Pianificazione della distribuzione di Kaspersky Security Center

Questa sezione contiene informazioni sulle opzioni più convenienti per la distribuzione dei componenti di Kaspersky Security Center nella rete di un'organizzazione a seconda dei seguenti criteri:

• Numero totale di dispositivi
• Unità (sedi locali, filiali) separate a livello organizzativo o geografico
• Reti distinte connesse tramite canali con larghezza di banda ridotta
• Necessità dell'accesso via Internet all'Administration Server

Schemi tipici di distribuzione di un sistema di protezione

In questa sezione vengono descritti gli schemi standard per la distribuzione di un sistema di protezione anti-virus in una rete aziendale tramite Kaspersky Security Center.

Il sistema deve essere protetto contro qualsiasi tipo di accesso non autorizzato. È consigliabile installare tutti gli aggiornamenti della protezione disponibili per il sistema operativo prima di installare l'applicazione nel dispositivo e proteggere fisicamente Administration Server e punti di distribuzione.

È possibile utilizzare Kaspersky Security Center per distribuire un sistema di protezione in una rete aziendale tramite i seguenti schemi di distribuzione:

• Distribuzione di un sistema di protezione tramite Kaspersky Security Center, mediante uno dei seguenti modi:
  • Tramite Administration Console
  • Tramite Kaspersky Security Center Web Console

  Le applicazioni Kaspersky vengono installate automaticamente nei dispositivi client che, a loro volta, vengono connessi automaticamente ad Administration Server utilizzando Kaspersky Security Center.

  Lo schema di distribuzione di base prevede la distribuzione di un sistema di protezione tramite Administration Console. L'utilizzo di Kaspersky Security Center Web Console consente di avviare l'installazione delle applicazioni Kaspersky da un browser.

• Distribuzione manuale di un sistema di protezione utilizzando pacchetti di installazione indipendenti generati da Kaspersky Security Center.

  L'installazione delle applicazioni Kaspersky nei dispositivi client e nella workstation dell'amministratore viene eseguita manualmente; le impostazioni per la connessione dei dispositivi client ad Administration Server vengono specificate durante l'installazione di Network Agent.

  Questo metodo di distribuzione è consigliato nei casi in cui l'installazione remota non è possibile.

Kaspersky Security Center consente inoltre di distribuire il sistema di protezione utilizzando i criteri di gruppo di Microsoft Active Directory.

Informazioni sulla pianificazione della distribuzione di Kaspersky Security Center nella rete di un'organizzazione

Un solo Administration Server può supportare un massimo di 100.000 dispositivi. Se il numero totale di dispositivi nella rete di un'organizzazione è superiore a 100.000, è necessario distribuire più Administration Server nella rete e combinarli in una gerarchia per gestirli comodamente in modo centralizzato.

Se un'organizzazione include sedi locali remote su larga scala (filiali) con amministratori distinti, è consigliabile distribuire gli Administration Server in tali sedi. In caso contrario, tali filiali devono essere considerate reti distinte connesse tramite canali a basso throughput; vedere la sezione "Configurazione standard: poche sedi su larga scala gestite da amministratori distinti".

Quando si utilizzano reti distinte connesse tramite canali con larghezza di banda ridotta, è possibile ridurre il traffico assegnando a uno o più Network Agent il ruolo di punto di distribuzione (vedere la tabella per il calcolo del numero di punti di distribuzione). In questo caso, tutti i dispositivi in una rete distinta recupereranno gli aggiornamenti da tali centri di aggiornamento locali. I punti di distribuzione effettivi possono scaricare gli aggiornamenti sia da Administration Server (scenario predefinito) sia dai server Kaspersky in Internet (vedere la sezione "Configurazione standard: più sedi remote di piccole dimensioni").

La sezione "Configurazioni standard di Kaspersky Security Center" fornisce descrizioni dettagliate delle configurazioni standard di Kaspersky Security Center. Durante la pianificazione della distribuzione, scegliere la configurazione standard più adatta, in base alla struttura dell'organizzazione.

In fase di pianificazione della distribuzione, deve essere valutata l'assegnazione di uno speciale certificato X.509 all'Administration Server. L'assegnazione del certificato X.509 all'Administration Server può essere utile nei seguenti casi (elenco parziale):

• Ispezione del traffico SSL (Secure Sockets Layer) per mezzo di un proxy con terminazione SSL o per l'utilizzo di un proxy inverso
• Integrazione con l'infrastruttura PKI (Public Key Infrastructure) di un'organizzazione
• Specificazione dei valori richiesti nei campi del certificato
• Specificazione del livello di criptaggio richiesto di un certificato

Selezione di una struttura per la protezione di un'azienda

La selezione di una struttura per la protezione di un'organizzazione viene definita dai seguenti fattori:

• Topologia della rete dell'organizzazione.
• Struttura dell'organizzazione.
• Numero di dipendenti responsabili della protezione della rete e allocazione delle relative responsabilità.
• Risorse hardware che possono essere allocate nei componenti di gestione della protezione.
• Throughput dei canali di comunicazione che è possibile allocare per la manutenzione dei componenti della protezione nella rete dell'organizzazione.
• Limiti di tempo per l'esecuzione di operazioni amministrative critiche nella rete dell'organizzazione. Le operazioni amministrative critiche includono, ad esempio, la distribuzione dei database anti-virus e la modifica dei criteri per i dispositivi client.

Quando si seleziona una struttura di protezione, è innanzitutto consigliabile effettuare una stima delle risorse hardware e di rete disponibili che è possibile utilizzare per l'esecuzione di un sistema di protezione centralizzato.

Per analizzare l'infrastruttura di rete e hardware, è consigliabile attenersi alla seguente procedura:

1. Definire le seguenti impostazioni della rete per cui verrà distribuita la protezione:
   • Numero di segmenti di rete.
   • Velocità dei canali di comunicazione tra i singoli segmenti di rete.
   • Numero di dispositivi gestiti in ciascun segmento di rete.
   • Throughput di ciascun canale di comunicazione che è possibile allocare per garantire il funzionamento della protezione.
2. Determinare il tempo massimo consentito per l'esecuzione delle operazioni di amministrazione chiave per tutti i dispositivi gestiti.
3. Analizzare le informazioni dei passaggi 1 e 2, oltre ai dati dai test di carico del sistema di amministrazione. In base all'analisi, rispondere alle seguenti domande:
   • È possibile servire tutti i client con un solo Administration Server o è necessaria una gerarchia di Administration Server?
   • Quale configurazione hardware di Administration Server è necessaria per gestire tutti i client nel rispetto dei limiti di tempo specificati al passaggio 2?
   • È necessario utilizzare i punti di distribuzione per ridurre il carico sui canali di comunicazione?

Dopo aver ottenuto le risposte alle domande indicate nel passaggio 3, è possibile compilare un set di strutture consentite per la protezione dell'organizzazione.

Nella rete dell'organizzazione è possibile utilizzare una delle seguenti strutture di protezione standard:

• Un solo Administration Server. Tutti i dispositivi client sono connessi a un solo Administration Server. Administration Server opera come punto di distribuzione.
• Un solo Administration Server con punti di distribuzione. Tutti i dispositivi client sono connessi a un solo Administration Server. Alcuni dispositivi client della rete operano come punti di distribuzione.
• Gerarchia di Administration server. Per ciascun segmento di rete viene allocato un singolo Administration Server, che entra a far parte di una gerarchia generale di Administration Server. L'Administration Server primario opera come punto di distribuzione.
• Gerarchia di Administration Server con punti di distribuzione. Per ciascun segmento di rete viene allocato un singolo Administration Server, che entra a far parte di una gerarchia generale di Administration Server. Alcuni dispositivi client della rete operano come punti di distribuzione.

Configurazioni standard di Kaspersky Security Center

Questa sezione descrive le seguenti configurazioni standard utilizzate per la distribuzione dei componenti di Kaspersky Security Center nella rete di un'organizzazione:

• Singola sede
• Poche sedi su larga scala, separate a livello geografico e gestite da amministratori distinti
• Più sedi di piccole dimensioni, separate a livello geografico

Configurazione standard: singola sede

È possibile distribuire uno o più Administration Server nella rete dell'organizzazione. Il numero di Administration Server che è possibile selezionare può essere basato sull'hardware disponibile o sul numero totale di dispositivi gestiti.

Un solo Administration Server può supportare fino a 100.000 dispositivi. È necessario tenere conto della possibilità di aumentare il numero di dispositivi gestiti in futuro: può essere utile connettere un numero più limitato di dispositivi a un singolo Administration Server.

Gli Administration Server possono essere distribuiti nella rete interna o nella rete perimetrale, a seconda del fatto che sia necessario o meno l'accesso via Internet agli Administration Server.

Se vengono utilizzati più server, è consigliabile combinarli in una gerarchia. L'utilizzo di una gerarchia di Administration Server consente di evitare la duplicazione di criteri e attività e di amministrare l'intero set di dispositivi gestiti come se fossero gestiti da un singolo Administration Server (ricerca di dispositivi, creazione di selezioni di dispositivi e generazione di rapporti).

Configurazione standard: poche sedi su larga scala gestite da amministratori distinti

Se un'organizzazione ha diverse sedi su larga scala e geograficamente distanti, è necessario prendere in considerazione l'opzione di distribuire Administration Server in ciascuna sede. Per ogni sede possono essere distribuiti uno o più server di amministrazione, a seconda del numero di dispositivi client e dell'hardware disponibile. In questo caso, ciascuna sede avrà le caratteristiche descritte nello scenario "Configurazione standard: singola sede". Per semplificare l'amministrazione è consigliabile combinare tutti gli Administration Server in una gerarchia (possibilmente multi-livello).

Se alcuni dipendenti si spostano da un ufficio all'altro con i propri dispositivi (laptop), creare profili di connessione di Network Agent nel criterio di Network Agent. I profili di connessione di Network Agent sono supportati solo per i dispositivi Windows e macOS.

Configurazione standard: più sedi remote di piccole dimensioni

Questa configurazione standard prevede una sede centrale e diverse sedi remote di piccole dimensioni che possono comunicare con la sede centrale tramite Internet. Ogni sede remota può essere posizionata dietro un NAT (Network Address Translation), quindi non è possibile stabilire alcuna connessione tra due sedi remote poiché sono isolate.

È necessario distribuire un Administration Server nella sede centrale e assegnare uno o più punti di distribuzione a tutte le altre sedi. Se le sedi sono collegate via Internet, può essere utile creare un'attività Scarica aggiornamenti negli archivi dei punti di distribuzione per i punti di distribuzione, in modo gli aggiornamenti vengano scaricati direttamente dai server di Kaspersky, dalla cartella locale o di rete, invece che da Administration Server.

Se alcuni dispositivi in una sede remota non hanno accesso diretto all'Administration Server (ad esempio, l'accesso all'Administration Server viene fornito via Internet ma alcuni dispositivi non hanno accesso a Internet), i punti di distribuzione devono essere impostati in modalità gateway di connessione. In questo caso, i Network Agent nei dispositivi della sede remota saranno connessi per l'ulteriore sincronizzazione all'Administration Server, ma attraverso il gateway, non direttamente.

Poiché in genere l'Administration Server non è in grado di eseguire il polling della rete della sede remota, può essere utile assegnare questa funzione a un punto di distribuzione.

L'Administration Server non potrà inviare notifiche tramite la porta UDP 15000 ai dispositivi gestiti posizionati dietro il NAT nella sede remota. Per risolvere questo problema, è possibile abilitare la modalità di connessione continua ad Administration Server nelle proprietà dei dispositivi che operano come punti di distribuzione (casella di controllo Non eseguire la disconnessione da Administration Server). Questa modalità è disponibile se il numero totale di punti di distribuzione non è superiore a 300. Utilizzare i server push per assicurarsi che vi sia una connettività costante tra un dispositivo gestito e l'Administration Server. Per ulteriori dettagli, fare riferimento al seguente argomento: Utilizzo di un punto di distribuzione come server push.

Come selezionare un DBMS per Administration Server

Durante la selezione del sistema di gestione database (DBMS) che deve essere utilizzato da un Administration Server, è necessario tenere conto del numero di dispositivi coperti dall'Administration Server.

SQL Server Express Edition prevede limitazioni sul volume di memoria utilizzato, sul numero di core CPU utilizzati e sulle dimensioni massime del database. Di conseguenza, non è possibile utilizzare SQL Server Express Edition se Administration Server include più di 10.000 dispositivi o se Controllo Applicazioni è utilizzato nei dispositivi gestiti. Se Administration Server viene utilizzato come server Windows Server Update Services (WSUS), non è possibile utilizzare nemmeno SQL Server Express Edition.

Se Administration Server copre più di 10.000 dispositivi, è consigliabile utilizzare versioni di SQL Server con meno limitazioni, ad esempio: SQL Server Workgroup Edition, SQL Server Web Edition, SQL Server Standard Edition o SQL Server Enterprise Edition.

Se Administration Server copre al massimo 50.000 dispositivi e se la funzionalità Controllo Applicazioni non viene utilizzata nei dispositivi gestiti, è possibile utilizzare anche MySQL 8.0.20 e versioni successive.

Se Administration Server copre al massimo 20.000 dispositivi e se la funzionalità Controllo Applicazioni non viene utilizzata nei dispositivi gestiti, è possibile utilizzare il server MariaDB 10.3 come DBMS.

Se Administration Server copre al massimo 10.000 dispositivi e se la funzionalità Controllo Applicazioni non viene utilizzata nei dispositivi gestiti, è possibile utilizzare anche MySQL 5.5, 5.6 o 5.7 come DBMS.

Le versioni 5.5.1, 5.5.2, 5.5.3, 5.5.4 e 5.5.5 di MySQL non sono più supportate.

Se si utilizza SQL Server 2019 come DBMS e non si dispone della patch cumulativa CU12 o versione successiva, è necessario eseguire le seguenti operazioni dopo l'installazione di Kaspersky Security Center:

1. Stabilire la connessione a SQL Server utilizzando SQL Management Studio.
2. Eseguire il seguente comando (se è stato selezionato un nome diverso per il database, utilizza quel nome invece di KAV):

   USE KAV

   GO

   ALTER DATABASE SCOPED CONFIGURATION SET TSQL_SCALAR_UDF_INLINING = OFF

   GO

3. Riavviare il servizio SQL Server 2019.

In alternativa, l'utilizzo di SQL Server 2019 può generare errori, ad esempio "Memoria di sistema insufficiente nel pool di risorse 'interno' per l'esecuzione di questa query".

Selezione di un DBMS

Durante l'installazione di Administration Server, è possibile selezionare il sistema DBMS che verrà utilizzato da Administration Server. Durante la selezione del sistema di gestione database (DBMS) che deve essere utilizzato da un Administration Server, è necessario tenere conto del numero di dispositivi coperti dall'Administration Server.

Nella seguente tabella sono elencate le opzioni DBMS valide e le limitazioni per il relativo utilizzo.

Limitazioni per DBMS

Se si utilizza SQL Server 2019 come DBMS e non si dispone della patch cumulativa CU12 o versione successiva, è necessario eseguire le seguenti operazioni dopo l'installazione di Kaspersky Security Center:

1. Stabilire la connessione a SQL Server utilizzando SQL Management Studio.
2. Eseguire il seguente comando (se è stato selezionato un nome diverso per il database, utilizza quel nome invece di KAV):

   USE KAV

   GO

   ALTER DATABASE SCOPED CONFIGURATION SET TSQL_SCALAR_UDF_INLINING = OFF

   GO

3. Riavviare il servizio SQL Server 2019.

In alternativa, l'utilizzo di SQL Server 2019 può generare errori, ad esempio "Memoria di sistema insufficiente nel pool di risorse 'interno' per l'esecuzione di questa query".

L'utilizzo simultaneo del DBMS SQL Server Express Edition da parte di Administration Server e di un'altra applicazione non è consentito.

Gestione dei dispositivi mobili con Kaspersky Endpoint Security for Android

I dispositivi mobili in cui è installato Kaspersky Endpoint Security for Android (di seguito denominati dispositivi KES) sono gestiti tramite l'Administration Server. Kaspersky Security Center supporta le seguenti funzionalità per la gestione dei dispositivi KES:

• Gestione dei dispositivi mobili come dispositivi client:
  • Appartenenza ai gruppi di amministrazione
  • Monitoraggio, ad esempio la visualizzazione di stati, eventi e rapporti
  • Modifica delle impostazioni locali e assegnazione di criteri per Kaspersky Endpoint Security for Android
• Invio di comandi in modalità centralizzata
• Installazione remota di pacchetti app mobili

Administration Server gestisce i dispositivi KES tramite TLS, porta TCP 13292.

Concessione dell'accesso via Internet all'Administration Server

L'accesso via Internet all'Administration Server è necessario nei seguenti casi:

• Aggiornamento periodico dei database, dei moduli software e delle applicazioni Kaspersky
• Aggiornamento di software di terze parti

  Per impostazione predefinita, non è richiesta la connessione Internet per l'installazione degli aggiornamenti software Microsoft nei dispositivi gestiti da parte di Administration Server. I dispositivi gestiti possono ad esempio scaricare gli aggiornamenti software Microsoft direttamente dai server Microsoft Update o da Windows Server con Microsoft Windows Server Update Services (WSUS) distribuito nella rete dell'organizzazione. Administration Server deve essere connesso a Internet nei seguenti casi:

  • Quando si usa Administration Server come server WSUS
  • Per installare gli aggiornamenti di software di terze parti diverso dal software Microsoft
• Correzione delle vulnerabilità del software di terze parti

  È necessaria una connessione Internet affinché Administration Server esegua le seguenti attività:

  • Per creare un elenco di correzioni consigliate per le vulnerabilità del software Microsoft. L'elenco viene creato e aggiornato regolarmente dagli specialisti Kaspersky.
  • Per correggere le vulnerabilità in software di terze parti diverso dal software Microsoft.
• Gestione dei dispositivi (portatili) degli utenti fuori sede
• Gestione dei dispositivi nelle sedi remote
• Interazione con gli Administration Server primari o secondari situati nelle sedi remote
• Gestione dei dispositivi mobili

Questa sezione descrive i modi tipici per fornire l'accesso via Internet all'Administration Server. Ciascuno dei casi che prevedono l'accesso via Internet ad Administration Server può richiedere un certificato dedicato per Administration Server.

Accesso a Internet: Administration Server in una rete locale

Se l'Administration Server è posizionato nella rete interna di un'organizzazione, è consigliabile rendere la porta TCP 13000 dell'Administration Server accessibile dall'esterno per mezzo del port forwarding. Se è necessaria la gestione dei dispositivi mobili, è consigliabile rendere accessibile la porta TCP 13292.

Accesso a Internet: Administration Server in una rete perimetrale

Se l'Administration Server è posizionato nella rete perimetrale dell'organizzazione, non ha accesso alla rete interna dell'organizzazione. Si applicano pertanto le seguenti limitazioni:

• L'Administration Server non può rilevare nuovi dispositivi.
• Administration Server non può eseguire la distribuzione iniziale di Network Agent tramite l'installazione forzata sui dispositivi nella rete interna dell'organizzazione.

Questo vale solo per l'installazione iniziale di Network Agent. Qualsiasi ulteriore upgrade di Network Agent o l'installazione dell'applicazione di protezione potranno comunque essere eseguiti dall'Administration Server. Allo stesso tempo, la distribuzione iniziale dei Network Agent può essere eseguita con altri sistemi, ad esempio tramite i criteri di gruppo di Microsoft Active Directory.

• L'Administration Server non può inviare notifiche ai dispositivi gestiti tramite la porta UDP 15000, che non è critica per il funzionamento di Kaspersky Security Center.
• L'Administration Server non può eseguire il polling di Active Directory. Tuttavia, i risultati del polling di Active Directory non sono richiesti nella maggior parte degli scenari.

Se le limitazioni precedenti sono considerate di importanza critica, possono essere rimosse utilizzando punti di distribuzione posizionati nella rete dell'organizzazione:

• Per eseguire la distribuzione iniziale nei dispositivi senza Network Agent, installare Network Agent in uno dei dispositivi e quindi assegnargli lo stato di punto di distribuzione. L'installazione iniziale di Network Agent negli altri dispositivi sarà eseguita da Administration Server tramite questo punto di distribuzione.
• Per rilevare i nuovi dispositivi nella rete interna dell'organizzazione ed eseguire il polling di Active Directory, è necessario abilitare i metodi di device discovery appropriati in uno dei punti di distribuzione.

Per assicurare il corretto invio delle notifiche alla porta UDP 15000 sui dispositivi gestiti nella rete interna dell'organizzazione, è necessario coprire l'intera rete con punti di distribuzione. Nelle proprietà dei punti di distribuzione assegnati selezionare la casella di controllo Non eseguire la disconnessione da Administration Server. Administration Server stabilirà una connessione continua ai punti di distribuzione e questi potranno inviare notifiche alla porta UDP 15000 nei dispositivi che si trovano nella rete interna dell'organizzazione (può trattarsi di una rete IPv4 o IPv6).

Accesso a Internet: Network Agent come gateway di connessione nella rete perimetrale

Administration Server può essere posizionato nella rete interna dell'organizzazione: in una rete perimetrale (DMZ) di tale rete può essere presente un dispositivo con Network Agent eseguito come gateway di connessione con connettività inversa (Administration Server stabilisce una connessione a Network Agent). In questo caso, devono essere soddisfatte le seguenti condizioni per garantire l'accesso a Internet:

• Nel dispositivo posizionato nella rete perimetrale deve essere installato Network Agent. Quando si installa Network Agent, nella finestra Gateway di connessione dell'Installazione guidata selezionare Utilizzare Network Agent come gateway di connessione nella rete perimetrale.
• Il dispositivo con il gateway di connessione installato deve essere aggiunto come punto di distribuzione. Quando si aggiunge il gateway di connessione, nella finestra Aggiungi punto di distribuzione selezionare l'opzione Seleziona → Aggiungi gateway di connessione nella rete perimetrale in base all'indirizzo.
• Per utilizzare una connessione Internet per connettere computer desktop esterni ad Administration Server, è necessario correggere il pacchetto di installazione per Network Agent. Nelle proprietà del pacchetto di installazione creato selezionare l'opzione Avanzate →Esegui la connessione ad Administration Server utilizzando un gateway di connessione, quindi specificare il nuovo gateway di connessione creato.

Per il gateway di connessione nella rete perimetrale, Administration Server crea un certificato firmato con il certificato di Administration Server. Se l'amministratore decide di assegnare un certificato personalizzato ad Administration Server, questa operazione deve essere eseguita prima di creare un gateway di connessione nella rete perimetrale.

Se alcuni dipendenti utilizzano computer portatili che possono connettersi ad Administration Server sia dalla rete locale che via Internet, può essere utile creare una regola per il passaggio di Network Agent nel criterio di Network Agent.

Informazioni sui punti di distribuzione

Un dispositivo in cui è installato Network Agent può essere utilizzato come punto di distribuzione. In questa modalità, Network Agent può eseguire le seguenti funzioni:

• Distribuire gli aggiornamenti (recuperati dall'Administration Server o dai server di Kaspersky). Nel secondo caso, è necessario creare l'attività Scarica aggiornamenti negli archivi dei punti di distribuzione per il dispositivo che opera come punto di distribuzione:
  • Installare il software (inclusa la distribuzione iniziale dei Network Agent) in altri dispositivi.
  • Eseguire il polling della rete per rilevare nuovi dispositivi e aggiornare le informazioni sui dispositivi esistenti. Un punto di distribuzione può applicare gli stessi metodi di device discovery di Administration Server.

La distribuzione dei punti di distribuzione nella rete di un'organizzazione ha i seguenti obiettivi:

• Riduzione del carico sull'Administration Server.
• Ottimizzazione del traffico.
• Concessione all'Administration Server dell'accesso ai dispositivi in posizioni difficili da raggiungere della rete dell'organizzazione. La disponibilità di un punto di distribuzione nella rete dietro un NAT (in relazione all'Administration Server) consente all'Administration Server di eseguire le seguenti azioni:
  • Inviare notifiche ai dispositivi tramite UDP nella rete IPv4 o IPv6
  • Eseguire il polling della rete IPv4 o IPv6
  • Eseguire la distribuzione iniziale
  • Fungere da server push

Un punto di distribuzione viene assegnato a un gruppo di amministrazione. In questo caso, l'ambito del punto di distribuzione include tutti i dispositivi all'interno del gruppo di amministrazione e di tutti i relativi sottogruppi. Tuttavia, il dispositivo che opera come punto di distribuzione può non essere incluso nel gruppo di amministrazione a cui è stato assegnato.

È possibile far funzionare un punto di distribuzione come gateway di connessione. In questo caso, i dispositivi nell'ambito del punto di distribuzione saranno connessi all'Administration Server tramite il gateway, non direttamente. Questa modalità può essere utile negli scenari che non consentono di stabilire una connessione diretta tra Administration Server e dispositivi gestiti.

Se si utilizza un dispositivo basato su Linux come punto di distribuzione, si consiglia vivamente di aumentare il limite dei descrittori di file per il servizio klnagent, poiché se l'ambito del punto di distribuzione include molti dispositivi, il numero massimo predefinito di file che è possibile aprire potrebbe non essere sufficiente.

Aumento del limite dei descrittori di file per il servizio klnagent

Se l'ambito di un punto di distribuzione basato su Linux include molti dispositivi, il limite predefinito di file che è possibile aprire (descrittori di file) potrebbe non essere sufficiente. Per evitare questo, è possibile aumentare il limite dei descrittori di file per il servizio klnagent.

Per aumentare il limite dei descrittori di file per il servizio klnagent:

1. Nel dispositivo basato su Linux che funge da punto di distribuzione, aprire il file /lib/systemd/system/klnagent64.service, quindi specificare i limiti hard e soft dei descrittori di file nel parametro LimitNOFILE della sezione [Service]:

   LimitNOFILE=<soft_resource_limit>:<hard_resource_limit>

   Ad esempio, LimitNOFILE=32768:131072. Si noti che il limite soft dei descrittori di file deve essere inferiore o uguale al limite hard.

2. Eseguire il seguente comando per assicurarsi che i parametri siano specificati correttamente:

   systemd-analyze verify klnagent64.service

   Se i parametri sono specificati in modo errato, questo comando può generare uno dei seguenti errori:

   • /lib/systemd/system/klnagent64.service:11: Failed to parse resource value, ignoring: 32768:13107

     Se si verifica questo errore, i simboli nella riga LimitNOFILE sono stati specificati in modo errato. È necessario controllare e correggere la riga immessa.

   • /lib/systemd/system/klnagent64.service:11: Soft resource limit chosen higher than hard limit, ignoring: 32768:13107

     Se si verifica questo errore, il limite soft dei descrittori di file immessi è maggiore del limite hard. È necessario controllare la riga immessa e assicurarsi che il limite soft dei descrittori di file sia uguale o inferiore al limite hard.

3. Eseguire il seguente comando per ricaricare il processo systemd:

   systemctl daemon-reload

4. Eseguire il seguente comando per riavviare il servizio Network Agent:

   systemctl restart klnagent

5. Eseguire il seguente comando per assicurarsi che i parametri specificati vengano applicati correttamente:

   less /proc/<nagent_proc_id>/limits

   dove il parametro <nagent_proc_id> è l'identificatore del processo di Network Agent. È possibile eseguire il seguente comando per ottenere l'identificatore:

   ps -ax | grep klnagent

Per il punto di distribuzione basato su Linux, il limite di file che è possibile aprire è stato aumentato.

Calcolo del numero e configurazione dei punti di distribuzione

Più dispositivi client contiene una rete, maggiore è il numero dei punti di distribuzione richiesti. È consigliabile non disabilitare l'assegnazione automatica dei punti di distribuzione. Quando è abilitata l'assegnazione automatica dei punti di distribuzione, Administration Server assegna i punti di distribuzione se il numero dei dispositivi client è ampio e definisce la configurazione.

Utilizzo di punti di distribuzione assegnati in modo esclusivo

Se si prevede di utilizzare alcuni dispositivi specifici come punti di distribuzione (ovvero, server assegnati in modo esclusivo), è possibile scegliere di non utilizzare l'assegnazione automatica dei punti di distribuzione. In questo caso, verificare che i dispositivi a cui assegnare il ruolo di punti di distribuzione dispongano di un volume sufficiente di spazio libero su disco, che non vengano arrestati regolarmente e che la modalità di sospensione sia disabilitata.

Numero di punti di distribuzione assegnati in modo esclusivo in una rete che contiene un solo segmento di rete, in base al numero di dispositivi di rete

Numero di punti di distribuzione assegnati in modo esclusivo in una rete che contiene più segmenti di rete, in base al numero di dispositivi di rete

Utilizzo di dispositivi client standard (workstation) come punti di distribuzione

Se si prevede di utilizzare dispositivi client standard (ovvero, workstation) come punti di distribuzione, è consigliabile assegnare i punti di distribuzione come indicato nelle tabelle seguenti per evitare un carico eccessivo sui canali di comunicazione e su Administration Server:

Numero di workstation che operano come punti di distribuzione in una rete che contiene un solo segmento di rete, in base al numero di dispositivi di rete

Numero di workstation che operano come punti di distribuzione in una rete che contiene più segmenti di rete, in base al numero di dispositivi di rete

Se un punto di distribuzione viene arrestato (o non è disponibile per altri motivi), i dispositivi gestiti nel relativo ambito possono accedere ad Administration Server per gli aggiornamenti.

Gerarchia di Administration Server

Un MSP può eseguire diversi Administration Server. Poiché può essere scomodo amministrare più Administration Server distinti, è possibile applicare una gerarchia. Una configurazione "primario/secondario" per due Administration Server fornisce le seguenti opzioni:

• Un Administration Server secondario eredita i criteri e le attività dall'Administration Server primario, evitando così la duplicazione delle impostazioni.
• Le selezioni di dispositivi nell'Administration Server primario possono includere i dispositivi degli Administration Server secondari.
• I rapporti nell'Administration Server primario possono contenere dati (incluse informazioni dettagliate) ottenuti dagli Administration Server secondari.

L'Administration Server primario riceve i dati solo dagli Administration Server secondari non virtuali nell'ambito delle opzioni elencate sopra. Questa limitazione non si applica agli Administration Server virtuali, che condividono il database con l'Administration Server primario.

Administration Server virtuali

Sulla base di un Administration Server fisico, è possibile creare più Administration Server virtuali, simili agli Administration Server secondari. Rispetto al modello di accesso discrezionale, che è basato su elenchi di controllo di accesso (ACL), il modello degli Administration Server virtuali è più funzionale e fornisce un maggior livello di isolamento. Oltre a una struttura dedicata di gruppi di amministrazione per i dispositivi assegnati con criteri e attività, ogni Administration Server virtuale dispone di un proprio gruppo di dispositivi non assegnati, di insiemi di rapporti, dispositivi ed eventi selezionati, pacchetti di installazione, regole di spostamento e così via. L'ambito funzionale degli Administration Server virtuali può essere utilizzato sia dai provider di servizi (xSP) per massimizzare l'isolamento dei clienti, sia da organizzazioni su vasta scala con flussi di lavoro sofisticati e numerosi amministratori.

Gli Administration Server virtuali sono molto simili agli Administration Server secondari, ma con le seguenti distinzioni:

• Un Administration Server virtuale non dispone della maggior parte delle impostazioni globali e di specifiche porte TCP.
• Un Administration Server virtuale non dispone di Administration Server secondari.
• Un Administration Server virtuale non include altri Administration Server virtuali.
• Un Administration Server fisico visualizza i dispositivi, i gruppi, gli eventi e gli oggetti nei dispositivi gestiti (elementi in Quarantena, registro delle applicazioni e così via) di tutti i relativi Administration Server virtuali.
• Un Administration Server virtuale può eseguire solo la scansione della rete a cui sono connessi punti di distribuzione.

Informazioni sulle limitazioni di Kaspersky Security Center

Nella seguente tabella sono riportate le limitazioni della versione corrente di Kaspersky Security Center.

Limitazioni di Kaspersky Security Center

Carico di rete

Questa sezione contiene informazioni sul volume del traffico di rete scambiato tra i dispositivi client e Administration Server durante gli scenari di amministrazione chiave.

Il carico principale sulla rete è causato dai seguenti scenari di amministrazione:

• Distribuzione iniziale della protezione anti-virus
• Aggiornamento iniziale dei database anti-virus
• Sincronizzazione di un dispositivo client con Administration Server
• Aggiornamenti periodici dei database anti-virus
• Elaborazione di eventi nei dispositivi client da parte di Administration Server

Distribuzione iniziale della protezione anti-virus

In questa sezione vengono fornite informazioni sui valori del volume del traffico registrati dopo l'installazione di Network Agent 14 e Kaspersky Endpoint Security for Windows nel dispositivo client (vedere la tabella seguente).

Network Agent viene installato utilizzando l'installazione forzata, in cui i file necessari per l'installazione vengono copiati da Administration Server in una cartella condivisa nel dispositivo client. Al termine dell'installazione, Network Agent recupera il pacchetto di distribuzione di Kaspersky Endpoint Security for Windows utilizzando la connessione ad Administration Server.

Traffico

Dopo l'installazione di Network Agent nei dispositivi client, a uno dei dispositivi nel gruppo di amministrazione può essere assegnato il ruolo di punto di distribuzione. Questo viene utilizzato per la distribuzione dei pacchetti di installazione. In questo caso, il volume di traffico trasferito durante la distribuzione iniziale della protezione anti-virus varia in modo significativo a seconda del fatto che si utilizzi o meno la modalità IP multicast.

Se viene utilizzata la modalità IP multicast, i pacchetti di installazione vengono inviati una sola volta a tutti i dispositivi in esecuzione nel gruppo di amministrazione. Il traffico totale si riduce quindi di N volte, dove N è il numero totale di dispositivi in esecuzione nel gruppo di amministrazione. Se non si utilizza la modalità IP multicast, il traffico totale è identico al traffico calcolato quando i pacchetti di distribuzione vengono scaricati da Administration Server. Tuttavia, l'origine dei pacchetti è il punto di distribuzione anziché Administration Server.

Aggiornamento iniziale dei database anti-virus

I valori del traffico durante l'aggiornamento iniziale dei database anti-virus (al primo avvio dell'attività di aggiornamento del database in un dispositivo client) sono i seguenti:

• Traffico da un dispositivo client ad Administration Server: 1,8 MB.
• Traffico da Administration Server a un dispositivo client: 113 MB.
• Traffico totale (per un singolo dispositivo client): 114 MB.

I dati possono variare leggermente a seconda della versione corrente del database anti-virus.

Sincronizzazione di un client con Administration Server

Questo scenario descrive lo stato del sistema di amministrazione nei casi in cui si verifica una sincronizzazione intensiva dei dati tra un dispositivo client e Administration Server. I dispositivi client si connettono ad Administration Server in base all'intervallo definito dall'amministratore. Administration Server confronta lo stato dei dati in un dispositivo client con quello sul server, registra le informazioni nel database sull'ultima connessione del dispositivo client e sincronizza i dati.

Questa sezione contiene informazioni sui valori del traffico per scenari di amministrazione di base durante la connessione di un client ad Administration Server (vedere la tabella seguente). I dati nella tabella possono variare leggermente a seconda della versione corrente del database anti-virus.

Traffico

Il volume del traffico complessivo varia considerevolmente a seconda dell'utilizzo della modalità IP multicast nei gruppi di amministrazione. Se si utilizza la modalità IP multicast, il volume di traffico totale diminuisce approssimativamente di N volte per il gruppo, dove N sta per il numero totale di dispositivi inclusi nel gruppo di amministrazione.

Il volume di traffico al momento della sincronizzazione iniziale prima e dopo un aggiornamento dei database è specificato per i seguenti casi:

• Installazione di Network Agent e di un'applicazione di protezione in un dispositivo client
• Trasferimento di un dispositivo client in un gruppo di amministrazione
• Applicazione in un dispositivo client di un criterio e delle attività che sono state create per il gruppo per impostazione predefinita

Questa tabella specifica i valori del traffico in caso di modifiche di una delle impostazioni di protezione incluse nelle impostazioni del criterio di Kaspersky Endpoint Security. I dati per le altre impostazioni dei criteri possono risultare diversi da quelli riportati nella tabella.

Aggiornamento aggiuntivo dei database anti-virus

I valori del traffico in caso di aggiornamento incrementale dei database anti-virus 20 ore dopo l'aggiornamento precedente sono i seguenti:

• Traffico da un dispositivo client ad Administration Server: 169 KB.
• Traffico da Administration Server a un dispositivo client: 16 MB.
• Traffico totale (per un singolo dispositivo client): 16,3 MB.

I dati nella tabella possono variare leggermente a seconda della versione corrente del database anti-virus.

Il volume del traffico varia considerevolmente a seconda dell'utilizzo della modalità IP multicast nei gruppi di amministrazione. Se si utilizza la modalità IP multicast, il volume di traffico totale diminuisce approssimativamente di N volte per il gruppo, dove N sta per il numero totale di dispositivi inclusi nel gruppo di amministrazione. 

Elaborazione di eventi nei client da parte di Administration Server

In questa sezione vengono fornite informazioni sui valori del traffico quando in un dispositivo client si verifica un evento di rilevamento di virus, che viene quindi inviato ad Administration Server e registrato nel database (vedere la tabella seguente). 

Traffico

I dati nella tabella possono variare leggermente a seconda della versione corrente dell'applicazione anti-virus e degli eventi definiti nel relativo criterio per la registrazione nel database di Administration Server. 

Traffico nell'arco di 24 ore

Questa sezione contiene informazioni sui valori del traffico per 24 ore di attività del sistema di amministrazione in condizione di "inattività", quando non vengono apportate modifiche ai dati né dai dispositivi client né da Administration Server (vedere la tabella seguente).

I dati presentati nella tabella descrivono la condizione della rete dopo l'installazione standard di Kaspersky Security Center e il completamento dell'Avvio rapido guidato. La frequenza di sincronizzazione del dispositivo client con Administration Server era di 20 minuti; gli aggiornamenti venivano scaricati nell'archivio di Administration Server ogni ora.

Valori del traffico per 24 ore nello stato inattivo