzato come identificatore di Administration Server nell'app di autenticazione. Il nome dell'emittente del codice di sicurezza ha un valore predefinito uguale al nome di Administration Server. È possibile modificare il nome dell'emittente del codice di sicurezza. Se si modifica il nome dell'emittente del codice di sicurezza, è necessario emettere una nuova chiave segreta e passarla all'app di autenticazione.

Scenario: Configurazione della verifica in due passaggi per tutti gli utenti

Questo scenario descrive come abilitare la verifica in due passaggi per tutti gli utenti e come escludere gli account utente dalla verifica in due passaggi. Se non è stata abilitata la verifica in due passaggi per il proprio account prima di abilitarla per tutti gli altri utenti, l'applicazione apre innanzitutto la finestra per abilitare la verifica in due passaggi per il proprio account. Questo scenario descrive anche come abilitare la verifica in due passaggi per il proprio account.

Se è stata abilitata la verifica in due passaggi per il proprio account, è possibile procedere al passaggio di abilitazione della verifica in due passaggi per tutti gli utenti.

Prerequisiti

Prima di iniziare:

• Assicurarsi che il proprio account utente disponga del diritto Modifica elenchi di controllo degli accessi agli oggetti dell'area funzionale Caratteristiche generali: Autorizzazioni utente per la modifica delle impostazioni di protezione per gli account di altri utenti.
• Assicurarsi che gli altri utenti di Administration Server installino un'app di autenticazione nei propri dispositivi.

Passaggi

L'abilitazione della verifica in due passaggi per tutti gli utenti procede per fasi:

1. Installazione di un'app di autenticazione in un dispositivo

   È possibile installare qualsiasi applicazione che supporti l'algoritmo TOTP (Time-based One-time Password), ad esempio:

   • Google Authenticator
   • Microsoft Authenticator
   • Bitrix24 OTP
   • Yandex Key
   • Avanpost Authenticator
   • Aladdin 2FA

   Per verificare se Kaspersky Security Center supporta l'app di autenticazione che si desidera utilizzare, abilitare la verifica in due passaggi per tutti gli utenti o per un determinato utente.

   Uno dei passaggi suggerisce di specificare il codice di sicurezza generato dall'app di autenticazione. In caso di esito positivo, Kaspersky Security Center supporta l'applicazione di autenticazione selezionata.

   Si sconsiglia vivamente di installare l'app di autenticazione nello stesso dispositivo da cui viene stabilita la connessione ad Administration Server.

2. Sincronizzazione dell'ora dell'app di autenticazione con l'ora del dispositivo in cui è installato Administration Server

   Verificare che l'ora nel dispositivo con l'app di autenticazione e l'ora nel dispositivo con Administration Server siano sincronizzate con UTC, utilizzando fonti orarie esterne. In caso contrario, potrebbero verificarsi errori durante l'autenticazione e l'attivazione della verifica in due passaggi.

3. Abilitazione della verifica in due passaggi per il proprio account e ricezione della chiave segreta per il proprio account

   Istruzioni dettagliate:

   • Per Administration Console basata su MMC: Abilitazione della verifica in due passaggi per il proprio account
   • Per Kaspersky Security Center Web Console: Abilitazione della verifica in due passaggi per il proprio account

   Dopo aver abilitato la verifica in due passaggi per il proprio account, è possibile abilitare la verifica in due passaggi per tutti gli utenti.

4. Abilitazione della verifica in due passaggi per tutti gli utenti

   Gli utenti con la verifica in due passaggi abilitata devono utilizzarla per accedere ad Administration Server.

   Istruzioni dettagliate:

   • Per Administration Console basata su MMC: Abilitazione della verifica in due passaggi per tutti gli utenti
   • Per Kaspersky Security Center Web Console: Abilitazione della verifica in due passaggi per tutti gli utenti
5. Modifica del nome dell'emittente del codice di sicurezza

   Se si dispone di più Administration Server con nomi simili, potrebbe essere necessario modificare i nomi dell'emittente del codice di sicurezza per un migliore riconoscimento dei diversi Administration Server.

   Istruzioni dettagliate:

   • Per Administration Console basata su MMC: Modifica del nome dell'emittente del codice di sicurezza
   • Per Kaspersky Security Center Web Console: Modifica del nome dell'emittente del codice di sicurezza
6. Esclusione degli account utente per cui non è necessario abilitare la verifica in due passaggi

   Se necessario, è possibile escludere gli utenti dalla verifica in due passaggi. Gli utenti con account esclusi non devono utilizzare la verifica in due passaggi per accedere ad Administration Server.

   Istruzioni dettagliate:

   • Per Administration Console basata su MMC: Esclusione degli account dalla verifica in due passaggi
   • Per Kaspersky Security Center Web Console: Esclusione degli account dalla verifica in due passaggi
7. Configurazione della verifica in due passaggi per il proprio account

   Se gli utenti non sono esclusi dalla verifica in due passaggi e la verifica in due passaggi non è ancora configurata per i propri account, è necessario configurarla nella finestra che si apre quando accedono a Kaspersky Security Center. In caso contrario, non saranno in grado di accedere ad Administration Server in base ai propri diritti.

   Istruzioni dettagliate:

   • Per Administration Console basata su MMC: Configurazione della verifica in due passaggi per il proprio account
   • Per Kaspersky Security Center Web Console: Configurazione della verifica in due passaggi per il proprio account

Risultati

Al termine di questo scenario:

• La verifica in due passaggi è stata abilitata per l'account.
• La verifica in due passaggi è abilitata per tutti gli account utente di Administration Server, ad eccezione degli account utente che sono stati esclusi.

Abilitazione della verifica in due passaggi per il proprio account

È possibile abilitare la verifica in due passaggi solo per il proprio account.

Prima di abilitare la verifica in due passaggi per il proprio account, assicurarsi che nel dispositivo mobile sia installata un'app di autenticazione. Assicurarsi che l'ora impostata nell'app di autenticazione sia sincronizzata con l'ora impostata nel dispositivo in cui è installato Administration Server.

Per abilitare la verifica in due passaggi per un account utente:

1. Nel menu principale accedere a Utenti e ruoli → Utenti.
2. Fare clic sul nome dell'account.
3. Nella finestra delle impostazioni utente visualizzata selezionare la scheda Sicurezza in fase di autenticazione.
4. Nella scheda Sicurezza in fase di autenticazione:
   1. Selezionare l'opzione Richiedi nome utente, password e codice di sicurezza (verifica in due passaggi). Fare clic sul pulsante Salva.
   2. Nella finestra della verifica in due passaggi visualizzata, fare clic su Visualizza come configurare la verifica in due passaggi.

      Immettere la chiave segreta nell'app di autenticazione o fare clic su Visualizza codice QRed eseguire la scansione del codice QR tramite l'app di autenticazione sul dispositivo mobile per ricevere il codice di sicurezza monouso.

   3. Nella finestra della verifica in due passaggi specificare il codice di sicurezza generato dall'app di autenticazione, quindi fare clic sul pulsante Controlla e applica.
5. Fare clic sul pulsante Salva.

La verifica in due passaggi è stata abilitata per l'account.

Abilitazione della verifica in due passaggi richiesta per tutti gli utenti

È possibile abilitare la verifica in due passaggi per tutti gli utenti di Administration Server se il proprio account dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente e se è stata eseguita l'autenticazione utilizzando la verifica in due passaggi.

Per abilitare la verifica in due passaggi per tutti gli utenti:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.

   Verrà visualizzata la finestra delle proprietà di Administration Server.

2. Nella scheda Sicurezza in fase di autenticazione della finestra delle proprietà spostare l'interruttore dell'opzione di verifica in due passaggi per tutti gli utenti sulla posizione "abilitato".
3. Se non è stata abilitata la verifica in due passaggi per il proprio account, l'applicazione apre la finestra per abilitare la verifica in due passaggi per il proprio account.
   1. Nella finestra della verifica in due passaggi, fare clic su Visualizza come configurare la verifica in due passaggi.
   2. Immettere la chiave segreta manualmente nell'applicazione di autenticazione o fare clic su Visualizza codice QRed eseguire la scansione del codice QR tramite l'applicazione di autenticazione sul dispositivo mobile per ricevere il codice di sicurezza monouso.
   3. Nella finestra della verifica in due passaggi specificare il codice di sicurezza generato dall'applicazione di autenticazione, quindi fare clic sul pulsante Controlla e applica.

La verifica in due passaggi è abilitata per tutti gli utenti. D'ora in poi gli utenti di Administration Server, inclusi gli utenti aggiunti dopo aver abilitato la verifica in due passaggi per tutti gli utenti, dovranno configurare la verifica in due passaggi per i propri account, ad eccezione degli utenti esclusi dalla verifica in due passaggi.

Disabilitazione della verifica in due passaggi per un account utente

È possibile disabilitare la verifica in due passaggi per il proprio account, nonché per l'account di un altro utente.

È possibile disabilitare la verifica in due passaggi di un altro account utente se il proprio account dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente e se è stata eseguita l'autenticazione utilizzando la verifica in due passaggi.

Per disabilitare la verifica in due passaggi per un account utente:

1. Nel menu principale accedere a Utenti e ruoli → Utenti.
2. Fare clic sul nome dell'account utente interno per cui si desidera disabilitare la verifica in due passaggi. Può trattarsi del proprio account o dell'account di un altro utente.
3. Nella finestra delle impostazioni utente visualizzata selezionare la scheda Protezione account.
4. Nella scheda Protezione account selezionare l'opzione Richiedi solo nome utente e password se si desidera disabilitare la verifica in due passaggi per un account utente.
5. Fare clic sul pulsante Salva.

La verifica in due passaggi è disabilitata per l'account utente.

Se si desidera ripristinare l'accesso per un utente che non può accedere a Kaspersky Security Center Web Console utilizzando la verifica in due passaggi, disabilitare la verifica in due passaggi per questo account utente, quindi selezionare l'opzione Richiedi solo nome utente e password come descritto sopra. Successivamente, accedere a Kaspersky Security Center Web Console con l'account utente per il quale è stata disabilitata la verifica in due passaggi, quindi abilitare nuovamente la verifica.

Disabilitazione della verifica in due passaggi richiesta per tutti gli utenti

È possibile disabilitare la verifica in due passaggi richiesta per tutti gli utenti se la verifica in due passaggi è abilitata per il proprio account e se quest'ultimo dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente. Se la verifica in due passaggi non è abilitata per il proprio account, è necessario abilitare la verifica in due passaggi per il proprio account prima di disabilitarla per tutti gli utenti.

Per disabilitare la verifica in due passaggi per tutti gli utenti:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.

   Verrà visualizzata la finestra delle proprietà di Administration Server.

2. Nella scheda Sicurezza in fase di autenticazione della finestra delle proprietà spostare l'interruttore dell'opzione di verifica in due passaggi per tutti gli utenti sulla posizione "disabilitato".
3. Inserire le credenziali del proprio account nella finestra di autenticazione.

La verifica in due passaggi è disabilitata per tutti gli utenti. La disabilitazione della verifica in due passaggi per tutti gli utenti non si applica agli account specifici per i quali la verifica in due passaggi è stata precedentemente abilitata separatamente.

Esclusione di account dalla verifica in due passaggi

È possibile escludere gli account utente dalla verifica in due passaggi se si dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente.

Se un account utente viene escluso dall'elenco della verifica in due passaggi per tutti gli utenti, tale utente non deve utilizzare la verifica in due passaggi.

L'esclusione degli account dalla verifica in due passaggi può essere necessaria per gli account di servizio che non possono passare il codice di sicurezza durante l'autenticazione.

Se si desidera escludere alcuni account utente dalla verifica in due passaggi:

1. Se si desidera escludere account Active Directory, è necessario eseguire il polling di Active Directory per aggiornare l'elenco degli utenti di Administration Server.
2. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.

   Verrà visualizzata la finestra delle proprietà di Administration Server.

3. Nella scheda Sicurezza in fase di autenticazione della finestra delle proprietà, nella tabella delle esclusioni dalla verifica in due passaggi fare clic sul pulsante Aggiungi.
4. Nella finestra visualizzata:
   1. Selezionare gli account utente che si desidera escludere.
   2. Fare clic sul pulsante OK.

Gli account utente selezionati vengono esclusi dalla verifica in due passaggi.

Generazione di una nuova chiave segreta

È possibile generare una nuova chiave segreta per la verifica in due passaggi per il proprio account solo se è stata eseguita l'autorizzazione utilizzando la verifica in due passaggi.

Per generare una nuova chiave segreta per un account utente:

1. Nel menu principale accedere a Utenti e ruoli → Utenti.
2. Fare clic sul nome dell'account utente per cui si desidera generare una nuova chiave segreta per la verifica in due passaggi.
3. Nella finestra delle impostazioni utente visualizzata selezionare la scheda Protezione account.
4. Nella scheda Protezione account fare clic sul collegamento Genera una nuova chiave segreta.
5. Nella finestra della verifica in due passaggi visualizzata specificare una nuova chiave di sicurezza generata dall'app di autenticazione.
6. Fare clic sul pulsante Controlla e applica.

Viene generata una nuova chiave segreta per l'utente.

Se il dispositivo mobile viene smarrito, è possibile installare un'app di autenticazione in un altro dispositivo mobile e generare una nuova chiave segreta per ripristinare l'accesso a Kaspersky Security Center Web Console.

Modifica del nome dell'emittente del codice di sicurezza

È possibile disporre di più identificatori (chiamati emittenti) per diversi Administration Server. È possibile modificare il nome dell'emittente di un codice di sicurezza ad esempio nel caso in cui Administration Server utilizzi già un nome simile dell'emittente del codice di sicurezza per un altro Administration Server. Per impostazione predefinita, il nome dell'emittente di un codice di sicurezza è uguale al nome di Administration Server.

Dopo aver modificato il nome dell'emittente del codice di sicurezza, è necessario riemettere una nuova chiave segreta e passarla all'app di autenticazione.

Per specificare un nuovo nome dell'emittente del codice di sicurezza:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.

   Verrà visualizzata la finestra delle proprietà di Administration Server.

2. Nella finestra delle impostazioni utente visualizzata selezionare la scheda Protezione account.
3. Nella scheda Protezione account fare clic sul collegamento Modifica.

   Verrà visualizzata la sezione Modifica emittente codice di sicurezza.

4. Specificare un nuovo nome dell'emittente del codice di sicurezza.
5. Fare clic sul pulsante OK.

Viene specificato un nuovo nome dell'emittente del codice di sicurezza per Administration Server.

Configurazione della verifica in due passaggi per il proprio account

La prima volta che si accede a Kaspersky Security Center dopo l'abilitazione della verifica in due passaggi, si apre la finestra per la configurazione della verifica in due passaggi per l'account.

Prima di configurare la verifica in due passaggi per il proprio account, assicurarsi che nel dispositivo mobile sia installata un'app di autenticazione.

Verificare che l'ora nel dispositivo con l'app di autenticazione e l'ora nel dispositivo con Administration Server siano sincronizzate con UTC, utilizzando fonti orarie esterne.

Per configurare la verifica in due passaggi per il proprio account:

1. Generare un codice di sicurezza monouso utilizzando l'app di autenticazione sul dispositivo mobile. A tale scopo, eseguire una delle azioni seguenti:
   • Immettere manualmente la chiave segreta nell'app di autenticazione.
   • Fare clic su Visualizza codice QR ed eseguire la scansione del codice QR utilizzando l'app di autenticazione.

   Verrà visualizzato un codice di sicurezza sul dispositivo mobile.

2. Nella finestra di configurazione della verifica in due passaggi specificare il codice di sicurezza generato dall'app di autenticazione, quindi fare clic sul pulsante Controlla e applica.

La verifica in due passaggi viene configurata per il proprio account. È possibile accedere ad Administration Server in base ai propri diritti.

Backup e ripristino dei dati di Administration Server

Il backup dei dati consente di spostare un Administration Server da un dispositivo all'altro senza perdite di dati. Utilizzando i backup è possibile ripristinare i dati durante lo spostamento del database di un Administration Server in un altro dispositivo o nel corso dell'aggiornamento a una versione più recente di Kaspersky Security Center. È inoltre possibile utilizzare il backup dei dati per spostare i dati di Administration Server da Kaspersky Security Center Windows nell'ambito della gestione di Kaspersky Security Center Linux (lo spostamento dei dati da Kaspersky Security Center Linux a Kaspersky Security Center Windows non è supportato).

Non viene eseguito il backup dei plug-in di gestione installati. Dopo aver ripristinato i dati di Administration Server da una copia di backup, è necessario scaricare e reinstallare i plug-in per le applicazioni gestite.

Prima di eseguire il backup dei dati di Administration Server, verificare se al gruppo di amministrazione è stato aggiunto un Administration Server virtuale. Se viene aggiunto un Administration Server virtuale, assicurarsi che a questo Administration Server virtuale sia assegnato un amministratore prima del backup. Non è possibile concedere all'amministratore i diritti di accesso all'Administration Server virtuale dopo il backup. Tenere presente che se le credenziali dell'account amministratore vengono smarrite, non sarà possibile assegnare un nuovo amministratore all'Administration Server virtuale.

È possibile creare una copia di backup dei dati di Administration Server in uno dei seguenti modi:

• Creando ed eseguendo un'attività di backup dei dati tramite Administration Console.
• Eseguendo l'utilità klbackup nel dispositivo in cui è installato Administration Server. Questa utilità è inclusa nel kit di distribuzione di Kaspersky Security Center. Dopo l'installazione di Administration Server, l'utilità è disponibile nella radice della cartella di destinazione specificata durante l'installazione dell'applicazione.

I seguenti dati vengono salvati nella copia di backup di Administration Server:

• Database di Administration Server (criteri, attività, impostazioni delle applicazioni, eventi salvati in Administration Server).
• Dettagli sulla configurazione della struttura dei gruppi di amministrazione e dei dispositivi client.
• Archivio dei pacchetti di distribuzione delle applicazioni per l'installazione remota.
• Certificato di Administration Server.

Il ripristino dei dati di Administration Server è possibile solo tramite l'utilità klbackup.

Riemissione del certificato per Kaspersky Security Center Web Console

La maggior parte dei browser impone un limite relativo al periodo di validità di un certificato. Per rientrare in questo limite, il periodo di validità del certificato di Kaspersky Security Center Web Console è limitato a 397 giorni. È possibile sostituire un certificato esistente ricevuto da un'autorità di certificazione (CA) emettendo manualmente un nuovo certificato autofirmato. In alternativa, è possibile riemettere il certificato scaduto di Kaspersky Security Center Web Console.

La riemissione automatica del certificato per Kaspersky Security Center Web Console non è supportata È necessario riemettere manualmente il certificato scaduto.

Se si utilizza già un certificato autofirmato, è anche possibile riemetterlo eseguendo l'upgrade di Kaspersky Security Center Web Console tramite la procedura standard nel programma di installazione (opzione Upgrade).

Quando si apre Web Console, il browser potrebbe informare che la connessione a Web Console non è privata e il certificato Web Console non è valido. Questo avviso viene visualizzato perché il certificato di Web Console è autofirmato e generato automaticamente da Kaspersky Security Center. Per rimuovere o impedire questo avviso, è possibile eseguire una delle seguenti operazioni:

• Specificare un certificato personalizzato quando lo si emette nuovamente (opzione consigliata). Creare un certificato attendibile nella propria infrastruttura e che soddisfi i requisiti per i certificati personalizzati.
• Aggiungere il certificato di Web Console all'elenco dei certificati del browser attendibili dopo la riemissione del certificato. È consigliabile utilizzare questa opzione solo se non è possibile creare un certificato personalizzato.

Per emettere un nuovo certificato quando si installa per la prima volta Kaspersky Security Center Web Console:

1. Eseguire l'installazione di routine di Kaspersky Security Center Web Console.
2. Quando si arriva al passaggio Certificato client dell'Installazione guidata, selezionare l'opzione Genera nuovo certificato, quindi fare clic sul pulsante Avanti.
3. Procedere con i passaggi rimanenti dell'Installazione guidata fino al termine dell'installazione.

   Viene emesso un nuovo certificato per Kaspersky Security Center Web Console con un periodo di validità di 397 giorni.

Per riemettere il certificato scaduto di Kaspersky Security Center Web Console:

1. Con un account con diritti di amministratore, avviare il file di installazione ksc-web-console-<numero versione>.<numero build>.exe.
2. Nella finestra dell'Installazione guidata visualizzata selezionare una lingua, quindi fare clic su OK.
3. Nella finestra di benvenuto selezionare l'opzione Riemetti certificato, quindi fare clic su Avanti.
4. Nel passaggio successivo attendere il completamento della riconfigurazione di Kaspersky Security Center Web Console, quindi fare clic su Fine.

   Il certificato di Kaspersky Security Center Web Console viene riemesso per un altro periodo di validità di 397 giorni.

Se si utilizza Identity and Access Manager, è anche necessario riemettere tutti i certificati TLS per le porte utilizzate da Identity and Access Manager. Kaspersky Security Center Web Console visualizza una notifica allo scadere di un certificato. È necessario seguire le istruzioni della notifica.

Creazione di un'attività di backup dei dati

Le attività di backup sono attività di Administration Server, create tramite l'Avvio rapido guidato. Se un'attività di backup creata dall'Avvio rapido guidato è stata eliminata, è possibile crearne una manualmente.

Per creare un'attività di backup dei dati di Administration Server:

1. Nel menu principale, passare a Dispositivi → Attività.
2. Fare clic sul pulsante Aggiungi.

   Verrà avviata la Creazione guidata nuova attività.

3. Nella finestra Nuova attività della procedura guidata selezionare il tipo di attività Backup dei dati di Administration Server.
4. Seguire le rimanenti istruzioni della procedura guidata.

L'attività Backup dei dati di Administration Server può essere creata solo in una singola copia. Se l'attività di backup dei dati di Administration Server è stata già creata per l'Administration Server, non viene visualizzata nella finestra di selezione del tipo di attività della Creazione guidata attività di backup di Administration Server.

Per configurare l'attività Backup dei dati di Administration Server:

1. Nel menu principale, passare a Dispositivi → Attività e selezionare l'attività Backup dei dati di Administration Server.
2. Fare clic sull'attività Backup dei dati di Administration Server.

   Verrà visualizzata la finestra delle proprietà dell'attività.

3. Se necessario, specificare le impostazioni generali dell'attività in base alle proprie esigenze.
4. Nella sezione Impostazioni applicazione, specificare il percorso della cartella per l'archiviazione delle copie di backup dei dati di Administration Server, impostare la password di protezione del backup e il numero di copie di backup, se necessario.
5. Fare clic su Salva per applicare le modifiche.

L'attività Backup dei dati di Administration Server è configurata.

Spostamento di Administration Server in un altro dispositivo

Espandi tutto | Comprimi tutto

Se è necessario utilizzare Administration Server in un nuovo dispositivo, è possibile spostarlo in uno dei seguenti modi:

• Spostare Administration Server e il server di database in un nuovo dispositivo (il server di database può essere installato nel nuovo dispositivo insieme ad Administration Server o in un altro dispositivo).
• Mantenere il server di database nel dispositivo precedente e spostare solo Administration Server in un nuovo dispositivo.

Per spostare Administration Server e il server di database in un nuovo dispositivo:

1. Nel dispositivo precedente creare un backup dei dati di Administration Server.

   A tale scopo è possibile eseguire l'attività di backup dei dati tramite Kaspersky Security Center Web Console o eseguire l'utilità klbackup.

   Se si utilizza SQL Server come DBMS per Administration Server, è possibile migrare i dati da SQL Server al DBMS di MySQL o MariaDB. A tale scopo, eseguire l'utilità klbackup in modalità interattiva per creare un backup dei dati. Abilitare l'opzione Esegui la migrazione al formato MySQL/MariaDB nella finestra Impostazioni backup della procedura guidata di backup e ripristino. Kaspersky Security Center creerà un backup compatibile con MySQL e MariaDB. Successivamente, è possibile ripristinare i dati dal backup in MySQL o MariaDB.

   È inoltre possibile abilitare l'opzione Esegui la migrazione al formato Azure se si desidera migrare i dati da SQL Server al DBMS di Azure SQL.

2. Nel dispositivo precedente, disconnettere Administration Server dalla rete.
3. Selezionare un nuovo dispositivo in cui installare Administration Server. Assicurarsi che l'hardware e il software nel dispositivo selezionato soddisfino i requisiti per Administration Server, Kaspersky Security Center Web Console e Network Agent. Controllare inoltre che le porte utilizzate in Administration Server siano disponibili.
4. Assegnare lo stesso indirizzo al nuovo dispositivo.

   È possibile assegnare al nuovo Administration Server il nome NetBIOS, l'FQDN e l'indirizzo IP statico. Dipende dall'indirizzo di Administration Server impostato nel pacchetto di installazione di Network Agent al momento della distribuzione dei Network Agent. In alternativa, è possibile utilizzare l'indirizzo di connessione che determina l'Administration Server a cui Network Agent si connette (è possibile ottenere questo indirizzo nei dispositivi gestiti utilizzando l'utilità klnagchk).

5. Se nececessario, in un altro dispositivo installare il sistema di gestione database (DBMS) che verrà utilizzato da Administration Server.

   Il database può essere installato nel nuovo dispositivo insieme ad Administration Server o in un altro dispositivo. Verificare che questo dispositivo soddisfi i requisiti hardware e software. Quando si seleziona un DBMS, tenere in considerazione il numero di dispositivi coperti da Administration Server.

6. Eseguire l'installazione dell'Administration Server nel nuovo dispositivo.
7. Durante l'installazione dell'Administration Server, configurare le impostazioni di connessione al server di database.

   

   Esempio della finestra Impostazioni di connessione per Microsoft SQL Server

   A seconda di dove è necessario individuare il server del database, eseguire una delle seguenti operazioni:

   • Mantenimento del server del database nel dispositivo precedente
     1. Fare clic sul pulsante Sfoglia accanto al campo Nome istanza SQL Server, quindi selezionare il nome del dispositivo precedente nell'elenco visualizzato.

        Si noti che il dispositivo precedente deve essere disponibile per la connessione con il nuovo Administration Server.

     2. Immettere il nome del database precedente nel campo Nome database.
   • Spostare il server del database in un altro dispositivo
     1. Fare clic sul pulsante Sfoglia accanto al campo Nome istanza SQL Server, quindi selezionare il nome del dispositivo nell'elenco visualizzato.
     2. Immettere il nuovo nome nel campo Nome database.

        Si noti che il nuovo nome del database deve corrispondere al nome del database del dispositivo precedente. I nomi dei database devono essere identici, in modo da poter utilizzare il backup di Administration Server. Il nome predefinito del database è KAV.

8. Al termine dell'installazione ripristinare i dati di Administration Server nel nuovo dispositivo utilizzando l'utilità klbackup.

   Se si utilizza SQL Server come DBMS nei dispositivi precedenti e nuovi, tenere presente che la versione di SQL Server installata nel nuovo dispositivo deve essere uguale o successiva alla versione di SQL Server installata nel dispositivo precedente. In caso contrario non è possibile recuperare i dati di Administration Server nel nuovo dispositivo.

9. Aprire Kaspersky Security Center Web Console e connettersi ad Administration Server.
10. Verificare che tutti i dispositivi gestiti vengano collegati ad Administration Server.
11. Disinstallare Administration Server e il server del database dal dispositivo precedente.

È inoltre possibile utilizzare Administration Console per spostare Administration Server e il server di un database in un altro dispositivo.