Sommario
- Configurazione di Administration Server
- Configurazione della connessione di Kaspersky Security Center Web Console ad Administration Server
- Configurazione di una lista di indirizzi IP consentiti per connettersi a Kaspersky Security Center Linux
- Configurazione della registrazione degli eventi di connessione ad Administration Server
- Impostazione del numero massimo di eventi nell'archivio eventi
- Backup e ripristino dei dati di Administration Server
- Spostamento di Administration Server in un altro dispositivo
- Gerarchia di Administration Server
- Creazione di una gerarchia di Administration Server: l'aggiunta un Administration Server secondario
- Visualizzazione dell'elenco degli Administration Server secondari
- Gestione di Administration Server virtuali
- Abilitazione della protezione dell'account dalle modifiche non autorizzate
- Verifica in due passaggi
- Informazioni sulla verifica in due passaggi per un account
- Scenario: Configurazione della verifica in due passaggi per tutti gli utenti
- Abilitazione della verifica in due passaggi per il proprio account
- Abilitazione della verifica in due passaggi richiesta per tutti gli utenti
- Disabilitazione della verifica in due passaggi per un account utente
- Disabilitazione della verifica in due passaggi richiesta per tutti gli utenti
- Esclusione di account dalla verifica in due passaggi
- Generazione di una nuova chiave segreta
- Modifica del nome dell'emittente del codice di sicurezza
- Configurazione della verifica in due passaggi per il proprio account
- Modifica del numero di tentativi di immissione della password consentiti
- Modifica delle credenziali del DBMS
- Eliminazione di una gerarchia di Administration Server
- Accesso ai server DNS pubblici
- Configurazione dell'interfaccia
Configurazione di Administration Server
Questa sezione descrive il processo di configurazione e le proprietà di Kaspersky Security Center Administration Server.
Configurazione della connessione di Kaspersky Security Center Web Console ad Administration Server
Per impostare le porte di connessione di Administration Server:
- Nel menu principale, fare clic sull'icona delle impostazioni (
) accanto al nome dell'Administration Server richiesto. Verrà visualizzata la finestra delle proprietà di Administration Server.
- Nella scheda Generale selezionare la sezione Porte di connessione.
L'applicazione visualizzerà le impostazioni di connessione principali del server selezionato.
Configurazione di una lista di indirizzi IP consentiti per connettersi a Kaspersky Security Center Linux
Per impostazione predefinita, le connessioni a Kaspersky Security Center Linux sono consentite da qualsiasi dispositivo. Ad esempio, è possibile installare Kaspersky Security Center Web Console Server su qualsiasi dispositivo che soddisfi i requisiti e Kaspersky Security Center Web Console Server comunicherà con Kaspersky Security Center Linux. Tuttavia, è possibile configurare Administration Server in modo che le connessioni siano consentite solo dai dispositivi con gli indirizzi IP specificati. In questo caso, se un intruso tenta di connettersi a Kaspersky Security Center Linux tramite Kaspersky Security Center Web Console Server installato su un dispositivo non incluso nella lista consentiti, non sarà in grado di accedere a Kaspersky Security Center Linux.
L’indirizzo IP viene verificato quando un utente accede a Kaspersky Security Center Linux o esegue un’
che interagisce con Administration Server tramite Kaspersky Security Center Linux OpenAPI. In questo momento, un'applicazione su un dispositivo tenta di stabilire una connessione con Administration Server. Se l'indirizzo IP del dispositivo non è presente nella lista consentiti, si verifica un errore di autenticazione e l'evento KLAUD_EV_SERVERCONNECT informa l'utente che non è stata stabilita una connessione con Administration Server.
Requisiti per una lista di indirizzi IP consentiti
Gli indirizzi IP vengono verificati solo quando le seguenti applicazioni tentano di connettersi ad Administration Server:
- Kaspersky Security Center Web Console Server
Se si accede a Kaspersky Security Center Linux tramite Kaspersky Security Center Web Console, è possibile configurare un firewall nel dispositivo in cui è installato Kaspersky Security Center Web Console Server utilizzando le modalità standard del sistema operativo. Se quindi qualcuno tenta di accedere a Kaspersky Security Center Linux in un dispositivo e Kaspersky Security Center Web Console Server è installato in un altro dispositivo, un firewall aiuta a prevenire l'interferenza di intrusi.
- Applicazioni che interagiscono con Administration Server tramite oggetti di automazione klakaut
- Applicazioni che interagiscono con Administration Server tramite OpenAPI, come Kaspersky Anti Targeted Attack Platform o Kaspersky Security for Virtualization
Specificare quindi gli indirizzi dei dispositivi in cui sono installate le applicazioni sopra elencate.
È possibile impostare indirizzi IPv4 e IPv6. Non è possibile specificare intervalli di indirizzi IP.
Come stabilire una lista di indirizzi IP consentiti
Se non è stata impostata una lista consentiti in precedenza, seguire le istruzioni di seguito.
Per stabilire una lista di indirizzi IP consentiti per accedere a Kaspersky Security Center Linux:
- Nel dispositivo Administration Server eseguire il prompt dei comandi con un account che disponga dei diritti di amministratore.
- Modificare la directory corrente nella cartella di installazione di Kaspersky Security Center Linux (in genere, /opt/kaspersky/ksc64/sbin).
- Immettere il seguente comando nell'account root:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v “<
Indirizzi IP>" -t sSpecificare gli indirizzi IP che soddisfano i requisiti sopra elencati. I diversi indirizzi IP devono essere separati da un punto e virgola.
Esempio di come consentire a un solo dispositivo di connettersi ad Administration Server:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0" -t s
Esempio di come consentire a più dispositivi di connettersi ad Administration Server:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0; 198.51.100.0; 203.0.113.0" -t s
- Riavviare il servizio Administration Server.
È possibile verificare se è stata configurata correttamente la lista di indirizzi IP consentiti nel Registro eventi Syslog in Administration Server.
Come modificare una lista di indirizzi IP consentiti
È possibile modificare una lista consentiti seguendo i passaggi previsti per la relativa creazione. A tale scopo, eseguire lo stesso comando e specificare una nuova lista consentiti:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v “<Indirizzi IP>" -t s
Se si desidera eliminare alcuni indirizzi IP dalla lista consentiti, riscriverla. Ad esempio, la lista consentiti include i seguenti indirizzi IP: 192.0.2.0; 198.51.100.0; 203.0.113.0. Si desidera eliminare l'indirizzo IP 198.51.100.0. A tale scopo, immettere il seguente comando nel prompt dei comandi:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0; 203.0.113.0" -t s
Non dimenticare di riavviare il servizio Administration Server.
Come reimpostare una lista di indirizzi IP consentiti configurata
Per reimpostare una lista di indirizzi IP consentiti già configurata:
- Immettere il seguente comando al prompt dei comandi sotto l'account root:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "" -t s
- Riavviare il servizio Administration Server.
Successivamente, gli indirizzi IP non vengono più verificati.
Inizio paginaConfigurazione della registrazione degli eventi di connessione ad Administration Server
È possibile salvare in un file di registro la cronologia delle connessioni e dei tentativi di connessione all'Administration Server durante l'esecuzione. Le informazioni nel file consentono di tenere traccia non solo delle connessioni all'interno dell'infrastruttura di rete, ma anche dei tentativi non autorizzati di accesso al server.
Per registrare gli eventi di connessione all'Administration Server:
- Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.
Verrà visualizzata la finestra delle proprietà di Administration Server.
- Nella scheda Generale selezionare la sezione Porte di connessione.
- Abilitare l'opzione Registra eventi di connessione ad Administration Server.
Tutti gli ulteriori eventi di connessione in entrata all'Administration Server, i risultati di autenticazione e gli errori SSL verranno salvati nel file /var/opt/kaspersky/klnagent_srv/logs/sc.syslog.
Inizio paginaImpostazione del numero massimo di eventi nell'archivio eventi
Nella sezione Archivio eventi della finestra delle proprietà di Administration Server è possibile modificare le impostazioni per l'archiviazione degli eventi nel database di Administration Server, limitando il numero di record degli eventi e il periodo di archiviazione dei record. Quando si specifica il numero massimo di eventi, l'applicazione calcola approssimativamente la quantità di spazio di archiviazione necessario per il numero specificato. È possibile utilizzare questo calcolo approssimativo per valutare se è necessario liberare spazio su disco per evitare l'overflow del database. La capacità predefinita del database di Administration Server è di 400.000 eventi. La capacità massima consigliata del database è di 45 milioni di eventi.
L'applicazione controlla il database ogni 10 minuti. Se il numero di eventi raggiunge il valore massimo specificato più 10.000, l'applicazione elimina gli eventi meno recenti in modo che rimanga solo il numero massimo di eventi specificato.
Quando l'Administration Server elimina gli eventi meno recenti, non può salvare i nuovi eventi nel database. Durante questo periodo, le informazioni sugli eventi rifiutati vengono scritte nel registro del sistema operativo. I nuovi eventi vengono accodati e quindi salvati nel database al termine dell'operazione di eliminazione. Per impostazione predefinita, la coda degli eventi è limitata a 20.000 eventi. È possibile personalizzare il limite della coda modificando il valore del contrassegno KLEVP_MAX_POSTPONED_CNT.
Per limitare il numero di eventi che è possibile archiviare nell'archivio eventi di Administration Server:
- Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.
Verrà visualizzata la finestra delle proprietà di Administration Server.
- Nella scheda Generale selezionare la sezione Archivio eventi. Specificare il numero massimo di eventi archiviati nel database.
- Fare clic sul pulsante Salva.
Backup e ripristino dei dati di Administration Server
Il backup dei dati consente di spostare un Administration Server da un dispositivo all'altro senza perdite di dati. Tramite il backup, è possibile ripristinare i dati durante lo spostamento del database di Administration Server in un altro dispositivo o durante l'upgrade a una versione più recente di Kaspersky Security Center Linux (lo spostamento dei dati di Administration Server per la gestione di Kaspersky Security Center Windows non è supportato).
Non viene eseguito il backup dei plug-in di gestione installati. Dopo aver ripristinato i dati di Administration Server da una copia di backup, è necessario scaricare e reinstallare i plug-in per le applicazioni gestite.
Prima di eseguire il backup dei dati di Administration Server, verificare se al gruppo di amministrazione è stato aggiunto un Administration Server virtuale. Se viene aggiunto un Administration Server virtuale, assicurarsi che a questo Administration Server virtuale sia assegnato un amministratore prima del backup. Non è possibile concedere all'amministratore i diritti di accesso all'Administration Server virtuale dopo il backup. Tenere presente che se le credenziali dell'account amministratore vengono smarrite, non sarà possibile assegnare un nuovo amministratore all'Administration Server virtuale.
È possibile creare una copia di backup dei dati di Administration Server in uno dei seguenti modi:
- Creando ed eseguendo un'attività di backup dei dati tramite Kaspersky Security Center Web Console.
- Eseguendo l'utilità klbackup nel dispositivo in cui è installato Administration Server. Questa utilità è inclusa nel kit di distribuzione di Kaspersky Security Center. Dopo l'installazione di Administration Server, l'utilità è disponibile nella radice della cartella di destinazione specificata durante l'installazione dell'applicazione (in genere, /opt/kaspersky/ksc64/sbin/klbackup).
I seguenti dati vengono salvati nella copia di backup di Administration Server:
- Database di Administration Server (criteri, attività, impostazioni delle applicazioni, eventi salvati in Administration Server).
- Dettagli sulla configurazione della struttura dei gruppi di amministrazione e dei dispositivi client.
- Archivio dei pacchetti di distribuzione delle applicazioni per l'installazione remota.
- Certificato di Administration Server.
Il ripristino dei dati di Administration Server è possibile solo tramite l'utilità klbackup.
Creazione di un'attività di backup dei dati di Administration Server
Le attività di backup sono attività di Administration Server, create tramite l’avvio rapido guidato. Se un'attività di backup creata dall'Avvio rapido guidato è stata eliminata, è possibile crearne una manualmente.
L'attività Backup dei dati di Administration Server può essere creata solo in una singola copia. Se l'attività di backup dei dati di Administration Server è stata già creata per l'Administration Server, non viene visualizzata nella finestra di selezione del tipo di attività.
Per creare un'attività di backup dei dati di Administration Server:
- Nel menu principale accedere a Dispositivi → Attività.
- Fare clic su Aggiungi.
Verrà avviata la Creazione guidata nuova attività. Procedere con la procedura guidata utilizzando il pulsante Avanti.
- Nell'elenco Applicazione selezionare Kaspersky Security Center 14.2 e nell'elenco Tipo di attività selezionare Backup dei dati di Administration Server.
- Nel passaggio corrispondente, specificare le seguenti informazioni:
- Cartella per l'archiviazione delle copie di backup
- Password per il backup (opzionale)
- Numero massimo di copie di backup da salvare
- Se nel passaggio Completare la creazione dell'attività si abilita l'opzione Apri i dettagli dell'attività al termine della creazione, è possibile modificare le impostazioni predefinite dell'attività. Se non si abilita questa opzione, l'attività viene creata con le impostazioni predefinite. È possibile modificare le impostazioni predefinite in seguito in qualsiasi momento.
- Fare clic sul pulsante Fine.
L'attività verrà creata e visualizzata nell'elenco delle attività.
Inizio paginaUtilizzo dell'utilità klbackup per eseguire il backup e il ripristino dei dati
È possibile copiare i dati di Administration Server a scopo di backup e per il ripristino in un secondo momento tramite l'utilità klbackup, inclusa nel kit di distribuzione di Kaspersky Security Center.
Se è stato eseguito il backup dei dati di Administration Server inclusi in Kaspersky Security Center Linux 15 o versione precedente quando si utilizza il DBMS MariaDB di una versione precedente e quindi si ripristinano i dati in un dispositivo con una versione successiva di MariaDB, è possibile che si verifichi un errore. Per ulteriori informazioni, fare riferimento a Come ripristinare i dati di Administration Server da un backup creato in una versione precedente del DBMS.
I flag di Network Agent non vengono ripristinati quando si utilizza l'utilità klbackup. È necessario configurare manualmente i flag di Network Agent.
Per creare una copia di backup o eseguire il ripristino dei dati di Administration Server in modalità automatica:
Eseguire klbackup con il set di chiavi desiderato dalla riga di comando del dispositivo in cui è installato Administration Server.
Sintassi della riga di comando per l'utilità:
klbackup -path BACKUP_PATH [-linux_path LINUX_PATH][-node_cert CERT_PATH] [-logfile LOGFILE] [-use_ts]|[-restore] [-password PASSWORD]
Se non viene specificata alcuna password nella riga di comando dell'utilità klbackup, verrà richiesto di immetterla nella modalità interattiva.
Descrizioni delle chiavi:
-path BACKUP_PATH— Salvare le informazioni nella cartella BACKUP_PATH o utilizzare i dati nella cartella BACKUP_PATH per il ripristino (parametro obbligatorio).-linux_path LINUX_PATH— Percorso locale della cartella con i dati di backup del DBMS.È necessario concedere all'account del server database e all'utilità klbackup le autorizzazioni per la modifica dei dati nella cartella LINUX_PATH.
-node_cert CERT_PATH— file del certificato del server per configurare il nodo del cluster di failover inattivo dopo il ripristino. Se non è impostato, verrà recuperato automaticamente dal server.-logfile LOGFILE— Salvare un rapporto sul backup e il ripristino dei dati di Administration Server.È necessario concedere all'account del server database e all'utilità klbackup le autorizzazioni per la modifica dei dati nella cartella PERCORSO_BACKUP.
-use_ts— Quando si salvano i dati, copiare le informazioni nella cartella BACKUP_PATH, nella sottocartella con un nome nel formatoklbackupYYYY-MM-DD # HH-MM-SS, che include la data corrente e l'ora dell'operazione in UTC. Se la chiave non è specificata, le informazioni vengono salvate nella radice della cartella BACKUP_PATH.Quando si tenta di salvare le informazioni in una cartella in cui è già presente una copia di backup, viene visualizzato un messaggio di errore. Le informazioni non vengono aggiornate.
La disponibilità della chiave
-use_tsconsente la gestione di un archivio dei dati di Administration Server. Ad esempio, se la chiave-pathindica la cartella/tmp/KLBackups, nella cartellaklbackup2022/6/19 # 11-30-18vengono archiviate le informazioni sullo stato dell'Administration Server in data 19 giugno 2022 alle 11:30:18.-restore— Ripristinare i dati di Administration Server. Il ripristino dei dati viene eseguito in base alle informazioni contenute nella cartella BACKUP_PATH. Se non è disponibile nessuna chiave, viene eseguito il backup dei dati nella cartella BACKUP_PATH.-password PASSWORD— password per proteggere i dati sensibili.Non è possibile recuperare una password dimenticata. Non sono disponibili requisiti per la password. La lunghezza della password è illimitata ed è possibile anche la lunghezza zero (nessuna password).
Al momento del ripristino dei dati, è necessario specificare la stessa password che è stata immessa durante il backup. Se il percorso di una cartella condivisa è stato modificato dopo il backup, controllare l'esecuzione delle attività che utilizzano i dati ripristinati (attività di ripristino e attività di installazione remota). Se necessario, modificare le impostazioni di queste attività. Durante il ripristino dei dati da un file di backup, nessun utente deve accedere alla cartella condivisa di Administration Server. L'account con cui viene avviata l'utilità klbackup deve avere accesso completo alla cartella condivisa. Per ripristinare i dati di Administration Server dal backup, è consigliabile eseguire l'utilità in un Administration Server appena installato.
Spostamento di Administration Server in un altro dispositivo
Se è necessario utilizzare Administration Server in un nuovo dispositivo, è possibile spostarlo in uno dei seguenti modi:
- Spostare Administration Server e il server di database in un nuovo dispositivo (il server di database può essere installato nel nuovo dispositivo insieme ad Administration Server o in un altro dispositivo).
- Mantenere il server di database nel dispositivo precedente e spostare solo Administration Server in un nuovo dispositivo.
Per spostare Administration Server e il server di database in un nuovo dispositivo:
- Nel dispositivo precedente creare un backup dei dati di Administration Server.
A tale scopo è possibile eseguire l'attività di backup dei dati tramite Kaspersky Security Center Web Console o eseguire l'utilità klbackup.
- Nel dispositivo precedente, disconnettere Administration Server dalla rete.
- Selezionare un nuovo dispositivo in cui installare Administration Server. Assicurarsi che l'hardware e il software nel dispositivo selezionato soddisfino i requisiti per Administration Server, Kaspersky Security Center Web Console e Network Agent. Controllare inoltre che le porte utilizzate in Administration Server siano disponibili.
- Assegnare lo stesso indirizzo al nuovo dispositivo.
È possibile assegnare al nuovo Administration Server il nome NetBIOS, l'FQDN e l'indirizzo IP statico. Dipende dall'indirizzo di Administration Server impostato nel pacchetto di installazione di Network Agent al momento della distribuzione dei Network Agent. In alternativa, è possibile utilizzare l'indirizzo di connessione che determina l'Administration Server a cui Network Agent si connette (è possibile ottenere questo indirizzo nei dispositivi gestiti utilizzando l'utilità klnagchk).
- Se nececessario, in un altro dispositivo installare il sistema di gestione database (DBMS) che verrà utilizzato da Administration Server.
Il database può essere installato nel nuovo dispositivo insieme ad Administration Server o in un altro dispositivo. Verificare che questo dispositivo soddisfi i requisiti hardware e software. Quando si seleziona un DBMS, tenere in considerazione il numero di dispositivi coperti da Administration Server.
- Installare Administration Server nel nuovo dispositivo.
Se si sposta il server del database in un altro dispositivo, specificare l'indirizzo locale come indirizzo IP del dispositivo in cui è installato il database (la voce "h" nell'istruzione Installazione di Kaspersky Security Center Linux). Se è necessario mantenere il server del database nel dispositivo precedente, inserire l’indirizzo IP del dispositivo precedente nella voce “h” dell’istruzione Installazione di Kaspersky Security Center Linux.
- Al termine dell'installazione ripristinare i dati di Administration Server nel nuovo dispositivo utilizzando l'utilità klbackup.
- Aprire Kaspersky Security Center Web Console e connettersi ad Administration Server.
- Verificare che tutti i dispositivi gestiti vengano collegati ad Administration Server.
- Disinstallare Administration Server e il server del database dal dispositivo precedente.
Gerarchia di Administration Server
Alcune società clienti, ad esempio MSP, possono eseguire più Administration Server. Poiché può essere scomodo amministrare più Administration Server distinti, è possibile applicare una gerarchia. In una gerarchia, un Administration Server basato su Linux può fungere sia da server primario che da server secondario. Il server primario basato su Linux può gestire sia i server secondari basati su Linux che quelli basati su Windows. Un server primario basato su Windows può gestire un server secondario basato su Linux.
Una configurazione "primario/secondario" per due Administration Server fornisce le seguenti opzioni:
- Un Administration Server secondario eredita i criteri, le attività, i ruoli utente e i pacchetti di installazione dall'Administration Server primario, evitando così la duplicazione delle impostazioni.
- Le selezioni di dispositivi nell'Administration Server primario possono includere i dispositivi degli Administration Server secondari.
- I rapporti nell'Administration Server primario possono contenere dati (incluse informazioni dettagliate) ottenuti dagli Administration Server secondari.
- È possibile utilizzare un Administration Server primario come sorgente degli aggiornamenti per l'Administration Server secondario.
L'Administration Server primario riceve i dati solo dagli Administration Server secondari non virtuali nell'ambito delle opzioni elencate sopra. Questa limitazione non si applica agli Administration Server virtuali, che condividono il database con l'Administration Server primario.
Inizio paginaCreazione di una gerarchia di Administration Server: l'aggiunta un Administration Server secondario
Espandi tutto | Comprimi tutto
In una gerarchia, un Administration Server basato su Linux può fungere sia da server primario che da server secondario. Il server primario basato su Linux può gestire sia i server secondari basati su Linux che quelli basati su Windows. Un server primario basato su Windows può gestire un server secondario basato su Linux.
Aggiunta di un Administration Server secondario (eseguita sul futuro Administration Server primario)
È possibile aggiungere un Administration Server come Administration Server secondario, configurando una gerarchia "primario/secondario".
Per aggiungere un Administration Server secondario disponibile per la connessione tramite Kaspersky Security Center Web Console:
- Verificare che la porta 13000 del futuro Administration Server primario sia disponibile per la ricezione delle connessioni dagli Administration Server secondari.
- Nel futuro Administration Server primario, fare clic sull'icona delle impostazioni ().
- Nella pagina delle proprietà visualizzata fare clic sulla scheda Administration Server.
- Selezionare la casella di controllo accanto al nome del gruppo di amministrazione a cui si desidera aggiungere l'Administration Server.
- Nella riga del menu fare clic su Connetti Administration Server secondario.
Verrà avviata l'Aggiunta guidata Administration Server secondari. Procedere con la procedura guidata utilizzando il pulsante Avanti.
- Compilare i seguenti campi:
- Specificare le impostazioni di connessione:
- Immettere l'indirizzo del futuro Administration Server primario.
- Se il futuro Administration Server secondario utilizza un server proxy, immettere l'indirizzo del server proxy e le credenziali dell'utente per connettersi al server proxy.
- Immettere le credenziali dell'utente che dispone dei diritti di accesso sul futuro Administration Server secondario.
Assicurarsi che la verifica in due passaggi sia disabilitata per l'account specificato. Se la verifica in due passaggi è abilitata per questo account, è possibile creare la gerarchia solo dal futuro Administration Server secondario (consultare le istruzioni di seguito). Questo è un problema noto.
Se le impostazioni di connessione sono corrette, viene stabilita la connessione con il futuro Administration Server secondario e viene costruita la gerarchia "primario/secondario". Se la connessione non è riuscita, verificare le impostazioni di connessione o specificare il certificato del futuro Administration Server secondario manualmente.
La connessione potrebbe anche non riuscire perché il futuro Administration Server secondario è autenticato con un certificato autofirmato generato automaticamente da Kaspersky Security Center Linux. Di conseguenza, il browser potrebbe bloccare il download del certificato autofirmato. Se è questo il caso, è possibile eseguire una delle seguenti operazioni:
- Per il futuro Administration Server secondario, creare un certificato attendibile nella propria infrastruttura e che soddisfi i requisiti dei certificati personalizzati.
- Aggiungere il certificato autofirmato del futuro Administration Server secondario all'elenco dei certificati attendibili del browser. È consigliabile utilizzare questa opzione solo se non è possibile creare un certificato personalizzato. Per informazioni sull'aggiunta di un certificato all'elenco dei certificati attendibili, fare riferimento alla documentazione del browser in uso.
Al termine della procedura guidata, verrà creata la gerarchia "primario/secondario". La connessione tra l'Administration Server primario e quello secondario viene stabilita tramite la porta 13000. Le attività e i criteri dall'Administration Server primario vengono ricevuti e applicati. L'Administration Server secondario viene visualizzato nell'Administration Server primario, nel gruppo di amministrazione a cui è stato aggiunto.
Aggiunta di un Administration Server secondario (eseguita sul futuro Administration Server secondario)
Se non è possibile connettersi al futuro Administration Server secondario (ad esempio, perché temporaneamente disconnesso o non disponibile o perché il file del certificato dell'Administration Server secondario è autofirmato), è comunque possibile aggiungere un Administration Server secondario.
Per aggiungere come secondario un Administration Server non disponibile per la connessione tramite Kaspersky Security Center Web Console:
- Inviare il file del certificato del futuro Administration Server primario all'amministratore di sistema dell'ufficio in cui si trova il futuro Administration Server secondario. È ad esempio possibile scrivere il file su un dispositivo esterno, come un'unità flash, o inviarlo via e-mail.
Il file del certificato si trova nel futuro Administration Server primario, in /var/opt/kaspersky/klnagent_srv/1093/cert/.
- Richiedere all'amministratore di sistema responsabile del futuro Administration Server secondario di eseguire le seguenti operazioni:
- Fare clic sull'icona delle impostazioni ().
- Nella pagina delle proprietà visualizzata passare alla sezione Gerarchia di Administration Server della scheda Generale.
- Selezionare l'opzione Questo Administration Server è secondario nella gerarchia.
- Nel campo Indirizzo Administration Server primario immettere il nome della rete del futuro Administration Server primario.
- Selezionare il file precedentemente salvato con il certificato del futuro Administration Server primario facendo clic su Sfoglia.
- Se necessario, selezionare la casella di controllo Connetti l'Administration Server primario all'Administration Server secondario nella rete perimetrale.
- Se la connessione al futuro Administration Server primario viene eseguita tramite un server proxy, selezionare l'opzione Usa server proxy e specificare le impostazioni di connessione.
- Fare clic su Salva.
- Fare clic sull'icona delle impostazioni (
Verrà creata la gerarchia "primario/secondario". L'Administration Server primario inizia a ricevere la connessione dall'Administration Server secondario tramite la porta 13000. Le attività e i criteri dall'Administration Server primario vengono ricevuti e applicati. L'Administration Server secondario viene visualizzato nell'Administration Server primario, nel gruppo di amministrazione a cui è stato aggiunto.
Visualizzazione dell'elenco degli Administration Server secondari
Per visualizzare l'elenco degli Administration Server secondari (inclusi quelli virtuali):
Nel menu principale, fare clic sul nome di Administration Server, accanto all'icona delle impostazioni ().
Viene visualizzato l'elenco a discesa degli Administration Server secondari (inclusi quelli virtuali).
È possibile passare a uno di questi Administration Server facendo clic sul relativo nome.
Vengono visualizzati anche i gruppi di amministrazione, che sono però disattivati e non disponibili per la gestione in questo menu.
Se si è connessi all'Administration Server primario in Kaspersky Security Center Web Console e non è possibile connettersi a un Administration Server virtuale gestito da un Administration Server secondario, è possibile utilizzare uno dei seguenti modi:
- Modificare l'installazione esistente di Kaspersky Security Center Web Console per aggiungere il server secondario all'elenco degli Administration Server attendibili. Sarà quindi possibile connettersi all'Administration Server virtuale in Kaspersky Security Center Web Console.
- Utilizzare Kaspersky Security Center Web Console per connettersi direttamente all'Administration Server secondario in cui è stato creato il server virtuale. Sarà quindi possibile passare all'Administration Server virtuale in Kaspersky Security Center Web Console.
Gestione di Administration Server virtuali
Questa sezione descrive le seguenti azioni per gestire Administration Server virtuali:
- Creare Administration Server virtuali
- Abilitare e disabilitare Administration Server virtuali
- Assegnare un amministratore per un Administration Server virtuale
- Modificare Administration Server per i dispositivi client
- Eliminare Administration Server virtuali
Creazione di un Administration Server virtuale
È possibile creare Administration Server virtuali e aggiungerli ai gruppi di amministrazione.
Per creare e aggiungere un Administration Server virtuale:
- Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.
- Nella pagina visualizzata passare alla scheda Administration Server.
- Selezionare il gruppo di amministrazione a cui si desidera aggiungere un Administration Server virtuale.
L'Administration Server virtuale gestirà i dispositivi del gruppo selezionato (compresi i sottogruppi). - Nella riga del menu fare clic su Nuovo Administration Server virtuale.
- Nella pagina visualizzata definire le proprietà del nuovo Administration Server virtuale:
- Nome Administration Server virtuale.
- Indirizzo connessione Administration Server
È possibile specificare il nome o l'indirizzo IP di Administration Server.
Nell'elenco degli utenti selezionare l'amministratore dell'Administration Server virtuale. Se si desidera, è possibile modificare uno degli account esistenti prima di assegnargli il ruolo di amministratore o creare un nuovo account utente.
- Fare clic su Salva.
Il nuovo Administration Server virtuale verrà creato, aggiunto al gruppo di amministrazione e visualizzato nella scheda Administration Server.
Se si è connessi all'Administration Server primario in Kaspersky Security Center Web Console e non è possibile connettersi a un Administration Server virtuale gestito da un Administration Server secondario, è possibile utilizzare uno dei seguenti modi:
- Modificare l'installazione esistente di Kaspersky Security Center Web Console per aggiungere il server secondario all'elenco degli Administration Server attendibili. Sarà quindi possibile connettersi all'Administration Server virtuale in Kaspersky Security Center Web Console.
- Utilizzare Kaspersky Security Center Web Console per connettersi direttamente all'Administration Server secondario in cui è stato creato il server virtuale. Sarà quindi possibile passare all'Administration Server virtuale in Kaspersky Security Center Web Console.
Abilitazione e disabilitazione di un Administration Server virtuale
Quando si crea un nuovo Administration Server virtuale, questo viene abilitato per impostazione predefinita. È possibile disabilitarlo o abilitarlo nuovamente in qualsiasi momento. La disabilitazione o l'abilitazione di un Administration Server virtuale equivale alla disattivazione o all'attivazione di un Administration Server fisico.
Per abilitare o disabilitare un Administration Server virtuale:
- Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.
- Nella pagina visualizzata passare alla scheda Administration Server.
- Selezionare l'Administration Server virtuale che si desidera abilitare o disabilitare.
- Nella riga del menu fare clic sul pulsante Abilita/disabilita l'Administration Server virtuale.
Lo stato dell'Administration Server virtuale viene modificato in abilitato o disabilitato, a seconda del suo stato precedente. Viene visualizzato lo stato aggiornato accanto al nome dell'Administration Server.
Assegnazione di un amministratore per un Administration Server virtuale
Quando si utilizzano Administration Server virtuali nell'organizzazione, è consigliabile assegnare un amministratore dedicato per ciascun Administration Server virtuale. Questo potrebbe ad esempio essere utile quando si creano Administration Server virtuali per gestire uffici o reparti separati della propria organizzazione oppure se si è un provider MSP e si gestiscono i tenant tramite Administration Server virtuali.
Quando si crea un Administration Server virtuale, eredita l'elenco di utenti e tutti i diritti utente dell'Administration Server primario. Se un utente dispone dei diritti di accesso al server primario, ha anche i diritti di accesso al server virtuale. Dopo la creazione, si configurano i diritti di accesso ai server in modo indipendente. Se si desidera assegnare un amministratore solo per un Administration Server virtuale, accertarsi che l'amministratore non disponga dei diritti di accesso nell'Administration Server primario.
Si assegna un amministratore per un Administration Server virtuale concedendo all'amministratore i diritti di accesso all'Administration Server virtuale. È possibile concedere i diritti di accesso necessari in uno dei seguenti modi:
- Configurare manualmente i diritti di accesso per l'amministratore
- Assegnare uno o più ruoli utente per l'amministratore
Per accedere a Kaspersky Security Center Web Console, un amministratore di un Administration Server virtuale specifica il nome, il nome utente e la password dell'Administration Server virtuale. Kaspersky Security Center Web Console autentica l'amministratore e apre l'Administration Server virtuale per il quale l'amministratore dispone dei diritti di accesso. L'amministratore non può passare da un Administration Server all'altro.
Prerequisiti
Prima di iniziare, assicurarsi che vengano soddisfatte le seguenti condizioni:
- L'Administration Server virtuale è stato creato.
- Nell'Administration Server primario è stato creato un account per l'amministratore che si desidera assegnare per l'Administration Server virtuale.
- L'utente dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali → Autorizzazioni utente.
Configurazione manuale dei diritti di accesso
Per assegnare un amministratore per un Administration Server virtuale:
- Nella menu principale, passare all'Administration Server virtuale desiderato:
- Fare clic sull'icona a forma di freccia di espansione (
) a destra del nome corrente dell'Administration Server. - Selezionare l'Administration Server desiderato.
- Fare clic sull'icona a forma di freccia di espansione (
- Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome di Administration Server.
Verrà visualizzata la finestra delle proprietà di Administration Server.
- Nella scheda Diritti di accesso, fare clic sul pulsante Aggiungi.
Viene visualizzato un elenco unificato di utenti dell'Administration Server primario e dell'Administration Server virtuale corrente.
- Nell'elenco di utenti selezionare l'account dell'amministratore che si desidera assegnare per l'Administration Server virtuale, quindi fare clic sul pulsante OK.
L'applicazione aggiunge l'utente selezionato all'elenco utenti nella scheda Diritti di accesso.
- Selezionare la casella di controllo accanto all'account aggiunto, quindi fare clic sul pulsante Diritti di accesso.
- Configurare i diritti che l'amministratore avrà sull'Administration Server virtuale.
Per fare in modo che l'autenticazione vada a buon fine, l'amministratore deve disporre almeno dei seguenti diritti:
- Diritto Lettura nell'area funzionale Caratteristiche generali → Funzionalità di base
- Diritto Lettura nell'area funzionale Caratteristiche generali → Administration Server virtuali
L'applicazione salva i diritti utente modificati nell'account amministratore.
Configurazione dei diritti di accesso assegnando ruoli utente
In alternativa, è possibile concedere i diritti di accesso a un amministratore dell'Administration Server virtuale tramite i ruoli utente. Questo potrebbe ad esempio essere utile se si desidera assegnare più amministratori nello stesso Administration Server virtuale. In tal caso, è possibile assegnare agli account degli amministratori gli stessi ruoli utente (uno o più di questi) anziché configurare gli stessi diritti utente per più amministratori.
Per assegnare un amministratore a un Administration Server virtuale assegnando ruoli utente:
- Nell'Administration Server primario creare un nuovo ruolo utente, quindi specificare tutti i diritti di accesso necessari di cui un amministratore deve disporre nell'Administration Server virtuale. È possibile creare più ruoli, ad esempio, se si desidera separare l'accesso a diverse aree funzionali.
- Nella menu principale, passare all'Administration Server virtuale desiderato:
- Fare clic sull'icona a forma di freccia di espansione () a destra del nome corrente dell'Administration Server.
- Selezionare l'Administration Server desiderato.
- Fare clic sull'icona a forma di freccia di espansione (
- Assegnare il nuovo ruolo o diversi ruoli all'account amministratore.
L'applicazione assegna i ruoli all'account amministratore.
Configurazione dei diritti di accesso a livello di oggetto
Oltre ad assegnare diritti di accesso a livello di area funzionale, è possibile configurare l'accesso a oggetti specifici nell'Administration Server virtuale, ad esempio, a un gruppo di amministrazione specifico o a un'attività. A tale scopo, passare all'Administration Server virtuale, quindi configurare i diritti di accesso nelle proprietà dell'oggetto.
Modifica di Administration Server per i dispositivi client
Espandi tutto | Comprimi tutto
È possibile sostituire l'Administration Server che gestisce i dispositivi client con un altro server mediante l'attività Cambia Administration Server. Dopo il completamento dell'attività, i dispositivi client selezionati passeranno sotto la gestione dell'Administration Server specificato.
Non è possibile utilizzare l'attività Cambia Administration Server per i dispositivi client connessi ad Administration Server tramite gateway di connessione. Per tali dispositivi è necessario riconfigurare Network Agent o reinstallarlo e specificare il gateway di connessione.
Per sostituire l'Administration Server che gestisce i dispositivi client con un altro server:
- Nella finestra principale dell'applicazione, passare a Dispositivi → Attività.
- Fare clic su Aggiungi.
Verrà avviata la Creazione guidata nuova attività. Procedere con la procedura guidata utilizzando il pulsante Avanti.
- Nel passaggio Nuova attività, specificare le seguenti impostazioni:
- Nell'elenco a discesa Applicazione, selezionare Kaspersky Security Center.
- Nel campo Tipo di attività, selezionare Cambia Administration Server.
- Nel campo Nome attività, specificare il nome dell'attività che si intende creare.
Il nome di un'attività non può superare i 100 caratteri e non può includere caratteri speciali ("*<>?\:|).
- Selezionare i dispositivi a cui assegnare l'attività:
- Nel passaggio Ambito attività della procedura guidata, specificare un gruppo di amministrazione, dispositivi con indirizzi specifici o una selezione di dispositivi.
- In questo passaggio della procedura guidata, confermare di accettare i termini di modifica di Administration Server per i dispositivi client.
- In questo passaggio della procedura guidata, selezionare l'Administration Server che si desidera utilizzare per gestire i dispositivi selezionati:
- Nel passaggio Selezione di un account per l'esecuzione dell'attività della procedura guidata, specificare le impostazioni dell'account:
- Se si desidera modificare le impostazioni predefinite dell'attività, nella fase Completare la creazione dell'attività della procedura guidata, abilitare l'opzione Apri i dettagli dell'attività al termine della creazione.
Se non si abilita questa opzione, l'attività viene creata con le impostazioni predefinite. È possibile modificare le impostazioni predefinite in seguito in qualsiasi momento.
- Fare clic sul pulsante Fine.
L'attività verrà creata e visualizzata nell'elenco delle attività.
- Fare clic sul nome dell'attività creata per aprire la finestra delle proprietà dell'attività.
- Se si desidera modificare le impostazioni predefinite dell'attività, nella finestra delle proprietà dell'attività specificare le impostazioni generali dell'attività in base alle proprie esigenze.
- Fare clic sul pulsante Salva.
L'attività verrà creata e configurata.
- Eseguire l'attività creata.
Dopo il completamento dell'attività, i dispositivi client per cui è stata creata passano sotto la gestione dell'Administration Server specificato nelle impostazioni dell'attività.
Eliminazione di un Administration Server virtuale
Quando si elimina un Administration Server virtuale, verranno eliminati anche tutti gli oggetti creati nell'Administration Server, inclusi criteri e attività. I dispositivi gestiti dei gruppi di amministrazione che erano gestiti dall'Administration Server virtuale verranno rimossi dai gruppi di amministrazione. Per far tornare i dispositivi sotto la gestione di Kaspersky Security Center Linux, eseguire il polling di rete, quindi spostare i dispositivi rilevati dal gruppo Dispositivi non assegnati ai gruppi di amministrazione.
Per eliminare un Administration Server virtuale:
- Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome di Administration Server.
- Nella pagina visualizzata passare alla scheda Administration Server.
- Selezionare l'Administration Server virtuale che si desidera eliminare.
- Nella riga del menu fare clic sul pulsante Elimina.
L'Administration Server virtuale viene eliminato.
Abilitazione della protezione dell'account dalle modifiche non autorizzate
È possibile abilitare un'opzione aggiuntiva per proteggere un account utente dalle modifiche non autorizzate. Se questa opzione è abilitata, la modifica delle impostazioni dell'account utente richiede l'autorizzazione dell'utente con i diritti di modifica.
Per abilitare o disabilitare la protezione dell'account dalle modifiche non autorizzate:
- Nel menu principale accedere a Utenti e ruoli → Utenti.
- Fare clic sul nome dell'account utente interno per cui specificare la protezione dell'account dalle modifiche non autorizzate.
- Nella finestra delle impostazioni utente visualizzata selezionare la scheda Sicurezza in fase di autenticazione.
- Nella scheda Sicurezza in fase di autenticazione, selezionare l'opzione Richiedi l'autenticazione per verificare l'autorizzazione di modifica degli account utente se si desidera richiedere le credenziali ogni volta che le impostazioni dell'account vengono modificate. In caso contrario, selezionare l'opzione Consentire agli utenti di modificare questo account senza autenticazione aggiuntiva.
- Fare clic sul pulsante Salva.
Verifica in due passaggi
Questa sezione descrive come utilizzare la verifica in due passaggi per ridurre il rischio di accesso non autorizzato a Kaspersky Security Center Web Console.
Informazioni sulla verifica in due passaggi per un account
Kaspersky Security Center Linux fornisce la verifica in due passaggi per gli utenti di Kaspersky Security Center Web Console. Quando la verifica in due passaggi è abilitata per il proprio account, ogni volta che si accede a Kaspersky Security Center Web Console è necessario immettere il nome utente, la password e un codice di sicurezza monouso aggiuntivo. Per ricevere un codice di sicurezza monouso è necessario disporre di un'app di autenticazione nel computer o nel dispositivo mobile.
Un codice di sicurezza ha un identificatore denominato nome dell'emittente. Il nome dell'emittente del codice di sicurezza viene utilizzato come identificatore di Administration Server nell'app di autenticazione. È possibile modificare il nome dell'emittente del codice di sicurezza. Il nome dell'emittente del codice di sicurezza ha un valore predefinito uguale al nome di Administration Server. Il nome dell'emittente viene utilizzato come identificatore di Administration Server nell'app di autenticazione. Se si modifica il nome dell'emittente del codice di sicurezza, è necessario emettere una nuova chiave segreta e passarla all'app di autenticazione. Un codice di sicurezza è monouso ed è valido per un massimo di 90 secondi (il tempo esatto può variare).
Qualsiasi utente per cui è abilitata la verifica in due passaggi può riemettere la propria chiave segreta. Quando un utente esegue l'autenticazione con la chiave segreta riemessa e la utilizza per l'accesso, Administration Server salva la nuova chiave segreta per l'account utente. Se l'utente immette la nuova chiave segreta in modo errato, Administration Server non salva la nuova chiave segreta e mantiene la chiave segreta corrente valida per l'ulteriore autorizzazione.
Qualsiasi software di autenticazione che supporti l'algoritmo TOTP (Time-based One-time Password) può essere utilizzato come app di autenticazione, ad esempio Google Authenticator. Per generare il codice di sicurezza, è necessario sincronizzare l'ora impostata nell'app di autenticazione con l'ora impostata per Administration Server.
Per verificare se Kaspersky Security Center Linux supporta l'app di autenticazione che si desidera utilizzare, abilitare la verifica in due passaggi per tutti gli utenti o per un determinato utente.
Uno dei passaggi suggerisce di specificare il codice di sicurezza generato dall'app di autenticazione. In caso di esito positivo, Kaspersky Security Center Linux supporta l'applicazione di autenticazione selezionata.
Un'app di autenticazione genera il codice di sicurezza nel modo seguente:
- Administration Server genera una chiave segreta speciale e un codice QR.
- L'utente specifica la chiave segreta generata o il codice QR generato nell'app di autenticazione.
- L'app di autenticazione genera un codice di sicurezza monouso che verrà specificato nella finestra di autenticazione di Administration Server.
Si consiglia vivamente di salvare la chiave segreta (o il codice QR) e conservarla in un luogo sicuro. Questo codice consentirà di ripristinare l'accesso a Kaspersky Security Center Web Console nel caso in cui si perda l'accesso al dispositivo mobile.
Per proteggere l’utilizzo di Kaspersky Security Center Linux, è possibile abilitare la verifica in due passaggi per il proprio account e abilitare la verifica in due passaggi per tutti gli utenti.
È possibile escludere gli account dalla verifica in due passaggi. Questa operazione può essere necessaria per gli account di servizio che non possono ricevere un codice di sicurezza per l'autenticazione.
La verifica in due passaggi funziona in base alle seguenti regole:
- Solo un account utente che dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente può abilitare la verifica in due passaggi per tutti gli utenti.
- Solo un utente che ha abilitato la verifica in due passaggi per il proprio account può abilitare l'opzione di verifica in due passaggi per tutti gli utenti.
- Solo un utente che ha abilitato la verifica in due passaggi per il proprio account può escludere altri account utente dall'elenco della verifica in due passaggi abilitata per tutti gli utenti.
- Un utente può abilitare la verifica in due passaggi solo per il proprio account.
- Un account utente che dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente e che ha eseguito l'accesso a Kaspersky Security Center Web Console utilizzando la verifica in due passaggi può disabilitare la verifica in due passaggi: per qualsiasi altro utente solo se la verifica in due passaggi per tutti gli utenti è disabilitata, per un utente escluso dall'elenco della verifica in due passaggi abilitata per tutti gli utenti.
- Qualsiasi utente che ha eseguito l'accesso a Kaspersky Security Center Web Console utilizzando la verifica in due passaggi può riemettere la propria chiave segreta.
- È possibile abilitare l'opzione di verifica in due passaggi per tutti gli utenti per l'Administration Server attualmente in uso. Se si abilita questa opzione in Administration Server, l'opzione viene abilitata anche per gli account utente dei relativi Administration Server virtuali e non si abilita la verifica in due passaggi per gli account utente degli Administration Server secondari.
Scenario: Configurazione della verifica in due passaggi per tutti gli utenti
Questo scenario descrive come abilitare la verifica in due passaggi per tutti gli utenti e come escludere gli account utente dalla verifica in due passaggi. Se non è stata abilitata la verifica in due passaggi per il proprio account prima di abilitarla per tutti gli altri utenti, l'applicazione apre innanzitutto la finestra per abilitare la verifica in due passaggi per il proprio account. Questo scenario descrive anche come abilitare la verifica in due passaggi per il proprio account.
Se è stata abilitata la verifica in due passaggi per il proprio account, è possibile procedere al passaggio di abilitazione della verifica in due passaggi per tutti gli utenti.
Prerequisiti
Prima di iniziare:
- Assicurarsi che il proprio account utente disponga del diritto Modifica elenchi di controllo degli accessi agli oggetti dell'area funzionale Caratteristiche generali: Autorizzazioni utente per la modifica delle impostazioni di protezione per gli account di altri utenti.
- Assicurarsi che gli altri utenti di Administration Server installino un'app di autenticazione nei propri dispositivi.
Passaggi
L'abilitazione della verifica in due passaggi per tutti gli utenti procede per fasi:
- Installazione di un'app di autenticazione in un dispositivo
È possibile installare qualsiasi applicazione che supporti l'algoritmo TOTP (Time-based One-time Password), ad esempio:
- Google Authenticator
- Microsoft Authenticator
- Bitrix24 OTP
- Yandex Key
- Avanpost Authenticator
- Aladdin 2FA
Per verificare se Kaspersky Security Center Linux supporta l'app di autenticazione che si desidera utilizzare, abilitare la verifica in due passaggi per tutti gli utenti o per un determinato utente.
Uno dei passaggi suggerisce di specificare il codice di sicurezza generato dall'app di autenticazione. In caso di esito positivo, Kaspersky Security Center Linux supporta l'applicazione di autenticazione selezionata.
Si sconsiglia vivamente di installare l'app di autenticazione nello stesso dispositivo da cui viene stabilita la connessione ad Administration Server.
- Sincronizzazione dell'ora dell'app di autenticazione con l'ora del dispositivo in cui è installato Administration Server
Verificare che l'ora nel dispositivo con l'app di autenticazione e l'ora nel dispositivo con Administration Server siano sincronizzate con UTC, utilizzando fonti orarie esterne. In caso contrario, potrebbero verificarsi errori durante l'autenticazione e l'attivazione della verifica in due passaggi.
- Abilitazione della verifica in due passaggi per il proprio account e ricezione della chiave segreta per il proprio account
Dopo aver abilitato la verifica in due passaggi per il proprio account, è possibile abilitare la verifica in due passaggi per tutti gli utenti.
- Abilitazione della verifica in due passaggi per tutti gli utenti
Gli utenti con la verifica in due passaggi abilitata devono utilizzarla per accedere ad Administration Server.
- Modifica del nome dell'emittente del codice di sicurezza
Se si dispone di più Administration Server con nomi simili, potrebbe essere necessario modificare i nomi dell'emittente del codice di sicurezza per un migliore riconoscimento dei diversi Administration Server.
- Esclusione degli account utente per cui non è necessario abilitare la verifica in due passaggi
Se necessario, è possibile escludere gli utenti dalla verifica in due passaggi. Gli utenti con account esclusi non devono utilizzare la verifica in due passaggi per accedere ad Administration Server.
- Configurazione della verifica in due passaggi per il proprio account
Se gli utenti non sono esclusi dalla verifica in due passaggi e la verifica in due passaggi non è stata ancora configurata per il proprio account, è necessario configurarla nella finestra che si apre quando accedono a Kaspersky Security Center Web Console. In caso contrario, non saranno in grado di accedere ad Administration Server in base ai propri diritti.
Risultati
Al termine di questo scenario:
- La verifica in due passaggi è stata abilitata per l'account.
La verifica in due passaggi è abilitata per tutti gli account utente di Administration Server, ad eccezione degli account utente che sono stati esclusi.
Abilitazione della verifica in due passaggi per il proprio account
È possibile abilitare la verifica in due passaggi solo per il proprio account.
Prima di iniziare ad abilitare la verifica in due passaggi per il proprio account, assicurarsi che nel dispositivo mobile sia installata un'app di autenticazione. Assicurarsi che l'ora impostata nell'app di autenticazione sia sincronizzata con l'ora impostata nel dispositivo in cui è installato Administration Server.
Per abilitare la verifica in due passaggi per un account utente:
- Nel menu principale, passare a Utenti e ruoli → Utenti.
- Fare clic sul nome dell'account.
- Nella finestra delle impostazioni utente visualizzata selezionare la scheda Protezione account.
- Nella scheda Sicurezza in fase di autenticazione:
- Selezionare l'opzione Richiedi nome utente, password e codice di sicurezza (verifica in due passaggi). Fare clic sul pulsante Salva.
- Nella finestra della verifica in due passaggi visualizzata, fare clic su Visualizza come configurare la verifica in due passaggi.
Immettere la chiave segreta nell'app di autenticazione o fare clic su Visualizza codice QRed eseguire la scansione del codice QR tramite l'app di autenticazione sul dispositivo mobile per ricevere il codice di sicurezza monouso.
- Nella finestra della verifica in due passaggi specificare il codice di sicurezza generato dall'app di autenticazione, quindi fare clic sul pulsante Controlla e applica.
- Fare clic sul pulsante Salva.
La verifica in due passaggi è stata abilitata per l'account.
Abilitazione della verifica in due passaggi richiesta per tutti gli utenti
È possibile abilitare la verifica in due passaggi per tutti gli utenti di Administration Server se il proprio account dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente e se è stata eseguita l'autenticazione utilizzando la verifica in due passaggi.
Per abilitare la verifica in due passaggi per tutti gli utenti:
- Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.
Verrà visualizzata la finestra delle proprietà di Administration Server.
- Nella scheda Sicurezza in fase di autenticazione della finestra delle proprietà spostare l'interruttore dell'opzione di verifica in due passaggi per tutti gli utenti sulla posizione "abilitato".
- Se non è stata abilitata la verifica in due passaggi per il proprio account, l'applicazione apre la finestra per abilitare la verifica in due passaggi per il proprio account.
- Nella finestra della verifica in due passaggi, fare clic su Visualizza come configurare la verifica in due passaggi.
- Fare clic su Visualizza codice QR.
- Scansionare il codice QR dall'applicazione di autenticazione sul dispositivo mobile per ricevere il codice di sicurezza monouso.
In alternativa, immettere manualmente la chiave segreta nell'applicazione di autenticazione.
- Nella finestra della verifica in due passaggi specificare il codice di sicurezza generato dall'applicazione di autenticazione, quindi fare clic sul pulsante Controlla e applica.
La verifica in due passaggi è abilitata per tutti gli utenti. D'ora in poi gli utenti di Administration Server, inclusi gli utenti aggiunti dopo aver abilitato la verifica in due passaggi per tutti gli utenti, dovranno configurare la verifica in due passaggi per i propri account, ad eccezione degli utenti esclusi dalla verifica in due passaggi.
Disabilitazione della verifica in due passaggi per un account utente
È possibile disabilitare la verifica in due passaggi per il proprio account, nonché per l'account di un altro utente.
È possibile disabilitare la verifica in due passaggi di un altro account utente se il proprio account dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente e se è stata eseguita l'autenticazione utilizzando la verifica in due passaggi.
Per disabilitare la verifica in due passaggi per un account utente:
- Nel menu principale accedere a Utenti e ruoli → Utenti.
- Fare clic sul nome dell'account utente interno per cui si desidera disabilitare la verifica in due passaggi. Può trattarsi del proprio account o dell'account di un altro utente.
- Nella finestra delle impostazioni utente visualizzata selezionare la scheda Protezione account.
- Nella scheda Protezione account selezionare l'opzione Richiedi solo nome utente e password se si desidera disabilitare la verifica in due passaggi per un account utente.
- Fare clic sul pulsante Salva.
La verifica in due passaggi è disabilitata per l'account utente.
Se si desidera ripristinare l'accesso per un utente che non può accedere a Kaspersky Security Center Web Console utilizzando la verifica in due passaggi, disabilitare la verifica in due passaggi per questo account utente, quindi selezionare l'opzione Richiedi solo nome utente e password come descritto sopra. Successivamente, accedere a Kaspersky Security Center Web Console con l'account utente per il quale è stata disabilitata la verifica in due passaggi, quindi abilitare nuovamente la verifica.
Disabilitazione della verifica in due passaggi richiesta per tutti gli utenti
È possibile disabilitare la verifica in due passaggi richiesta per tutti gli utenti se la verifica in due passaggi è abilitata per il proprio account e se quest'ultimo dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente. Se la verifica in due passaggi non è abilitata per il proprio account, è necessario abilitare la verifica in due passaggi per il proprio account prima di disabilitarla per tutti gli utenti.
Per disabilitare la verifica in due passaggi per tutti gli utenti:
- Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.
Verrà visualizzata la finestra delle proprietà di Administration Server.
- Nella scheda Sicurezza in fase di autenticazione della finestra delle proprietà spostare l'interruttore dell'opzione di verifica in due passaggi per tutti gli utenti sulla posizione "disabilitato".
- Inserire le credenziali del proprio account nella finestra di autenticazione.
La verifica in due passaggi è disabilitata per tutti gli utenti. La disabilitazione della verifica in due passaggi per tutti gli utenti non si applica agli account specifici per i quali la verifica in due passaggi è stata precedentemente abilitata separatamente.
Esclusione di account dalla verifica in due passaggi
È possibile escludere gli account utente dalla verifica in due passaggi se si dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente.
Se un account utente viene escluso dall'elenco della verifica in due passaggi per tutti gli utenti, tale utente non deve utilizzare la verifica in due passaggi.
L'esclusione degli account dalla verifica in due passaggi può essere necessaria per gli account di servizio che non possono passare il codice di sicurezza durante l'autenticazione.
Se si desidera escludere alcuni account utente dalla verifica in due passaggi:
- Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.
Verrà visualizzata la finestra delle proprietà di Administration Server.
- Nella scheda Sicurezza in fase di autenticazione della finestra delle proprietà, nella tabella delle esclusioni dalla verifica in due passaggi fare clic sul pulsante Aggiungi.
- Nella finestra visualizzata:
- Selezionare gli account utente che si desidera escludere.
- Fare clic sul pulsante OK.
Gli account utente selezionati vengono esclusi dalla verifica in due passaggi.
Generazione di una nuova chiave segreta
È possibile generare una nuova chiave segreta per la verifica in due passaggi per il proprio account solo se è stata eseguita l'autorizzazione utilizzando la verifica in due passaggi.
Per generare una nuova chiave segreta per un account utente:
- Nel menu principale accedere a Utenti e ruoli → Utenti.
- Fare clic sul nome dell'account utente per cui si desidera generare una nuova chiave segreta per la verifica in due passaggi.
- Nella finestra delle impostazioni utente visualizzata selezionare la scheda Sicurezza in fase di autenticazione.
- Nella sceda Sicurezza in fase di autenticazione, fare clic sul collegamento Genera una nuova chiave segreta.
- Nella finestra della verifica in due passaggi visualizzata specificare una nuova chiave di sicurezza generata dall'app di autenticazione.
- Fare clic sul pulsante Controlla e applica.
Viene generata una nuova chiave segreta per l'utente.
Se il dispositivo mobile viene smarrito, è possibile installare un'app di autenticazione in un altro dispositivo mobile e generare una nuova chiave segreta per ripristinare l'accesso a Kaspersky Security Center Web Console.
Inizio paginaModifica del nome dell'emittente del codice di sicurezza
È possibile disporre di più identificatori (chiamati emittenti) per diversi Administration Server. È possibile modificare il nome dell'emittente di un codice di sicurezza ad esempio nel caso in cui Administration Server utilizzi già un nome simile dell'emittente del codice di sicurezza per un altro Administration Server. Per impostazione predefinita, il nome dell'emittente di un codice di sicurezza è uguale al nome di Administration Server.
Dopo aver modificato il nome dell'emittente del codice di sicurezza, è necessario riemettere una nuova chiave segreta e passarla all'app di autenticazione.
Per specificare un nuovo nome dell'emittente del codice di sicurezza:
- Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.
Verrà visualizzata la finestra delle proprietà di Administration Server.
- Nella finestra delle impostazioni utente visualizzata selezionare la scheda Protezione account.
- Nella scheda Protezione account, fare clic sul collegamento Modifica.
Verrà visualizzata la sezione Modifica emittente codice di sicurezza.
- Specificare un nuovo nome dell'emittente del codice di sicurezza.
- Fare clic sul pulsante OK.
Viene specificato un nuovo nome dell'emittente del codice di sicurezza per Administration Server.
Configurazione della verifica in due passaggi per il proprio account
La prima volta che si accede a Kaspersky Security Center Linux dopo l'abilitazione della verifica in due passaggi, si apre la finestra per la configurazione della verifica in due passaggi per l'account.
Prima di configurare la verifica in due passaggi per il proprio account, assicurarsi che nel dispositivo mobile sia installata un'app di autenticazione. Verificare che l'ora nel dispositivo con l'app di autenticazione e l'ora nel dispositivo con Administration Server siano sincronizzate con UTC, utilizzando fonti orarie esterne.
Per configurare la verifica in due passaggi per il proprio account:
- Generare un codice di sicurezza monouso utilizzando l'app di autenticazione sul dispositivo mobile. A tale scopo, eseguire una delle azioni seguenti:
- Immettere manualmente la chiave segreta nell'app di autenticazione.
- Fare clic su Visualizza codice QR ed eseguire la scansione del codice QR utilizzando l'app di autenticazione.
Verrà visualizzato un codice di sicurezza sul dispositivo mobile.
- Nella finestra di configurazione della verifica in due passaggi specificare il codice di sicurezza generato dall'app di autenticazione, quindi fare clic sul pulsante Controlla e applica.
La verifica in due passaggi viene configurata per il proprio account. È possibile accedere ad Administration Server in base ai propri diritti.
Inizio paginaModifica del numero di tentativi di immissione della password consentiti
L’utente di Kaspersky Security Center Linux può immettere una password non valida un numero limitato di volte. Una volta raggiunto il limite, l'account utente viene bloccato per un'ora.
Per impostazione predefinita, il numero massimo di tentativi di immissione della password consentiti è 10. È possibile modificare il numero di tentativi di immissione della password consentiti, come descritto in questa sezione.
Per modificare il numero di tentativi di immissione della password consentiti:
- Nel dispositivo Administration Server, eseguire una riga di comando Linux.
- Per l'utilità klscflag, eseguire il seguente comando:
sudo /opt/kaspersky/ksc64/sbin/klscflag -fset -pv klserver -n SrvSplPpcLogonAttempts -t d -v Ndove N è un numero di tentativi di immissione di una password.
- Per applicare le modifiche, riavviare il servizio Administration Server.
Il numero massimo di tentativi di immissione della password consentiti è stato modificato.
Inizio paginaModifica delle credenziali del DBMS
Talvolta potrebbe essere necessario modificare le credenziali del DBMS, ad esempio per eseguire una rotazione delle credenziali per motivi di sicurezza.
Per modificare le credenziali del DBMS in un ambiente Linux tramite l'utilità klsrvconfig:
- Avviare una riga di comando di Linux.
- Specificare l'utilità klsrvconfig nella finestra della riga di comando aperta:
sudo /opt/kaspersky/ksc64/sbin/klsrvconfig -set_dbms_cred - Specificare un nome per il nuovo account. È necessario specificare le credenziali di un account esistente nel DBMS.
- Immettere una nuova password.
- Specificare la nuova password per la conferma.
Le credenziali del DBMS vengono modificate.
Inizio paginaEliminazione di una gerarchia di Administration Server
Se non si desidera più avere una gerarchia di Administration Server, è possibile disconnetterli da tale gerarchia.
Per eliminare una gerarchia di Administration Server:
- Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server primario.
- Nella pagina visualizzata passare alla scheda Administration Server.
- Nel gruppo di amministrazione da cui si desidera eliminare l'Administration Server secondario selezionare l'Administration Server secondario.
- Nella riga del menu fare clic su Elimina.
- Nella finestra di dialogo visualizzata fare clic su OK per confermare che si desidera eliminare l'Administration Server secondario.
I precedenti Administration Server primario e secondario sono ora indipendenti l'uno dall'altro. La gerarchia non è più presente.
Inizio paginaAccesso ai server DNS pubblici
Se non è possibile accedere ai server Kaspersky utilizzando il DNS di sistema, Kaspersky Security Center Linux può utilizzare i seguenti server DNS pubblici, nel seguente ordine:
- Google Public DNS (8.8.8.8)
- Cloudflare DNS (1.1.1.1)
- Alibaba Cloud DNS (223.6.6.6)
- Quad9 DNS (9.9.9.9)
- CleanBrowsing (185.228.168.168)
Le richieste a questi server DNS possono contenere indirizzi di dominio e l'indirizzo IP pubblico di Administration Server, poiché l'applicazione stabilisce una connessione TCP/UDP al server DNS. Se Kaspersky Security Center Linux utilizza un server DNS pubblico, il trattamento dei dati è disciplinato dall'informativa sulla privacy del servizio pertinente.
Per configurare l'uso del DNS pubblico tramite l'utilità klscflag:
- Eseguire la riga dei comandi, quindi modificare la directory corrente nella directory con l'utilità klscflag. L'utilità klscflag si trova nella directory in cui è installato Administration Server. Il percorso di installazione predefinito è /opt/kaspersky/ksc64/sbin.
- Per disabilitare l'uso del DNS pubblico, eseguire il seguente comando nell'account root:
klscflag -fset -pv ".core/.independent" -s Transport -n ForceUseSystemDNS -t d -v 1 - Per abilitare l'uso del DNS pubblico, eseguire il seguente comando nell'account root:
klscflag -fset -pv ".core/.independent" -s Transport -n ForceUseSystemDNS -t d -v 0
Configurazione dell'interfaccia
È possibile configurare l'interfaccia di Kaspersky Security Center Web Console in modo da visualizzare e nascondere sezioni ed elementi di interfaccia, a seconda delle funzionalità utilizzate.
Per configurare l'interfaccia di Kaspersky Security Center Web Console in base al set di funzionalità utilizzate al momento:
- Nel menu principale, passare alle impostazioni dell'account, quindi selezionare Opzioni di interfaccia.
- Nella finestra Opzioni di interfaccia visualizzata abilitare o disabilitare l'opzione Mostra Criptaggio e protezione dei dati.
- Fare clic su Salva.
Successivamente, nel menu principale viene visualizzata la sezione Operazioni → Criptaggio e protezione dei dati.
Inizio pagina