Sommario

Configurazione dei diritti di accesso alle funzionalità dell'applicazione. Controllo dell'accesso basato sui ruoli

Configurazione dei diritti di accesso alle funzionalità dell'applicazione. Controllo dell'accesso basato sui ruoli

Kaspersky Security Center Linux offre l'accesso in base al ruolo alle funzionalità di Kaspersky Security Center Linux e delle applicazioni Kaspersky gestite.

È possibile configurare i diritti di accesso alle funzionalità dell'applicazione per gli utenti di Kaspersky Security Center Linux in uno dei seguenti modi:

Attraverso la configurazione dei diritti per ciascun utente o gruppo di utenti singolarmente.
Attraverso la creazione di ruoli utente standard con un set di diritti predefinito e l'assegnazione di tali ruoli agli utenti sulla base dell'ambito delle relative mansioni lavorative.

L'applicazione dei ruoli utente ha lo scopo di semplificare e abbreviare le procedure di routine per la configurazione dei diritti di accesso degli utenti alle funzionalità dell'applicazione. I diritti di accesso all'interno di un ruolo vengono configurati in base alle attività standard e all'ambito delle mansioni lavorative degli utenti.

Ai ruoli utente possono essere assegnati nomi corrispondenti ai rispettivi scopi. È possibile creare un numero illimitato di ruoli nell'applicazione.

È possibile utilizzare i ruoli utente predefiniti con un set di diritti già configurato oppure creare nuovi ruoli e configurare autonomamente i diritti richiesti.

In questa sezione

Diritti di accesso alle funzionalità dell'applicazione

Ruoli utente predefiniti

Assegnazione dei diritti di accesso a oggetti specifici

Assegnazione dei diritti di accesso a utenti e gruppi di protezione

Vedere anche:

Scenario: Configurazione della protezione di rete

Inizio pagina

Diritti di accesso alle funzionalità dell'applicazione

La tabella seguente mostra le funzionalità di Kaspersky Security Center Linux con i diritti di accesso per gestire le attività, i rapporti e le impostazioni associati e per eseguire le azioni utente associate.

Per eseguire le azioni utente elencate nella tabella, un utente deve disporre del diritto specificato accanto all'azione.

I diritti Lettura, Scrittura ed Esecuzione sono applicabili a qualsiasi attività, rapporto o impostazione. Oltre a questi diritti, un utente deve disporre del diritto Esegui operazioni per le selezioni di dispositivi per gestire attività, rapporti o impostazioni relativi alle selezioni dispositivi.

L'area funzionale Caratteristiche generali: Accesso agli oggetti indipendentemente dagli elenchi di controllo degli accessi è destinata a scopi di controllo. Quando gli utenti ottengono i diritti di Lettura in quest'area funzionale, ottengono l'accesso completo in Lettura a tutti gli oggetti e sono in grado di eseguire qualsiasi attività creata su selezioni di dispositivi connessi ad Administration Server tramite Network Agent con diritti di amministratore locale (root per Linux). Si consiglia di concedere con attenzione questi diritti a un gruppo limitato di utenti che ne hanno bisogno per svolgere le proprie funzioni ufficiali.

Tutte le attività, i rapporti, le impostazioni e i pacchetti di installazione mancanti nella tabella appartengono all'area funzionale Caratteristiche generali: Funzionalità di base.

Diritti di accesso alle funzionalità dell'applicazione

Area funzionale	Diritto	Azione utente: diritto richiesto per eseguire l'azione	Attività	Rapporto	Altro
Caratteristiche generali: Gestione dei gruppi di amministrazione	Scrittura	Aggiungere un dispositivo a un gruppo di amministrazione: Scrittura Eliminare un dispositivo da un gruppo di amministrazione: Scrittura Aggiungere un gruppo di amministrazione a un altro gruppo di amministrazione: Scrittura Eliminare un gruppo di amministrazione da un altro gruppo di amministrazione: Scrittura	None	None	None
Caratteristiche generali: Accesso agli oggetti indipendentemente dagli elenchi di controllo degli accessi	Lettura	Ottenere l'accesso in lettura a tutti gli oggetti: Lettura	None	None	L'accesso viene concesso indipendentemente da altri diritti, anche se vietano l'accesso in lettura a oggetti specifici.
Caratteristiche generali: Funzionalità di base	Lettura Scrittura Esecuzione Esegui operazioni per le selezioni dispositivi	Regole di spostamento dei dispositivi (creazione, modifica o eliminazione) per il server virtuale: Scrittura, Esegui operazioni per le selezioni dispositivi Ottenere un certificato personalizzato per il protocollo Mobile (LWNGT): Lettura Impostare un certificato personalizzato per il protocollo Mobile (LWNGT): Scrittura Ottenere l’elenco di reti definito da NLA: Lettura Aggiungere, modificare o eliminare l’elenco di reti definito da NLA: Scrittura Visualizzare gli elenchi di controllo di accesso dei gruppi: Lettura Visualizzare il registro del sistema operativo: Lettura Visualizzare la chiave di ripristino per ripristinare l'accesso a un disco rigido con Crittografia unità BitLocker: Esegui	"Scarica aggiornamenti nell'archivio di Administration Server" "Invia rapporti" "Distribuisci pacchetto di installazione" "Installa l'applicazione negli Administration Server secondari in remoto"	"Rapporto sullo stato della protezione" "Rapporto sulle minacce" "Rapporto sui dispositivi più infetti" "Rapporto sullo stato dei database anti-virus" "Rapporto sugli errori" "Rapporto sugli attacchi di rete" "Rapporto di riepilogo sulle applicazioni di difesa perimetrale installate" "Rapporto di riepilogo sui tipi di applicazioni installate" "Rapporto sugli utenti dei dispositivi infetti" "Rapporto sugli incidenti" "Rapporto sugli eventi" "Rapporto sull'attività dei punti di distribuzione" "Rapporto sugli Administration Server secondari" "Rapporto sugli eventi di Controllo Dispositivi" "Rapporto sulle applicazioni proibite" "Rapporto su Controllo Web" "Rapporto sullo stato di criptaggio dei dispositivi gestiti" "Rapporto sullo stato di criptaggio dei dispositivi di archiviazione di massa" "Rapporto sui diritti di accesso alle unità criptate" "Rapporto sugli errori di criptaggio dei file" "Rapporto sul blocco dell'accesso ai file criptati" "Rapporto sulle autorizzazioni utente effettive" "Rapporto sui diritti"	None
Caratteristiche generali: Oggetti eliminati	Lettura Scrittura	Visualizzare gli oggetti eliminati nel Cestino: Lettura Eliminare gli oggetti dal Cestino: Scrittura	None	None	None
Caratteristiche generali: Elaborazione degli eventi	Elimina eventi Modifica impostazioni di notifica eventi Modifica impostazioni registro eventi Scrittura	Modificare le impostazioni di registrazione degli eventi: Modifica impostazioni registro eventi Modificare le impostazioni di notifica degli eventi: Modifica impostazioni di notifica eventi Eliminare gli eventi: Elimina eventi	None	None	Impostazioni: Numero massimo di eventi archiviati nel database Periodo di tempo per l'archiviazione degli eventi dai dispositivi eliminati
Caratteristiche generali: Operazioni in Administration Server	Lettura Scrittura Esecuzione Modifica elenchi di controllo degli accessi agli oggetti Esegui operazioni per le selezioni dispositivi	Specificare le porte dell’Administration Server per la connessione di Network Agent: Scrittura Specificare le porte del proxy di attivazione avviato sull’Administration Server: Scrittura Specificare le porte del proxy di attivazione per i dispositivi mobili avviato sull’Administration Server: Scrittura Specificare le porte del server Web per la distribuzione di pacchetti indipendenti: Scrittura Specificare le porte del server Web per la distribuzione dei profili MDM: Scrittura Specificare le porte SSL dell'Administration Server per la connessione tramite Web Console: Scrittura Specificare le porte dell’Administration Server per la connessione mobile: Scrittura Specificare il numero massimo di eventi archiviati nel database dell’Administration Server: Scrittura Specificare il numero massimo di eventi che possono essere inviati dall’Administration Server: Scrittura Specificare il periodo di tempo durante il quale gli eventi possono essere inviati dall’Administration Server: Scrittura	"Backup dei dati di Administration Server" "Manutenzione database"	None	None
Caratteristiche generali: Distribuzione del software Kaspersky	Gestisci patch di Kaspersky Lettura Scrittura Esecuzione Esegui operazioni per le selezioni dispositivi	Accettare o rifiutare l'installazione della patch: Gestisci patch di Kaspersky	None	"Rapporto sull'utilizzo delle chiavi di licenza da parte dell'Administration Server virtuale" "Rapporto sulle versioni del software Kaspersky" "Rapporto sulle applicazioni incompatibili" "Rapporto sulle versioni degli aggiornamenti dei moduli software Kaspersky" "Rapporto sulla distribuzione della protezione"	Pacchetto di installazione: "Kaspersky"
Caratteristiche generali: Gestione delle chiavi	Esporta file chiave Scrittura	Esportare il file chiave: Esporta file chiave Modificare le impostazioni della chiave di licenza di Administration Server: Scrittura	None	None	None
Caratteristiche generali: Gestione dei rapporti forzata	Lettura Scrittura	Creare rapporti indipendentemente dagli elenchi di controllo degli accessi degli oggetti: Scrittura Eseguire rapporti indipendentemente dagli elenchi di controllo degli accessi degli oggetti: Lettura	None	None	None
Caratteristiche generali: Gerarchia di Administration Server	Configura gerarchia di Administration Server	Registrare, aggiornare o eliminare gli Administration Server secondari: Configura gerarchia di Administration Server	None	None	None
Caratteristiche generali: Autorizzazioni utente	Modifica elenchi di controllo degli accessi agli oggetti	Modificare le proprietà Protezione di qualsiasi oggetto: Modifica elenchi di controllo degli accessi agli oggetti Gestire i ruoli utente: Modifica elenchi di controllo degli accessi agli oggetti Gestire gli utenti interni: Modifica elenchi di controllo degli accessi agli oggetti Gestire i gruppi di protezione: Modifica elenchi di controllo degli accessi agli oggetti Gestire gli alias: Modifica elenchi di controllo degli accessi agli oggetti	None	None	None
Caratteristiche generali: Administration Server virtuali	Gestisci Administration Server virtuali Lettura Scrittura Esecuzione Esegui operazioni per le selezioni dispositivi	Ottenere l'elenco degli Administration Server virtuali: Lettura Ottenere informazioni sull'Administration Server virtuale: Lettura Creare, aggiornare o eliminare un Administration Server virtuale: Gestisci Administration Server virtuali Spostare un Administration Server virtuale in un altro gruppo: Gestisci Administration Server virtuali Impostare le autorizzazioni dei server virtuali: Gestisci Administration Server virtuali	None	None	None
Caratteristiche generali: Gestione delle chiavi di criptaggio	Scrittura	Importazione delle chiavi di criptaggio: Scrittura	None	None	None
Gestione sistema: Vulnerability e patch management	Lettura Scrittura Esecuzione Esegui operazioni per le selezioni dispositivi	Visualizzare le proprietà delle patch di terze parti: Lettura Modificare le proprietà delle patch di terze parti: Scrittura	"Correggi vulnerabilità" "Installa aggiornamenti richiesti e correggi vulnerabilità"	"Rapporto sugli aggiornamenti software"	None

Inizio pagina

Ruoli utente predefiniti

I ruoli utente assegnati agli utenti di Kaspersky Security Center Linux forniscono set di diritti di accesso alle funzionalità dell'applicazione.

Agli utenti creati in un server virtuale non può essere assegnato un ruolo in Administration Server.

È possibile utilizzare i ruoli utente predefiniti con un set di diritti già configurato oppure creare nuovi ruoli e configurare autonomamente i diritti richiesti. Alcuni dei ruoli utente predefiniti disponibili in Kaspersky Security Center Linux possono essere associati a posizioni lavorative specifiche, ad esempio Auditor, Addetto alla sicurezza e Supervisore. I diritti di accesso di questi ruoli sono preconfigurati in base alle attività standard e all'ambito delle mansioni lavorative delle posizioni associate. La tabella seguente illustra il modo in cui è possibile associare i ruoli a posizioni specifiche.

Esempi di ruoli per posizioni specifiche

Ruolo	Commento
Auditor	Consente tutte le operazioni con tutti i tipi di rapporti, tutte le operazioni di visualizzazione, inclusa la visualizzazione degli oggetti eliminati (concede le autorizzazioni di lettura e scrittura nell'area Oggetti eliminati). Non consente altre operazioni. È possibile assegnare questo ruolo a una persona che esegue il controllo dell'organizzazione.
Supervisore	Consente tutte le operazioni di visualizzazione; non consente le altre operazioni. È possibile assegnare questo ruolo a un security officer e ad altri manager responsabili della sicurezza IT dell'organizzazione.
Security Officer	Consente tutte le operazioni di visualizzazione e la gestione dei rapporti; concede autorizzazioni limitate per l'area Gestione sistema: Connettività. È possibile assegnare questo ruolo a un addetto responsabile della sicurezza IT dell'organizzazione.

La tabella seguente illustra i diritti di accesso assegnati a ciascun ruolo utente predefinito.

Le caratteristiche delle aree funzionali Mobile Device Management: Generale e Gestione sistema non sono disponibili in Kaspersky Security Center Linux. Un utente con i ruoli amministratore/operatore di Vulnerability e patch management o Amministratore/Operatore Mobile Device Management hanno accesso solo per i diritti dell'area Caratteristiche generali: Funzionalità di base.

Diritti di accesso dei ruoli utente predefiniti

Ruolo	Descrizione
Amministratore Administration Server	Consente tutte le operazioni nelle seguenti aree funzionali, in Caratteristiche generali: Funzionalità di base Elaborazione degli eventi Gerarchia di Administration Server Administration Server virtuali Concede i diritti di Lettura e Scrittura nell'area funzionale Caratteristiche generali: Gestione delle chiavi di criptaggio.
Operatore Administration Server	Concede i diritti Lettura ed Esecuzione in tutte le seguenti aree funzionali, in Caratteristiche generali: Funzionalità di base Administration Server virtuali
Auditor	Consente tutte le operazioni nelle seguenti aree funzionali, in Caratteristiche generali: Accesso agli oggetti indipendentemente dagli elenchi di controllo degli accessi Oggetti eliminati Gestione dei rapporti forzata È possibile assegnare questo ruolo a una persona che esegue il controllo dell'organizzazione.
Amministratore installazione	Consente tutte le operazioni nelle seguenti aree funzionali, in Caratteristiche generali: Funzionalità di base Distribuzione del software Kaspersky Gestione delle chiavi di licenza Concede i diritti Lettura ed Esecuzione nell'area funzionale Caratteristiche generali: Administration Server virtuali.
Operatore installazione	Concede i diritti Lettura ed Esecuzione in tutte le seguenti aree funzionali, in Caratteristiche generali: Funzionalità di base Distribuzione del software Kaspersky (concede anche il diritto Gestisci patch di Kaspersky Lab in quest'area) Administration Server virtuali
Amministratore Kaspersky Endpoint Security	Consente tutte le operazioni nelle seguenti aree funzionali: Caratteristiche generali: Funzionalità di base Area Kaspersky Endpoint Security, incluse tutte le funzionalità Concede i diritti di Lettura e Scrittura nell'area funzionale Caratteristiche generali: Gestione delle chiavi di criptaggio.
Operatore Kaspersky Endpoint Security	Concede i diritti Lettura ed Esecuzione in tutte le seguenti aree funzionali: Caratteristiche generali: Funzionalità di base Area Kaspersky Endpoint Security, incluse tutte le funzionalità
Amministratore principale	Consente tutte le operazioni nelle aree funzionali, ad eccezione delle seguenti aree, Caratteristiche generali: Accesso agli oggetti indipendentemente dagli elenchi di controllo degli accessi Gestione dei rapporti forzata Concede i diritti di Lettura e Scrittura nell'area funzionale Caratteristiche generali: Gestione delle chiavi di criptaggio.
Operatore principale	Concede i diritti Lettura ed Esecuzione (ove applicabile) in tutte le seguenti aree funzionali: Caratteristiche generali: Funzionalità di base Oggetti eliminati Operazioni in Administration Server Distribuzione del software Kaspersky Lab Administration Server virtuali Area Kaspersky Endpoint Security, incluse tutte le funzionalità
Amministratore Mobile Device Management	Consente tutte le operazioni nell'area funzionale Caratteristiche generali: Funzionalità di base.
Security Officer	Consente tutte le operazioni nelle seguenti aree funzionali, in Caratteristiche generali: Accesso agli oggetti indipendentemente dagli elenchi di controllo degli accessi Gestione dei rapporti forzata Concede i diritti Lettura, Scrittura, Esecuzione, Salva i file dei dispositivi nella workstation dell'amministratore ed Esegui operazioni per le selezioni di dispositivi nell'area funzionale Gestione sistema: Connettività. È possibile assegnare questo ruolo a un addetto responsabile della sicurezza IT dell'organizzazione.
Utente del Portale Self Service	Consente tutte le operazioni nell'area funzionale Mobile Device Management: Portale Self Service. Questa funzionalità non è supportata in Kaspersky Security Center 11 e versioni successive.
Supervisore	Concede il diritto Lettura nelle aree funzionali Caratteristiche generali: Accesso agli oggetti indipendentemente dagli elenchi di controllo degli accessi e Caratteristiche generali: Gestione dei rapporti forzata. È possibile assegnare questo ruolo a un security officer e ad altri manager responsabili della sicurezza IT dell'organizzazione.

Inizio pagina

Assegnazione dei diritti di accesso a oggetti specifici

Oltre ad assegnare diritti di accesso a livello di server, è possibile configurare l'accesso a oggetti specifici, ad esempio a un'attività specifica. L'applicazione consente di specificare i diritti di accesso per i seguenti tipi di oggetti:

Gruppi di amministrazione
Attività
Rapporti
Selezioni dispositivi
Selezioni eventi

Per assegnare i diritti di accesso a un oggetto specifico:

In base al tipo di oggetto, nel menu principale passare alla sezione corrispondente:
- Dispositivi → Gerarchia dei gruppi
- Dispositivi → Attività
- Monitoraggio e generazione dei rapporti → Rapporti
- Dispositivi → Selezioni dispositivi
- Monitoraggio e generazione dei rapporti → Selezioni eventi
Aprire le proprietà dell'oggetto per il quale si desidera configurare i diritti di accesso.
Per aprire la finestra delle proprietà di un gruppo di amministrazione o di un'attività, fare clic sul nome dell'oggetto. È possibile aprire le proprietà di altri oggetti utilizzando il pulsante sulla barra degli strumenti.
Nella finestra delle proprietà, aprire la sezione Diritti di accesso.
Verrà visualizzato l'elenco di utenti. Gli utenti e i gruppi di protezione elencati dispongono dei diritti di accesso all'oggetto. Per impostazione predefinita, se si utilizza una gerarchia di gruppi di amministrazione o server, l'elenco e i diritti di accesso vengono ereditati dal gruppo di amministrazione principale o dal server primario.
Per poter modificare l'elenco, abilitare l'opzione Usa autorizzazioni personalizzate.
Configurare i diritti di accesso:
- Utilizzare i pulsanti Aggiungi ed Elimina per modificare l'elenco.
- Specificare i diritti di accesso per un utente o un gruppo di protezione. Eseguire una delle seguenti operazioni:
  - Se si desidera specificare i diritti di accesso manualmente, selezionare l'utente o il gruppo di protezione, fare clic sul pulsante Diritti di accesso, quindi specificare i diritti di accesso.
  - Se si desidera assegnare un ruolo utente all'utente o al gruppo di protezione, selezionare l'utente o il gruppo di protezione, fare clic sul pulsante Ruoli e selezionare il ruolo da assegnare.
Fare clic sul pulsante Salva.

I diritti di accesso all'oggetto sono configurati.

Vedere anche:

Configurazione dei diritti di accesso alle funzionalità dell'applicazione. Controllo dell'accesso basato sui ruoli

Diritti di accesso alle funzionalità dell'applicazione

Ruoli utente predefiniti

Inizio pagina

Assegnazione dei diritti di accesso a utenti e gruppi di protezione

È possibile concedere a utenti e gruppi di protezione i diritti di accesso per utilizzare diverse funzionalità di Administration Server, ad esempio, Kaspersky Endpoint Security for Linux.

Per assegnare i diritti di accesso a un utente o un gruppo di protezione:

Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.
Verrà visualizzata la finestra delle proprietà di Administration Server.
Nella scheda Diritti di accesso, selezionare la casella di controllo accanto al nome dell'utente o del gruppo di protezione a cui assegnare i diritti, quindi fare clic sul pulsante Diritti di accesso.
Non è possibile selezionare più utenti o gruppi di sicurezza contemporaneamente. Se si selezionano più elementi, il pulsante Diritti di accesso verrà disabilitato.
Configurare il set di diritti per l'utente o il gruppo:
1. Espandere il nodo con le funzionalità di Administration Server o di un'altra applicazione Kaspersky.
2. Selezionare la casella di controllo Consenti o Nega accanto alla funzionalità o al diritto di accesso desiderato.
  Esempio 1: selezionare la casella di controllo Consenti accanto al nodo Integrazione applicazione per concedere tutti i diritti di accesso disponibili alla funzionalità di integrazione dell'applicazione (Lettura, Scrittura ed Esecuzione) per un utente o un gruppo.
  
  Esempio 2: espandere il nodo Gestione chiavi di criptaggio, quindi selezionare la casella di controllo Consenti accanto all'autorizzazione Scrittura per concedere il diritto di accesso in scrittura alla funzionalità di gestione delle chiavi di criptaggio per un utente o un gruppo.
Dopo aver configurato il set di diritti di accesso, fare clic su OK.

Verrà configurato il set di diritti per l'utente o il gruppo di utenti.

Le autorizzazioni dell'Administration Server (o del gruppo di amministrazione) sono suddivise nelle seguenti aree:

Caratteristiche generali:
- Gestione dei gruppi di amministrazione
- Accesso agli oggetti indipendentemente dagli elenchi di controllo degli accessi
- Funzionalità di base
- Oggetti eliminati
- Gestione delle chiavi di criptaggio
- Elaborazione degli eventi
- Operazioni in Administration Server (solo nella finestra delle proprietà di Administration Server)
- Distribuzione del software Kaspersky
- Gestione delle chiavi di licenza
- Integrazione dell'applicazione
- Gestione dei rapporti forzata
- Gerarchia di Administration Server
- Autorizzazioni utente
- Administration Server virtuali
Mobile Device Management:
- Generale
- Portale Self Service
Gestione sistema:
- Connettività
- Inventario hardware
- Controllo accesso alla rete (NAC)
- Distribuzione del sistema operativo
- Installazione remota
- Inventario software

Se non si seleziona Consenti o Nega per un diritto di accesso, il diritto di accesso viene considerato non definita: è negata finché non viene negata o consentita in modo esplicito per l'utente.

I diritti di un utente sono la somma di quanto segue:

I diritti propri dell'utente
I diritti di tutti i ruoli assegnati all'utente
I diritti di tutto il gruppo di protezione a cui appartiene l'utente
I diritti di tutti i ruoli assegnati ai gruppi di protezione a cui appartiene l'utente

Se almeno uno di questi set di diritti ha l'autorizzazione Nega, l'autorizzazione viene negata all'utente, anche se altri set la consentono o la lasciano non definita.

È inoltre possibile aggiungere utenti e gruppi di protezione all'ambito di un ruolo utente per usare funzionalità diverse di Administration Server. Le impostazioni associate a un ruolo utente si applicheranno solo ai dispositivi che appartengono agli utenti con questo ruolo e solo se tali dispositivi appartengono a gruppi associati a questo ruolo, inclusi i gruppi figlio.

Inizio pagina