Sommario
- Configurazione iniziale di Kaspersky Security Center Web Console
- Avvio rapido guidato (Kaspersky Security Center Web Console)
- Passaggio 1. Definizione delle impostazioni della connessione Internet
- Passaggio 2. Download degli aggiornamenti necessari
- Passaggio 3. Selezione delle risorse da proteggere
- Passaggio 4. Selezione del criptaggio nelle soluzioni
- Passaggio 5. Configurazione dell'installazione dei plug-in per le applicazioni gestite
- Passaggio 6. Download dei pacchetti di distribuzione e creazione dei pacchetti di installazione
- Passaggio 7. Configurazione di Kaspersky Security Network
- Passaggio 8. Selezione del metodo di attivazione dell'applicazione
- Passaggio 9. Definizione delle impostazioni di gestione degli aggiornamenti di terze parti
- Passaggio 10. Creazione di una configurazione della protezione di rete di base
- Passaggio 11. Configurazione delle notifiche e-mail
- Passaggio 12. Esecuzione di un polling della rete
- Passaggio 13. Chiusura dell'Avvio rapido guidato
- Connessione dei dispositivi fuori sede
- Scenario: Connessione dei dispositivi fuori sede tramite un gateway di connessione
- Scenario: connessione di dispositivi fuori sede tramite un Administration Server secondario in DMZ
- Informazioni sulla connessione dei dispositivi fuori sede
- Connessione dei dispositivi desktop esterni ad Administration Server
- Informazioni sui profili di connessione per gli utenti fuori sede
- Creazione di un profilo di connessione per gli utenti fuori sede
- Informazioni sul passaggio di Network Agent ad altri Administration Server
- Creazione di una regola per il passaggio di Network Agent in base al percorso di rete
- Avvio rapido guidato (Kaspersky Security Center Web Console)
Configurazione iniziale di Kaspersky Security Center Web Console
Questa sezione descrive le operazioni che è necessario eseguire dopo l'installazione di Kaspersky Security Center Web Console per eseguire la configurazione iniziale.
Avvio rapido guidato (Kaspersky Security Center Web Console)
Questa sezione fornisce informazioni su Avvio rapido guidato di Administration Server.
La procedura guidata richiede l'accesso a Internet. Se Administration Server non dispone dell'accesso a Internet, è consigliabile eseguire manualmente tutti i passaggi della procedura guidata tramite l'interfaccia di Kaspersky Security Center Web Console.
Kaspersky Security Center consente di regolare una selezione minima di impostazioni necessarie per creare un sistema centralizzato di gestione per la protezione della rete dalle minacce per la sicurezza. Questa configurazione viene eseguita tramite l'Avvio rapido guidato. Quando la procedura guidata è in esecuzione, è possibile apportare le seguenti modifiche all'applicazione:
- Aggiungere file chiave o immettere codici di attivazione che è possibile distribuire automaticamente ai dispositivi nei gruppi di amministrazione.
- Configurare l'interazione con . Se è stato consentito l'utilizzo di KSN, la procedura guidata abilita il servizio del server proxy KSN, che assicura la connessione tra KSN e i dispositivi.
- Impostare l'invio di notifiche tramite e-mail per informare degli eventi che si verificano durante l'esecuzione di Administration Server e delle applicazioni gestite (per il corretto invio delle notifiche, il servizio Messenger deve essere in esecuzione in Administration Server e in tutti i dispositivi dei destinatari).
- Creare un criterio di protezione per workstation e server, nonché attività di scansione virus, attività di download degli aggiornamenti e attività di backup dei dati, per il livello superiore della gerarchia dei dispositivi gestiti.
L'Avvio rapido guidato crea criteri soltanto per le applicazioni per cui non sono presenti criteri nella cartella Dispositivi gestiti. L'Avvio rapido guidato non crea attività se sono già state create attività con lo stesso nome per il livello superiore della gerarchia dei dispositivi gestiti.
L'applicazione richiede automaticamente di eseguire l'Avvio rapido guidato dopo l'installazione di Administration Server, al momento della prima connessione. È anche possibile avviare manualmente l'Avvio rapido guidato in qualsiasi momento.
Per avviare manualmente l'Avvio rapido guidato:
- Nel menu principale, fare clic sull'icona delle impostazioni (
) accanto al nome di Administration Server.
Verrà visualizzata la finestra delle proprietà di Administration Server.
- Nella scheda Generale selezionare la sezione Generale.
- Fare clic su Avvia l'Avvio rapido guidato.
Verrà offerta la possibilità di eseguire la configurazione iniziale di Administration Server. Seguire le istruzioni della procedura guidata. Procedere con la procedura guidata utilizzando il pulsante Avanti.
Passaggio 1. Definizione delle impostazioni della connessione Internet
Espandi tutto | Comprimi tutto
Specificare le impostazioni di accesso a Internet per Administration Server. È necessario configurare l'accesso a Internet per utilizzare Kaspersky Security Network e per scaricare gli aggiornamenti dei database anti-virus per Kaspersky Security Center e le applicazioni Kaspersky gestite.
Se si desidera utilizzare un server proxy durante la connessione a Internet, abilitare l'opzione Usa server proxy. Se questa opzione è abilitata, i campi sono disponibili per l'immissione delle impostazioni. Specificare le seguenti impostazioni per la connessione a un server proxy:
- Indirizzo
- Numero di porta
- Ignora il server proxy per gli indirizzi locali
- Autenticazione server proxy
- Nome utente
- Password
È possibile configurare l'accesso a Internet in un secondo momento, separatamente dall'Avvio rapido guidato.
Inizio paginaPassaggio 2. Download degli aggiornamenti necessari
Gli aggiornamenti richiesti vengono scaricati automaticamente dai server Kaspersky.
Inizio paginaPassaggio 3. Selezione delle risorse da proteggere
Espandi tutto | Comprimi tutto
Selezionare le aree di protezione e i sistemi operativi in uso nella rete. Quando si selezionano queste opzioni, si specificano i filtri per i plug-in di gestione delle applicazioni e i pacchetti di distribuzione nei server Kaspersky che è possibile scaricare per installarli nei dispositivi client nella rete. Selezionare le opzioni:
È possibile selezionare i pacchetti dell'applicazione Kaspersky nell'elenco dei pacchetti disponibili in un secondo momento, separatamente dall'Avvio rapido guidato. Per semplificare la ricerca dei pacchetti richiesti, è possibile filtrare l'elenco dei pacchetti disponibili in base a vari criteri.
Inizio paginaPassaggio 4. Selezione del criptaggio nelle soluzioni
La finestra Criptaggio nelle soluzioni viene visualizzata solo se è stato selezionato Workstation come ambito della protezione.
Kaspersky Endpoint Security for Windows include strumenti di criptaggio per le informazioni archiviate nei dispositivi client basati su Windows. In tali strumenti di criptaggio, è implementato AES (Advanced Encryption Standard), con una lunghezza della chiave di 256 o 56 bit.
Il download e l'utilizzo del pacchetto di distribuzione con una lunghezza della chiave di 256 bit devono essere eseguiti in conformità con le leggi e le normative applicabili. Per scaricare un pacchetto di distribuzione di Kaspersky Endpoint Security for Windows valido per le esigenze aziendali, consultare le normative del paese in cui si trovano i dispositivi client dell'organizzazione.
Nella finestra Criptaggio nelle soluzioni selezionare uno dei seguenti tipi di criptaggio:
- Crittografia Lite. Questo tipo di criptaggio utilizza una lunghezza della chiave di 56 bit.
- Crittografia avanzata. Questo tipo di criptaggio utilizza una lunghezza della chiave di 256 bit.
È possibile selezionare il pacchetto di distribuzione per Kaspersky Endpoint Security for Windows con il tipo di criptaggio richiesto in un secondo momento, separatamente dall'Avvio rapido guidato.
Inizio paginaPassaggio 5. Configurazione dell'installazione dei plug-in per le applicazioni gestite
Espandi tutto | Comprimi tutto
Selezionare i plug-in per le applicazioni gestite da installare. Viene visualizzato un elenco dei plug-in che si trovano nei server Kaspersky. L'elenco viene filtrato in base alle opzioni selezionate nel passaggio precedente della procedura guidata. Per impostazione predefinita, un elenco completo include i plug-in di tutte le lingue. Per visualizzare solo i plug-in di una lingua specifica, utilizzare il filtro. L'elenco dei plug-in include le seguenti colonne:
Dopo aver selezionato i plug-in, fare clic su Avanti per avviare l'installazione.
L'Avvio rapido guidato installa automaticamente i plug-in selezionati. Per installare alcuni plug-in è necessario accettare le condizioni del Contratto di licenza con l'utente finale. Leggere il testo del Contratto di licenza con l'utente finale visualizzato, selezionare la casella di controllo Accetto di utilizzare Kaspersky Security Network e fare clic sul pulsante Installa. Se non si accettano le condizioni del Contratto di licenza con l'utente finale, il plug-in non viene installato.
Quando tutti i plug-in selezionati sono installati, l'Avvio rapido guidato porta automaticamente al passaggio successivo.
Passaggio 6. Download dei pacchetti di distribuzione e creazione dei pacchetti di installazione
Selezionare i pacchetti di distribuzione da scaricare.
Le distribuzioni delle applicazioni gestite potrebbero richiedere l'installazione di una versione minima specifica di Kaspersky Security Center.
Dopo aver selezionato un tipo di criptaggio per Kaspersky Endpoint Security for Windows, viene visualizzato un elenco dei pacchetti di distribuzione di entrambi i tipi di criptaggio. Nell'elenco viene selezionato un pacchetto di distribuzione con il tipo di criptaggio selezionato. È possibile selezionare i pacchetti di distribuzione di qualsiasi tipo di criptaggio. La lingua del pacchetto di distribuzione corrisponde alla lingua di Kaspersky Security Center. Se non esiste un pacchetto di distribuzione di Kaspersky Endpoint Security for Windows per la lingua di Kaspersky Security Center, viene selezionato il pacchetto di distribuzione in inglese.
Per terminare il download di alcuni pacchetti di distribuzione è necessario accettare il Contratto di licenza con l'utente finale. Quando si fa clic sul pulsante Accetta, viene visualizzato il testo del Contratto di licenza con l'utente finale. Per procedere al passaggio successivo della procedura guidata, è necessario accettare i termini e le condizioni del Contratto di licenza con l'utente finale e i termini e le condizioni dell'Informativa sulla privacy di Kaspersky. Se non si accettano i termini e le condizioni, il download del pacchetto viene annullato.
Dopo aver accettato i termini e le condizioni del Contratto di licenza con l'utente finale e i termini e le condizioni dell'Informativa sulla privacy di Kaspersky, il download dei pacchetti di distribuzione prosegue. Successivamente è possibile utilizzare i pacchetti di installazione per distribuire le applicazioni Kaspersky nei dispositivi client.
Inizio paginaPassaggio 7. Configurazione di Kaspersky Security Network
Espandi tutto | Comprimi tutto
Specificare le impostazioni per la trasmissione delle informazioni sulle operazioni di Kaspersky Security Center alla Knowledge Base di Kaspersky Security Network. Selezionare una delle seguenti opzioni:
- Accetto di utilizzare Kaspersky Security Network
- Non accetto di utilizzare Kaspersky Security Network
È possibile configurare l'accesso a Kaspersky Security Network (KSN) successivamente, separatamente dall'Avvio rapido guidato.
Inizio paginaPassaggio 8. Selezione del metodo di attivazione dell'applicazione
Espandi tutto | Comprimi tutto
Selezionare una delle seguenti opzioni di attivazione di Kaspersky Security Center:
- Immettendo il codice di attivazione
- Specificando un file chiave
- Rimandando l'attivazione dell'applicazione
Se si sceglie di rimandare l'attivazione dell'applicazione, è possibile aggiungere una chiave di licenza in qualsiasi momento selezionando OPERAZIONI → LICENSING.
Se si utilizza Kaspersky Security Center distribuito da un'AMI a pagamento o per uno SKU con fatturazione mensile basato sull'utilizzo, non è possibile specificare un file chiave o immettere un codice.
Passaggio 9. Definizione delle impostazioni di gestione degli aggiornamenti di terze parti
Espandi tutto | Comprimi tutto
Questo passaggio non viene visualizzato se non si dispone della licenza Vulnerability e patch management e l'attività Trova vulnerabilità e aggiornamenti richiesti esiste già.
Per gli aggiornamenti software di terze parti, selezionare una delle seguenti opzioni:
- Cerca gli aggiornamenti richiesti
- Cerca e installa gli aggiornamenti richiesti
Questa opzione è disponibile solo con la licenza Vulnerability e patch management.
Per gli aggiornamenti di Windows Update, selezionare una delle seguenti opzioni:
- Utilizzare le risorse di aggiornamento definite nel criterio di dominio
- Usa Administration Server come server WSUS
Questa opzione è disponibile solo con la licenza Vulnerability e patch management.
Passaggio 10. Creazione di una configurazione della protezione di rete di base
È possibile esaminare un elenco dei criteri e delle attività creati.
Attendere il completamento della creazione di criteri e attività prima di procedere al passaggio successivo della procedura guidata.
Inizio paginaPassaggio 11. Configurazione delle notifiche e-mail
Espandi tutto | Comprimi tutto
Configurare l'invio di notifiche relative agli eventi registrati durante l'esecuzione delle applicazioni Kaspersky nei dispositivi client. Queste impostazioni verranno utilizzate come impostazioni predefinite per i criteri dell'applicazione.
Per configurare l'invio di notifiche relative agli eventi che si verificano nelle applicazioni Kaspersky, utilizzare le seguenti impostazioni:
È possibile verificare le nuove impostazioni di notifica e-mail facendo clic sul pulsante Invia messaggio di prova.
È possibile configurare le notifiche degli eventi in un secondo momento, separatamente rispetto all'Avvio rapido guidato.
Inizio paginaPassaggio 12. Esecuzione di un polling della rete
Administration Server esegue un polling iniziale. Durante il polling, viene visualizzata una barra di avanzamento. Al termine del polling, il collegamento Visualizza dispositivi rilevati diventa disponibile. È possibile fare clic su questo collegamento per visualizzare i dispositivi della rete rilevati da Administration Server. Per tornare all'Avvio rapido guidato, premere ESC.
Passaggio 13. Chiusura dell'Avvio rapido guidato
Nella pagina di completamento dell'Avvio rapido guidato selezionare la casella di controllo Esegui Distribuzione guidata della protezione se si desidera avviare l'installazione automatica delle applicazioni anti-virus o di Network Agent nei dispositivi della rete.
Per chiudere la procedura guidata, fare clic sul pulsante Fine.
Inizio paginaConnessione dei dispositivi fuori sede
Questa sezione descrive come connettere i dispositivi fuori sede (cioè i dispositivi gestiti che si trovano all'esterno della rete principale) ad Administration Server.
Scenario: Connessione dei dispositivi fuori sede tramite un gateway di connessione
Questo scenario descrive come connettere i dispositivi gestiti che si trovano all'esterno della rete principale ad Administration Server.
Prerequisiti
Lo scenario prevede i seguenti prerequisiti:
- Una rete perimetrale deve essere organizzata nella rete dell'organizzazione.
- Kaspersky Security Center Administration Server deve essere distribuito nella rete aziendale.
Passaggi
Questo scenario procede per fasi:
- Selezione di un dispositivo client nella rete perimetrale
Questo dispositivo verrà utilizzato come gateway di connessione. Il dispositivo selezionato deve soddisfare i requisiti per i gateway di connessione.
- Installazione di Network Agent nel ruolo di gateway di connessione
È consigliabile utilizzare un'installazione locale per installare Network Agent nel dispositivo selezionato.
Per impostazione predefinita, il file di installazione si trova in: \\<nome server>\KLSHARE\PkgInst\NetAgent_<numero versione>
Nella finestra Gateway di connessione dell'Installazione guidata di Network Agent selezionare Utilizzare Network Agent come gateway di connessione nella rete perimetrale. Questa modalità attiva contemporaneamente il ruolo del gateway di connessione e indica a Network Agent di attendere le connessioni da Administration Server anziché stabilire connessioni ad Administration Server.
In alternativa, è possibile installare Network Agent in un dispositivo Linux e configurare Network Agent in modo che funga da gateway di connessione, ma è necessario prestare attenzione all'elenco delle limitazioni di Network Agent in esecuzione nei dispositivi Linux.
- Autorizzazione delle connessioni nei firewall sul gateway di connessione
Per assicurarsi che Administration Server sia effettivamente in grado di connettersi al gateway di connessione nella rete perimetrale, consentire le connessioni alla porta TCP 13000 in tutti i firewall tra Administration Server e il gateway di connessione.
Se il gateway di connessione non dispone di un indirizzo IP reale in Internet ma si trova invece dietro una configurazione NAT (Network Address Translation), configurare una regola per inoltrare le connessioni tramite NAT.
- Creazione di un gruppo di amministrazione per i dispositivi esterni
Creare un nuovo gruppo nel gruppo Dispositivi gestiti. Questo nuovo gruppo conterrà dispositivi gestiti esterni.
- Connessione del gateway di connessione ad Administration Server
Il gateway di connessione configurato è in attesa di una connessione da Administration Server. Tuttavia, Administration Server non elenca il dispositivo con il gateway di connessione tra i dispositivi gestiti. Questo è dovuto al fatto che il gateway di connessione non ha tentato di stabilire una connessione ad Administration Server. È pertanto necessaria una procedura speciale per garantire che Administration Server avvii una connessione al gateway di connessione.
Procedere come segue:
- Aggiungere il gateway di connessione come punto di distribuzione.
- Spostare il gateway di connessione dal gruppo Dispositivi non assegnati al gruppo creato per i dispositivi esterni.
Il gateway di connessione è stato connesso e configurato.
- Connessione dei computer desktop esterni ad Administration Server
Solitamente i computer desktop esterni non vengono spostati all'interno del perimetro. Pertanto è necessario configurarli per eseguire la connessione ad Administration Server tramite il gateway durante l'installazione di Network Agent.
- Configurazione degli aggiornamenti per i computer desktop esterni
Se gli aggiornamenti delle applicazioni di protezione sono configurati per il download da Administration Server, i computer esterni scaricano gli aggiornamenti tramite il gateway di connessione. Questo comporta due svantaggi:
- Si tratta di traffico non necessario che occupa la larghezza di banda del canale di comunicazione Internet aziendale.
- Questo non è necessariamente il modo più rapido per ottenere aggiornamenti. È molto probabile che per i computer esterni sarebbe più economico e veloce ricevere gli aggiornamenti dai server di aggiornamento Kaspersky.
Procedere come segue:
- Connessione dei laptop mobili ad Administration Server
I laptop mobili a volte sono all'interno della rete e altre volte all'esterno della rete. Per una gestione efficace, è necessario che questi si connettano ad Administration Server in modo diverso a seconda della posizione. Per un utilizzo efficiente del traffico, è inoltre necessario che ricevano gli aggiornamenti da origini diverse a seconda della posizione.
È necessario configurare le regole per gli utenti fuori sede: profili di connessione e descrizioni dei percorsi di rete. Ciascuna regola definisce l'istanza di Administration Server a cui i laptop mobili devono connettersi a seconda della posizione e l'istanza di Administration Server da cui devono ricevere gli aggiornamenti.
Scenario: connessione di dispositivi fuori sede tramite un Administration Server secondario in DMZ
Se si desidera connettere i dispositivi gestiti che si trovano all'esterno della rete principale ad Administration Server, è possibile utilizzare un Administration Server secondario situato nella rete perimetrale (DMZ).
Prerequisiti
Prima di iniziare, verificare di avere:
- Una rete perimetrale deve essere organizzata nella rete dell'organizzazione.
- Kaspersky Security Center Administration Server è distribuito nella rete interna dell'organizzazione.
Passaggi
Questo scenario procede per fasi:
- Selezione di un dispositivo client nella rete perimetrale
Nella DMZ, selezionare un dispositivo client che verrà utilizzato come Administration Server secondario.
- Installazione di Kaspersky Security Center Administration Server
Installare Kaspersky Security Center Administration Server in questo dispositivo client.
- Creazione di una gerarchia di Administration Server
Se si posiziona un Administration Server secondario in DMZ, l'Administration Server secondario deve ricevere una connessione dall'Administration Server primario. A tale scopo, aggiungere un nuovo Administration Server come secondario in modo che l'Administration Server primario si connetta all'Administration Server secondario tramite la porta 13000. Quando si combinano due Administration Server in una gerarchia, verificare che la porta 13299 sia accessibile in entrambi gli Administration Server. Kaspersky Security Center Web Console si connette a un Administration Server tramite la porta 13299.
- Connessione dei dispositivi gestiti fuori sede all'Administration Server secondario
È possibile connettere i dispositivi fuori sede ad Administration Server in DMZ nello stesso modo in cui viene stabilita la connessione tra Administration Server e i dispositivi gestiti che si trovano nella rete principale. I dispositivi gestiti fuori sede avviano la connessione tramite la porta 13000.
Informazioni sulla connessione dei dispositivi fuori sede
Alcuni dispositivi gestiti si trovano sempre all'esterno della rete principale (ad esempio dispositivi nelle filiali dell'azienda; chioschi, bancomat e terminali installati in vari punti vendita; dispositivi negli uffici domestici dei dipendenti). Alcuni dispositivi si spostano di tanto in tanto al di fuori del perimetro (ad esempio i laptop degli utenti che visitano le filiali regionali o l'ufficio di un cliente).
È comunque necessario monitorare e gestire la protezione dei dispositivi fuori sede: ricevere informazioni effettive sul relativo stato della protezione e mantenere aggiornate le applicazioni di protezione in essi installate. Questa prassi è necessaria perché se ad esempio uno di questi dispositivi viene compromesso mentre è all'esterno della rete principale, potrebbe diventare una piattaforma per la propagazione delle minacce non appena si connette alla rete principale. Per connettere i dispositivi fuori sede ad Administration Server è possibile utilizzare due metodi:
- Gateway di connessione nella rete perimetrale
Visualizzare lo schema del traffico dati: Administration Server nella LAN, dispositivi gestiti in Internet, gateway di connessione in uso
- Administration Server nella rete perimetrale
Visualizzare lo schema del traffico dati: Administration Server nella rete perimetrale, dispositivi gestiti in Internet
Un gateway di connessione nella rete perimetrale
Un metodo consigliato per connettere i dispositivi fuori sede ad Administration Server è quello di organizzare una rete perimetrale nella rete dell'organizzazione e di installare un gateway di connessione nella rete perimetrale. I dispositivi esterni si connetteranno al gateway di connessione e Administration Server all'interno della rete avvierà una connessione ai dispositivi tramite il gateway di connessione.
Rispetto all'altro metodo, questo è più sicuro:
- Non è necessario aprire l'accesso ad Administration Server dall'esterno della rete.
- Un gateway di connessione compromesso non rappresenta un rischio elevato per la sicurezza dei dispositivi di rete. Un gateway di connessione in realtà non gestisce nulla autonomamente e non stabilisce alcuna connessione.
Inoltre, un gateway di connessione non richiede molte risorse hardware.
Tuttavia, questo metodo ha un processo di configurazione più complicato:
- Per fare in modo che un dispositivo funga da gateway di connessione nella rete perimetrale, è necessario installare Network Agent e connetterlo ad Administration Server in un modo specifico.
- Non sarà possibile utilizzare lo stesso indirizzo per la connessione ad Administration Server per tutte le situazioni. Dall'esterno del perimetro sarà necessario utilizzare non solo un indirizzo diverso (indirizzo del gateway di connessione), ma anche una modalità di connessione diversa: tramite un gateway di connessione.
- È inoltre necessario definire impostazioni di connessione diverse per i laptop in posizioni diverse.
Per aggiungere un gateway di connessione a una rete configurata in precedenza:
- Installare Network Agent in modalità gateway di connessione.
- Reinstallare Network Agent nei dispositivi che si desidera connettere al gateway di connessione appena aggiunto.
Administration Server nella rete perimetrale
Un altro metodo consiste nell'installare un singolo Administration Server nella rete perimetrale.
Questa configurazione è meno sicura rispetto all'altro metodo. Per gestire laptop esterni in questo caso, Administration Server deve accettare connessioni da qualsiasi indirizzo in Internet. Gestirà comunque tutti i dispositivi nella rete interna, ma dalla rete perimetrale. Pertanto, un server compromesso potrebbe causare un'ingente quantità di danni, nonostante la bassa probabilità che tale evento si verifichi.
Il rischio si riduce notevolmente se Administration Server nella rete perimetrale non gestisce i dispositivi nella rete interna. Tale configurazione può essere utilizzata ad esempio da un fornitore di servizi per gestire i dispositivi dei clienti.
Potrebbe essere opportuno utilizzare questo metodo nei seguenti casi:
- Se si ha familiarità con l'installazione e la configurazione di Administration Server e non si desidera eseguire un'altra procedura per installare e configurare un gateway di connessione.
- Se è necessario gestire più dispositivi. La capacità massima di Administration Server è di 100.000 dispositivi, mentre un gateway di connessione può supportare fino a 10.000 dispositivi.
Questa soluzione presenta anche possibili difficoltà:
- Administration Server richiede più risorse hardware e un altro database.
- Le informazioni sui dispositivi verranno archiviate in due database non correlati (per Administration Server all'interno della rete e un altro nella rete perimetrale), il che complica il monitoraggio.
- Per gestire tutti i dispositivi, Administration Server deve trovarsi in una gerarchia, il che complica non solo il monitoraggio ma anche la gestione. Un'istanza dell'Administration Server secondario impone limitazioni alle possibili strutture dei gruppi di amministrazione. È necessario decidere come e quali attività e criteri distribuire a un'istanza dell'Administration Server secondario.
- La configurazione di dispositivi esterni per l'utilizzo di Administration Server nella rete perimetrale dall'esterno e per l'utilizzo dell'Administration Server primario dall'interno non è più semplice della configurazione per l'utilizzo di una connessione condizionale tramite un gateway.
- Elevati rischi per la sicurezza. Un'istanza di Administration Server compromessa semplifica la compromissione dei laptop gestiti. In tal caso, gli hacker devono solo attendere che uno dei laptop torni nella rete aziendale in modo da poter proseguire l'attacco nella LAN.
Connessione dei dispositivi desktop esterni ad Administration Server
I dispositivi desktop che si trovano sempre all'esterno della rete principale (ad esempio dispositivi nelle filiali dell'azienda; chioschi, bancomat e terminali installati in vari punti vendita; dispositivi negli uffici domestici dei dipendenti) non possono essere collegati direttamente ad Administration Server. Devono essere collegati ad Administration Server tramite un gateway di connessione installato nella rete perimetrale. Questa configurazione viene eseguita durante l'installazione di Network Agent in tali dispositivi.
Per connettere dispositivi desktop esterni ad Administration Server:
- Creare un nuovo pacchetto di installazione per Network Agent.
- Aprire le proprietà del pacchetto di installazione creato e passare alla sezione Impostazioni → Avanzate, quindi selezionare l'opzione Esegui la connessione ad Administration Server utilizzando un gateway di connessione.
L'impostazione Esegui la connessione ad Administration Server utilizzando un gateway di connessione non è compatibile con l'impostazione Utilizzare Network Agent come gateway di connessione nella rete perimetrale. Non è possibile abilitare entrambe queste impostazioni contemporaneamente.
- Nel campo Indirizzo gateway connessione, specificare l'indirizzo pubblico del gateway di connessione.
Se il gateway di connessione si trova dietro una configurazione NAT (Network Address Translation) e non dispone di un proprio indirizzo pubblico, configurare una regola del gateway NAT per inoltrare le connessioni dall'indirizzo pubblico all'indirizzo interno del gateway di connessione.
- Creare un pacchetto di installazione indipendente basato sul pacchetto di installazione creato.
- Distribuire il pacchetto di installazione indipendente ai dispositivi di destinazione in formato elettronico o tramite un'unità rimovibile.
- Installare Network Agent dal pacchetto indipendente.
I dispositivi desktop esterni sono connessi ad Administration Server.
Inizio paginaInformazioni sui profili di connessione per gli utenti fuori sede
Gli utenti fuori sede con computer portatili (di seguito denominati anche "dispositivi") possono aver bisogno di modificare il metodo di connessione a un Administration Server o passare da un Administration Server all'altro a seconda della posizione corrente del dispositivo nella rete aziendale.
I profili di connessione sono supportati solo per i dispositivi che eseguono Windows e macOS.
Utilizzo di differenti indirizzi di un singolo Administration Server
I dispositivi con Network Agent installato possono connettersi all'Administration Server dalla rete Intranet dell'organizzazione o da Internet. Questa situazione può richiedere l'utilizzo da parte di Network Agent di differenti indirizzi per la connessione ad Administration Server: l'indirizzo esterno dell'Administration Server per la connessione Internet e l'indirizzo interno dell'Administration Server per la connessione dalla rete interna.
A tale scopo, aggiungere un profilo per la connessione ad Administration Server da Internet nelle proprietà del criterio di Network Agent (nella sezione Impostazioni applicazione → Rete → Profili connessione → Profili connessione di Administration Server). Nella finestra di creazione del profilo, disabilitare l'opzione Usa per ricevere solo aggiornamenti e accertarsi che l'opzione Sincronizza le impostazioni di connessione con le impostazioni di Administration Server specificate nel profilo sia selezionata. Se si utilizza un gateway di connessione per accedere ad Administration Server (ad esempio, in una configurazione di Kaspersky Security Center come quella descritta in Accesso a Internet: Network Agent come gateway nella rete perimetrale), è necessario specificare l'indirizzo del gateway di connessione nel campo corrispondente del profilo di connessione.
Passaggio da un Administration Server all'altro a seconda della rete corrente
Se l'organizzazione ha più sedi con diversi Administration Server e alcuni dispositivi con Network Agent installato si spostano tra di esse, è necessario che Network Agent si connetta all'Administration Server della rete locale nella sede in cui si trova attualmente il dispositivo.
In questo caso, creare un profilo per la connessione ad Administration Server nelle proprietà del criterio di Network Agent per ciascuna delle sedi, tranne che per la sede principale in cui si trova l'Administration Server principale originale. Specificare gli indirizzi di Administration Server nei profili di connessione e abilitare o disabilitare l'opzione Usa per ricevere solo aggiornamenti:
- Selezionare l'opzione se è necessario sincronizzare Network Agent con l'Administration Server principale e utilizzare il server locale solo per scaricare gli aggiornamenti.
- Disabilitare questa opzione se è necessario che Network Agent sia completamente gestito dall'Administration Server locale.
Sarà quindi necessario impostare le condizioni per il passaggio ai nuovi profili creati: almeno una condizione per ciascuna delle sedi, tranne che per la sede principale. Lo scopo di ogni condizione consiste nel rilevamento degli elementi che sono specifici per l'ambiente di rete di una sede. Se una condizione è vera, il profilo corrispondente viene attivato. Se nessuna delle condizioni è vera, Network Agent passa all'Administration Server principale.
Creazione di un profilo di connessione per gli utenti fuori sede
Espandi tutto | Comprimi tutto
Un profilo di connessione di Administration Server è disponibile solo nei dispositivi che eseguono Windows e macOS.
Per creare un profilo per la connessione di Network Agent ad Administration Server per gli utenti fuori sede:
- Se si desidera creare un profilo di connessione per un gruppo di dispositivi gestiti, aprire il criterio di Network Agent di questo gruppo. A tale scopo, procedere come segue:
- Nel menu principale accedere a DISPOSITIVI → CRITERI E PROFILI.
- Fare clic sul collegamento del percorso corrente.
- Nella finestra visualizzata selezionare il gruppo di amministrazione desiderato.
Successivamente, il percorso corrente viene modificato.
- Aggiungere il criterio di Network Agent per il gruppo di dispositivi gestiti. Se è già stato creato, fare clic sul nome del criterio di Network Agent per aprire le proprietà del criterio.
- Se si desidera creare un profilo di connessione per un dispositivo gestito specifico, procedere come segue:
- Nel menu principale accedere a DISPOSITIVI → DISPOSITIVI GESTITI.
- Fare clic sul nome del dispositivo gestito.
- Nella finestra delle proprietà del dispositivo gestito visualizzata, passare alla scheda Applicazioni.
- Fare clic sul nome del criterio di Network Agent a cui si applica solo il dispositivo gestito selezionato.
- Nella finestra delle proprietà visualizzata passare a Impostazioni applicazione → Rete → Profili connessione.
- Nella sezione Profili connessione di Administration Server fare clic sul pulsante Aggiungi.
Per impostazione predefinita, l'elenco dei profili di connessione contiene i profili <Modalità offline> e <Administration Server principale>. I profili non possono essere modificati o rimossi.
Il profilo <Modalità offline> non specifica alcun server per la connessione. Di conseguenza, quando viene eseguito il passaggio a questo profilo, Network Agent non tenta di connettersi ad alcun Administration Server, mentre le applicazioni installate nei dispositivi client sono eseguite con i criteri fuori sede. Il profilo <Modalità offline> può essere utilizzato se i dispositivi sono disconnessi dalla rete.
Il profilo <Administration Server principale> specifica per la connessione l'Administration Server che è stato selezionato durante l'installazione di Network Agent. Il profilo <Administration Server principale> viene applicato quando un dispositivo si riconnette all'Administration Server principale dopo l'esecuzione in una rete esterna per un determinato periodo.
- Nella finestra Configurare il profilo visualizzata configurare il profilo di connessione:
- Nome profilo
- Indirizzo di Administration Server
- Numero di porta
- Porta SSL
- Usa connessione SSL
- Se si desidera utilizzare un server proxy durante la connessione a Internet, selezionare l'opzione Usa server proxy. Se questa opzione è selezionata, i campi sono disponibili per l'immissione delle impostazioni. Specificare le seguenti impostazioni per la connessione a un server proxy:
- Indirizzo gateway connessione
- Abilita la modalità fuori sede quando Administration Server non è disponibile
- Usa per ricevere solo aggiornamenti
- Sincronizza impostazioni di connessione con le impostazioni di Administration Server specificate nel profilo
Verrà creato un profilo per la connessione di Network Agent ad Administration Server per gli utenti mobili. Quando Network Agent si connette ad Administration Server con questo profilo, le applicazioni installate in un dispositivo client utilizzeranno i criteri per i dispositivi in modalità fuori sede o i criteri fuori sede.
Informazioni sul passaggio di Network Agent ad altri Administration Server
Kaspersky Security Center offre un'opzione per effettuare il passaggio Network Agent di un dispositivo client ad altri Administration Server se cambiano le seguenti impostazioni di rete:
- Condizione per l'indirizzo server DHCP- L'indirizzo IP del server DHCP della rete è stato modificato.
- Condizione per indirizzo gateway di connessione predefinito- L'indirizzo del gateway principale della rete è stato modificato.
- Condizione per dominio DNS- Il suffisso DNS della subnet è stato modificato.
- Condizione per l'indirizzo server DNS - L'indirizzo IP del server DNS della rete è stato modificato.
- Condizione per l'indirizzo del server WINS- L'indirizzo IP del server WINS della rete è stato modificato. Questa impostazione è disponibile solo per i dispositivi che eseguono Windows.
- Condizione per la risolvibilità del nome- Il nome DNS o NetBIOS del dispositivo client è cambiato.
- Condizione per subnet- Modifica dell'indirizzo e della subnet mask.
- Condizione per l'accessibilità dominio Windows- Modifica dello stato del dominio Windows a cui il dispositivo client è connesso. Questa impostazione è disponibile solo per i dispositivi che eseguono Windows.
- Condizione per l'accessibilità dell'indirizzo di connessione SSL- Il dispositivo client può o non può (a seconda dell'opzione selezionata) stabilire una connessione SSL con un server specificato (nome: porta). Per ogni server è inoltre possibile specificare un certificato SSL. In questo caso, Network Agent verifica il certificato del server oltre a controllare la capacità di una connessione SSL. Se il certificato non corrisponde, la connessione non va a buon fine.
Questa funzionalità è supportata solo per i Network Agent installati nei dispositivi che eseguono Windows o macOS.
Le impostazioni iniziali della connessione di Network Agent ad Administration Server vengono definite durante l'installazione di Network Agent. Se sono state create regole per il passaggio del Network Agent ad altri Administration Server, Network Agent risponde alle modifiche delle impostazioni di rete nel modo seguente:
- Se le impostazioni di rete sono conformi a una delle regole create, Network Agent si connette all'Administration Server specificato in questa regola. Le applicazioni installate nei dispositivi client passano ai criteri fuori sede, a condizione che tale comportamento sia abilitato da una regola.
- Se non è applicabile alcuna regola, Network Agent ripristina le impostazioni predefinite della connessione all'Administration Server specificato durante l'installazione. Per le applicazioni installate nei dispositivi client vengono ripristinati i criteri attivi.
- Se l'Administration Server non è accessibile, Network Agent utilizzerà i criteri fuori sede.
Network Agent passa al criterio fuori sede solo se l'opzione Abilita la modalità fuori sede quando Administration Server non è disponibile è abilitata nelle impostazioni del criterio di Network Agent.
Le impostazioni della connessione di Network Agent all'Administration Server vengono salvate in un profilo. Nel profilo di connessione è possibile creare regole per il passaggio dei dispositivi client ai criteri fuori sede, nonché configurare il profilo in modo da utilizzarlo solo per il download degli aggiornamenti.
Creazione di una regola per il passaggio di Network Agent in base al percorso di rete
Espandi tutto | Comprimi tutto
Il passaggio di Network Agent in base al percorso di rete è disponibile solo nei dispositivi che eseguono Windows e macOS.
Per creare una regola per il passaggio di Network Agent da un Administration Server all'altro in caso di modifiche delle impostazioni di rete:
- Se si desidera creare una regola per un gruppo di dispositivi gestiti, aprire il criterio di Network Agent di questo gruppo. A tale scopo, procedere come segue:
- Nel menu principale accedere a DISPOSITIVI → CRITERI E PROFILI.
- Fare clic sul collegamento del percorso corrente.
- Nella finestra visualizzata selezionare il gruppo di amministrazione desiderato.
Successivamente, il percorso corrente viene modificato.
- Aggiungere il criterio di Network Agent per il gruppo di dispositivi gestiti. Se è già stato creato, fare clic sul nome del criterio di Network Agent per aprire le proprietà del criterio.
- Se si desidera creare una regola per un dispositivo gestito specifico, procedere come segue:
- Nel menu principale accedere a DISPOSITIVI → DISPOSITIVI GESTITI.
- Fare clic sul nome del dispositivo gestito.
- Nella finestra delle proprietà del dispositivo gestito visualizzata, passare alla scheda Applicazioni.
- Fare clic sul nome del criterio di Network Agent a cui si applica solo il dispositivo gestito selezionato.
- Nella finestra delle proprietà visualizzata passare a Impostazioni applicazione → Rete → Profili connessione.
- Nella sezione Impostazioni percorso di rete fare clic sul pulsante Aggiungi.
- Nella finestra delle proprietà visualizzata configurare la descrizione del percorso di rete e la regola per il passaggio. Specificare le seguenti impostazioni della descrizione del percorso di rete:
- Selezionare le condizioni per la regola per il passaggio di Network Agent:
- Condizione per l'indirizzo server DHCP- L'indirizzo IP del server DHCP della rete è stato modificato.
- Condizione per indirizzo gateway di connessione predefinito- L'indirizzo del gateway principale della rete è stato modificato.
- Condizione per dominio DNS- Il suffisso DNS della subnet è stato modificato.
- Condizione per l'indirizzo server DNS - L'indirizzo IP del server DNS della rete è stato modificato.
- Condizione per l'indirizzo del server WINS- L'indirizzo IP del server WINS della rete è stato modificato. Questa impostazione è disponibile solo per i dispositivi che eseguono Windows.
- Condizione per la risolvibilità del nome- Il nome DNS o NetBIOS del dispositivo client è cambiato.
- Condizione per subnet- Modifica dell'indirizzo e della subnet mask.
- Condizione per l'accessibilità dominio Windows- Modifica dello stato del dominio Windows a cui il dispositivo client è connesso. Questa impostazione è disponibile solo per i dispositivi che eseguono Windows.
- Condizione per l'accessibilità dell'indirizzo di connessione SSL- Il dispositivo client può o non può (a seconda dell'opzione selezionata) stabilire una connessione SSL con un server specificato (nome: porta). Per ogni server è inoltre possibile specificare un certificato SSL. In questo caso, Network Agent verifica il certificato del server oltre a controllare la capacità di una connessione SSL. Se il certificato non corrisponde, la connessione non va a buon fine.
Le condizioni in una regola vengono combinate utilizzando l'operatore logico AND. Per attivare una regola di passaggio in base alla descrizione del percorso di rete, devono essere soddisfatte tutte le condizioni della regola.
- Nella sezione delle condizioni specificare quando è necessario che Network Agent passi a un altro Administration Server. A tale scopo, fare clic sul pulsante Aggiungi, quindi impostare il valore della condizione.
Inoltre, l'opzione Corrisponde ad almeno un valore dell'elenco è abilitata per impostazione predefinita. È possibile disabilitare questa opzione se si desidera che la condizione venga soddisfatta con tutti i valori specificati.
- Salvare le modifiche.
Verrà creata una nuova regola di passaggio in base alla descrizione del percorso di rete. Quando le condizioni della regola sono soddisfatte, Network Agent utilizza il profilo di connessione specificato nella regola per connettersi ad Administration Server.