Concessione dell'accesso via Internet all'Administration Server

L'accesso via Internet all'Administration Server è necessario nei seguenti casi:

• Aggiornamento periodico dei database, dei moduli software e delle applicazioni Kaspersky
• Aggiornamento di software di terze parti

  Per impostazione predefinita, non è richiesta la connessione Internet per l'installazione degli aggiornamenti software Microsoft nei dispositivi gestiti da parte di Administration Server. I dispositivi gestiti possono ad esempio scaricare gli aggiornamenti software Microsoft direttamente dai server Microsoft Update o da Windows Server con Microsoft Windows Server Update Services (WSUS) distribuito nella rete dell'organizzazione. Administration Server deve essere connesso a Internet nei seguenti casi:

  • Quando si usa Administration Server come server WSUS
  • Per installare gli aggiornamenti di software di terze parti diverso dal software Microsoft
• Correzione delle vulnerabilità del software di terze parti

  È necessaria una connessione Internet affinché Administration Server esegua le seguenti attività:

  • Per creare un elenco di correzioni consigliate per le vulnerabilità del software Microsoft. L'elenco viene creato e aggiornato regolarmente dagli specialisti Kaspersky.
  • Per correggere le vulnerabilità in software di terze parti diverso dal software Microsoft.
• Gestione dei dispositivi (portatili) degli utenti fuori sede
• Gestione dei dispositivi nelle sedi remote
• Interazione con gli Administration Server primari o secondari situati nelle sedi remote
• Gestione dei dispositivi mobili

Questa sezione descrive i modi tipici per fornire l'accesso via Internet all'Administration Server. Ciascuno dei casi che prevedono l'accesso via Internet ad Administration Server può richiedere un certificato dedicato per Administration Server.

Accesso a Internet: Administration Server in una rete locale

Se l'Administration Server è posizionato nella rete interna di un'organizzazione, è consigliabile rendere la porta TCP 13000 dell'Administration Server accessibile dall'esterno per mezzo del port forwarding. Se è necessaria la gestione dei dispositivi mobili, è consigliabile rendere accessibile la porta TCP 13292.

Accesso a Internet: Administration Server in una rete perimetrale

Se l'Administration Server è posizionato nella rete perimetrale dell'organizzazione, non ha accesso alla rete interna dell'organizzazione. Si applicano pertanto le seguenti limitazioni:

• L'Administration Server non può rilevare nuovi dispositivi.
• Administration Server non può eseguire la distribuzione iniziale di Network Agent tramite l'installazione forzata sui dispositivi nella rete interna dell'organizzazione.

Questo vale solo per l'installazione iniziale di Network Agent. Qualsiasi ulteriore upgrade di Network Agent o l'installazione dell'applicazione di protezione potranno comunque essere eseguiti dall'Administration Server. Allo stesso tempo, la distribuzione iniziale dei Network Agent può essere eseguita con altri sistemi, ad esempio tramite i criteri di gruppo di Microsoft Active Directory.

• L'Administration Server non può inviare notifiche ai dispositivi gestiti tramite la porta UDP 15000, che non è critica per il funzionamento di Kaspersky Security Center.
• L'Administration Server non può eseguire il polling di Active Directory. Tuttavia, i risultati del polling di Active Directory non sono richiesti nella maggior parte degli scenari.

Se le limitazioni precedenti sono considerate di importanza critica, possono essere rimosse utilizzando punti di distribuzione posizionati nella rete dell'organizzazione:

• Per eseguire la distribuzione iniziale nei dispositivi senza Network Agent, installare Network Agent in uno dei dispositivi e quindi assegnargli lo stato di punto di distribuzione. L'installazione iniziale di Network Agent negli altri dispositivi sarà eseguita da Administration Server tramite questo punto di distribuzione.
• Per rilevare i nuovi dispositivi nella rete interna dell'organizzazione ed eseguire il polling di Active Directory, è necessario abilitare i metodi di device discovery appropriati in uno dei punti di distribuzione.

Per assicurare il corretto invio delle notifiche alla porta UDP 15000 sui dispositivi gestiti nella rete interna dell'organizzazione, è necessario coprire l'intera rete con punti di distribuzione. Nelle proprietà dei punti di distribuzione assegnati selezionare la casella di controllo Non eseguire la disconnessione da Administration Server. Administration Server stabilirà una connessione continua ai punti di distribuzione e questi potranno inviare notifiche alla porta UDP 15000 nei dispositivi che si trovano nella rete interna dell'organizzazione (può trattarsi di una rete IPv4 o IPv6).

Accesso a Internet: Network Agent come gateway di connessione nella rete perimetrale

Administration Server può essere posizionato nella rete interna dell'organizzazione: in una rete perimetrale (DMZ) di tale rete può essere presente un dispositivo con Network Agent eseguito come gateway di connessione con connettività inversa (Administration Server stabilisce una connessione a Network Agent). In questo caso, devono essere soddisfatte le seguenti condizioni per garantire l'accesso a Internet:

• Nel dispositivo posizionato nella rete perimetrale deve essere installato Network Agent. Quando si installa Network Agent, nella finestra Gateway di connessione dell'Installazione guidata selezionare Utilizzare Network Agent come gateway di connessione nella rete perimetrale.
• Il dispositivo con il gateway di connessione installato deve essere aggiunto come punto di distribuzione. Quando si aggiunge il gateway di connessione, nella finestra Aggiungi punto di distribuzione selezionare l'opzione Seleziona → Aggiungi gateway di connessione nella rete perimetrale in base all'indirizzo.
• Per utilizzare una connessione Internet per connettere dispositivi desktop esterni ad Administration Server, è necessario correggere il pacchetto di installazione per Network Agent. Nelle proprietà del pacchetto di installazione creato selezionare l'opzione Avanzate →Esegui la connessione ad Administration Server utilizzando un gateway di connessione, quindi specificare il nuovo gateway di connessione creato.

Per il gateway di connessione nella rete perimetrale, Administration Server crea un certificato firmato con il certificato di Administration Server. Se l'amministratore decide di assegnare un certificato personalizzato ad Administration Server, questa operazione deve essere eseguita prima di creare un gateway di connessione nella rete perimetrale.

Se alcuni dipendenti utilizzano computer portatili che possono connettersi ad Administration Server sia dalla rete locale che via Internet, può essere utile creare una regola per il passaggio di Network Agent nel criterio di Network Agent.