Kaspersky Security Center 14 Windows

Sommario

Configurazione iniziale di Kaspersky Security Center Web Console

Questa sezione descrive le operazioni che è necessario eseguire dopo l'installazione di Kaspersky Security Center Web Console per eseguire la configurazione iniziale.

In questa sezione

Avvio rapido guidato (Kaspersky Security Center Web Console)

Connessione dei dispositivi fuori sede

Inizio pagina
[Topic 231248]

Avvio rapido guidato (Kaspersky Security Center Web Console)

Questa sezione fornisce informazioni su Avvio rapido guidato di Administration Server.

La procedura guidata richiede l'accesso a Internet. Se Administration Server non dispone dell'accesso a Internet, è consigliabile eseguire manualmente tutti i passaggi della procedura guidata tramite l'interfaccia di Kaspersky Security Center Web Console.

Kaspersky Security Center consente di regolare una selezione minima di impostazioni necessarie per creare un sistema centralizzato di gestione per la protezione della rete dalle minacce per la sicurezza. Questa configurazione viene eseguita tramite l'Avvio rapido guidato. Quando la procedura guidata è in esecuzione, è possibile apportare le seguenti modifiche all'applicazione:

  • Aggiungere file chiave o immettere codici di attivazione che è possibile distribuire automaticamente ai dispositivi nei gruppi di amministrazione.
  • Configurare l'interazione con . Se è stato consentito l'utilizzo di KSN, la procedura guidata abilita il servizio del server proxy KSN, che assicura la connessione tra KSN e i dispositivi.
  • Impostare l'invio di notifiche tramite e-mail per informare degli eventi che si verificano durante l'esecuzione di Administration Server e delle applicazioni gestite (per il corretto invio delle notifiche, il servizio Messenger deve essere in esecuzione in Administration Server e in tutti i dispositivi dei destinatari).
  • Creare un criterio di protezione per workstation e server, nonché attività di scansione virus, attività di download degli aggiornamenti e attività di backup dei dati, per il livello superiore della gerarchia dei dispositivi gestiti.

    L'Avvio rapido guidato crea criteri soltanto per le applicazioni per cui non sono presenti criteri nella cartella Dispositivi gestiti. L'Avvio rapido guidato non crea attività se sono già state create attività con lo stesso nome per il livello superiore della gerarchia dei dispositivi gestiti.

L'applicazione richiede automaticamente di eseguire l'Avvio rapido guidato dopo l'installazione di Administration Server, al momento della prima connessione. È anche possibile avviare manualmente l'Avvio rapido guidato in qualsiasi momento.

Per avviare manualmente l'Avvio rapido guidato:

  1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome di Administration Server.

    Verrà visualizzata la finestra delle proprietà di Administration Server.

  2. Nella scheda Generale selezionare la sezione Generale.
  3. Fare clic su Avvia l'Avvio rapido guidato.

Verrà offerta la possibilità di eseguire la configurazione iniziale di Administration Server. Seguire le istruzioni della procedura guidata. Procedere con la procedura guidata utilizzando il pulsante Avanti.

In questa sezione

Passaggio 1. Definizione delle impostazioni della connessione Internet

Passaggio 2. Download degli aggiornamenti necessari

Passaggio 3. Selezione delle risorse da proteggere

Passaggio 4. Selezione del criptaggio nelle soluzioni

Passaggio 5. Configurazione dell'installazione dei plug-in per le applicazioni gestite

Passaggio 6. Download dei pacchetti di distribuzione e creazione dei pacchetti di installazione

Passaggio 7. Configurazione di Kaspersky Security Network

Passaggio 8. Selezione del metodo di attivazione dell'applicazione

Passaggio 9. Definizione delle impostazioni di gestione degli aggiornamenti di terze parti

Passaggio 10. Creazione di una configurazione della protezione di rete di base

Passaggio 11. Configurazione delle notifiche e-mail

Passaggio 12. Esecuzione di un polling della rete

Passaggio 13. Chiusura dell'Avvio rapido guidato

Vedere anche:

Scenario: Installazione e configurazione iniziale di Kaspersky Security Center Web Console

Scenario: Distribuzione delle applicazioni Kaspersky tramite Kaspersky Security Center Web Console

Scenario: Configurazione della protezione di rete

Inizio pagina
[Topic 171285]

Passaggio 1. Definizione delle impostazioni della connessione Internet

Espandi tutto | Comprimi tutto

Specificare le impostazioni di accesso a Internet per Administration Server. È necessario configurare l'accesso a Internet per utilizzare Kaspersky Security Network e per scaricare gli aggiornamenti dei database anti-virus per Kaspersky Security Center e le applicazioni Kaspersky gestite.

Se si desidera utilizzare un server proxy durante la connessione a Internet, abilitare l'opzione Usa server proxy. Se questa opzione è abilitata, i campi sono disponibili per l'immissione delle impostazioni. Specificare le seguenti impostazioni per la connessione a un server proxy:

  • Indirizzo

    Indirizzo del server proxy utilizzato per la connessione di Kaspersky Security Center a Internet.

  • Numero di porta

    Numero della porta utilizzata per stabilire la connessione al proxy di Kaspersky Security Center.

  • Ignora il server proxy per gli indirizzi locali

    Non verrà utilizzato alcun server proxy per la connessione ai dispositivi dalla rete locale.

  • Autenticazione server proxy

    Se questa casella di controllo è selezionata, nei campi di immissione è possibile specificare le credenziali per l'autenticazione del server proxy.

    Questo campo di immissione è disponibile se la casella di controllo Usa server proxy è selezionata.

  • Nome utente

    Account utente con il quale è stata stabilita la connessione al server proxy (questo campo è disponibile se la casella di controllo Autenticazione server proxy è selezionata).

  • Password

    Password impostata dall'utente di cui è stato utilizzato l'account per stabilire la connessione al server proxy (questo campo è disponibile se la casella di controllo Autenticazione server proxy è selezionata).

    Per visualizzare la password immessa, tenere premuto il pulsante Mostra per il tempo necessario.

È possibile configurare l'accesso a Internet in un secondo momento, separatamente dall'Avvio rapido guidato.

Inizio pagina
[Topic 175963]

Passaggio 2. Download degli aggiornamenti necessari

Gli aggiornamenti richiesti vengono scaricati automaticamente dai server Kaspersky.

Inizio pagina
[Topic 180305]

Passaggio 3. Selezione delle risorse da proteggere

Espandi tutto | Comprimi tutto

Selezionare le aree di protezione e i sistemi operativi in uso nella rete. Quando si selezionano queste opzioni, si specificano i filtri per i plug-in di gestione delle applicazioni e i pacchetti di distribuzione nei server Kaspersky che è possibile scaricare per installarli nei dispositivi client nella rete. Selezionare le opzioni:

  • Aree

    È possibile selezionare le seguenti aree di protezione:

    • Workstation. Selezionare questa opzione se si desidera proteggere le workstation nella rete. Per impostazione predefinita, l'opzione Workstation è selezionata.
    • File server e archiviazione. Selezionare questa opzione se si desidera proteggere i file server nella rete.
    • Dispositivi mobili. Selezionare questa opzione se si desidera proteggere i dispositivi mobili di proprietà dell'azienda o dei dipendenti aziendali. Se si seleziona questa opzione ma non è stata fornita una licenza con la funzionalità Mobile Device Management, viene visualizzato un messaggio che informa l'utente della necessità di fornire una licenza con la funzionalità Mobile Device Management. Se non viene fornita una licenza, non è possibile utilizzare la funzionalità per i dispositivi mobili.
    • Virtualizzazione. Selezionare questa opzione se si desidera proteggere le macchine virtuali nella rete.
    • Kaspersky Anti-Spam. Selezionare questa opzione se si desidera proteggere i server di posta aziendali dall'invio di spam, frodi e malware.
    • Sistema incorporato. Selezionare questa opzione se si desidera proteggere i sistemi integrati basati su Windows, come gli sportelli automatici (ATM).
    • Reti industriali. Selezionare questa opzione se si desidera monitorare i dati di sicurezza nella rete industriale e dagli endpoint di rete protetti dalle applicazioni Kaspersky.
    • Endpoint industriali. Selezionare questa opzione se si desidera proteggere i singoli nodi in una rete industriale.
  • Sistemi operativi

    È possibile selezionare le seguenti piattaforme:

    • Microsoft Windows
    • macOS
    • Android
    • Linux
    • Altro

    Per ulteriori informazioni sui sistemi operativi supportati, vedere Requisiti hardware e software per Kaspersky Security Center Web Console.

È possibile selezionare i pacchetti dell'applicazione Kaspersky nell'elenco dei pacchetti disponibili in un secondo momento, separatamente dall'Avvio rapido guidato. Per semplificare la ricerca dei pacchetti richiesti, è possibile filtrare l'elenco dei pacchetti disponibili in base a vari criteri.

Inizio pagina
[Topic 203275]

Passaggio 4. Selezione del criptaggio nelle soluzioni

La finestra Criptaggio nelle soluzioni viene visualizzata solo se è stato selezionato Workstation come ambito della protezione.

Kaspersky Endpoint Security for Windows include strumenti di criptaggio per le informazioni archiviate nei dispositivi client basati su Windows. In tali strumenti di criptaggio, è implementato AES (Advanced Encryption Standard), con una lunghezza della chiave di 256 o 56 bit.

Il download e l'utilizzo del pacchetto di distribuzione con una lunghezza della chiave di 256 bit devono essere eseguiti in conformità con le leggi e le normative applicabili. Per scaricare un pacchetto di distribuzione di Kaspersky Endpoint Security for Windows valido per le esigenze aziendali, consultare le normative del paese in cui si trovano i dispositivi client dell'organizzazione.

Nella finestra Criptaggio nelle soluzioni selezionare uno dei seguenti tipi di criptaggio:

  • Crittografia Lite. Questo tipo di criptaggio utilizza una lunghezza della chiave di 56 bit.
  • Crittografia avanzata. Questo tipo di criptaggio utilizza una lunghezza della chiave di 256 bit.

È possibile selezionare il pacchetto di distribuzione per Kaspersky Endpoint Security for Windows con il tipo di criptaggio richiesto in un secondo momento, separatamente dall'Avvio rapido guidato.

Inizio pagina
[Topic 195644]

Passaggio 5. Configurazione dell'installazione dei plug-in per le applicazioni gestite

Espandi tutto | Comprimi tutto

Selezionare i plug-in per le applicazioni gestite da installare. Viene visualizzato un elenco dei plug-in che si trovano nei server Kaspersky. L'elenco viene filtrato in base alle opzioni selezionate nel passaggio precedente della procedura guidata. Per impostazione predefinita, un elenco completo include i plug-in di tutte le lingue. Per visualizzare solo i plug-in di una lingua specifica, utilizzare il filtro. L'elenco dei plug-in include le seguenti colonne:

  • Nome

    I plug-in sono selezionati in base alle aree di protezione e alle piattaforme, selezionati nel passaggio precedente.

  • Versione

    L'elenco include i plug-in di tutte le versioni che si trovano nei server Kaspersky. Per impostazione predefinita, sono selezionati i plug-in delle versioni più recenti.

  • Lingua

    Per impostazione predefinita, la lingua di localizzazione di un plug-in è determinata dalla lingua di Kaspersky Security Center selezionata al momento dell'installazione. È possibile specificare altre lingue nell'elenco a discesa Mostra lingua di localizzazione di Administration Console oppure.

Dopo aver selezionato i plug-in, fare clic su Avanti per avviare l'installazione.

L'Avvio rapido guidato installa automaticamente i plug-in selezionati. Per installare alcuni plug-in è necessario accettare le condizioni del Contratto di licenza con l'utente finale. Leggere il testo del Contratto di licenza con l'utente finale visualizzato, selezionare la casella di controllo Accetto di utilizzare Kaspersky Security Network e fare clic sul pulsante Installa. Se non si accettano le condizioni del Contratto di licenza con l'utente finale, il plug-in non viene installato.

Quando tutti i plug-in selezionati sono installati, l'Avvio rapido guidato porta automaticamente al passaggio successivo.

Vedere anche:

Applicazioni e soluzioni Kaspersky compatibili

Inizio pagina
[Topic 176471]

Passaggio 6. Download dei pacchetti di distribuzione e creazione dei pacchetti di installazione

Selezionare i pacchetti di distribuzione da scaricare.

Le distribuzioni delle applicazioni gestite potrebbero richiedere l'installazione di una versione minima specifica di Kaspersky Security Center.

Dopo aver selezionato un tipo di criptaggio per Kaspersky Endpoint Security for Windows, viene visualizzato un elenco dei pacchetti di distribuzione di entrambi i tipi di criptaggio. Nell'elenco viene selezionato un pacchetto di distribuzione con il tipo di criptaggio selezionato. È possibile selezionare i pacchetti di distribuzione di qualsiasi tipo di criptaggio. La lingua del pacchetto di distribuzione corrisponde alla lingua di Kaspersky Security Center. Se non esiste un pacchetto di distribuzione di Kaspersky Endpoint Security for Windows per la lingua di Kaspersky Security Center, viene selezionato il pacchetto di distribuzione in inglese.

Per terminare il download di alcuni pacchetti di distribuzione è necessario accettare il Contratto di licenza con l'utente finale. Quando si fa clic sul pulsante Accetta, viene visualizzato il testo del Contratto di licenza con l'utente finale. Per procedere al passaggio successivo della procedura guidata, è necessario accettare i termini e le condizioni del Contratto di licenza con l'utente finale e i termini e le condizioni dell'Informativa sulla privacy di Kaspersky. Se non si accettano i termini e le condizioni, il download del pacchetto viene annullato.

Dopo aver accettato i termini e le condizioni del Contratto di licenza con l'utente finale e i termini e le condizioni dell'Informativa sulla privacy di Kaspersky, il download dei pacchetti di distribuzione prosegue. Successivamente è possibile utilizzare i pacchetti di installazione per distribuire le applicazioni Kaspersky nei dispositivi client.

Inizio pagina
[Topic 195647]

Passaggio 7. Configurazione di Kaspersky Security Network

Espandi tutto | Comprimi tutto

Specificare le impostazioni per la trasmissione delle informazioni sulle operazioni di Kaspersky Security Center alla Knowledge Base di Kaspersky Security Network. Selezionare una delle seguenti opzioni:

  • Accetto di utilizzare Kaspersky Security Network

    Kaspersky Security Center e le applicazioni gestite installate nei dispositivi client trasferiranno automaticamente i dettagli sull'esecuzione a Kaspersky Security Network. La partecipazione a Kaspersky Security Network garantisce aggiornamenti più rapidi dei database contenenti le informazioni sui virus e sulle altre minacce, assicurando una risposta più rapida alle minacce per la sicurezza emergenti.

  • Non accetto di utilizzare Kaspersky Security Network

    Kaspersky Security Center e le applicazioni gestite non forniranno informazioni a Kaspersky Security Network.

    Se si seleziona questa opzione, l'utilizzo di Kaspersky Security Network sarà disabilitato.

È possibile configurare l'accesso a Kaspersky Security Network (KSN) successivamente, separatamente dall'Avvio rapido guidato.

Inizio pagina
[Topic 175970]

Passaggio 8. Selezione del metodo di attivazione dell'applicazione

Espandi tutto | Comprimi tutto

Selezionare una delle seguenti opzioni di attivazione di Kaspersky Security Center:

  • Immettendo il codice di attivazione

    Codice di attivazione è una sequenza univoca di 20 caratteri alfanumerici. Il codice di attivazione viene inserito per aggiungere una chiave che consente di attivare Kaspersky Security Center. Si riceve il codice di attivazione tramite l'indirizzo e-mail specificato dopo l'acquisto di Kaspersky Security Center.

    Per attivare l'applicazione utilizzando un codice di attivazione, è necessario l'accesso a Internet per stabilire la connessione con i server di attivazione Kaspersky.

    Se è stata selezionata questa opzione di attivazione, è possibile abilitare l'opzione Distribuisci automaticamente la chiave di licenza nei dispositivi gestiti.

    Se questa opzione è abilitata, la chiave di licenza verrà distribuita automaticamente ai dispositivi gestiti.

    Se questa opzione è disabilitata, è possibile distribuire la chiave di licenza ai dispositivi gestiti in un secondo momento, nel nodo Licenze di Kaspersky della struttura di Administration Console.

  • Specificando un file chiave

    File chiave: si tratta di un file con estensione key fornito all'utente da Kaspersky. Un file chiave consente di aggiungere una chiave per l'attivazione dell'applicazione.

    I metodi per ottenere il file chiave sono descritti nella sezione seguente: Informazioni sul file chiave.

    Per attivare l'applicazione utilizzando il file chiave, non è necessario connettersi ai server di attivazione di Kaspersky.

    Se è stata selezionata questa opzione di attivazione, è possibile abilitare l'opzione Distribuisci automaticamente la chiave di licenza nei dispositivi gestiti.

    Se questa opzione è abilitata, la chiave di licenza verrà distribuita automaticamente ai dispositivi gestiti.

    Se questa opzione è disabilitata, è possibile distribuire la chiave di licenza ai dispositivi gestiti in un secondo momento, nel nodo Licenze di Kaspersky della struttura di Administration Console.

  • Rimandando l'attivazione dell'applicazione

    L'applicazione verrà eseguita con la funzionalità di base, senza Mobile Device Management e senza Vulnerability e patch management.

Se si sceglie di rimandare l'attivazione dell'applicazione, è possibile aggiungere una chiave di licenza in qualsiasi momento selezionando OPERAZIONI → LICENSING.

Se si utilizza Kaspersky Security Center distribuito da un'AMI a pagamento o per uno SKU con fatturazione mensile basato sull'utilizzo, non è possibile specificare un file chiave o immettere un codice.

Vedere anche:

Scenario: Installazione e configurazione iniziale di Kaspersky Security Center Web Console

Inizio pagina
[Topic 176139]

Passaggio 9. Definizione delle impostazioni di gestione degli aggiornamenti di terze parti

Espandi tutto | Comprimi tutto

Questo passaggio non viene visualizzato se non si dispone della licenza Vulnerability e patch management e l'attività Trova vulnerabilità e aggiornamenti richiesti esiste già.

Per gli aggiornamenti software di terze parti, selezionare una delle seguenti opzioni:

Per gli aggiornamenti di Windows Update, selezionare una delle seguenti opzioni:

Vedere anche:

Scenario: Aggiornamento di software di terze parti

Scenario: Individuazione e correzione delle vulnerabilità del software di terze parti

Creazione dell'attività Trova vulnerabilità e aggiornamenti richiesti

Creazione dell'attività Installa aggiornamenti richiesti e correggi vulnerabilità

Creazione dell'attività Esegui sincronizzazione di Windows Update

Inizio pagina
[Topic 203283]

Passaggio 10. Creazione di una configurazione della protezione di rete di base

È possibile esaminare un elenco dei criteri e delle attività creati.

Attendere il completamento della creazione di criteri e attività prima di procedere al passaggio successivo della procedura guidata.

Inizio pagina
[Topic 176001]

Passaggio 11. Configurazione delle notifiche e-mail

Espandi tutto | Comprimi tutto

Configurare l'invio di notifiche relative agli eventi registrati durante l'esecuzione delle applicazioni Kaspersky nei dispositivi client. Queste impostazioni verranno utilizzate come impostazioni predefinite per i criteri dell'applicazione.

Per configurare l'invio di notifiche relative agli eventi che si verificano nelle applicazioni Kaspersky, utilizzare le seguenti impostazioni:

  • Destinatari (indirizzi e-mail)

    Gli indirizzi e-mail degli utenti a cui l'applicazione invierà le notifiche. È possibile immettere uno o più indirizzi; se si immette più di un indirizzo, separarli con un punto e virgola.

  • Indirizzo server SMTP

    L'indirizzo o gli indirizzi dei server di posta dell'organizzazione.

    Se si immette più di un indirizzo, separarli con un punto e virgola. È possibile utilizzare i seguenti valori:

    • Indirizzo IPv4 o IPv6
    • Nome di rete Windows (nome NetBIOS) del dispositivo
    • Nome DNS del server SMTP
  • Porta server SMTP

    Numero di porta di comunicazione del server SMTP. Se si utilizzano più server SMTP, la connessione a questi viene stabilita tramite la porta di comunicazione specificata. Il numero di porta predefinito è 25.

  • Usa autenticazione ESMTP

    Abilita il supporto dell'autenticazione ESMTP. Quando la casella di controllo è selezionata, nei campi Nome utente e Password è possibile specificare le impostazioni per l'autenticazione ESMTP. Per impostazione predefinita, questa casella di controllo è deselezionata.

  • Usa TLS

    È possibile specificare le impostazioni di connessione TLS con un server SMTP:

    • Non utilizzare TLS

      È possibile selezionare questa opzione se si desidera disabilitare il criptaggio dei messaggi e-mail.

    • Usa TLS se supportato dal server SMTP

      È possibile selezionare questa opzione se si desidera utilizzare una connessione TLS in un server SMTP. Se il server SMTP non supporta TLS, Administration Server si connette al server SMTP senza utilizzare TLS.

    • Usa sempre TLS, controlla la validità del certificato del server

      È possibile selezionare questa opzione se si desidera utilizzare le impostazioni di autenticazione TLS. Se il server SMTP non supporta TLS, Administration Server non può connettersi al server SMTP.

      È consigliabile utilizzare questa opzione per una protezione più efficace della connessione con un server SMTP. Se si seleziona questa opzione, è possibile configurare le impostazioni di autenticazione per una connessione TLS.

      Se si seleziona il valore Usa sempre TLS, controlla la validità del certificato del server, è possibile specificare un certificato per l'autenticazione del server SMTP e scegliere se si desidera abilitare la comunicazione tramite qualsiasi versione di TLS o solo tramite TLS 1.2 o versioni successive. È inoltre possibile specificare un certificato per l'autenticazione del client nel server SMTP.

    È possibile specificare i certificati per una connessione TLS facendo clic sul collegamento Specifica certificati:

    • Cercare un file di certificato del server SMTP:

      È possibile ricevere un file con l'elenco dei certificati da un'autorità di certificazione attendibile e caricare il file in Administration Server. Kaspersky Security Center verifica se anche il certificato di un server SMTP è firmato da un'autorità di certificazione attendibile. Kaspersky Security Center non può connettersi a un server SMTP se il certificato del server SMTP non viene ricevuto da un'autorità di certificazione attendibile.

    • Cercare un file di certificato del client:

      È possibile utilizzare un certificato ricevuto da qualsiasi origine, ad esempio da qualsiasi autorità di certificazione attendibile. È necessario specificare il certificato e la relativa chiave privata utilizzando uno dei seguenti tipi di certificato:

      • Certificato X-509:

        È necessario specificare un file con il certificato e un file con la chiave privata. Entrambi i file non dipendono l'uno dall'altro e l'ordine di caricamento dei file non è significativo. Quando entrambi i file vengono caricati, è necessario specificare la password per la decodifica della chiave privata. La password può avere un valore vuoto se la chiave privata non è codificata.

      • Contenitore pkcs12:

        È necessario caricare un singolo file che contenga il certificato e la relativa chiave privata. Quando il file viene caricato, è necessario specificare la password per la decodifica della chiave privata. La password può avere un valore vuoto se la chiave privata non è codificata.

È possibile verificare le nuove impostazioni di notifica e-mail facendo clic sul pulsante Invia messaggio di prova.

È possibile configurare le notifiche degli eventi in un secondo momento, separatamente rispetto all'Avvio rapido guidato.

Inizio pagina
[Topic 175966]

Passaggio 12. Esecuzione di un polling della rete

Administration Server esegue un polling iniziale. Durante il polling, viene visualizzata una barra di avanzamento. Al termine del polling, il collegamento Visualizza dispositivi rilevati diventa disponibile. È possibile fare clic su questo collegamento per visualizzare i dispositivi della rete rilevati da Administration Server. Per tornare all'Avvio rapido guidato, premere ESC.

Vedere anche:

Scenario: Individuazione dei dispositivi nella rete

Inizio pagina
[Topic 176019]

Passaggio 13. Chiusura dell'Avvio rapido guidato

Nella pagina di completamento dell'Avvio rapido guidato selezionare la casella di controllo Esegui Distribuzione guidata della protezione se si desidera avviare l'installazione automatica delle applicazioni anti-virus o di Network Agent nei dispositivi della rete.

Per chiudere la procedura guidata, fare clic sul pulsante Fine.

Inizio pagina
[Topic 176020][Topic 204432_1]

Scenario: Connessione dei dispositivi fuori sede tramite un gateway di connessione

Questo scenario descrive come connettere i dispositivi gestiti che si trovano all'esterno della rete principale ad Administration Server.

Prerequisiti

Lo scenario prevede i seguenti prerequisiti:

  • Una rete perimetrale deve essere organizzata nella rete dell'organizzazione.
  • Kaspersky Security Center Administration Server deve essere distribuito nella rete aziendale.

Passaggi

Questo scenario procede per fasi:

  1. Selezione di un dispositivo client nella rete perimetrale

    Questo dispositivo verrà utilizzato come gateway di connessione. Il dispositivo selezionato deve soddisfare i requisiti per i gateway di connessione.

  2. Installazione di Network Agent nel ruolo di gateway di connessione

    È consigliabile utilizzare un'installazione locale per installare Network Agent nel dispositivo selezionato.

    Per impostazione predefinita, il file di installazione si trova in: \\<nome server>\KLSHARE\PkgInst\NetAgent_<numero versione>

    Nella finestra Gateway di connessione dell'Installazione guidata di Network Agent selezionare Utilizzare Network Agent come gateway di connessione nella rete perimetrale. Questa modalità attiva contemporaneamente il ruolo del gateway di connessione e indica a Network Agent di attendere le connessioni da Administration Server anziché stabilire connessioni ad Administration Server.

    In alternativa, è possibile installare Network Agent in un dispositivo Linux e configurare Network Agent in modo che funga da gateway di connessione, ma è necessario prestare attenzione all'elenco delle limitazioni di Network Agent in esecuzione nei dispositivi Linux.

  3. Autorizzazione delle connessioni nei firewall sul gateway di connessione

    Per assicurarsi che Administration Server sia effettivamente in grado di connettersi al gateway di connessione nella rete perimetrale, consentire le connessioni alla porta TCP 13000 in tutti i firewall tra Administration Server e il gateway di connessione.

    Se il gateway di connessione non dispone di un indirizzo IP reale in Internet ma si trova invece dietro una configurazione NAT (Network Address Translation), configurare una regola per inoltrare le connessioni tramite NAT.

  4. Creazione di un gruppo di amministrazione per i dispositivi esterni

    Creare un nuovo gruppo nel gruppo Dispositivi gestiti. Questo nuovo gruppo conterrà dispositivi gestiti esterni.

  5. Connessione del gateway di connessione ad Administration Server

    Il gateway di connessione configurato è in attesa di una connessione da Administration Server. Tuttavia, Administration Server non elenca il dispositivo con il gateway di connessione tra i dispositivi gestiti. Questo è dovuto al fatto che il gateway di connessione non ha tentato di stabilire una connessione ad Administration Server. È pertanto necessaria una procedura speciale per garantire che Administration Server avvii una connessione al gateway di connessione.

    Procedere come segue:

    1. Aggiungere il gateway di connessione come punto di distribuzione.
    2. Spostare il gateway di connessione dal gruppo Dispositivi non assegnati al gruppo creato per i dispositivi esterni.

    Il gateway di connessione è stato connesso e configurato.

  6. Connessione dei computer desktop esterni ad Administration Server

    Solitamente i computer desktop esterni non vengono spostati all'interno del perimetro. Pertanto è necessario configurarli per eseguire la connessione ad Administration Server tramite il gateway durante l'installazione di Network Agent.

  7. Configurazione degli aggiornamenti per i computer desktop esterni

    Se gli aggiornamenti delle applicazioni di protezione sono configurati per il download da Administration Server, i computer esterni scaricano gli aggiornamenti tramite il gateway di connessione. Questo comporta due svantaggi:

    • Si tratta di traffico non necessario che occupa la larghezza di banda del canale di comunicazione Internet aziendale.
    • Questo non è necessariamente il modo più rapido per ottenere aggiornamenti. È molto probabile che per i computer esterni sarebbe più economico e veloce ricevere gli aggiornamenti dai server di aggiornamento Kaspersky.

    Procedere come segue:

    1. Spostare tutti i computer esterni nel gruppo di amministrazione separato creato in precedenza.
    2. Escludere il gruppo con i dispositivi esterni dall'attività di aggiornamento.
    3. Creare un'attività di aggiornamento separata per il gruppo con i dispositivi esterni.
  8. Connessione dei laptop mobili ad Administration Server

    I laptop mobili a volte sono all'interno della rete e altre volte all'esterno della rete. Per una gestione efficace, è necessario che questi si connettano ad Administration Server in modo diverso a seconda della posizione. Per un utilizzo efficiente del traffico, è inoltre necessario che ricevano gli aggiornamenti da origini diverse a seconda della posizione.

    È necessario configurare le regole per gli utenti fuori sede: profili di connessione e descrizioni dei percorsi di rete. Ciascuna regola definisce l'istanza di Administration Server a cui i laptop mobili devono connettersi a seconda della posizione e l'istanza di Administration Server da cui devono ricevere gli aggiornamenti.

Vedere anche:

Accesso a Internet: Network Agent come gateway di connessione nella rete perimetrale

Inizio pagina
[Topic 231227]

Scenario: connessione di dispositivi fuori sede tramite un Administration Server secondario in DMZ

Se si desidera connettere i dispositivi gestiti che si trovano all'esterno della rete principale ad Administration Server, è possibile utilizzare un Administration Server secondario situato nella rete perimetrale (DMZ).

Prerequisiti

Prima di iniziare, verificare di avere:

  • Una rete perimetrale deve essere organizzata nella rete dell'organizzazione.
  • Kaspersky Security Center Administration Server è distribuito nella rete interna dell'organizzazione.

Passaggi

Questo scenario procede per fasi:

  1. Selezione di un dispositivo client nella rete perimetrale

    Nella DMZ, selezionare un dispositivo client che verrà utilizzato come Administration Server secondario.

  2. Installazione di Kaspersky Security Center Administration Server

    Installare Kaspersky Security Center Administration Server in questo dispositivo client.

  3. Creazione di una gerarchia di Administration Server

    Se si posiziona un Administration Server secondario in DMZ, l'Administration Server secondario deve ricevere una connessione dall'Administration Server primario. A tale scopo, aggiungere un nuovo Administration Server come secondario in modo che l'Administration Server primario si connetta all'Administration Server secondario tramite la porta 13000. Quando si combinano due Administration Server in una gerarchia, verificare che la porta 13299 sia accessibile in entrambi gli Administration Server. Kaspersky Security Center Web Console si connette a un Administration Server tramite la porta 13299.

  4. Connessione dei dispositivi gestiti fuori sede all'Administration Server secondario

    È possibile connettere i dispositivi fuori sede ad Administration Server in DMZ nello stesso modo in cui viene stabilita la connessione tra Administration Server e i dispositivi gestiti che si trovano nella rete principale. I dispositivi gestiti fuori sede avviano la connessione tramite la porta 13000.

Vedere anche:

Utilizzo di Controllo Applicazioni per gestire i file eseguibili

Inizio pagina
[Topic 240839]

Informazioni sulla connessione dei dispositivi fuori sede

Alcuni dispositivi gestiti si trovano sempre all'esterno della rete principale (ad esempio dispositivi nelle filiali dell'azienda; chioschi, bancomat e terminali installati in vari punti vendita; dispositivi negli uffici domestici dei dipendenti). Alcuni dispositivi si spostano di tanto in tanto al di fuori del perimetro (ad esempio i laptop degli utenti che visitano le filiali regionali o l'ufficio di un cliente).

È comunque necessario monitorare e gestire la protezione dei dispositivi fuori sede: ricevere informazioni effettive sul relativo stato della protezione e mantenere aggiornate le applicazioni di protezione in essi installate. Questa prassi è necessaria perché se ad esempio uno di questi dispositivi viene compromesso mentre è all'esterno della rete principale, potrebbe diventare una piattaforma per la propagazione delle minacce non appena si connette alla rete principale. Per connettere i dispositivi fuori sede ad Administration Server è possibile utilizzare due metodi:

Un gateway di connessione nella rete perimetrale

Un metodo consigliato per connettere i dispositivi fuori sede ad Administration Server è quello di organizzare una rete perimetrale nella rete dell'organizzazione e di installare un gateway di connessione nella rete perimetrale. I dispositivi esterni si connetteranno al gateway di connessione e Administration Server all'interno della rete avvierà una connessione ai dispositivi tramite il gateway di connessione.

Rispetto all'altro metodo, questo è più sicuro:

  • Non è necessario aprire l'accesso ad Administration Server dall'esterno della rete.
  • Un gateway di connessione compromesso non rappresenta un rischio elevato per la sicurezza dei dispositivi di rete. Un gateway di connessione in realtà non gestisce nulla autonomamente e non stabilisce alcuna connessione.

Inoltre, un gateway di connessione non richiede molte risorse hardware.

Tuttavia, questo metodo ha un processo di configurazione più complicato:

  • Per fare in modo che un dispositivo funga da gateway di connessione nella rete perimetrale, è necessario installare Network Agent e connetterlo ad Administration Server in un modo specifico.
  • Non sarà possibile utilizzare lo stesso indirizzo per la connessione ad Administration Server per tutte le situazioni. Dall'esterno del perimetro sarà necessario utilizzare non solo un indirizzo diverso (indirizzo del gateway di connessione), ma anche una modalità di connessione diversa: tramite un gateway di connessione.
  • È inoltre necessario definire impostazioni di connessione diverse per i laptop in posizioni diverse.

Per aggiungere un gateway di connessione a una rete configurata in precedenza:

  1. Installare Network Agent in modalità gateway di connessione.
  2. Reinstallare Network Agent nei dispositivi che si desidera connettere al gateway di connessione appena aggiunto.

Administration Server nella rete perimetrale

Un altro metodo consiste nell'installare un singolo Administration Server nella rete perimetrale.

Questa configurazione è meno sicura rispetto all'altro metodo. Per gestire laptop esterni in questo caso, Administration Server deve accettare connessioni da qualsiasi indirizzo in Internet. Gestirà comunque tutti i dispositivi nella rete interna, ma dalla rete perimetrale. Pertanto, un server compromesso potrebbe causare un'ingente quantità di danni, nonostante la bassa probabilità che tale evento si verifichi.

Il rischio si riduce notevolmente se Administration Server nella rete perimetrale non gestisce i dispositivi nella rete interna. Tale configurazione può essere utilizzata ad esempio da un fornitore di servizi per gestire i dispositivi dei clienti.

Potrebbe essere opportuno utilizzare questo metodo nei seguenti casi:

  • Se si ha familiarità con l'installazione e la configurazione di Administration Server e non si desidera eseguire un'altra procedura per installare e configurare un gateway di connessione.
  • Se è necessario gestire più dispositivi. La capacità massima di Administration Server è di 100.000 dispositivi, mentre un gateway di connessione può supportare fino a 10.000 dispositivi.

Questa soluzione presenta anche possibili difficoltà:

  • Administration Server richiede più risorse hardware e un altro database.
  • Le informazioni sui dispositivi verranno archiviate in due database non correlati (per Administration Server all'interno della rete e un altro nella rete perimetrale), il che complica il monitoraggio.
  • Per gestire tutti i dispositivi, Administration Server deve trovarsi in una gerarchia, il che complica non solo il monitoraggio ma anche la gestione. Un'istanza dell'Administration Server secondario impone limitazioni alle possibili strutture dei gruppi di amministrazione. È necessario decidere come e quali attività e criteri distribuire a un'istanza dell'Administration Server secondario.
  • La configurazione di dispositivi esterni per l'utilizzo di Administration Server nella rete perimetrale dall'esterno e per l'utilizzo dell'Administration Server primario dall'interno non è più semplice della configurazione per l'utilizzo di una connessione condizionale tramite un gateway.
  • Elevati rischi per la sicurezza. Un'istanza di Administration Server compromessa semplifica la compromissione dei laptop gestiti. In tal caso, gli hacker devono solo attendere che uno dei laptop torni nella rete aziendale in modo da poter proseguire l'attacco nella LAN.

Vedere anche:

Administration Server e due dispositivi nella rete perimetrale: un gateway di connessione e un dispositivo client

Accesso a Internet: Network Agent come gateway di connessione nella rete perimetrale

Administration Server all'interno della rete perimetrale, dispositivi gestiti in Internet

Accesso a Internet: Administration Server in una rete perimetrale

Gateway di connessione

Inizio pagina
[Topic 204435_1]

Connessione dei dispositivi desktop esterni ad Administration Server

I dispositivi desktop che si trovano sempre all'esterno della rete principale (ad esempio dispositivi nelle filiali dell'azienda; chioschi, bancomat e terminali installati in vari punti vendita; dispositivi negli uffici domestici dei dipendenti) non possono essere collegati direttamente ad Administration Server. Devono essere collegati ad Administration Server tramite un gateway di connessione installato nella rete perimetrale. Questa configurazione viene eseguita durante l'installazione di Network Agent in tali dispositivi.

Per connettere dispositivi desktop esterni ad Administration Server:

  1. Creare un nuovo pacchetto di installazione per Network Agent.
  2. Aprire le proprietà del pacchetto di installazione creato e passare alla sezione ImpostazioniAvanzate, quindi selezionare l'opzione Esegui la connessione ad Administration Server utilizzando un gateway di connessione.

    L'impostazione Esegui la connessione ad Administration Server utilizzando un gateway di connessione non è compatibile con l'impostazione Utilizzare Network Agent come gateway di connessione nella rete perimetrale. Non è possibile abilitare entrambe queste impostazioni contemporaneamente.

  3. Nel campo Indirizzo gateway connessione, specificare l'indirizzo pubblico del gateway di connessione.

    Se il gateway di connessione si trova dietro una configurazione NAT (Network Address Translation) e non dispone di un proprio indirizzo pubblico, configurare una regola del gateway NAT per inoltrare le connessioni dall'indirizzo pubblico all'indirizzo interno del gateway di connessione.

  4. Creare un pacchetto di installazione indipendente basato sul pacchetto di installazione creato.
  5. Distribuire il pacchetto di installazione indipendente ai dispositivi di destinazione in formato elettronico o tramite un'unità rimovibile.
  6. Installare Network Agent dal pacchetto indipendente.

I dispositivi desktop esterni sono connessi ad Administration Server.

Inizio pagina
[Topic 231226]

Informazioni sui profili di connessione per gli utenti fuori sede

Gli utenti fuori sede con computer portatili (di seguito denominati anche "dispositivi") possono aver bisogno di modificare il metodo di connessione a un Administration Server o passare da un Administration Server all'altro a seconda della posizione corrente del dispositivo nella rete aziendale.

I profili di connessione sono supportati solo per i dispositivi che eseguono Windows e macOS.

Utilizzo di differenti indirizzi di un singolo Administration Server

I dispositivi con Network Agent installato possono connettersi all'Administration Server dalla rete Intranet dell'organizzazione o da Internet. Questa situazione può richiedere l'utilizzo da parte di Network Agent di differenti indirizzi per la connessione ad Administration Server: l'indirizzo esterno dell'Administration Server per la connessione Internet e l'indirizzo interno dell'Administration Server per la connessione dalla rete interna.

A tale scopo, aggiungere un profilo per la connessione ad Administration Server da Internet nelle proprietà del criterio di Network Agent (nella sezione Impostazioni applicazione ReteProfili connessioneProfili connessione di Administration Server). Nella finestra di creazione del profilo, disabilitare l'opzione Usa per ricevere solo aggiornamenti e accertarsi che l'opzione Sincronizza le impostazioni di connessione con le impostazioni di Administration Server specificate nel profilo sia selezionata. Se si utilizza un gateway di connessione per accedere ad Administration Server (ad esempio, in una configurazione di Kaspersky Security Center come quella descritta in Accesso a Internet: Network Agent come gateway nella rete perimetrale), è necessario specificare l'indirizzo del gateway di connessione nel campo corrispondente del profilo di connessione.

Passaggio da un Administration Server all'altro a seconda della rete corrente

Se l'organizzazione ha più sedi con diversi Administration Server e alcuni dispositivi con Network Agent installato si spostano tra di esse, è necessario che Network Agent si connetta all'Administration Server della rete locale nella sede in cui si trova attualmente il dispositivo.

In questo caso, creare un profilo per la connessione ad Administration Server nelle proprietà del criterio di Network Agent per ciascuna delle sedi, tranne che per la sede principale in cui si trova l'Administration Server principale originale. Specificare gli indirizzi di Administration Server nei profili di connessione e abilitare o disabilitare l'opzione Usa per ricevere solo aggiornamenti:

  • Selezionare l'opzione se è necessario sincronizzare Network Agent con l'Administration Server principale e utilizzare il server locale solo per scaricare gli aggiornamenti.
  • Disabilitare questa opzione se è necessario che Network Agent sia completamente gestito dall'Administration Server locale.

Sarà quindi necessario impostare le condizioni per il passaggio ai nuovi profili creati: almeno una condizione per ciascuna delle sedi, tranne che per la sede principale. Lo scopo di ogni condizione consiste nel rilevamento degli elementi che sono specifici per l'ambiente di rete di una sede. Se una condizione è vera, il profilo corrispondente viene attivato. Se nessuna delle condizioni è vera, Network Agent passa all'Administration Server principale.

Vedere anche:

Concessione dell'accesso via Internet all'Administration Server

Accesso a Internet: Network Agent come gateway di connessione nella rete perimetrale

Creazione di un profilo di connessione per gli utenti fuori sede

Inizio pagina
[Topic 231206]

Creazione di un profilo di connessione per gli utenti fuori sede

Espandi tutto | Comprimi tutto

Un profilo di connessione di Administration Server è disponibile solo nei dispositivi che eseguono Windows e macOS.

Per creare un profilo per la connessione di Network Agent ad Administration Server per gli utenti fuori sede:

  1. Se si desidera creare un profilo di connessione per un gruppo di dispositivi gestiti, aprire il criterio di Network Agent di questo gruppo. A tale scopo, procedere come segue:
    1. Nel menu principale accedere a DISPOSITIVICRITERI E PROFILI.
    2. Fare clic sul collegamento del percorso corrente.
    3. Nella finestra visualizzata selezionare il gruppo di amministrazione desiderato.

      Successivamente, il percorso corrente viene modificato.

    4. Aggiungere il criterio di Network Agent per il gruppo di dispositivi gestiti. Se è già stato creato, fare clic sul nome del criterio di Network Agent per aprire le proprietà del criterio.
  2. Se si desidera creare un profilo di connessione per un dispositivo gestito specifico, procedere come segue:
    1. Nel menu principale accedere a DISPOSITIVIDISPOSITIVI GESTITI.
    2. Fare clic sul nome del dispositivo gestito.
    3. Nella finestra delle proprietà del dispositivo gestito visualizzata, passare alla scheda Applicazioni.
    4. Fare clic sul nome del criterio di Network Agent a cui si applica solo il dispositivo gestito selezionato.
  3. Nella finestra delle proprietà visualizzata passare a Impostazioni applicazione → Rete → Profili connessione.
  4. Nella sezione Profili connessione di Administration Server fare clic sul pulsante Aggiungi.

    Per impostazione predefinita, l'elenco dei profili di connessione contiene i profili <Modalità offline> e <Administration Server principale>. I profili non possono essere modificati o rimossi.

    Il profilo <Modalità offline> non specifica alcun server per la connessione. Di conseguenza, quando viene eseguito il passaggio a questo profilo, Network Agent non tenta di connettersi ad alcun Administration Server, mentre le applicazioni installate nei dispositivi client sono eseguite con i criteri fuori sede. Il profilo <Modalità offline> può essere utilizzato se i dispositivi sono disconnessi dalla rete.

    Il profilo <Administration Server principale> specifica per la connessione l'Administration Server che è stato selezionato durante l'installazione di Network Agent. Il profilo <Administration Server principale> viene applicato quando un dispositivo si riconnette all'Administration Server principale dopo l'esecuzione in una rete esterna per un determinato periodo.

  5. Nella finestra Configurare il profilo visualizzata configurare il profilo di connessione:
    • Nome profilo

      Nel campo di immissione è possibile visualizzare o modificare il nome del profilo di connessione.

    • Indirizzo di Administration Server

      Indirizzo di Administration Server a cui il dispositivo client deve connettersi durante l'attivazione del profilo.

    • Numero di porta

      Il numero di porta utilizzato per la connessione.

    • Porta SSL

      Il numero della porta per la connessione tramite il protocollo SSL.

    • Usa connessione SSL

      Se questa opzione è abilitata, la connessione viene stabilita tramite una porta sicura utilizzando il protocollo SSL.

      Per impostazione predefinita, questa opzione è abilitata. È consigliabile non disabilitare questa opzione in modo che la connessione rimanga protetta.

    • Se si desidera utilizzare un server proxy durante la connessione a Internet, selezionare l'opzione Usa server proxy. Se questa opzione è selezionata, i campi sono disponibili per l'immissione delle impostazioni. Specificare le seguenti impostazioni per la connessione a un server proxy:
      • Indirizzo

        Indirizzo del server proxy utilizzato per la connessione di Kaspersky Security Center a Internet.

      • Numero di porta

        Numero della porta utilizzata per stabilire la connessione al proxy di Kaspersky Security Center.

      • Autenticazione server proxy

        Se questa casella di controllo è selezionata, nei campi di immissione è possibile specificare le credenziali per l'autenticazione del server proxy.

      • Nome utente

        Account utente con il quale è stata stabilita la connessione al server proxy (questo campo è disponibile se la casella di controllo Autenticazione server proxy è selezionata).

      • Password

        Password impostata dall'utente di cui è stato utilizzato l'account per stabilire la connessione al server proxy (questo campo è disponibile se la casella di controllo Autenticazione server proxy è selezionata).

        Per visualizzare la password immessa, tenere premuto il pulsante Mostra per il tempo necessario.

    • Indirizzo gateway connessione

      Indirizzo del gateway attraverso cui i dispositivi client si connettono ad Administration Server.

    • Abilita la modalità fuori sede quando Administration Server non è disponibile

      Selezionare questa casella di controllo per consentire alle applicazioni installate in un dispositivo client di utilizzare i profili criterio per i dispositivi in modalità fuori sede, nonché i criteri fuori sede, per qualsiasi tentativo di connessione se Administration Server non è disponibile. Se non è definito alcun criterio fuori sede per l'applicazione, verrà utilizzato il criterio attivo.

      Se questa opzione è disabilitata, le applicazioni utilizzeranno i criteri attivi.

      Per impostazione predefinita, questa casella di controllo è deselezionata.

    • Usa per ricevere solo aggiornamenti

      Se questa opzione è abilitata, il profilo verrà utilizzato solo per il download degli aggiornamenti da parte delle applicazioni installate nel dispositivo client. Per le altre operazioni verrà stabilita la connessione ad Administration Server con le impostazioni di connessione iniziali definite durante l'installazione di Network Agent.

      Per impostazione predefinita, questa opzione è abilitata.

    • Sincronizza impostazioni di connessione con le impostazioni di Administration Server specificate nel profilo

      Se questa opzione è abilitata, Network Agent si connette ad Administration Server utilizzando le impostazioni specificate nelle proprietà del profilo.

      Se questa opzione è disabilitata, Network Agent si connette ad Administration Server utilizzando le impostazioni originali specificate durante l'installazione.

      Questa opzione è disponibile se l'opzione Usa per ricevere solo aggiornamenti è disabilitata.

      Per impostazione predefinita, questa opzione è disabilitata.

Verrà creato un profilo per la connessione di Network Agent ad Administration Server per gli utenti mobili. Quando Network Agent si connette ad Administration Server con questo profilo, le applicazioni installate in un dispositivo client utilizzeranno i criteri per i dispositivi in modalità fuori sede o i criteri fuori sede.

Vedere anche:

Informazioni sui profili di connessione per gli utenti fuori sede

Inizio pagina
[Topic 231207]

Informazioni sul passaggio di Network Agent ad altri Administration Server

Kaspersky Security Center offre un'opzione per effettuare il passaggio Network Agent di un dispositivo client ad altri Administration Server se cambiano le seguenti impostazioni di rete:

  • Condizione per l'indirizzo server DHCP- L'indirizzo IP del server DHCP della rete è stato modificato.
  • Condizione per indirizzo gateway di connessione predefinito- L'indirizzo del gateway principale della rete è stato modificato.
  • Condizione per dominio DNS- Il suffisso DNS della subnet è stato modificato.
  • Condizione per l'indirizzo server DNS - L'indirizzo IP del server DNS della rete è stato modificato.
  • Condizione per l'indirizzo del server WINS- L'indirizzo IP del server WINS della rete è stato modificato. Questa impostazione è disponibile solo per i dispositivi che eseguono Windows.
  • Condizione per la risolvibilità del nome- Il nome DNS o NetBIOS del dispositivo client è cambiato.
  • Condizione per subnet- Modifica dell'indirizzo e della subnet mask.
  • Condizione per l'accessibilità dominio Windows- Modifica dello stato del dominio Windows a cui il dispositivo client è connesso. Questa impostazione è disponibile solo per i dispositivi che eseguono Windows.
  • Condizione per l'accessibilità dell'indirizzo di connessione SSL- Il dispositivo client può o non può (a seconda dell'opzione selezionata) stabilire una connessione SSL con un server specificato (nome: porta). Per ogni server è inoltre possibile specificare un certificato SSL. In questo caso, Network Agent verifica il certificato del server oltre a controllare la capacità di una connessione SSL. Se il certificato non corrisponde, la connessione non va a buon fine.

Questa funzionalità è supportata solo per i Network Agent installati nei dispositivi che eseguono Windows o macOS.

Le impostazioni iniziali della connessione di Network Agent ad Administration Server vengono definite durante l'installazione di Network Agent. Se sono state create regole per il passaggio del Network Agent ad altri Administration Server, Network Agent risponde alle modifiche delle impostazioni di rete nel modo seguente:

  • Se le impostazioni di rete sono conformi a una delle regole create, Network Agent si connette all'Administration Server specificato in questa regola. Le applicazioni installate nei dispositivi client passano ai criteri fuori sede, a condizione che tale comportamento sia abilitato da una regola.
  • Se non è applicabile alcuna regola, Network Agent ripristina le impostazioni predefinite della connessione all'Administration Server specificato durante l'installazione. Per le applicazioni installate nei dispositivi client vengono ripristinati i criteri attivi.
  • Se l'Administration Server non è accessibile, Network Agent utilizzerà i criteri fuori sede.

Network Agent passa al criterio fuori sede solo se l'opzione Abilita la modalità fuori sede quando Administration Server non è disponibile è abilitata nelle impostazioni del criterio di Network Agent.

Le impostazioni della connessione di Network Agent all'Administration Server vengono salvate in un profilo. Nel profilo di connessione è possibile creare regole per il passaggio dei dispositivi client ai criteri fuori sede, nonché configurare il profilo in modo da utilizzarlo solo per il download degli aggiornamenti.

Vedere anche:

Creazione di una regola per il passaggio di Network Agent in base al percorso di rete

Inizio pagina
[Topic 231193]

Creazione di una regola per il passaggio di Network Agent in base al percorso di rete

Espandi tutto | Comprimi tutto

Il passaggio di Network Agent in base al percorso di rete è disponibile solo nei dispositivi che eseguono Windows e macOS.

Per creare una regola per il passaggio di Network Agent da un Administration Server all'altro in caso di modifiche delle impostazioni di rete:

  1. Se si desidera creare una regola per un gruppo di dispositivi gestiti, aprire il criterio di Network Agent di questo gruppo. A tale scopo, procedere come segue:
    1. Nel menu principale accedere a DISPOSITIVICRITERI E PROFILI.
    2. Fare clic sul collegamento del percorso corrente.
    3. Nella finestra visualizzata selezionare il gruppo di amministrazione desiderato.

      Successivamente, il percorso corrente viene modificato.

    4. Aggiungere il criterio di Network Agent per il gruppo di dispositivi gestiti. Se è già stato creato, fare clic sul nome del criterio di Network Agent per aprire le proprietà del criterio.
  2. Se si desidera creare una regola per un dispositivo gestito specifico, procedere come segue:
    1. Nel menu principale accedere a DISPOSITIVIDISPOSITIVI GESTITI.
    2. Fare clic sul nome del dispositivo gestito.
    3. Nella finestra delle proprietà del dispositivo gestito visualizzata, passare alla scheda Applicazioni.
    4. Fare clic sul nome del criterio di Network Agent a cui si applica solo il dispositivo gestito selezionato.
  3. Nella finestra delle proprietà visualizzata passare a Impostazioni applicazione → Rete → Profili connessione.
  4. Nella sezione Impostazioni percorso di rete fare clic sul pulsante Aggiungi.
  5. Nella finestra delle proprietà visualizzata configurare la descrizione del percorso di rete e la regola per il passaggio. Specificare le seguenti impostazioni della descrizione del percorso di rete:
    • Descrizione

      Il nome della descrizione del percorso di rete non può essere superiore a 255 caratteri, né contenere simboli speciali come ("*<>?\/:|).

    • Usa profilo connessione

      Nell'elenco a discesa è possibile specificare il profilo di connessione utilizzato da Network Agent per connettersi ad Administration Server. Questo profilo verrà utilizzato quando sono soddisfatte le condizioni della descrizione del percorso di rete. Il profilo di connessione contiene le impostazioni per la connessione di Network Agent all'Administration Server e definisce in quali casi i dispositivi client devono passare ai criteri fuori sede. Il profilo viene utilizzato solo per scaricare gli aggiornamenti.

    • Descrizione abilitata

      Selezionare questa casella di controllo per abilitare l'utilizzo della nuova descrizione del percorso di rete.

  6. Selezionare le condizioni per la regola per il passaggio di Network Agent:
    • Condizione per l'indirizzo server DHCP- L'indirizzo IP del server DHCP della rete è stato modificato.
    • Condizione per indirizzo gateway di connessione predefinito- L'indirizzo del gateway principale della rete è stato modificato.
    • Condizione per dominio DNS- Il suffisso DNS della subnet è stato modificato.
    • Condizione per l'indirizzo server DNS - L'indirizzo IP del server DNS della rete è stato modificato.
    • Condizione per l'indirizzo del server WINS- L'indirizzo IP del server WINS della rete è stato modificato. Questa impostazione è disponibile solo per i dispositivi che eseguono Windows.
    • Condizione per la risolvibilità del nome- Il nome DNS o NetBIOS del dispositivo client è cambiato.
    • Condizione per subnet- Modifica dell'indirizzo e della subnet mask.
    • Condizione per l'accessibilità dominio Windows- Modifica dello stato del dominio Windows a cui il dispositivo client è connesso. Questa impostazione è disponibile solo per i dispositivi che eseguono Windows.
    • Condizione per l'accessibilità dell'indirizzo di connessione SSL- Il dispositivo client può o non può (a seconda dell'opzione selezionata) stabilire una connessione SSL con un server specificato (nome: porta). Per ogni server è inoltre possibile specificare un certificato SSL. In questo caso, Network Agent verifica il certificato del server oltre a controllare la capacità di una connessione SSL. Se il certificato non corrisponde, la connessione non va a buon fine.

    Le condizioni in una regola vengono combinate utilizzando l'operatore logico AND. Per attivare una regola di passaggio in base alla descrizione del percorso di rete, devono essere soddisfatte tutte le condizioni della regola.

  7. Nella sezione delle condizioni specificare quando è necessario che Network Agent passi a un altro Administration Server. A tale scopo, fare clic sul pulsante Aggiungi, quindi impostare il valore della condizione.

    Inoltre, l'opzione Corrisponde ad almeno un valore dell'elenco è abilitata per impostazione predefinita. È possibile disabilitare questa opzione se si desidera che la condizione venga soddisfatta con tutti i valori specificati.

  8. Salvare le modifiche.

Verrà creata una nuova regola di passaggio in base alla descrizione del percorso di rete. Quando le condizioni della regola sono soddisfatte, Network Agent utilizza il profilo di connessione specificato nella regola per connettersi ad Administration Server.

Vedere anche:

Informazioni sul passaggio di Network Agent ad altri Administration Server

Inizio pagina
[Topic 231194]