Regolazione di punti di distribuzione e gateway di connessione

Una struttura di gruppi di amministrazione in Kaspersky Security Center esegue le seguenti funzioni:

• Imposta l'ambito dei criteri

  È disponibile un metodo alternativo per l'applicazione delle impostazioni appropriate nei dispositivi, utilizzando i profili criterio. In questo caso, l'ambito dei criteri viene definito con tag, posizioni dei dispositivi nelle unità organizzative di Active Directory o appartenenza a gruppi di protezione di Active Directory.

• Imposta l'ambito delle attività di gruppo

  Esiste un approccio alla definizione dell'ambito delle attività di gruppo che non è basato su una gerarchia di gruppi di amministrazione: l'utilizzo di attività per selezioni dispositivi e di attività per dispositivi specifici.

• Imposta i diritti di accesso a dispositivi, Administration Server virtuali e Administration Server secondari
• Assegna i punti di distribuzione

Al momento della creazione della struttura dei gruppi di amministrazione, è necessario tenere conto della topologia della rete dell'organizzazione per l'assegnazione ottimale dei punti di distribuzione. La distribuzione ottimale dei punti di distribuzione consente di ridurre il traffico nella rete dell'organizzazione.

A seconda dello schema dell'organizzazione e della topologia di rete, le seguenti configurazioni standard possono essere applicate alla struttura dei gruppi di amministrazione:

• Singola sede
• Più sedi remote di piccole dimensioni

I dispositivi che operano come punti di distribuzione devono essere protetti, anche da un punto di vista fisico, da qualsiasi accesso non autorizzato.

Configurazione standard dei punti di distribuzione: singola sede

In una configurazione standard con una singola sede, tutti i dispositivi si trovano nella rete dell'organizzazione e sono visibili reciprocamente. La rete dell'organizzazione può comprendere diversi componenti (reti o segmenti di rete) connessi tramite canali con larghezza di banda ridotta.

Sono disponibili i seguenti metodi per creare la struttura dei gruppi di amministrazione:

• Creazione della struttura dei gruppi di amministrazione tenendo conto della topologia di rete. La struttura dei gruppi di amministrazione potrebbe non riflettere la topologia di rete alla perfezione. Una corrispondenza tra i diversi componenti della rete e alcuni gruppi di amministrazione può essere sufficiente. È possibile utilizzare l'assegnazione automatica dei punti di distribuzione o assegnarli manualmente.
• Creazione della struttura dei gruppi di amministrazione senza tenere conto della topologia di rete. In questo caso è necessario disabilitare l'assegnazione automatica dei punti di distribuzione e quindi assegnare a uno o più dispositivi il ruolo di punti di distribuzione per un gruppo di amministrazione radice in ciascun componente della rete, ad esempio per il gruppo Dispositivi gestiti. Tutti i punti di distribuzione saranno allo stesso livello e avranno lo stesso ambito che comprende tutti i dispositivi della rete dell'organizzazione. In questo caso, tutti i Network Agent si connetteranno al punto di distribuzione con il percorso più vicino. Il percorso di un punto di distribuzione è monitorabile con l'utilità tracert.

Configurazione standard dei punti di distribuzione: più sedi remote di piccole dimensioni

Questa configurazione standard prevede la presenza di diverse sedi remote, che possono comunicare con la sede centrale via Internet. Ogni sede remota è situata dietro il NAT, ovvero la connessione da una sede remota all'altra non è possibile perché le sedi sono isolate tra loro.

La configurazione deve essere riflessa nella struttura dei gruppi di amministrazione: è necessario creare un gruppo di amministrazione distinto per ogni sede remota (i gruppi Sede 1 e Sede 2 nella figura seguente).

Le sedi remote sono incluse nella struttura dei gruppi di amministrazione

È necessario assegnare uno o più punti di distribuzione a ogni gruppo di amministrazione che corrisponde a una sede. I punti di distribuzione devono essere dispositivi nella sede remota con una quantità sufficiente di spazio libero su disco. I dispositivi distribuiti nel gruppo Sede 1, ad esempio, accederanno ai punti di distribuzione assegnati al gruppo di amministrazione Sede 1.

Se alcuni utenti si spostano fisicamente tra le sedi con i loro computer portatili, è necessario selezionare due o più dispositivi (oltre ai punti di distribuzione esistenti) in ogni sede remota e assegnare loro il ruolo di punti di distribuzione per un gruppo di amministrazione di primo livello (Gruppo radice per le sedi nella figura precedente).

Esempio: un computer portatile è distribuito nel gruppo di amministrazione Sede 1 e quindi viene spostato fisicamente nella sede che corrisponde al gruppo di amministrazione Sede 2. Dopo lo spostamento del portatile, Network Agent tenta di accedere ai punti di distribuzione assegnati al gruppo Sede 1, ma tali punti di distribuzione non sono disponibili. Network Agent inizia quindi a tentare di accedere ai punti di distribuzione che sono stati assegnati al Gruppo radice per le sedi. Poiché le sedi remote sono isolate tra loro, i tentativi di accedere ai punti di distribuzione assegnati al gruppo di amministrazione Gruppo radice per le sedi avranno esito positivo solo quando Network Agent tenta di accedere ai punti di distribuzione nel gruppo Sede 2. In altre parole, il computer portatile rimarrà nel gruppo di amministrazione che corrisponde alla sede iniziale, ma utilizzerà il punto di distribuzione della sede in cui si trova fisicamente al momento.

Informazioni sull'assegnazione dei punti di distribuzione

È possibile assegnare un dispositivo gestito come punto di distribuzione manualmente o automaticamente.

Se si assegna manualmente un dispositivo gestito come punto di distribuzione, è possibile selezionare qualsiasi dispositivo nella rete.

Se si assegnano automaticamente i punti di distribuzione, Kaspersky Security Center può selezionare solo il dispositivo gestito che soddisfa le seguenti condizioni:

• Il dispositivo dispone di almeno 50 GB di spazio disponibile sul disco.
• Il dispositivo gestito è connesso direttamente a Kaspersky Security Center (non tramite il gateway).
• Il dispositivo gestito non è un laptop.

  Se la rete non dispone di dispositivi che soddisfano le condizioni specificate, Kaspersky Security Center non assegnerà automaticamente alcun dispositivo come punto di distribuzione.

Assegnazione automatica di punti di distribuzione

È consigliabile assegnare automaticamente i punti di distribuzione. In questo caso, Kaspersky Security Center selezionerà autonomamente a quali dispositivi assegnare i punti di distribuzione.

Per assegnare automaticamente i punti di distribuzione:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.

   Verrà visualizzata la finestra delle proprietà di Administration Server.

2. Nella scheda Generale selezionare la sezione Punti di distribuzione.
3. Selezionare l'opzione Assegna i punti di distribuzione automaticamente.

   Se è abilitata l'assegnazione automatica dei dispositivi come punti di distribuzione, non è possibile configurare i punti di distribuzione manualmente, né modificare l'elenco dei punti di distribuzione.

4. Fare clic sul pulsante Salva.

Administration Server assegna e configura i punti di distribuzione automaticamente.

Assegnazione manuale di punti di distribuzione

Espandi tutto | Comprimi tutto

Kaspersky Security Center consente di assegnare manualmente ai dispositivi il ruolo di punti di distribuzione.

È consigliabile assegnare automaticamente i punti di distribuzione. In questo caso, Kaspersky Security Center selezionerà autonomamente a quali dispositivi assegnare i punti di distribuzione. Tuttavia, se per qualche motivo non è possibile assegnare automaticamente i punti di distribuzione (se ad esempio si desidera utilizzare i server assegnati in modo esclusivo), è possibile assegnare i punti di distribuzione manualmente dopo averne calcolato il numero ed eseguito la configurazione.

I dispositivi che operano come punti di distribuzione devono essere protetti, anche da un punto di vista fisico, da qualsiasi accesso non autorizzato.

Per assegnare manualmente a un dispositivo il ruolo di punto di distribuzione:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.

   Verrà visualizzata la finestra delle proprietà di Administration Server.

2. Nella scheda Generale selezionare la sezione Punti di distribuzione.
3. Selezionare l'opzione Assegna i punti di distribuzione manualmente.
4. Fare clic sul pulsante Assegna.
5. Selezionare il dispositivo che si desidera rendere un punto di distribuzione.

   Quando si seleziona un dispositivo, tenere presenti le funzionalità operative dei punti di distribuzione e i requisiti definiti per il dispositivo che opera come punto di distribuzione.

6. Selezionare il gruppo di amministrazione da includere nell'ambito del punto di distribuzione selezionato.
7. Fare clic sul pulsante OK.

   Il punto di distribuzione aggiunto sarà visualizzato nell'elenco dei punti di distribuzione, nella sezione Punti di distribuzione.

8. Fare clic sul nuovo punto di distribuzione aggiunto nell'elenco per aprire la relativa finestra delle proprietà.
9. Configurare il punto di distribuzione nella finestra delle proprietà:
   • La sezione Generale contiene le impostazioni per l'interazione tra il punto di distribuzione e i dispositivi client:
     • Porta SSL

       Numero della porta SSL per la connessione criptata tra i dispositivi client e il punto di distribuzione tramite SSL.

       Per impostazione predefinita, viene utilizzata la porta 13000.

     • Usa multicast

       Se questa opzione è abilitata, verrà utilizzata la modalità IP multicast per la distribuzione automatica dei pacchetti di installazione ai dispositivi client del gruppo.

       Il multicast IP riduce il tempo necessario per installare un'applicazione da un pacchetto di installazione in un gruppo di dispositivi client, ma aumenta il tempo di installazione quando si installa un'applicazione in un singolo dispositivo client.

     • Indirizzo IP multicast

       Indirizzo IP che verrà utilizzato per la modalità multicast. È possibile definire un indirizzo IP nell'intervallo da 224.0.0.0 a 239.255.255.255

       Per impostazione predefinita Kaspersky Security Center assegna automaticamente un indirizzo IP multicast univoco all'interno dell'intervallo specificato.

     • Numero di porta IP multicast

       Numero di porta per la modalità IP multicast.

       Il numero di porta predefinito è 15001. Se il dispositivo in cui è installato Administration Server è specificato come punto di distribuzione, per impostazione predefinita viene utilizzata la porta 13001 per la connessione SSL.

     • Indirizzo del punto di distribuzione per i dispositivi remoti

       L'indirizzo IPv4 attraverso il quale i dispositivi remoti si connettono al punto di distribuzione.

     • Distribuisci aggiornamenti

       Gli aggiornamenti vengono distribuiti ai dispositivi gestiti dalle seguenti sorgenti:

       • Questo punto di distribuzione se l'opzione è abilitata.
       • Altri punti di distribuzione, Administration Server o server degli aggiornamenti Kaspersky se l'opzione è disabilitata.

       Se si utilizzano i punti di distribuzione per distribuire gli aggiornamenti, è possibile risparmiare traffico riducendo il numero di download. È inoltre possibile alleggerire il carico su Administration Server e ridistribuirlo tra i punti di distribuzione. È possibile calcolare il numero di punti di distribuzione per la propria rete in modo da ottimizzare il traffico e il carico.

       Se si disabilita questa opzione, il numero di download degli aggiornamenti e il carico su Administration Server potrebbero aumentare. Per impostazione predefinita, questa opzione è abilitata.

     • Distribuisci pacchetti di installazione

       I pacchetti di installazione vengono distribuiti ai dispositivi gestiti dalle seguenti sorgenti:

       • Questo punto di distribuzione se l'opzione è abilitata.
       • Altri punti di distribuzione, Administration Server o server degli aggiornamenti Kaspersky se l'opzione è disabilitata.

       Se si utilizzano i punti di distribuzione per distribuire i pacchetti di installazione, è possibile risparmiare traffico riducendo il numero di download. È inoltre possibile alleggerire il carico su Administration Server e ridistribuirlo tra i punti di distribuzione. È possibile calcolare il numero di punti di distribuzione per la propria rete in modo da ottimizzare il traffico e il carico.

       Se si disabilita questa opzione, il numero di download dei pacchetti di installazione e il carico su Administration Server potrebbero aumentare. Per impostazione predefinita, questa opzione è abilitata.

     • Esegui server push

       In Kaspersky Security Center un punto di distribuzione può fungere da server push per i dispositivi gestiti tramite il protocollo mobile e per i dispositivi gestiti da Network Agent. È ad esempio necessario abilitare un server push se si desidera forzare la sincronizzazione dei dispositivi KasperskyOS con Administration Server. Un server push ha lo stesso ambito dei dispositivi gestiti del punto di distribuzione in cui è abilitato il server push. Se sono stati assegnati più punti di distribuzione per lo stesso gruppo di amministrazione, è possibile abilitare il server push in ciascuno dei punti di distribuzione. In questo caso, Administration Server bilancia il carico tra i punti di distribuzione.

     • Porta server push

       Il numero di porta per il server push. È possibile specificare il numero di qualsiasi porta non occupata.

   • Nella sezione Ambito specificare l'ambito in cui il punto di distribuzione distribuirà gli aggiornamenti (gruppi di amministrazione e/o percorso di rete).

     Solo i dispositivi con un sistema operativo Windows possono determinare il percorso di rete. Non è possibile determinare il percorso di rete per i dispositivi che eseguono altri sistemi operativi.

   • Se il punto di distribuzione funziona su un computer diverso da Administration Server, nella sezione Sorgente degli aggiornamenti è possibile selezionare una sorgente degli aggiornamenti per il punto di distribuzione:
     • Sorgente degli aggiornamenti

       Selezionare una sorgente degli aggiornamenti per il punto di distribuzione:

       • Per consentire al punto di distribuzione di ricevere gli aggiornamenti da Administration Server, selezionare Recupera da Administration Server:
       • Per consentire al punto di distribuzione di ricevere gli aggiornamenti tramite un'attività, selezionare Usa l'attività di download degli aggiornamenti, quindi specificare l'attività Scarica aggiornamenti negli archivi dei punti di distribuzione:
         • Se tale attività esiste già nel dispositivo, selezionare l'attività nell'elenco.
         • Se tale attività non esiste ancora nel dispositivo, fare clic sul collegamento Crea attività per creare un'attività. Verrà avviata la Creazione guidata nuova attività. Seguire le istruzioni della procedura guidata.

     • Scarica file diff

       Questa opzione consente di abilitare la funzionalità di download dei file diff.

       Per impostazione predefinita, questa opzione è abilitata.

   • Se i punti di distribuzione utilizzano un server proxy durante la connessione a Internet, nella sottosezione Impostazioni connessione Internet è possibile specificare le seguenti impostazioni:
     • Usa server proxy

       Se questa casella di controllo è selezionata, nei campi di immissione è possibile configurare la connessione al server proxy.

       Per impostazione predefinita, questa casella di controllo è deselezionata.

     • Indirizzo server proxy

       Indirizzo del server proxy.

     • Numero di porta

       Il numero di porta utilizzato per la connessione.

     • Ignora il server proxy per gli indirizzi locali

       Se questa opzione è abilitata, non viene utilizzato alcun server proxy per la connessione ai dispositivi nella rete locale.

       Per impostazione predefinita, questa opzione è disabilitata.

     • Autenticazione server proxy

       Se questa casella di controllo è selezionata, nei campi di immissione è possibile specificare le credenziali per l'autenticazione del server proxy.

       Per impostazione predefinita, questa casella di controllo è deselezionata.

     • Nome utente

       Account utente con cui viene stabilita la connessione al server proxy.

     • Password

       Password dell'account con cui verrà eseguita l'attività.

   • Nella sezione Proxy KSN è possibile configurare l'applicazione per l'utilizzo del punto di distribuzione per l'inoltro delle richieste KSN dai dispositivi gestiti:
     • Abilita proxy KSN da parte del punto di distribuzione

       Il servizio proxy KSN viene eseguito nel dispositivo utilizzato come punto di distribuzione. Utilizzare questa funzionalità per ridistribuire e ottimizzare il traffico nella rete.

       Il punto di distribuzione invia le statistiche KSN, elencate nell'informativa di Kaspersky Security Network, a Kaspersky. Per impostazione predefinita, l'informativa KSN è disponibile in %ProgramFiles%\Kaspersky Lab\Kaspersky Security Center\ksneula.

       Per impostazione predefinita, questa opzione è disabilitata. L'attivazione di questa opzione ha effetto solo se le opzioni Usa Administration Server come server proxy e Accetto di utilizzare Kaspersky Security Network sono abilitate nella finestra delle proprietà di Administration Server.

       È possibile assegnare il nodo di un cluster attivo-passivo a un punto di distribuzione e abilitare il proxy KSN in tale nodo.

     • Inoltra richieste KSN ad Administration Server

       Il punto di distribuzione inoltra le richieste KSN dai dispositivi gestiti ad Administration Server.

       Per impostazione predefinita, questa opzione è abilitata.

     • Accedi a KSN Cloud/KSN Privato direttamente tramite Internet

       Il punto di distribuzione inoltra le richieste KSN dai dispositivi gestiti a KSN Cloud o KSN Privato. Anche le richieste KSN generate nello stesso punto di distribuzione vengono inviate direttamente a KSN Cloud o KSN Privato.

       I punti di distribuzione in cui è installato Network Agent versione 11 (o precedente) non possono accedere direttamente a KSN Privato. Se si desidera riconfigurare i punti di distribuzione per inviare richieste KSN a KSN Privato, abilitare l'opzione Inoltra richieste KSN ad Administration Server per ciascun punto di distribuzione.

       I punti di distribuzione in cui è installato Network Agent versione 12 (o successive) possono accedere direttamente a KSN Privato.

     • Ignora impostazioni del server proxy durante la connessione a KSN Privato

       Abilitare questa opzione se le impostazioni del server proxy sono configurate nelle proprietà del punto di distribuzione o nel criterio di Network Agent ma l'architettura di rete richiede l'utilizzo diretto di KSN Privato. In caso contrario, le richieste dalle applicazioni gestite non possono raggiungere KSN Privato.

       Questa opzione è disponibile se si seleziona l'opzione Accedi a KSN Cloud/KSN Privato direttamente tramite Internet.

     • Porta

       Numero della porta TCP utilizzata dai dispositivi gestiti per la connessione al server proxy KSN. Il numero di porta predefinito è 13111.

     • Usa porta UDP

       Se è necessario che i dispositivi gestiti si connettano al server proxy KSN attraverso una porta UDP, abilitare l'opzione Usa porta UDP e specificare il numero in Porta UDP. Per impostazione predefinita, questa opzione è abilitata.

     • Porta UDP

       Numero della porta UDP utilizzata dai dispositivi gestiti per la connessione al server proxy KSN. La porta UDP predefinita per la connessione al server proxy KSN è la 15111.

   • Se il punto di distribuzione funziona su un computer diverso da Administration Server, nella sezione Gateway di connessione, è possibile configurare il punto di distribuzione in modo che funga da gateway per la connessione tra le istanze di Network Agent e Administration Server:
     • Gateway di connessione

       Se non è possibile stabilire una connessione diretta tra Administration Server e Network Agent a causa dell'organizzazione della rete, è possibile utilizzare il punto di distribuzione come porta di connessione tra Administration Server e i Network Agent.

       Abilitare questa opzione se è necessario che il punto di distribuzione funga da gateway di connessione tra Network Agent e Administration Server. Per impostazione predefinita, questa opzione è disabilitata.

     • Stabilisci connessione al gateway da Administration Server (se il gateway è in una rete perimetrale)

       Se Administration Server si trova al di fuori della zona perimetrale (DMZ), sulla rete locale, i Network Agent installati nei dispositivi remoti non possono connettersi ad Administration Server. È possibile usare un punto di distribuzione come gateway di connessione con connettività inversa (Administration Server stabilisce una connessione al punto di distribuzione).

       Abilitare questa opzione se è necessario connettere Administration Server al gateway di connessione in DMZ.

     • Apri porta locale per Kaspersky Security Center Web Console

       Abilitare questa opzione se è necessario che il gateway di connessione in DMZ apra una porta per la Web Console che si trova in DMZ o su Internet. Specificare il numero di porta che verrà utilizzato per la connessione da Web Console al punto di distribuzione. Il numero di porta predefinito è 13299.

       Questa opzione è disponibile se si abilita l'opzione Stabilisci connessione al gateway da Administration Server (se il gateway è in una rete perimetrale).

     Quando i dispositivi mobili vengono connessi ad Administration Server tramite il punto di distribuzione che funge da gateway di connessione, è possibile abilitare le seguenti opzioni:

     • Apri porta per i dispositivi mobili (autenticazione SSL solo di Administration Server)

       Abilitare questa opzione se è necessario che il gateway di connessione apra una porta per i dispositivi mobili e specificare il numero di porta che i dispositivi mobili utilizzeranno per la connessione al punto di distribuzione. Il numero di porta predefinito è 13292. Il dispositivo mobile controllerà il certificato di Administration Server. Quando si stabilisce la connessione, viene autenticato solo Administration Server.

     • Apri porta per i dispositivi mobili (autenticazione SSL bidirezionale)

       Abilitare questa opzione se è necessario che il gateway di connessione apra una porta che verrà utilizzata per l'autenticazione bidirezionale di Administration Server e dei dispositivi mobili. Il dispositivo mobile controllerà il certificato di Administration Server e Administration Server controllerà il certificato del dispositivo mobile. Specificare i seguenti parametri:

       • Numero di porta che i dispositivi mobili useranno per la connessione al punto di distribuzione. Il numero di porta predefinito è 13293.
       • Nomi di dominio DNS del gateway di connessione che verranno utilizzati dai dispositivi mobili. Separare i nomi di dominio con virgole. I nomi di dominio specificati verranno inclusi nel certificato del punto di distribuzione. Se i nomi di dominio usati dai dispositivi mobili non corrispondono al nome comune nel certificato del punto di distribuzione, i dispositivi mobili non si connettono al punto di distribuzione.

         Il nome di dominio DNS predefinito è il nome di dominio completo del gateway di connessione.

     In entrambi i casi, i certificati vengono verificati quando si stabilisce la sessione TLS solo nel punto di distribuzione. I certificati non vengono inoltrati per la verifica da parte dell'Administration Server. Dopo aver stabilito una sessione TLS con il dispositivo mobile, il punto di distribuzione utilizza il certificato di Administration Server per creare un tunnel per la sincronizzazione tra il dispositivo mobile e Administration Server. Se si apre la porta per l'autenticazione SSL bidirezionale, l'unico modo per distribuire il certificato del dispositivo mobile è tramite un pacchetto di installazione.

   • Configurare il polling dei domini Windows, di Active Directory e degli intervalli IP da parte del punto di distribuzione:
     • Domini Windows

       È possibile abilitare la device discovery per i domini Windows e impostare la pianificazione per l'individuazione.

     • Active Directory

       È possibile abilitare il polling della rete per Active Directory e impostare la pianificazione per il polling.

       Se si utilizza un punto di distribuzione Windows, è possibile selezionare una delle seguenti opzioni:

       • Esegui il polling del dominio Active Directory corrente.
       • Esegui il polling della foresta di dominio Active Directory.
       • Esegui il polling dei domini Active Directory selezionati. Se si seleziona questa opzione, aggiungere uno o più domini Active Directory all'elenco.

       Se si utilizza un punto di distribuzione Linux con Network Agent versione 15 installato, è possibile eseguire il polling solo dei domini Active Directory per i quali si specificano l'indirizzo e le credenziali utente. Il polling del dominio Active Directory corrente e della foresta di domini Active Directory non è disponibile.

     • Intervalli IP

       Adesso è possibile abilitare Device discovery per gli intervalli IPv4 e le reti IPv6.

       Se si abilita l'opzione Abilita polling intervallo, è possibile aggiungere gli intervalli esaminati e impostare la relativa pianificazione. È possibile aggiungere intervalli IP all'elenco degli intervalli esaminati.

       Se si abilita l'opzione Usa Zeroconf per il polling delle reti IPv6, il punto di distribuzione esegue automaticamente il polling della rete IPv6 utilizzando le reti zero-configuration (definite anche Zeroconf). In questo caso, gli intervalli IP specificati vengono ignorati perché il punto di distribuzione esegue il polling dell'intera rete. L'opzione Usa Zeroconf per il polling delle reti IPv6 è disponibile se nel punto di distribuzione viene eseguito Linux. Per utilizzare il polling ipv6 Zeroconf, è necessario installare l'utilità avahi-browse nel punto di distribuzione.

   • Nella sezione Avanzate specificare la cartella che il punto di distribuzione deve utilizzare per archiviare i dati distribuiti:
     • Usa cartella predefinita

       Se questa opzione è selezionata, l'applicazione utilizza la cartella di installazione di Network Agent nel punto di distribuzione.

     • Usa cartella specificata

       Se questa opzione è selezionata, nel campo sottostante è possibile specificare il percorso della cartella. È possibile specificare una cartella locale nel punto di distribuzione oppure una cartella in qualsiasi dispositivo nella rete aziendale.

       L'account utente utilizzato nel punto di distribuzione per eseguire Network Agent deve disporre di accesso in lettura e scrittura alla cartella specificata.

10. Fare clic sul pulsante OK.

I dispositivi selezionati opereranno come punti di distribuzione.

Modifica dell'elenco dei punti di distribuzione per un gruppo di amministrazione

È possibile visualizzare l'elenco dei punti di distribuzione assegnati a un gruppo di amministrazione specifico e modificare l'elenco aggiungendo o rimuovendo punti di distribuzione.

Per visualizzare e modificare l'elenco dei punti di distribuzione assegnati a un gruppo di amministrazione:

1. Nel menu principale accedere a Dispositivi → Dispositivi gestiti.
2. Nel campo Percorso corrente sopra l'elenco dei dispositivi gestiti, fare clic sul collegamento del percorso.
3. Nel riquadro visualizzato a sinistra, selezionare un gruppo di amministrazione per cui si desidera visualizzare i punti di distribuzione assegnati.

   Viene abilitata la voce di menu Punti di distribuzione.

4. Nel menu principale accedere a Dispositivi → Punti di distribuzione.
5. Per aggiungere nuovi punti di distribuzione per il gruppo di amministrazione, fare clic sul pulsante Assegna sopra l'elenco dei dispositivi gestiti e selezionare i dispositivi nel riquadro visualizzato.
6. Per rimuovere i punti di distribuzione assegnati, selezionare i dispositivi nell'elenco e fare clic sul pulsante Annulla assegnazione.

A seconda delle modifiche, i nuovi punti di distribuzione verranno aggiunti all'elenco o i punti di distribuzione esistenti verranno rimossi dall'elenco.

Sincronizzazione forzata

Sebbene Kaspersky Security Center sincronizzi automaticamente lo stato, le impostazioni, le attività e i criteri per i dispositivi gestiti, in alcuni casi potrebbe essere necessario eseguire la sincronizzazione forzata per un dispositivo specifico. È possibile eseguire la sincronizzazione forzata per i seguenti dispositivi:

• Dispositivi in cui è installato Network Agent
• Dispositivi che eseguono KasperskyOS

  Prima di eseguire la sincronizzazione forzata per un dispositivo KasperskyOS, assicurarsi che il dispositivo sia incluso nell'ambito di un punto di distribuzione e che sia abilitato un server push nel punto di distribuzione.

• Dispositivi iOS
• Dispositivi Android

  Prima di eseguire la sincronizzazione forzata per un dispositivo Android, è necessario configurare Google Firebase Cloud Messaging.

Sincronizzazione di un singolo dispositivo

Per forzare la sincronizzazione tra Administration Server e un dispositivo gestito:

1. Nel menu principale accedere a Dispositivi → Dispositivi gestiti.
2. Fare clic sul nome del dispositivo che si desidera sincronizzare con Administration Server.

   Verrà visualizzata una finestra delle proprietà con la sezione Generale selezionata.

3. Fare clic sul pulsante Forza sincronizzazione.

L'applicazione sincronizzerà il dispositivo selezionato con Administration Server.

Sincronizzazione di più dispositivi

Per forzare la sincronizzazione tra Administration Server e più dispositivi gestiti:

1. Aprire l'elenco dei dispositivi di un gruppo di amministrazione o una selezione dispositivi:
   • Nel menu principale, passare a Dispositivi → Dispositivi gestiti, fare clic sul collegamento del percorso nel campo Percorso corrente sopra l'elenco dei dispositivi gestiti, quindi selezionare il gruppo di amministrazione che contiene i dispositivi da sincronizzare.
   • Eseguire una selezione dei dispositivi per visualizzare l'elenco dei dispositivi.
2. Selezionare le caselle di controllo accanto ai dispositivi che si desidera sincronizzare con Administration Server.
3. Sopra l'elenco dei dispositivi gestiti, fare clic sul pulsante con i puntini di sospensione (), quindi fare clic sul pulsante Forza sincronizzazione.

   L'applicazione sincronizzerà i dispositivi selezionati con Administration Server.

4. Nell'elenco dei dispositivi verificare che per i dispositivi selezionati l'ora dell'ultima connessione ad Administration Server sia cambiata all'ora corrente. Se l'ora non è cambiata, aggiornare il contenuto della pagina facendo clic sul pulsante Aggiorna.

I dispositivi selezionati vengono sincronizzati con Administration Server.

Visualizzazione dell'ora di invio di un criterio

Dopo aver modificato un criterio per un'applicazione Kaspersky sull'Administration Server, l'amministratore può verificare se il criterio modificato è stato distribuito a uno specifico dispositivo gestito. Un criterio può essere distribuito durante una sincronizzazione periodica o una sincronizzazione forzata.

Per visualizzare la data e l'ora in cui un criterio dell'applicazione è stato distribuito a un dispositivo gestito:

1. Nel menu principale accedere a Dispositivi → Dispositivi gestiti.
2. Fare clic sul nome del dispositivo che si desidera sincronizzare con Administration Server.

   Verrà visualizzata una finestra delle proprietà con la sezione Generale selezionata.

3. Selezionare la scheda Applicazioni.
4. Selezionare l'applicazione per cui si desidera visualizzare la data di sincronizzazione del criterio.

   Verrà visualizzata la finestra del criterio dell'applicazione, con la sezione Generale selezionata e la data e l'ora di distribuzione del criterio visualizzate.

Abilitazione di un server push

In Kaspersky Security Center un punto di distribuzione può fungere da server push per i dispositivi gestiti tramite il protocollo mobile e per i dispositivi gestiti da Network Agent. È ad esempio necessario abilitare un server push se si desidera forzare la sincronizzazione dei dispositivi KasperskyOS con Administration Server. Un server push ha lo stesso ambito dei dispositivi gestiti del punto di distribuzione in cui è abilitato il server push. Se sono stati assegnati più punti di distribuzione per lo stesso gruppo di amministrazione, è possibile abilitare il server push in ciascuno dei punti di distribuzione. In questo caso, Administration Server bilancia il carico tra i punti di distribuzione.

È consigliabile utilizzare i punti di distribuzione come server push per garantire la continuità della connessione tra un dispositivo gestito e Administration Server. La continuità della connessione è necessaria per alcune operazioni, come l'esecuzione e l'arresto di attività locali, la ricezione di statistiche per un'applicazione gestita o la creazione di un tunnel. Se si utilizza un punto di distribuzione come server push, non è necessario utilizzare l'opzione Non eseguire la disconnessione da Administration Server nei dispositivi gestiti o inviare pacchetti alla porta UDP di Network Agent.

Un server push supporta il carico massimo di 50.000 connessioni simultanee.

Per abilitare il server push in un punto di distribuzione:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.

   Verrà visualizzata la finestra delle proprietà di Administration Server.

2. Nella scheda Generale selezionare la sezione Punti di distribuzione.
3. Fare clic sul nome del punto di distribuzione in cui si desidera abilitare il server push.

   Verrà visualizzata la finestra delle proprietà del punto di distribuzione.

4. Nella sezione Generale abilitare l'opzione Esegui server push.
5. Nel campo Porta server push digitare il numero di porta. È possibile specificare il numero di qualsiasi porta non occupata.
6. Nel campo Indirizzo per host remoti specificare l'indirizzo IP o il nome del dispositivo del punto di distribuzione.
7. Fare clic sul pulsante OK.

Il server push è abilitato nel punto di distribuzione selezionato.