[Topic 5022]

Guida di Kaspersky Security Center Linux

Nuove funzioni

• Novità
  
  

Requisiti hardware e software

• Requisiti di Administration Server
• Requisiti di Web Console
• Requisiti di Network Agent
  
  

Operazioni preliminari

• Installazione
• Avvio rapido guidato
• Distribuzione guidata della protezione
  
  

Licensing e attivazione

• Attivazione di Kaspersky Security Center Linux
• Licensing delle applicazioni gestite
  
  

Distribuzione e configurazione

• Individuazione dei dispositivi nella rete
• Regolazione di punti di distribuzione e/o gateway di connessione
• Sostituzione di applicazioni di protezione di terzi
• Applicazioni Kaspersky. Distribuzione centralizzata
• Configurazione della protezione di rete
• Applicazioni Kaspersky. Aggiornamento dei database e dei moduli del software
  
  

Monitoraggio

• Monitoraggio e generazione dei rapporti
  
  

Funzionalità aggiuntive

• Esportazione di eventi nei sistemi SIEM
• Guida per il dimensionamento (solo Guida in linea)

[Topic 12521]

Novità

Guida di Kaspersky Security Center 15 Linux

Kaspersky Security Center Linux 15 prevede diversi miglioramenti e nuove funzionalità:

• Il polling del controller di dominio consente di eseguire il polling di un controller di dominio Microsoft Active Directory e di un controller di dominio Samba. È possibile utilizzare Administration Server o un punto di distribuzione per eseguire il polling di Microsoft Active Directory. È possibile eseguire il polling di un controller di dominio Samba solo tramite un punto di distribuzione basato su Linux. Quando si esegue il polling di un controller di dominio, Administration Server o un punto di distribuzione recuperano le informazioni sulla struttura del dominio, sugli account utente, sui gruppi di protezione e sui nomi DNS dei dispositivi inclusi nel dominio.
• Kaspersky Security Center Linux ora supporta l'utilizzo dei seguenti DBMS:
  • PostgreSQL 15.х
  • Postgres Pro 15.х
• Se si utilizza PostgreSQL o Postgres Pro come DBMS, Kaspersky Security Center Linux supporta fino a 50.000 dispositivi gestiti.
• Migrazione da Kaspersky Security Center Windows a Kaspersky Security Center Linux. È possibile eseguire una migrazione guidata degli oggetti di Kaspersky Security Center, comprese le attività, i criteri e la struttura dei gruppi di amministrazione. Successivamente, è possibile spostare i dispositivi gestiti importati in modo che siano gestiti da Kaspersky Security Center Linux.
• Kaspersky Security Center Linux ora supporta l'utilizzo delle seguenti applicazioni Kaspersky:
  • Kaspersky Security for Virtualization Light Agent
  • Kaspersky Embedded Systems Security for Windows
  • Kaspersky Embedded Systems Security for Linux
  • Kaspersky Industrial CyberSecurity for Nodes
  • Kaspersky Industrial CyberSecurity for Networks
  • Kaspersky Endpoint Security for Mac
  • Kaspersky Endpoint Agent
  • Kaspersky Security for Virtualization Light Agent
• Diagnostica remota dei dispositivi gestiti basati su Windows e Linux.
• Componente Controllo Applicazioni migliorato. È ora possibile creare una categoria di applicazioni in base all'elenco di file eseguibili da una cartella selezionata o in base a una categoria di applicazioni Kaspersky. Quindi, è possibile specificare se consentire o bloccare le applicazioni della categoria creata nell'organizzazione.
• Esportazione e importazione di selezioni di eventi. È possibile esportare una selezione di eventi definita dall'utente e le relative impostazioni in un file KLO, quindi importare la selezione di eventi salvata in Kaspersky Security Center Windows o Kaspersky Security Center Linux.
• Nel Rapporto sulle minacce, è ora possibile aprire una catena di sviluppo delle minacce facendo clic sul collegamento Visualizza avviso.
• Kaspersky Security Center Linux ora supporta la tecnologia cluster. Se un gruppo di amministrazione contiene cluster o array di server, la pagina Dispositivi gestiti mostra due schede: una per i singoli dispositivi e una per i cluster e gli array di server. Dopo che i dispositivi gestiti vengono rilevati come nodi del cluster, il cluster viene aggiunto come oggetto singolo alla scheda Cluster e array di server. I nodi del cluster sono elencati nella scheda Dispositivi, insieme ad altri dispositivi gestiti.
• Il supporto per alcune piattaforme da parte di Kaspersky Security Center Linux è terminato perché queste piattaforme non sono più supportate dai relativi fornitori.

Guida di Kaspersky Security Center 14.2 Linux

Kaspersky Security Center Linux 14.2 prevede diversi miglioramenti e nuove funzionalità:

• In un Gerarchia di Administration Server, un server di amministrazione basato su Linux può ora fungere da server primario e può gestire server basati su Linux o Windows fungendo da server secondario.
• Kaspersky Security Center Linux ora supporta Kaspersky Security Network (KSN), Servizio proxy KSN e Kaspersky Private Security Network (KPSN).
• Kaspersky Security Center Linux ora supporta Kaspersky Endpoint Security for Windows come applicazione gestita.

  L'installazione remota di Network Agent per Windows nei dispositivi client è possibile solo utilizzando gli strumenti del sistema operativo tramite i punti di distribuzione basati su Windows.

• I dati nei dispositivi gestiti basati su Windows possono ora essere criptati per ridurre il rischio di perdita involontaria di dati sensibili e aziendali in caso di furto o smarrimento di un laptop o disco rigido. Questa funzionalità è implementata tramite Kaspersky Endpoint Security for Windows.
• Kaspersky Security Center Linux consente di scaricare e aggiornare sia i pacchetti di distribuzione delle applicazioni Kaspersky che i plug-in Web di gestione direttamente nell'interfaccia utente di Kaspersky Security Center Linux.
• Per impostazione predefinita, le informazioni sulle applicazioni installate nei dispositivi gestiti basati su Linux e Windows vengono inviate all'Administration Server.
• L'accesso ai server di Kaspersky viene ora verificato automaticamente. Se non è possibile accedere ai server utilizzando il DNS di sistema, l'applicazione utilizza il DNS pubblico.
• I dati sensibili trasferiti tra l'Administration Server primario, gli Administration Server secondari e i Network Agent sono ora protetti con l'algoritmo di criptaggio AES.
• I diritti utente su un Administration Server virtuale sono disponibili per la configurazione in qualsiasi momento, indipendentemente dall'Administration Server primario. Inoltre, è possibile assegnare agli utenti del server primario i diritti per gestire un server virtuale.
• Kaspersky Security Center Linux ora supporta l'utilizzo dei seguenti DBMS:
  • PostgreSQL 13.x
  • PostgreSQL 14.x
  • Postgres Pro 13.x (tutte le edizioni)
  • Postgres Pro 14.x (tutte le edizioni)
• È possibile utilizzare Kaspersky Security Center Web Console per esportare criteri e attività in un file, e quindi importare i criteri e le attività in Kaspersky Security Center Windows o Kaspersky Security Center Linux.
• L'opzione Non utilizzare il server proxy è stata rimossa dalle seguenti attività:
  • Scarica aggiornamenti nell'archivio dell'Administration Server
  • Scarica aggiornamenti negli archivi dei punti di distribuzione

Guida di Kaspersky Security Center 14 Linux

Kaspersky Security Center Linux prevede diversi miglioramenti e nuove funzionalità:

• Oltre all'attività Scarica aggiornamenti nell'archivio dell'Administration Server, i database anti-virus per le applicazioni di protezione Kaspersky possono ora essere scaricati tramite l'attività Scarica aggiornamenti negli archivi dei punti di distribuzione.
• I database anti-virus e i moduli dell'applicazione nei dispositivi gestiti possono essere propagati e aggiornati tramite Administration Server o punti di distribuzione. È possibile scegliere uno schema di aggiornamento ottimale per la propria organizzazione, per ridurre il carico sull'Administration Server e ottimizzare il traffico dei dati sulla rete aziendale.
• Kaspersky Security Center Linux scarica dai server di aggiornamento Kaspersky solo gli aggiornamenti richiesti dalle applicazioni di protezione Kaspersky. In questo modo, si riduce la dimensione dei dati scaricati.
• Ora è possibile utilizzare le funzionalità dei file diff per scaricare database anti-virus e moduli software. Un file diff descrive le differenze tra due versioni di un file di un database o un modulo software. L'utilizzo dei file diff riduce il traffico all'interno della rete aziendale, poiché i file diff occupano meno spazio rispetto ai file completi di database e moduli software.
• È stata aggiunta l'attività di Verifica aggiornamenti. Utilizzando questa attività, è possibile verificare automaticamente l'operatività e gli errori degli aggiornamenti scaricati prima di installare gli aggiornamenti nei dispositivi gestiti.
• Kaspersky Security Center Linux ora supporta Kaspersky Industrial CyberSecurity for Linux Nodes 1.3 come applicazione gestita.

[Topic 3396]

Informazioni su Kaspersky Security Center Linux

Questa sezione contiene informazioni sulla funzione di Kaspersky Security Center Linux, sui relativi componenti e funzionalità principali e sulle modalità di acquisto di Kaspersky Security Center.

Kaspersky Security Center Linux (denominato anche Kaspersky Security Center) è progettato per distribuire e gestire la protezione dei dispositivi client utilizzando Administration Server basato su Linux.

Kaspersky Security Center Linux consente all'utente di installare le applicazioni di protezione Kaspersky nei dispositivi in una rete aziendale, eseguire in remoto attività di scansione e aggiornamento e gestire i criteri di sicurezza delle applicazioni gestite. In qualità di amministratore, è possibile utilizzare una dashboard dettagliata che fornisce una panoramica degli stati dei dispositivi aziendali, rapporti dettagliati e impostazioni granulari nei criteri di protezione.

Rispetto a Kaspersky Security Center con Administration Server basato su Windows, Kaspersky Security Center Linux dispone di un set di funzionalità diverso.

L'applicazione Kaspersky Security Center Linux è destinata agli amministratori di reti aziendali e ai dipendenti responsabili della protezione dei dispositivi in un'ampia gamma di organizzazioni.

Utilizzando Kaspersky Security Center è possibile eseguire quanto segue:

• Creare una gerarchia di Administration Server per gestire la rete dell'organizzazione, nonché le reti di filiali remote o organizzazioni client.

  Un'organizzazione client è un'organizzazione la cui protezione anti-virus viene assicurata da un provider di servizi.

• Creare una gerarchia di gruppi di amministrazione per gestire una selezione di dispositivi client come una singola unità.
• Gestire un sistema di protezione anti-virus basato sulle applicazioni Kaspersky.
• Eseguire l'installazione remota delle applicazioni Kaspersky e di altri fornitori di software.
• Eseguire la distribuzione centralizzata delle chiavi di licenza per le applicazioni Kaspersky nei dispositivi client, monitorarne l'utilizzo e rinnovare le licenze.
• Ricevere statistiche e rapporti sull'esecuzione delle applicazioni e dei dispositivi.
• Ricevere notifiche relative agli eventi critici durante l'esecuzione delle applicazioni Kaspersky.
• Gestire il criptaggio delle informazioni archiviate in unità rimovibili e dischi rigidi di dispositivi basati su Windows.
• Gestire l'accesso degli utenti ai dati criptati nei dispositivi basati su Windows.
• Eseguire l'inventario dell'hardware connesso alla rete dell'organizzazione.
• Gestire in modo centralizzato il file spostati in Quarantena o Backup dalle applicazioni di protezione, nonché gestire i file per cui l'elaborazione da parte delle applicazioni di protezione è stata rimandata.

È possibile acquistare Kaspersky Security Center Linux tramite Kaspersky (ad esempio, all'indirizzo https://www.kaspersky.it) o tramite aziende partner.

Se Kaspersky Security Center Linux viene acquistato tramite Kaspersky, è possibile copiare l'applicazione dal nostro sito Web. Le informazioni richieste per l'attivazione dell'applicazione vengono inviate tramite e-mail una volta elaborato il pagamento.

Le funzionalità di aggiornamento (compresa la fornitura degli aggiornamenti delle firme anti-virus e della base di codice) e la funzionalità KSN potrebbero non essere disponibili nel software negli Stati Uniti.

[Topic 96255]

Requisiti hardware e software

• Requisiti di Administration Server
• Requisiti di Web Console
• Requisiti di Network Agent

[Topic 255791]

Requisiti di Administration Server

Requisiti hardware minimi:

• CPU con frequenza operativa di 1,4 GHz o superiore.
• RAM: 4 GB.
• Spazio su disco disponibile: 10 GB richiesti per la cartella in cui sono archiviati i dati di Administration Server (/var/opt/kaspersky/klnagent_srv).

Sono supportati i seguenti sistemi operativi:

• Debian GNU/Linux 10.х (Buster) 64 bit
• Debian GNU/Linux 11.х (Bullseye) 64 bit
• Debian GNU/Linux 12 (Bookworm) 64 bit
• Ubuntu Server 18.04 LTS (Bionic Beaver) 64 bit
• Ubuntu Server 20.04 LTS (Focal Fossa) 64 bit
• Ubuntu Server 22.04 LTS (Jammy Jellyfish) 64 bit
• CentOS 7.x 64 bit
• CentOS Stream 9 64 bit
• Red Hat Enterprise Linux Server 7.x 64 bit
• Red Hat Enterprise Linux Server 8.x 64 bit
• Red Hat Enterprise Linux Server 9.x 64 bit
• SUSE Linux Enterprise Server 12 (tutti i Service Pack) 64 bit
• SUSE Linux Enterprise Server 15 (tutti i Service Pack) 64 bit
• Astra Linux Special Edition RUSB.10015-01 (aggiornamento operativo 1.6) 64 bit
• Astra Linux Special Edition RUSB.10015-01 (aggiornamento operativo 1.7) 64 bit
• Astra Linux Special Edition RUSB.10015-01 (aggiornamento operativo 1.8) 64 bit
• Astra Linux Common Edition (aggiornamento operativo 2.12) 64 bit
• ALT SP Server 10 64 bit
• ALT Server 10 64 bit
• ALT Server 9.2 64 bit
• ALT 8 SP Server (LKNV.11100-01) 64 bit
• ALT 8 SP Server (LKNV.11100-02) 64 bit
• ALT 8 SP Server (LKNV.11100-03) 64 bit
• Oracle Linux 7 64 bit
• Oracle Linux 8 64 bit
• Oracle Linux 9 64 bit
• RED OS 7.3 Server 64 bit
• RED OS 7.3 Certified Edition 64 bit
• ROSA COBALT 7.9 64 bit

Si consiglia di utilizzare il file system EXT4 con le impostazioni predefinite.

Sono supportate le seguenti piattaforme di virtualizzazione:

• VMware vSphere 6.7
• VMware vSphere 7.0
• VMware vSphere 8.0
• VMware Workstation 16 Pro
• VMware Workstation 17 Pro
• Microsoft Hyper-V Server 2012 64 bit
• Microsoft Hyper-V Server 2012 R2 64 bit
• Microsoft Hyper-V Server 2016 64 bit
• Microsoft Hyper-V Server 2019 64 bit
• Microsoft Hyper-V Server 2022 64 bit
• Citrix XenServer 7.1 LTSR
• Citrix XenServer 8.x
• Parallels Desktop 17
• Oracle VM VirtualBox 6.x
• Oracle VM VirtualBox 7.x
• Macchina virtuale basata su kernel (tutti i sistemi operativi Linux supportati dal server di amministrazione)

Sono supportati i seguenti server di database (può essere installato su un dispositivo diverso):

• MySQL 5.7 Community 32 bit/64 bit
• MySQL 8.0 32 bit/64 bit
• MariaDB 10.1 (build 10.1.30 e versioni successive) 32 bit/64 bit
• MariaDB 10.3 (build 10.3.22 e versioni successive) 32 bit/64 bit
• MariaDB 10.4 (build 10.4.20 e versioni successive) 32 bit/64 bit
• MariaDB 10.5 (build 10.5.27 e versioni successive) 32 bit/64 bit
• MariaDB 10.6 (build 10.6.20 e versioni successive) 32 bit/64 bit
• MariaDB 10.11 (build 10.11.10 e versioni successive) 32 bit/64 bit
• Cluster MariaDB Galera 10.3 a 32 bit/64 bit con motore di archiviazione InnoDB
• PostgreSQL 13.х 64 bit
• PostgreSQL 14.х 64 bit
• PostgreSQL 15.х 64 bit
• Postgres Pro 13.х 64 bit (tutte le edizioni)
• Postgres Pro 14.х 64-bit (tutte le edizioni)
• Postgres Pro 15.х 64 bit (tutte le edizioni)
• Platform V Pangolin 5.4.0 64 bit
• Jatoba 4 64 bit

[Topic 255792]

Requisiti di Web Console

Kaspersky Security Center Web Console Server

Requisiti hardware minimi:

• CPU: 4 core, frequenza operativa di 2,5 GHz.
• RAM: 8 GB.
• Spazio su disco disponibile: 40 GB richiesti per la cartella in cui sono archiviati i dati di Administration Server (/var/opt/kaspersky).

Uno dei seguenti sistemi operativi (solo versioni a 64 bit):

• Debian GNU/Linux 10.х (Buster)
• Debian GNU/Linux 11.х (Bullseye)
• Debian GNU/Linux 12 (Bookworm)
• Ubuntu Server 18.04 LTS (Bionic Beaver)
• Ubuntu Server 20.04 LTS (Focal Fossa)
• Ubuntu Server 22.04 LTS (Jammy Jellyfish)
• CentOS Stream 9
• Red Hat Enterprise Linux Server 7.x
• Red Hat Enterprise Linux Server 8.x
• Red Hat Enterprise Linux Server 9.x
• SUSE Linux Enterprise Server 12 (tutti i Service Pack)
• SUSE Linux Enterprise Server 15 (tutti i Service Pack)
• Astra Linux Special Edition RUSB.10015-01 (aggiornamento operativo 1.6)
• Astra Linux Special Edition RUSB.10015-01 (aggiornamento operativo 1.7)
• Astra Linux Special Edition RUSB.10015-01 (aggiornamento operativo 1.8) 64 bit
• Astra Linux Common Edition (aggiornamento operativo 2.12)
• ALT SP Server 10
• ALT Server 10
• ALT Server 9.2
• ALT 8 SP Server (LKNV.11100-01)
• ALT 8 SP Server (LKNV.11100-02)
• ALT 8 SP Server (LKNV.11100-03)
• Oracle Linux 7
• Oracle Linux 8
• Oracle Linux 9
• RED OS 7.3 Server
• RED OS 7.3 Certified Edition
• ROSA COBALT 7.9
• Macchina virtuale basata su kernel (tutti i sistemi operativi Linux supportati da Kaspersky Security Center Web Console Server)

Dispositivi client

Per un dispositivo client, l'utilizzo di Kaspersky Security Center Web Console richiede solo un browser.

La risoluzione minima dello schermo è 1366x768 pixel.

I requisiti hardware e software relativi al dispositivo sono identici a quelli del browser utilizzato per Kaspersky Security Center Web Console.

Browser:

• Google Chrome versione 100.0.4896.88 o successiva (build ufficiale)
• Microsoft Edge versione 100 o successiva
• Safari 15 su macOS
• "Yandex" Browser 23.5.0.2271 o versione successiva
• Mozilla Firefox Extended Support Release 102.0 o versione successiva

[Topic 255797]

Requisiti di Network Agent

Requisiti hardware minimi:

• CPU con frequenza operativa di 1 GHz o superiore. Per un sistema operativo a 64 bit, la frequenza minima della CPU è di 1.4 GHz.
• RAM: 512 MB.
• Spazio disponibile su disco: 1 GB.

Requisito software per dispositivi basati su Linux: è necessario installare l'interprete Perl versione 5.10 o successiva.

Sono supportati i seguenti sistemi operativi:

• Microsoft Windows Embedded POSReady 2009 con il Service Pack più recente 32 bit
• Microsoft Windows Embedded 7 Standard con Service Pack 1 32 bit/64 bit
• Microsoft Windows Embedded 8.1 Industry Pro 32 bit/64 bit
• Microsoft Windows 10 Enterprise 2015 LTSB 32 bit/64 bit
• Microsoft Windows 10 Enterprise 2016 LTSB 32 bit/64 bit
• Microsoft Windows 10 IoT Enterprise 2015 LTSB 32-bit/64 bit
• Microsoft Windows 10 IoT Enterprise 2016 LTSB 32-bit/64 bit
• Microsoft Windows 10 Enterprise 2019 LTSC 32 bit/64 bit
• Microsoft Windows 10 IoT Enterprise versione 1703 32 bit/64 bit
• Microsoft Windows 10 IoT Enterprise versione 1709 32 bit/64 bit
• Microsoft Windows 10 IoT Enterprise versione 1803 32 bit/64 bit
• Microsoft Windows 10 IoT Enterprise versione 1809 32 bit/64 bit
• Microsoft Windows 10 20H2 IoT Enterprise 32 bit/64 bit
• Microsoft Windows 10 21H2 IoT Enterprise 32 bit/64 bit
• Microsoft Windows 10 IoT Enterprise 32 bit/64 bit
• Microsoft Windows 10 IoT Enterprise versione 1909 32 bit/64 bit
• Microsoft Windows 10 IoT Enterprise LTSC 2021 32 bit/64 bit
• Microsoft Windows 10 IoT Enterprise versione 1607 32 bit/64 bit
• Microsoft Windows 10 Home RS3 (Fall Creators Update, v1709) 32 bit/64 bit
• Microsoft Windows 10 Pro RS3 (Fall Creators Update, v1709) 32 bit/64 bit
• Microsoft Windows 10 Pro for Workstations RS3 (Fall Creators Update, v1709) 32 bit/64 bit
• Microsoft Windows 10 Enterprise RS3 (Fall Creators Update, v1709) 32 bit/64 bit
• Microsoft Windows 10 Education RS3 (Fall Creators Update, v1709) 32 bit/64 bit
• Microsoft Windows 10 Home RS4 (aggiornamento di aprile 2018, 17134) 32 bit/64 bit
• Microsoft Windows 10 Pro RS4 (aggiornamento di aprile 2018, 17134) 32 bit/64 bit
• Microsoft Windows 10 Pro for Workstations RS4 (aggiornamento di aprile 2018, 17134) 32 bit/64 bit
• Microsoft Windows 10 Enterprise RS4 (aggiornamento di aprile 2018, 17134) 32 bit/64 bit
• Microsoft Windows 10 Education RS4 (aggiornamento di aprile 2018, 17134) 32 bit/64 bit
• Microsoft Windows 10 Home RS5 (ottobre 2018) 32 bit/64 bit
• Microsoft Windows 10 Pro RS5 (ottobre 2018) 32 bit/64 bit
• Microsoft Windows 10 Pro for Workstations RS5 (ottobre 2018) 32 bit/64 bit
• Microsoft Windows 10 Enterprise RS5 (ottobre 2018) 32 bit/64 bit
• Microsoft Windows 10 Education RS5 (ottobre 2018) 32 bit/64 bit
• Microsoft Windows 10 Home 19H1 32 bit/64 bit
• Microsoft Windows 10 Pro 19H1 32 bit/64 bit
• Microsoft Windows 10 Pro for Workstations 19H1 32 bit/64 bit
• Microsoft Windows 10 Enterprise 19H1 32 bit/64 bit
• Microsoft Windows 10 Education 19H1 32 bit/64 bit
• Microsoft Windows 10 Home 19H2 32 bit/64 bit
• Microsoft Windows 10 Pro 19H2 32 bit/64 bit
• Microsoft Windows 10 Pro for Workstations 19H2 32 bit/64 bit
• Microsoft Windows 10 Enterprise 19H2 32 bit/64 bit
• Microsoft Windows 10 Education 19H2 32 bit/64 bit
• Microsoft Windows 10 Home 20H1 (aggiornamento di maggio 2020) 32 bit/64 bit
• Microsoft Windows 10 Pro 20H1 (aggiornamento di maggio 2020) 32 bit/64 bit
• Microsoft Windows 10 Enterprise 20H1 (aggiornamento di maggio 2020) 32 bit/64 bit
• Microsoft Windows 10 Education 20H1 (aggiornamento di maggio 2020) 32 bit/64 bit
• Microsoft Windows 10 Home 20H2 (aggiornamento di ottobre 2020) 32 bit/64 bit
• Microsoft Windows 10 Pro 20H2 (aggiornamento di ottobre 2020) 32 bit/64 bit
• Microsoft Windows 10 Enterprise 20H2 (aggiornamento di ottobre 2020) 32 bit/64 bit
• Microsoft Windows 10 Education 20H2 (aggiornamento di ottobre 2020) 32 bit/64 bit
• Microsoft Windows 10 Home 21H1 (aggiornamento di maggio 2021) 32 bit/64 bit
• Microsoft Windows 10 Pro 21H1 (aggiornamento di maggio 2021) 32 bit/64 bit
• Microsoft Windows 10 Enterprise 21H1 (aggiornamento di maggio 2021) 32 bit/64 bit
• Microsoft Windows 10 Education 21H1 (aggiornamento di maggio 2021) 32 bit/64 bit
• Microsoft Windows 10 Home 21H2 (aggiornamento di ottobre 2021) 32 bit / 64 bit
• Microsoft Windows 10 Pro 21H2 (aggiornamento di ottobre 2021) 32 bit / 64 bit
• Microsoft Windows 10 Enterprise 21H2 (aggiornamento di ottobre 2021) 32 bit / 64 bit
• Microsoft Windows 10 Education 21H2 (aggiornamento di ottobre 2021) 32 bit / 64 bit
• Microsoft Windows 10 Home 22H2 (aggiornamento di ottobre 2023) 32 bit/64 bit
• Microsoft Windows 10 Pro 22H2 (aggiornamento di ottobre 2023) 32 bit/64 bit
• Microsoft Windows 10 Enterprise 22H2 (aggiornamento di ottobre 2023) 32 bit/64 bit
• Microsoft Windows 10 Education 22H2 (aggiornamento di ottobre 2023) 32 bit/64 bit
• Microsoft Windows 11 Home 64 bit
• Microsoft Windows 11 Pro 64 bit
• Microsoft Windows 11 Enterprise 64 bit
• Microsoft Windows 11 Education 64 bit
• Microsoft Windows 11 22H2
• Microsoft Windows 8.1 Pro 32 bit/64 bit
• Microsoft Windows 8.1 Enterprise 32 bit/64 bit
• Microsoft Windows 8 Pro 32 bit/64 bit
• Microsoft Windows 8 Enterprise 32 bit/64 bit
• Microsoft Windows 7 Professional con Service Pack 1 e versioni successive 32 bit/64 bit
• Microsoft Windows 7 Enterprise / Ultimate con Service Pack 1 e versioni successive 32 bit/64 bit
• Microsoft Windows 7 Home Basic/Premium con Service Pack 1 e versioni successive 32 bit/64 bit
• Microsoft Windows XP Professional con Service Pack 2 a 32 bit/64 bit (supportato solo da Network Agent versione 10.5.1781)
• Microsoft Windows XP Professional con Service Pack 3 e versioni successive 32 bit (supportato da Network Agent versione 14.0.0.20023)
• Microsoft Windows XP Professional per sistemi integrati con Service Pack 3 32 bit (supportato da Network Agent versione 14.0.0.20023)
• Windows MultiPoint Server 2011 Standard/Premium 64 bit
• Windows Server 2003 SP1 a 32/64 bit (supportato solo da Network Agent versione 10.5.1781, che è possibile richiedere tramite l'Assistenza tecnica)
• Windows Server 2008 Foundation con Service Pack 2 32 bit/64 bit
• Windows Server 2008 con Service Pack 2 (tutte le edizioni) 32 bit/64 bit
• Windows Server 2008 R2 Datacenter con Service Pack 1 e versioni successive 64 bit
• Windows Server 2008 R2 Enterprise con Service Pack 1 e versioni successive 64 bit
• Windows Server 2008 R2 Foundation con Service Pack 1 e versioni successive 64 bit
• Windows Server 2008 R2 Core Mode con Service Pack 1 e versioni successive 64 bit
• Windows Server 2008 R2 Standard con Service Pack 1 e versioni successive 64 bit
• Windows Server 2008 R2 con Service Pack 1 (tutte le edizioni) 64 bit
• Windows Server 2012 Server Core 64 bit
• Windows Server 2012 Datacenter 64 bit
• Windows Server 2012 Essentials 64 bit
• Windows Server 2012 Foundation 64 bit
• Windows Server 2012 Standard 64 bit
• Windows Server 2012 R2 Server Core 64 bit
• Windows Server 2012 R2 Datacenter 64 bit
• Windows Server 2012 R2 Essentials 64 bit
• Windows Server 2012 R2 Foundation 64 bit
• Windows Server 2012 R2 Standard 64 bit
• Windows Server 2016 Datacenter (LTSB) 64 bit
• Windows Server 2016 Standard (LTSB) 64 bit
• Windows Server 2016 Server Core (Installation Option) (LTSB) 64 bit
• Windows Server 2019 Standard 64 bit
• Windows Server 2019 Datacenter 64 bit
• Windows Server 2019 Core 64 bit
• Windows Server 2022 Standard 64 bit
• Windows Server 2022 Datacenter 64 bit
• Windows Server 2022 Core 64 bit
• Debian GNU/Linux 10.х (Buster) 32 bit/64 bit
• Debian GNU/Linux 11.х (Bullseye) 32 bit/64 bit
• Debian GNU/Linux 12 (Bookworm) 32 bit/64 bit
• Ubuntu Server 18.04 LTS (Bionic Beaver) 32 bit/64 bit
• Ubuntu Server 20.04 LTS (Focal Fossa) 32 bit/64 bit
• Ubuntu Server 22.04 LTS (Jammy Jellyfish) 64 bit
• CentOS 7.x 64 bit
• CentOS Stream 9 64 bit
• Red Hat Enterprise Linux Server 6.x 32 bit/64 bit
• Red Hat Enterprise Linux Server 7.x 64 bit
• Red Hat Enterprise Linux Server 8.x 64 bit
• Red Hat Enterprise Linux Server 9.x 64 bit
• SUSE Linux Enterprise Server 12 (tutti i Service Pack) 64 bit
• SUSE Linux Enterprise Server 15 (tutti i Service Pack) 64 bit
• SUSE Linux Enterprise Desktop 15 con Service Pack 3 ARM 64 bit
• openSUSE 15 64 bit
• EulerOS 2.0 SP8 ARM 64 bit
• Astra Linux Special Edition RUSB.10015-01 (aggiornamento operativo 1.6) 64 bit
• Astra Linux Special Edition RUSB.10015-01 (aggiornamento operativo 1.7) 64 bit
• Astra Linux Special Edition RUSB.10015-01 (aggiornamento operativo 1.8) 64 bit
• Astra Linux Common Edition (aggiornamento operativo 2.12) 64 bit
• Astra Linux Special Edition RUSB.10152-02 (aggiornamento operativo 4.7) ARM 64 bit
• ALT SP Server 10 64 bit
• ALT SP Workstation 10 64 bit
• ALT Server 10 64 bit
• ALT Server 9.2 64 bit
• ALT Workstation 9.2 32 bit/64 bit
• ALT Workstation 10 32 bit/64 bit
• ALT 8 SP Server (LKNV.11100-01) 64 bit
• ALT 8 SP Server (LKNV.11100-02) 64 bit
• ALT 8 SP Server (LKNV.11100-03) 64 bit
• ALT 8 SP Workstation (LKNV.11100-01) 32 bit/64 bit
• ALT 8 SP Workstation (LKNV.11100-02) 32 bit/64 bit
• ALT 8 SP Workstation (LKNV.11100-03) 32 bit/64 bit
• Mageia 4 32 bit
• Oracle Linux 7 64 bit
• Oracle Linux 8 64 bit
• Oracle Linux 9 64 bit
• Linux Mint 20.x 64 bit
• AlterOS 7.5 e versioni successive 64 bit
• GosLinux IC6 64 bit
• RED OS 7.3 Server 64 bit
• RED OS 7.3 Certified Edition 64 bit
• ROSA COBALT 7.9 64 bit
• ROSA CHROME 12 64 bit
• macOS 11.x
• macOS 12.x
• macOS 13.x
• macOS 14.x

  Per Network Agent è supportata anche l'architettura Apple Silicon (M1), così come Intel.

Sono supportate le seguenti piattaforme di virtualizzazione:

• VMware vSphere 6.7
• VMware vSphere 7.0
• VMware vSphere 8.0
• VMware Workstation 16 Pro
• VMware Workstation 17 Pro
• Microsoft Hyper-V Server 2012 64 bit
• Microsoft Hyper-V Server 2012 R2 64 bit
• Microsoft Hyper-V Server 2016 64 bit
• Microsoft Hyper-V Server 2019 64 bit
• Microsoft Hyper-V Server 2022 64 bit
• Citrix XenServer 7.1 LTSR
• Citrix XenServer 8.x
• Parallels Desktop 17
• Oracle VM VirtualBox 6.x
• Oracle VM VirtualBox 7.x
• Macchina virtuale basata su kernel (tutti i sistemi operativi Linux supportati da Network Agent)

Nei dispositivi che eseguono Windows 10 versione RS4 o RS5, Kaspersky Security Center potrebbe non essere in grado di rilevare alcune vulnerabilità nelle cartelle in cui è abilitata la distinzione tra maiuscole e minuscole.

Prima di installare Network Agent nei dispositivi in cui viene eseguito Windows 7, Windows Server 2008, Windows Server 2008 R2 o Windows MultiPoint Server 2011, assicurarsi di aver installato l'aggiornamento di sicurezza KB3063858 per il sistema operativo Windows (Aggiornamento di sicurezza per Windows 7 (KB3063858), Aggiornamento di sicurezza per Windows 7 per sistemi basati su x64 (KB3063858), Aggiornamento di sicurezza per Windows Server 2008 (KB3063858), Aggiornamento di sicurezza per Windows Server 2008 x64 Edition (KB3063858), Aggiornamento di sicurezza per Windows Server 2008 R2 x64 Edition (KB3063858).

In Microsoft Windows XP Network Agent non potrebbe eseguire correttamente alcune operazioni.

È possibile installare o aggiornare Network Agent for Windows XP solo in Microsoft Windows XP. Le edizioni supportate di Microsoft Windows XP e le versioni corrispondenti di Network Agent sono elencate nell'elenco dei sistemi operativi supportati. È possibile scaricare la versione richiesta di Network Agent per Microsoft Windows XP da questa pagina.

Si consiglia di installare la stessa versione di Network Agent per Linux di Kaspersky Security Center Linux.

Kaspersky Security Center Linux supporta Network Agent con versioni uguali o più recenti.

Network Agent per macOS viene fornito insieme all'applicazione di protezione Kaspersky per questo sistema operativo.

[Topic 57043]

Kit di distribuzione

È possibile acquistare l'applicazione nei negozi online di Kaspersky (ad esempio, all'indirizzo https://www.kaspersky.it) o tramite aziende partner.

In caso di acquisto di Kaspersky Security Center Linux da un negozio online, l'applicazione viene scaricata dal sito Web del negozio. Le informazioni richieste per l'attivazione dell'applicazione vengono inviate tramite e-mail una volta effettuato il pagamento.

[Topic 211939]

Informazioni sulla compatibilità di Administration Server e Kaspersky Security Center Web Console

Si consiglia di utilizzare la versione più recente sia di Kaspersky Security Center Linux Administration Server che di Kaspersky Security Center Web Console. In caso contrario, la funzionalità di Kaspersky Security Center Linux potrebbe essere limitata.

È possibile installare e aggiornare Kaspersky Security Center Linux Administration Server e Kaspersky Security Center Web Console in modo indipendente. In questo caso, è preferibile assicurarsi che la versione installata di Kaspersky Security Center Web Console sia compatibile con la versione di Administration Server a cui ci si connette:

• Web Console incluso in Kaspersky Security Center Linux 15 supporta le seguenti versioni di Kaspersky Security Center Linux Administration Server: 15 e 14.2.
• Administration Server incluso in Kaspersky Security Center Linux 15 supporta le seguenti versioni di Kaspersky Security Center Web Console: 15 e 14.2.

[Topic 211055]

Confronto tra Kaspersky Security Center basato su Windows e basato su Linux

Kaspersky fornisce Kaspersky Security Center come soluzione locale per due piattaforme: Windows e Linux. Nella soluzione basata su Windows, Administration Server è installato in un dispositivo Windows. Nella soluzione basata su Linux, la versione di Administration Server è invece progettata per l'installazione in un dispositivo Linux. Questa Guida in linea contiene informazioni su Kaspersky Security Center Linux. Per informazioni dettagliate sulla soluzione basata su Windows, fare riferimento alla Guida in linea di Kaspersky Security Center Windows.

La seguente tabella consente di confrontare le caratteristiche principali di Kaspersky Security Center come soluzione basata su Windows e come soluzione basata su Linux.

Confronto delle funzionalità di Kaspersky Security Center come soluzione basata su Windows e soluzione basata su Linux

[Topic 196993]

Informazioni di Kaspersky Security Center Cloud Console

Se utilizzato come applicazione locale, Kaspersky Security Center (comprensivo di Administration Server) viene installato in un dispositivo locale e il sistema di sicurezza di rete viene gestito tramite Administration Console basata su Microsoft Management Console (disponibile solo in Kaspersky Security Center Windows) o Kaspersky Security Center Web Console.

In alternativa, è tuttavia possibile utilizzare Kaspersky Security Center come servizio cloud. In questo caso Kaspersky Security Center viene automaticamente installato e gestito dagli esperti Kaspersky nell'ambiente cloud e Kaspersky fornisce l'accesso ad Administration Server come servizio. Il sistema di sicurezza di rete viene gestito tramite Administration Console basata su cloud, denominata Kaspersky Security Center Cloud Console. Questa console ha un'interfaccia simile all'interfaccia di Kaspersky Security Center Web Console.

L'interfaccia e la documentazione di Kaspersky Security Center Cloud Console sono disponibili nelle seguenti lingue:

• Inglese
• Francese
• Tedesco
• Italiano
• Giapponese
• Portoghese (Brasile)
• Russo
• Cinese semplificato
• Spagnolo
• Spagnolo (LATAM)
• Cinese tradizionale

Ulteriori informazioni su Kaspersky Security Center Cloud Console e sulle relative funzionalità sono disponibili nella documentazione di Kaspersky Security Center Cloud Console e nella documentazione di Kaspersky Endpoint Security for Business.

[Topic 245007]

Architettura e concetti di base

In questa sezione sono illustrati l'architettura dell'applicazione e i concetti di base relativi a Kaspersky Security Center Linux.

[Topic 4531]

Architettura

Questa sezione fornisce una descrizione dei componenti di Kaspersky Security Center e la relativa interazione.

Architettura di Kaspersky Security Center Linux

Kaspersky Security Center Linux include i seguenti componenti di base:

• Kaspersky Security Center Web Console. Offre un'interfaccia Web per la creazione e la manutenzione del sistema di protezione di una rete di un'organizzazione client gestita tramite Kaspersky Security Center.
• Kaspersky Security Center Administration Server (denominato anche Server). Centralizza l'archiviazione delle informazioni sulle applicazioni installate nella rete aziendale e sulla relativa gestione.
• Server di aggiornamento Kaspersky. I server HTTP(S) di Kaspersky da cui le applicazioni Kaspersky scaricano gli aggiornamenti per i database e i moduli delle applicazioni.
• Server KSN. Server che contengono un database Kaspersky con informazioni sempre aggiornate sulla reputazione di file, risorse Web e software. Kaspersky Security Network assicura una risposta più rapida da parte delle applicazioni Kaspersky alle minacce, migliora l'efficacia di alcuni componenti della protezione e riduce la probabilità di falsi positivi.
• Dispositivi client. Dispositivi client dell'azienda protetti da Kaspersky Security Center Linux. Ogni dispositivo che deve essere protetto deve avere una delle applicazioni di protezione Kaspersky installate.

[Topic 166137]

Diagramma di distribuzione di Kaspersky Security Center Linux Administration Server e Kaspersky Security Center Web Console

La figura seguente mostra il diagramma di distribuzione di Kaspersky Security Center Linux Administration Server e Kaspersky Security Center Web Console.

Diagramma di distribuzione di Kaspersky Security Center Linux Administration Server e Kaspersky Security Center Web Console

I plug-in di gestione per le applicazioni Kaspersky installate nei dispositivi protetti (un plug-in per ogni applicazione) vengono distribuiti insieme a Kaspersky Security Center Web Console Server.

Come amministratore, accedere a Kaspersky Security Center Web Console utilizzando un browser sulla workstation.

Quando si eseguono azioni specifiche in Kaspersky Security Center Web Console, Kaspersky Security Center Web Console Server comunica con Kaspersky Security Center Linux Administration Server tramite OpenAPI. Kaspersky Security Center Web Console Server richiede le informazioni necessarie a Kaspersky Security Center Linux Administration Server e visualizza i risultati delle operazioni in Kaspersky Security Center Web Console.

[Topic 158830]

Porte utilizzate da Kaspersky Security Center Linux

Le tabelle seguenti mostrano le porte predefinite utilizzate da Administration Server e dai dispositivi client. Se si desidera, è possibile modificare ciascuno di questi numeri di porta predefiniti.

Porte utilizzate dall'Administration Server di Kaspersky Security Center Linux

Se si installano l'Administration Server e il database in diversi dispositivi, è necessario rendere disponibili le porte necessarie nel dispositivo in cui si trova il database (ad esempio la porta 3306 per MariaDB). Fare riferimento alla documentazione DBMS per le informazioni attinenti.

Nella tabella seguente viene mostrata la porta utilizzata dal server Kaspersky Security Center Web Console. Può trattarsi dello stesso dispositivo in cui è installato Administration Server o di un dispositivo diverso.

Porta utilizzata da Kaspersky Security Center Web Console Server

La tabella seguente mostra la porta utilizzata dai dispositivi gestiti in cui è installato Network Agent.

Porte utilizzate da Network Agent

Si noti che il processo klnagent può anche richiedere porte libere dall'intervallo di porte dinamiche del sistema operativo di un endpoint. Queste porte vengono assegnate automaticamente al processo klnagent dal sistema operativo, quindi il processo klnagent può utilizzare alcune porte usate da un altro software. Se il processo klnagent influisce sulle operazioni del software, modificare le impostazioni delle porte in questo software o modificare l'intervallo di porte dinamiche predefinito nel sistema operativo per escludere la porta utilizzata dal software interessato.

Tenere inoltre presente che i suggerimenti sulla compatibilità di Kaspersky Security Center Linux con il software di terzi sono descritti solo come riferimento e potrebbero non essere applicabili alle nuove versioni del software di terzi. I suggerimenti descritti per la configurazione delle porte si basano sull'esperienza dell'Assistenza tecnica e sulle nostre best practice.

La tabella seguente mostra le porte utilizzato da un dispositivo gestito in cui è installato Network Agent con il ruolo di punto di distribuzione. Oltre alle porte utilizzate dai Network Agent, anche le porte elencate sono utilizzate dai dispositivi del punto di distribuzione (vedere la tabella sopra).

Porte utilizzate da Network Agent con il ruolo di punto di distribuzione

La tabella seguente mostra le porte utilizzate da un dispositivo controller di dominio.

Porte utilizzate da un dispositivo controller di dominio

[Topic 199308]

Porte utilizzate da Kaspersky Security Center Web Console

La tabella seguente elenca le porte che devono essere aperte nel dispositivo in cui è installato Kaspersky Security Center Web Console Server (noto anche come Kaspersky Security Center Web Console).

Porte utilizzate da Kaspersky Security Center Web Console

[Topic 3302]

Concetti di base

In questa sezione sono illustrati i concetti di base relativi a Kaspersky Security Center Linux.

[Topic 3303]

Administration Server

I componenti di Kaspersky Security Center consentono la gestione remota delle applicazioni Kaspersky installate nei dispositivi client.

I dispositivi in cui è installato il componente Administration Server sono denominati Administration Server (o semplicemente server). Gli Administration Server devono essere protetti, anche da un punto di vista fisico, da qualsiasi accesso non autorizzato.

Administration Server viene installato nei dispositivi come un servizio con il seguente set di attributi:

• Con il nome kladminserver_srv
• Impostato per l'avvio automatico all'avvio del sistema operativo
• Con l'account ksc o l'account utente selezionato durante l'installazione di Administration Server

Fare riferimento al seguente argomento per l'elenco completo delle impostazioni di installazione: Installazione di Kaspersky Security Center Linux.

Administration Server esegue le seguenti funzioni:

• Memorizzazione della struttura dei gruppi di amministrazione
• Archiviazione di informazioni sulla configurazione dei dispositivi client
• Organizzazione degli archivi per i pacchetti di distribuzione dell'applicazione
• Installazione remota delle applicazioni nei dispositivi client e rimozione delle applicazioni
• Aggiornamento dei database e dei moduli software delle applicazioni Kaspersky
• Gestione di criteri e attività nei dispositivi client
• Archiviazione di informazioni sugli eventi che si sono verificati nei dispositivi client
• Generazione di rapporti sull'esecuzione delle applicazioni Kaspersky
• Distribuzione delle chiavi di licenza ai dispositivi client e archiviazione delle informazioni sulle chiavi di licenza
• Invio di notifiche sullo stato di avanzamento delle attività (ad esempio, il rilevamento di virus in un dispositivo client)

Denominazione degli Administration Server nell'interfaccia dell'applicazione

Nell'interfaccia di Kaspersky Security Center Web Console, gli Administration Server possono avere i seguenti nomi:

• Nome del dispositivo Administration Server, ad esempio: "nome_dispositivo" o "Administration Server: nome_dispositivo".
• Indirizzo IP del dispositivo Administration Server, ad esempio: "Indirizzo_IP" o "Administration Server: Indirizzo_IP".
• Gli Administration Server secondari e gli Administration Server virtuali hanno nomi personalizzati da specificare quando si connette un Administration Server virtuale o secondario all'Administration Server primario.
• Se si utilizza Kaspersky Security Center Web Console installata in un dispositivo Linux, l'applicazione visualizza i nomi degli Administration Server specificati come attendibili nel file di risposta.

È possibile connettersi ad Administration Server tramite Kaspersky Security Center Web Console.

[Topic 3304]

Gerarchia di Administration Server

Gli Administration Server possono essere organizzati in una gerarchia. Ogni Administration Server può disporre di diversi Administration Server secondari (denominati server secondari) a diversi livelli di nidificazione della gerarchia. Non vi sono limiti per il livello di nidificazione dei server secondari. I gruppi di amministrazione dell'Administration Server primario includeranno i dispositivi client di tutti gli Administration Server secondari. In tal modo, è possibile gestire sezioni isolate e indipendenti di reti tramite differenti Administration Server che vengono a loro volta gestiti dal server primario.

In una gerarchia, un Administration Server basato su Linux può fungere sia da server primario che da server secondario. Il server primario basato su Linux può gestire sia i server secondari basati su Linux che quelli basati su Windows. Un server primario basato su Windows può gestire un server secondario basato su Linux.

Gli Administration Server virtuali sono casi particolari di Administration Server secondari.

La gerarchia degli Administration Server può essere utilizzata per le seguenti operazioni:

• Ridurre il carico su Administration Server (rispetto all'utilizzo di un singolo Administration Server installato per un'intera rete).
• Ridurre il traffico nella rete Intranet e semplificare il lavoro con le filiali remote. Non è necessario stabilire connessioni tra l'Administration Server primario e tutti i dispositivi della rete, che possono ad esempio essere collocati in altre aree geografiche. È sufficiente installare un Administration Server secondario in ogni segmento della rete, distribuire i dispositivi tra i gruppi di amministrazione dei server secondari e stabilire connessioni tra i server secondari e il server primario tramite canali di comunicazione ad alta velocità.
• Distribuire le responsabilità tra gli amministratori della protezione anti-virus. Tutte le capacità di monitoraggio e gestione centralizzati dello stato della protezione anti-virus nelle reti aziendali rimangono disponibili.
• Utilizzare Kaspersky Security Center dai provider di servizi. Un provider di servizi deve installare soltanto Kaspersky Security Center e Kaspersky Security Center Web Console. Per gestire numerosi dispositivi client di varie organizzazioni, un provider di servizi può aggiungere Administration Server secondari (inclusi i server virtuali) a una gerarchia di Administration Server.

Ogni dispositivo incluso nella gerarchia dei gruppi di amministrazione può essere connesso a un unico Administration Server. È necessario monitorare in modo indipendente la connessione dei dispositivi agli Administration Server. Utilizzare la funzionalità per la ricerca di dispositivi nei gruppi di amministrazione di differenti server in base agli attributi di rete.

[Topic 30636]

Administration Server virtuale

Un Administration Server virtuale (denominato anche server virtuale) è un componente di Kaspersky Security Center Linux progettato per la gestione della protezione anti-virus della rete di un'organizzazione client.

Un Administration Server virtuale è un particolare tipo di Administration Server secondario e presenta le seguenti limitazioni rispetto a un Administration Server fisico:

• Un Administration Server virtuale può essere creato solo in un Administration Server primario.
• L'Administration Server virtuale utilizza il database dell'Administration Server primario durante il relativo funzionamento. Le attività di backup e ripristino dei dati, nonché le attività di scansione e download degli aggiornamenti, non sono supportate in un Administration Server virtuale.
• Un server virtuale non supporta la creazione di Administration Server secondari (inclusi server virtuali).

L'Administration Server virtuale presenta inoltre le seguenti restrizioni:

• Nella finestra delle proprietà di Administration Server virtuale il numero delle sezioni è limitato.
• Per eseguire l'installazione delle applicazioni Kaspersky in remoto nei dispositivi client gestiti dall'Administration Server virtuale, è necessario verificare che Network Agent sia installato in uno dei dispositivi client per assicurare la comunicazione con l'Administration Server virtuale. Alla prima connessione con l'Administration Server virtuale, il dispositivo verrà automaticamente designato come punto di distribuzione e opererà come un gateway di connessione tra i dispositivi client e l'Administration Server virtuale.
• Un server virtuale può eseguire il polling della rete solo tramite i punti di distribuzione.
• Per riavviare un server virtuale che presenta un malfunzionamento, Kaspersky Security Center Linux riavvia l'Administration Server primario e tutti gli Administration Server virtuali.
• Agli utenti creati in un server virtuale non può essere assegnato un ruolo in Administration Server.

L'amministratore di un Administration Server virtuale dispone di tutti i privilegi per lo specifico server virtuale.

[Topic 74647]

Server Web

Il server Web di Kaspersky Security Center (di seguito denominato anche server Web) è un componente di Kaspersky Security Center installato insieme ad Administration Server. Il server Web è progettato per la trasmissione tramite una rete di pacchetti di installazione indipendenti e file da una cartella condivisa.

Quando si crea un pacchetto di installazione indipendente, questo viene automaticamente pubblicato nel server Web. Il collegamento per il download del pacchetto indipendente viene visualizzato nell'elenco dei pacchetti di installazione indipendenti creati. Se necessario, è possibile annullare la pubblicazione del pacchetto indipendente o pubblicarlo nuovamente sul server Web.

La cartella condivisa è progettata come un'area di archiviazione per le informazioni disponibile per tutti gli utenti dei dispositivi gestiti tramite Administration Server. Se un utente non ha accesso diretto alla cartella condivisa, è possibile fornirgli le informazioni contenute nella cartella utilizzando il server Web.

Per fornire agli utenti le informazioni nella cartella condivisa utilizzando il server Web, l'amministratore deve creare una sottocartella denominata public nella cartella condivisa e incollare le informazioni in tale sottocartella.

La sintassi del collegamento per il trasferimento delle informazioni è la seguente:

https://<nome server Web>:<porta HTTPS>/public/<oggetto>

dove:

• <nome server Web> è il nome del server Web di Kaspersky Security Center.
• <porta HTTPS> è una porta HTTPS del server Web definita dall'amministratore. La porta HTTPS può essere impostata nella sezione Server Web della finestra delle proprietà di Administration Server. Il numero di porta predefinito è 8061.
• <oggetto> è la sottocartella o il file reso accessibile all'utente.

L'amministratore può inviare il nuovo collegamento all'utente con qualsiasi sistema (ad esempio, tramite e-mail).

Utilizzando questo collegamento, l'utente può scaricare le informazioni richieste in un dispositivo locale.

[Topic 3305]

Network Agent

L’interazione tra Administration Server e i dispositivi viene eseguita dal componente Network Agent di Kaspersky Security Center Linux. Network Agent deve essere installato in tutti i dispositivi in cui viene utilizzato Kaspersky Security Center Linux per gestire applicazioni Kaspersky.

Network Agent viene installato nei dispositivi come un servizio con il seguente set di attributi:

• Con il nome "Kaspersky Security Center Network Agent"
• Impostato per l'avvio automatico all'avvio del sistema operativo
• Utilizzo dell'account LocalSystem

Un dispositivo con Network Agent installato è denominato dispositivo gestito o dispositivo. È possibile scaricare il pacchetto di installazione per Network Agent dalle seguenti risorse:

• Archivio di Administration Server (è necessario avere installato Administration Server)
• Server Web di Kaspersky

Per impostazione predefinita, Network Agent è installato nei seguenti percorsi:

• Per Linux:
  • Sistemi a 32 bit: /opt/kaspersky/klnagent/
  • Sistemi a 64 bit: /opt/kaspersky/klnagent64/
• Per Windows:
  • Sistemi a 32 bit: C:\Program Files\Kaspersky Lab\NetworkAgent
  • Sistemi a 64 bit: C:\Program Files (x86)\Kaspersky Lab\NetworkAgent

Per i dispositivi Windows è possibile specificare una cartella diversa per l'installazione di Network Agent nelle impostazioni del pacchetto di installazione. Tuttavia, per i dispositivi Linux, Network Agent può essere installato solo nella directory predefinita.

La cartella di installazione di Network Agent contiene anche utilità per la gestione e la diagnosi del funzionamento di Network Agent, come le utilità klmover e klnagchk.

Quando si installa Administration Server, la versione server di Network Agent viene installata automaticamente insieme ad Administration Server. Tuttavia, per gestire il dispositivo Administration Server come qualsiasi altro dispositivo gestito, installare Network Agent for Linux nel dispositivo Administration Server. In questo caso, Network Agent per Linux è installato e funziona indipendentemente dalla versione server di Network Agent installata insieme ad Administration Server.

I nomi del processo avviato da Network Agent sono i seguenti:

• klnagent64.service (per un sistema operativo a 64 bit)
• klnagent.service (per un sistema operativo a 32 bit)

Network Agent sincronizza il dispositivo gestito con Administration Server. È consigliabile impostare l'intervallo di sincronizzazione (anche denominato heartbeat) su 15 minuti per 10.000 dispositivi gestiti.

[Topic 46974]

Gruppi di amministrazione

Un gruppo di amministrazione (di seguito denominato anche gruppo) è un set logico di dispositivi gestiti combinati in base a una specifica caratteristica allo scopo di gestire i dispositivi raggruppati come una singola unità in Kaspersky Security Center Linux.

Tutti i dispositivi gestiti all'interno di un gruppo di amministrazione sono configurati in modo da eseguire quanto segue:

• Utilizzare le stesse impostazioni dell'applicazione (che possono essere specificate nei criteri di gruppo).
• Utilizzare una modalità operativa comune per tutte le applicazioni grazie alla creazione di attività di gruppo con impostazioni specificate. Tramite le attività di gruppo è ad esempio possibile creare e installare un pacchetto di installazione comune, aggiornare i database e i moduli dell'applicazione, eseguire la scansione del dispositivo su richiesta e abilitare la protezione in tempo reale.

Un dispositivo gestito può appartenere a un solo gruppo di amministrazione.

È possibile creare gerarchie con qualsiasi livello di nidificazione per gli Administration Server e i gruppi. Un singolo livello della gerarchia può comprendere Administration Server secondari e virtuali, gruppi e dispositivi gestiti. È possibile spostare i dispositivi da un gruppo all'altro senza spostarli fisicamente. Ad esempio, se la posizione di un dipendente all'interno dell'azienda cambia da addetto alla contabilità a sviluppatore, è possibile spostare il dispositivo del dipendente dal gruppo di amministrazione Contabilità al gruppo di amministrazione Sviluppatori. Il dispositivo riceverà automaticamente le impostazioni dell'applicazione necessarie per gli sviluppatori.

[Topic 162465]

Dispositivo gestito

Un dispositivo gestito è un dispositivo in cui viene eseguito Linux, Windows o macOS e in cui è installato Network Agent. È possibile gestire tali dispositivi creando attività e criteri per le applicazioni installate nei dispositivi. È inoltre possibile ricevere rapporti dai dispositivi gestiti.

È possibile designare un dispositivo gestito come punto di distribuzione e come gateway di connessione.

Un dispositivo può essere gestito da un solo Administration Server. Un unico Administration Server può gestire fino a 20.000 dispositivi.

[Topic 165744]

Dispositivo non assegnato

Un dispositivo non assegnato è un dispositivo della rete che non è stato incluso in alcun gruppo di amministrazione. È possibile eseguire alcune azioni sui dispositivi non assegnati, ad esempio spostarli nei gruppi di amministrazione o installarvi applicazioni.

Quando viene individuato un nuovo dispositivo nella rete, questo dispositivo viene inserito nel gruppo di amministrazione Dispositivi non assegnati. È possibile configurare regole per lo spostamento automatico dei dispositivi in altri gruppi di amministrazione dopo il rilevamento.

[Topic 3307]

Workstation dell'amministratore

I dispositivi in cui è installato Kaspersky Security Center Web Console Server sono denominati workstation dell'amministratore. Gli amministratori possono utilizzare tali dispositivi per la gestione remota centralizzata delle applicazioni Kaspersky installate nei dispositivi client.

Non vi sono limitazioni per il numero di workstation dell'amministratore. Da qualsiasi workstation dell'amministratore è possibile gestire contemporaneamente i gruppi di amministrazione di diversi Administration Server in rete. Una workstation dell'amministratore può essere connessa a un Administration Server (fisico o virtuale) a qualsiasi livello di gerarchia.

È possibile includere una workstation dell'amministratore in un gruppo di amministrazione come dispositivo client.

All'interno dei gruppi di amministrazione di qualsiasi Administration Server, lo stesso dispositivo può operare come un client di Administration Server, un Administration Server o una workstation dell'amministratore.

[Topic 165761]

Plug-in Web di gestione

Un componente speciale (il plug-in Web di gestione) viene utilizzato per l'amministrazione remota del software Kaspersky tramite Kaspersky Security Center Web Console. Da questo momento il plug-in Web di gestione verrà denominato anche plug-in di gestione. Il plug-in di gestione è un'interfaccia tra Kaspersky Security Center Web Console e un'applicazione Kaspersky specifica. Con un plug-in di gestione è possibile configurare le attività e i criteri per l'applicazione.

È possibile scaricare i plug-in Web di gestione dalla pagina Web del Servizio di assistenza tecnica di Kaspersky.

Il plug-in di gestione offre i seguenti elementi:

• Interfaccia per la creazione e la modifica di impostazioni e attività delle applicazioni
• Interfaccia per la creazione e la modifica di criteri e profili criterio per la configurazione centralizzata e remota dei dispositivi e delle applicazioni Kaspersky
• Trasmissione di eventi generati dall'applicazione
• Kaspersky Security Center Web Console consente di visualizzare eventi e dati relativi al funzionamento dell'applicazione e le statistiche trasmesse dai dispositivi client

[Topic 3313]

Criteri

Un criterio è un set di impostazioni dell'applicazione Kaspersky che vengono applicate a un gruppo di amministrazione e ai relativi sottogruppi. È possibile installare diverse applicazioni Kaspersky nei dispositivi di un gruppo di amministrazione. Kaspersky Security Center fornisce un singolo criterio per ogni applicazione Kaspersky in un gruppo di amministrazione. Un criterio può avere uno dei seguenti stati:

Lo stato del criterio

I criteri funzionano secondo le seguenti regole:

• È possibile configurare diversi criteri con differenti impostazioni per una singola applicazione.
• Un solo criterio può essere attivo per l'applicazione corrente.
• Un criterio può avere criteri secondari.

In generale è possibile utilizzare i criteri in preparazione a situazioni di emergenza, come un attacco virus. Ad esempio in caso di attacco tramite unità flash, è possibile attivare un criterio che blocca l'accesso alle unità flash. In questo caso il criterio attivo corrente diventa automaticamente inattivo.

Per evitare di dover gestire più criteri, ad esempio quando diverse occasioni presuppongono solo la modifica di più impostazioni, è possibile utilizzare i profili criterio.

Un profilo criterio è un sottoinsieme denominato di valori delle impostazioni dei criteri che sostituisce i valori delle impostazioni di un criterio. Un profilo criterio influisce sulla creazione delle impostazioni ottimizzate in un dispositivo gestito. Per impostazioni effettive si intende un insieme di impostazioni dei criteri, impostazioni dei profili criterio e impostazioni delle applicazioni locali attualmente applicate nel dispositivo.

I profili criterio funzionano secondo le seguenti regole:

• Un profilo criterio assume validità quando si verifica una condizione di attivazione specifica.
• I profili criterio contengono valori delle impostazioni che differiscono dalle impostazioni dei criteri.
• L'attivazione di un profilo criterio modifica le impostazioni effettive del dispositivo gestito.
• Un criterio può includere al massimo 100 profili criterio.

[Topic 165778]

Profili criterio

Talvolta può essere necessario creare più istanze di un singolo criterio per diversi gruppi di amministrazione; è inoltre possibile modificare le impostazioni di questi criteri in modo centralizzato. Le istanze potrebbero avere solo una o due impostazioni differenti. Ad esempio, a tutti gli addetti alla contabilità di un'azienda viene applicato lo stesso criterio, ma quelli di livello senior possono utilizzare unità flash, a differenza degli altri. In questo caso, l'applicazione dei criteri ai dispositivi solo tramite la gerarchia dei gruppi di amministrazione può essere poco pratica.

Per evitare di creare più istanze di un singolo criterio, Kaspersky Security Center Linux consente di creare profili criterio. I profili criterio sono necessari per consentire l'esecuzione dei dispositivi all'interno di un unico gruppo di amministrazione con diverse impostazioni del criterio.

Un profilo criterio è un sottoinsieme denominato di impostazioni dei criteri. Questo sottoinsieme viene distribuito nei dispositivi di destinazione insieme al criterio, integrandolo in una condizione specifica definita condizione di attivazione del profilo. I profili contengono solo le impostazioni diverse dal criterio "di base" che è attivo nel dispositivo gestito. L'attivazione di un profilo modifica le impostazioni del criterio "di base" che erano inizialmente attive nel dispositivo. Le impostazioni modificate assumono i valori specificati nel profilo.

[Topic 92435]

Attività

Kaspersky Security Center Linux consente di gestire le applicazioni di protezione Kaspersky installate nei dispositivi creando ed eseguendo attività. Le attività sono necessarie per l'installazione, l'avvio e l'arresto delle applicazioni, la scansione dei file, l'aggiornamento dei database e dei moduli software, oltre che per eseguire altre azioni sulle applicazioni.

Le attività per un'applicazione specifica possono essere create solo se è installato il plug-in di gestione per tale applicazione.

Le attività possono essere eseguite nell'Administration Server e nei dispositivi.

Le seguenti attività vengono eseguite nell'Administration Server:

• Distribuzione automatica dei rapporti
• Download degli aggiornamenti nell'archivio di Administration Server
• Backup dei dati di Administration Server
• Manutenzione del database

I seguenti tipi di attività vengono eseguiti nei dispositivi:

• Attività locali - Attività eseguite in un dispositivo specifico

  Le attività locali possono essere modificate dall'amministratore utilizzando Kaspersky Security Center Web Console oppure dall'utente di un dispositivo remoto (ad esempio attraverso l'interfaccia dell'applicazione di protezione). Se un'attività locale viene modificata contemporaneamente dall'amministratore e dall'utente di un dispositivo gestito, hanno effetto le modifiche apportate dall'amministratore perché hanno una priorità più alta.

• Attività di gruppo - Attività eseguite su tutti i dispositivi di un gruppo specifico

  A meno che non sia diversamente specificato nelle proprietà dell'attività, un'attività di gruppo si applica anche a tutti i sottogruppi del gruppo selezionato. Un'attività di gruppo influisce anche (facoltativamente) sui dispositivi connessi agli Administration Server secondari e virtuali distribuiti nel gruppo o in uno dei relativi sottogruppi.

• Attività globali - Attività eseguite su un set di dispositivi, indipendentemente dalla loro appartenenza a un gruppo

Per ogni applicazione è possibile creare attività di gruppo, attività globali o attività locali.

È possibile apportare modifiche alle impostazioni delle attività, visualizzarne l'avanzamento, copiarle, esportarle, importarle ed eliminarle.

Le attività vengono avviate in un dispositivo solo se l'applicazione per cui l'attività è stata creata è in esecuzione.

I risultati delle attività sono salvati nel registro eventi Syslog e nel registro eventi di Kaspersky Security Center Linux, sia in modo centralizzato in Administration Server che localmente in ogni dispositivo.

Non includere dati privati nelle impostazioni dell'attività. Ad esempio, non specificare la password dell'amministratore del dominio.

[Topic 165863]

Ambito attività

L'ambito di un'attività è il set di dispositivi in cui viene eseguita l'attività. I tipi di ambito sono i seguenti:

• Per un'attività locale, l'ambito è il dispositivo stesso.
• Per un'attività di Administration Server, l'ambito è Administration Server.
• Per un'attività di gruppo, l'ambito è l'elenco dei dispositivi inclusi nel gruppo.

Durante la creazione di un'attività globale, è possibile utilizzare i seguenti metodi per specificare l'ambito:

• Specificare manualmente specifici dispositivi.

  È possibile utilizzare un indirizzo IP (o un intervallo IP) o un nome DNS come indirizzo del dispositivo.

• Importare un elenco di dispositivi da un file .txt con gli indirizzi dei dispositivi da aggiungere (ogni indirizzo deve essere specificato su una riga distinta).

  Se si importa un elenco di dispositivi da un file o se ne crea uno manualmente e i dispositivi vengono identificati con i rispettivi nomi, l'elenco deve contenere solo dispositivi per cui sono già state immesse le informazioni nel database di Administration Server. Inoltre, le informazioni devono essere state immesse al momento della connessione dei dispositivi o durante la device discovery.

• Specificare una selezione dispositivi.

  Nel corso del tempo, l'ambito un'attività si modifica, perché il set di dispositivi inclusi nella selezione cambia. Una selezione di dispositivi può essere creata sulla base degli attributi dei dispositivi, incluso il software installato in un dispositivo, e utilizzando i tag assegnati ai dispositivi. Una selezione dispositivi è il modo più flessibile per specificare l'ambito di un'attività.

  Le attività per le selezioni dispositivi vengono sempre eseguite in base a una pianificazione da Administration Server. Queste attività non possono essere eseguite nei dispositivi che non dispongono di una connessione ad Administration Server. Le attività il cui ambito è specificato tramite altri metodi vengono eseguite direttamente nei dispositivi, pertanto non dipendono dalla connessione del dispositivo ad Administration Server.

  Le attività per le selezioni dispositivi non vengono eseguite in base all'ora locale di un dispositivo, ma in base all'ora locale di Administration Server. Le attività il cui ambito è specificato tramite altri metodi vengono eseguite in base all'ora locale di un dispositivo.

[Topic 3316]

Relazioni tra impostazioni locali delle applicazioni e criteri

È possibile utilizzare i criteri per impostare valori identici delle impostazioni delle applicazioni per tutti i dispositivi nel gruppo.

I valori delle impostazioni specificati da un criterio possono essere ridefiniti per singoli dispositivi in un gruppo utilizzando le impostazioni locali delle applicazioni. È possibile impostare soltanto i valori delle impostazioni che il criterio consente di modificare, ovvero le impostazioni sbloccate.

Il valore di un'impostazione utilizzata da un'applicazione in un dispositivo client è determinato dalla posizione del lucchetto () per l'impostazione nel criterio:

• Se la modifica di un'impostazione è bloccata, viene utilizzato lo stesso valore definito nel criterio in tutti i dispositivi client.
• Se la modifica di un'impostazione è "sbloccata", l'applicazione utilizza in ogni dispositivo client il valore dell'impostazione locale invece di quello specificato nel criterio. Il valore del parametro può quindi essere modificato nelle impostazioni locali dell'applicazione.

In questo modo, quando l'attività viene eseguita in un dispositivo client, l'applicazione utilizza impostazioni definite in due modi diversi:

• tramite le impostazioni delle attività e le impostazioni locali delle applicazioni, se la modifica dell'impostazione nel criterio non è bloccata.
• tramite il criterio di gruppo, se la modifica dell'impostazione è bloccata.

Le impostazioni locali delle applicazioni vengono modificate dopo la prima applicazione del criterio in base alle relative impostazioni.

[Topic 98876]

Punto di distribuzione

Per punto di distribuzione (prima noto come Update Agent) si intende un dispositivo in cui è installato Network Agent, utilizzato per la distribuzione degli aggiornamenti, l'installazione remota delle applicazioni e il recupero di informazioni sui dispositivi della rete.

Le funzionalità e i casi d'uso di Network Agent installato su un dispositivo utilizzato come punto di distribuzione variano a seconda del sistema operativo.

Un punto di distribuzione può eseguire le seguenti funzioni:

• Distribuire gli aggiornamenti e i pacchetti di installazione ricevuti da Administration Server ai dispositivi client nel gruppo (inclusa la distribuzione mediante il multicasting tramite UDP). Gli aggiornamenti possono essere ricevuti da Administration Server o dai server di aggiornamento Kaspersky. Nel secondo caso è necessario creare un'attività di aggiornamento per il punto di distribuzione.

  I punti di distribuzione accelerano la distribuzione degli aggiornamenti e riducono l'utilizzo di risorse di Administration Server.

• Distribuire criteri e attività di gruppo attraverso il multicasting tramite UDP.
• Operare come gateway per la connessione all'Administration Server per i dispositivi di un gruppo di amministrazione.

  Se è impossibile stabilire una connessione diretta tra i dispositivi gestiti nel gruppo e Administration Server, il punto di distribuzione può essere utilizzato come gateway di connessione ad Administration Server per il gruppo. In questo caso, i dispositivi gestiti sono connessi al gateway di connessione, che a sua volta è connesso ad Administration Server.

  La presenza di un punto di distribuzione che opera come gateway di connessione non esclude la possibilità di una connessione diretta tra i dispositivi gestiti e Administration Server. Se il gateway di connessione non è disponibile, ma è tecnicamente possibile la connessione diretta ad Administration Server, i dispositivi gestiti vengono connessi direttamente ad Administration Server.

• Eseguire il polling della rete per rilevare nuovi dispositivi e aggiornare le informazioni sui dispositivi esistenti. Un punto di distribuzione può applicare gli stessi metodi di device discovery di Administration Server.
• Eseguire l'installazione remota delle applicazioni Kaspersky e di altri fornitori di software, inclusa l'installazione in dispositivi client senza Network Agent.

  Questa funzionalità consente di trasferire in remoto i pacchetti di installazione di Network Agent ai dispositivi client disponibili nelle reti a cui l'Administration Server non ha accesso diretto.

• Fungere da server proxy che partecipa a Kaspersky Security Network (KSN).

  È possibile abilitare il proxy KSN da parte del punto di distribuzione per fare in modo che il dispositivo abbia il ruolo di Proxy KSN. In questo caso, il servizio proxy KSN viene eseguito nel dispositivo.

I file vengono trasmessi da Administration Server a un punto di distribuzione tramite HTTP o, se la connessione SSL è abilitata, HTTPS. L'utilizzo di HTTP o HTTPS garantisce un livello di prestazioni superiore rispetto a SOAP, grazie alla riduzione del traffico.

Ai dispositivi in cui è installato Network Agent può essere assegnato il ruolo di punti di distribuzione manualmente (dall'amministratore) o automaticamente (dall'Administration Server). L'elenco completo dei punti di distribuzione per i gruppi di amministrazione specificati è visualizzato nel rapporto sull'elenco dei punti di distribuzione.

L'ambito di un punto di distribuzione è il gruppo di amministrazione a cui è stato assegnato dall'amministratore, nonché i relativi sottogruppi a tutti i livelli. Se sono stati assegnati più punti di distribuzione nella gerarchia dei gruppi di amministrazione, Network Agent nel dispositivo gestito si connette al punto di distribuzione più vicino nella gerarchia.

Se i punti di distribuzione sono assegnati automaticamente da Administration Server, vengono assegnati in base ai domini di trasmissione anziché in base ai gruppi di amministrazione. Questo si verifica quando tutti i domini di trasmissione sono noti. Network Agent scambia messaggi con altri Network Agent nella stessa subnet e invia ad Administration Server informazioni su se stesso e su altri Network Agent. Administration Server può utilizzare tali informazioni per raggruppare i Network Agent in base ai domini di trasmissione. I domini di trasmissione diventano noti ad Administration Server in seguito al polling di oltre il 70% dei Network Agent nei gruppi di amministrazione. Administration Server esegue il polling dei domini di trasmissione ogni due ore. In seguito all'assegnazione in base ai domini di trasmissione, i punti di distribuzione non possono essere riassegnati in base ai gruppi di amministrazione.

Se l'amministratore assegna manualmente i punti di distribuzione, questi possono essere assegnati a gruppi di amministrazione o posizioni di rete.

I Network Agent con un profilo di connessione attivo non partecipano al rilevamento dei domini di trasmissione.

Kaspersky Security Center Linux assegna a ciascun Network Agent un indirizzo IP multicast univoco diverso da tutti gli altri indirizzi. Questo consente di evitare il sovraccarico della rete che potrebbe verificarsi a causa di sovrapposizioni IP. Gli indirizzi IP multicast assegnati nelle versioni precedenti dell'applicazione non verranno modificati.

Se due o più punti di distribuzione vengono assegnati in un'unica area di rete o in un singolo gruppo di amministrazione, uno di loro diventa il punto di distribuzione attivo, mentre gli altri diventano punti di distribuzione standby. Il punto di distribuzione attivo scarica gli aggiornamenti e i pacchetti di installazione direttamente da Administration Server, mentre i punti di distribuzione standby ricevono gli aggiornamenti solo dal punto di distribuzione attivo. In questo caso, i file vengono scaricati una sola volta da Administration Server e in seguito distribuiti tra i punti di distribuzione. Se il punto di distribuzione attivo diventa non disponibile per qualsiasi motivo, uno dei punti di distribuzione standby diventa attivo. Administration Server assegna automaticamente a un punto di distribuzione il ruolo di standby.

Lo stato di un punto di distribuzione (Attivo / Standby) è visualizzato con una casella di controllo nel rapporto di klnagchk.

Un punto di distribuzione richiede almeno 4 GB di spazio disponibile sul disco. Se lo spazio disponibile sul disco del punto di distribuzione è inferiore a 2 GB, Kaspersky Security Center Linux crea un problema di sicurezza con il livello di importanza Avviso. Il problema di sicurezza sarà pubblicato nelle proprietà del dispositivo, nella sezione Problemi di sicurezza.

L'esecuzione delle attività di installazione remota in un dispositivo assegnato come punto di distribuzione richiede ulteriore spazio libero su disco. Il volume di spazio disponibile sul disco deve essere superiore alle dimensioni totali di tutti i pacchetti di installazione da installare.

L'esecuzione di attività di aggiornamento (installazione delle patch) e di correzione vulnerabilità in un dispositivo con il ruolo di punto di distribuzione richiede ulteriore spazio libero su disco. Il volume di spazio disponibile sul disco deve essere almeno il doppio rispetto alle dimensioni totali di tutte le patch da installare.

I dispositivi che operano come punti di distribuzione devono essere protetti, anche da un punto di vista fisico, da qualsiasi accesso non autorizzato.

[Topic 204420]

Gateway di connessione

Un gateway di connessione è un Network Agent che funziona in modalità speciale. Un gateway di connessione accetta le connessioni da altri Network Agent e le trasmette ad Administration Server tramite la propria connessione con il server. A differenza di un normale Network Agent, un gateway di connessione attende le connessioni da Administration Server anziché stabilire connessioni ad Administration Server.

Un gateway di connessione può ricevere connessioni da un massimo di 10.000 dispositivi.

Sono disponibili due opzioni per utilizzare i gateway di connessione:

• È consigliabile installare un gateway di connessione in una rete perimetrale. Per altri Network Agent installati in dispositivi fuori sede è necessario configurare appositamente una connessione ad Administration Server tramite il gateway di connessione.

  Un gateway di connessione non modifica o elabora in alcun modo i dati trasmessi dai Network Agent ad Administration Server. Inoltre, non scrive questi dati in alcun buffer e non può quindi accettare dati da un Network Agent e in seguito inoltrarli ad Administration Server. Se Network Agent tenta di connettersi ad Administration Server tramite il gateway di connessione, ma il gateway di connessione non riesce a connettersi ad Administration Server, Network Agent percepisce Administration Server come inaccessibile. Tutti i dati rimangono in Network Agent (non nel gateway di connessione).

  Un gateway di connessione non può connettersi ad Administration Server tramite un altro gateway di connessione. Network Agent non può quindi essere contemporaneamente un gateway di connessione e utilizzare un gateway di connessione per connettersi ad Administration Server.

  Tutti i gateway di connessione sono inclusi nell'elenco dei punti di distribuzione nelle proprietà di Administration Server.

• È inoltre possibile utilizzare gateway di connessione all'interno della rete. I punti di distribuzione assegnati automaticamente diventano ad esempio anche gateway di connessione nel proprio ambito. Tuttavia, all'interno di una rete interna, i gateway di connessione non offrono vantaggi considerevoli. Riducono il numero di connessioni di rete ricevute da Administration Server, ma non riducono il volume dei dati in entrata. Anche senza gateway di connessione tutti i dispositivi potrebbero comunque connettersi ad Administration Server.

[Topic 183039]

Schemi per traffico dati e utilizzo delle porte

Questa sezione fornisce schemi per il traffico dati tra i componenti di Kaspersky Security Center Linux, le applicazioni di protezione gestite e i server esterni in varie configurazioni. Gli schemi vengono forniti con i numeri delle porte che devono essere disponibili nei dispositivi locali.

[Topic 183040]

Administration Server e dispositivi gestiti nella LAN

La figura di seguito mostra il traffico dati se Kaspersky Security Center è distribuito solo in una LAN (Local Area Network).

Administration Server e i dispositivi gestiti in una LAN (Local Area Network)

La figura illustra come diversi dispositivi gestiti si connettono all'Administration Server in modi differenti: direttamente o tramite un punto di distribuzione. I punti di distribuzione riducono il carico sull'Administration Server durante la distribuzione degli aggiornamenti e ottimizzano il traffico di rete. Tuttavia, i punti di distribuzione sono necessari solo se il numero di dispositivi gestiti è sufficientemente elevato. Se il numero di dispositivi gestiti è limitato, i dispositivi gestiti possono ricevere gli aggiornamenti direttamente dall'Administration Server.

Le frecce indicano l'origine del traffico: ogni freccia punta da un dispositivo che avvia la connessione al dispositivo che "risponde" alla chiamata. Vengono forniti il numero della porta e il nome del protocollo utilizzato per il trasferimento dei dati. Ogni freccia ha un'etichetta numerica e i dettagli sul traffico dati corrispondente sono i seguenti:

1. Administration Server invia i dati al database. Se si installa l'Administration Server e il database in diversi dispositivi, è necessario rendere disponibili le porte necessarie nel dispositivo in cui si trova il database (ad esempio la porta 3306 per il server MySQL e MariaDB o la porta 432 per PostgreSQL Server o Postgres Pro Server). Fare riferimento alla documentazione DBMS per le informazioni attinenti.
2. Le richieste di comunicazione provenienti da Administration Server vengono trasferite a tutti i dispositivi gestiti non mobili tramite la porta UDP 15000.

   I Network Agent inviano richieste reciproche con un solo dominio di trasmissione. I dati vengono quindi inviati ad Administration Server e utilizzati per definire i limiti del dominio di trasmissione e per l'assegnazione automatica dei punti di distribuzione (se questa opzione è abilitata).

   Se Administration Server non ha accesso diretto ai dispositivi gestiti, le richieste di comunicazione da Administration Server a questi dispositivi non vengono inviate direttamente.

   2a. I Network Agent nei dispositivi gestiti non mobili scambiano dati su altri Network Agent all'interno dello stesso dominio di trasmissione (i dati vengono quindi inviati ad Administration Server).

3. Le informazioni sull'arresto dei dispositivi gestiti vengono trasferite dal Network Agent all'Administration Server tramite la porta UDP 13000.
4. Administration Server riceve la connessione dai Network Agent e dagli Administration Server secondari tramite la porta TLS 13000.

   Se è stata utilizzata una versione precedente di Kaspersky Security Center, l'Administration Server nella rete può ricevere la connessione dai Network Agent tramite la porta non TLS 14000. Kaspersky Security Center supporta la connessione dei Network Agent anche tramite la porta 14000, ma è consigliabile utilizzare la porta TLS 13000.

5. I dispositivi gestiti (ad eccezione dei dispositivi mobili) richiedono l'attivazione tramite la porta TCP 17000. Ciò non è necessario se il dispositivo dispone già dell'accesso a Internet; in tal caso il dispositivo invia i dati ai server Kaspersky direttamente via Internet.
6. Kaspersky Security Center Web Console Server invia i dati all'Administration Server, che può essere installato nello stesso dispositivo o in un altro dispositivo, tramite la porta TLS 13299.
7. Nelle applicazioni presenti in un singolo dispositivo avviene lo scambio di traffico locale (nell'Administration Server o in un dispositivo gestito). Non è necessaria l'apertura di porte esterne.
8. Il dati inviati dall'Administration Server ai server Kaspersky (ad esempio, i dati KSN o le informazioni sulle licenze) e i dati inviati dai server Kaspersky all'Administration Server (ad esempio, gli aggiornamenti delle applicazioni e dei database anti-virus) vengono trasferiti tramite il protocollo HTTPS.

   Se non si desidera concedere all'Administration Server l'accesso a Internet, è necessario gestire questi dati manualmente.

[Topic 183051]

Administration Server primario nella LAN e due Administration Server secondari

La figura di seguito mostra la gerarchia degli Administration Server: l'Administration Server primario si trova in una LAN. Un Administration Server secondario si trova in una rete perimetrale; un altro Administration Server secondario si trova in Internet.

Gerarchia degli Administration Server: Administration Server primario e due Administration Server secondari

Le frecce indicano l'origine del traffico: ogni freccia punta da un dispositivo che avvia la connessione al dispositivo che "risponde" alla chiamata. Vengono forniti il numero della porta e il nome del protocollo utilizzato per il trasferimento dei dati. Ogni freccia ha un'etichetta numerica e i dettagli sul traffico dati corrispondente sono i seguenti:

1. Administration Server invia i dati al database. Se si installa l'Administration Server e il database in diversi dispositivi, è necessario rendere disponibili le porte necessarie nel dispositivo in cui si trova il database (ad esempio la porta 3306 per il server MySQL e MariaDB o la porta 432 per PostgreSQL Server o Postgres Pro Server). Fare riferimento alla documentazione DBMS per le informazioni attinenti.
2. Le richieste di comunicazione provenienti da Administration Server vengono trasferite a tutti i dispositivi gestiti non mobili tramite la porta UDP 15000.

   I Network Agent inviano richieste reciproche con un solo dominio di trasmissione. I dati vengono quindi inviati ad Administration Server e utilizzati per definire i limiti del dominio di trasmissione e per l'assegnazione automatica dei punti di distribuzione (se questa opzione è abilitata).

   Se Administration Server non ha accesso diretto ai dispositivi gestiti, le richieste di comunicazione da Administration Server a questi dispositivi non vengono inviate direttamente.

3. Le informazioni sull'arresto dei dispositivi gestiti vengono trasferite dal Network Agent all'Administration Server tramite la porta UDP 13000.
4. Administration Server riceve la connessione dai Network Agent e dagli Administration Server secondari tramite la porta TLS 13000.

   Se è stata utilizzata una versione precedente di Kaspersky Security Center, l'Administration Server nella rete può ricevere la connessione dai Network Agent tramite la porta non TLS 14000. Kaspersky Security Center Linux supporta la connessione dei Network Agent anche tramite la porta 14000, ma è consigliabile utilizzare la porta TLS 13000.

5. I dispositivi gestiti (ad eccezione dei dispositivi mobili) richiedono l'attivazione tramite la porta TCP 17000. Ciò non è necessario se il dispositivo dispone già dell'accesso a Internet; in tal caso il dispositivo invia i dati ai server Kaspersky direttamente via Internet.
6. Kaspersky Security Center Web Console Server invia i dati all'Administration Server, che può essere installato nello stesso dispositivo o in un altro dispositivo, tramite la porta TLS 13299.

   6a. I dati provenienti dal browser, installato in un altro dispositivo dell'amministratore, vengono trasferiti a Kaspersky Security Center Web Console Server tramite la porta TLS 8080. Kaspersky Security Center Web Console Server può essere installato in Administration Server o in un altro dispositivo.

7. Nelle applicazioni presenti in un singolo dispositivo avviene lo scambio di traffico locale (nell'Administration Server o in un dispositivo gestito). Non è necessaria l'apertura di porte esterne.
8. Il dati inviati dall'Administration Server ai server Kaspersky (ad esempio, i dati KSN o le informazioni sulle licenze) e i dati inviati dai server Kaspersky all'Administration Server (ad esempio, gli aggiornamenti delle applicazioni e dei database anti-virus) vengono trasferiti tramite il protocollo HTTPS.

   Se non si desidera concedere all'Administration Server l'accesso a Internet, è necessario gestire questi dati manualmente.

[Topic 183056]

Administration Server nella LAN, dispositivi gestiti in Internet, proxy inverso in uso

La figura di seguito mostra il traffico dati se Administration Server si trova all'interno di una LAN e i dispositivi gestiti sono in Internet. In questa figura, è in uso un proxy inverso a scelta. Per informazioni dettagliate, fare riferimento alla documentazione dell'applicazione.

Administration Server in una LAN; i dispositivi gestiti si connettono all'Administration Server tramite un proxy inverso

Questo schema di distribuzione è consigliabile se non si desidera che i dispositivi mobili si connettano direttamente all'Administration Server e non si desidera assegnare un gateway di connessione nella rete perimetrale.

Le frecce indicano l'origine del traffico: ogni freccia punta da un dispositivo che avvia la connessione al dispositivo che "risponde" alla chiamata. Vengono forniti il numero della porta e il nome del protocollo utilizzato per il trasferimento dei dati. Ogni freccia ha un'etichetta numerica e i dettagli sul traffico dati corrispondente sono i seguenti:

1. Administration Server invia i dati al database. Se si installa l'Administration Server e il database in diversi dispositivi, è necessario rendere disponibili le porte necessarie nel dispositivo in cui si trova il database (ad esempio la porta 3306 per il server MySQL e MariaDB o la porta 432 per PostgreSQL Server o Postgres Pro Server). Fare riferimento alla documentazione DBMS per le informazioni attinenti.
2. Le richieste di comunicazione provenienti da Administration Server vengono trasferite a tutti i dispositivi gestiti non mobili tramite la porta UDP 15000.

   I Network Agent inviano richieste reciproche con un solo dominio di trasmissione. I dati vengono quindi inviati ad Administration Server e utilizzati per definire i limiti del dominio di trasmissione e per l'assegnazione automatica dei punti di distribuzione (se questa opzione è abilitata).

   Se Administration Server non ha accesso diretto ai dispositivi gestiti, le richieste di comunicazione da Administration Server a questi dispositivi non vengono inviate direttamente.

3. Le informazioni sull'arresto dei dispositivi gestiti vengono trasferite dal Network Agent all'Administration Server tramite la porta UDP 13000.
4. Administration Server riceve la connessione dai Network Agent e dagli Administration Server secondari tramite la porta TLS 13000.

   Se è stata utilizzata una versione precedente di Kaspersky Security Center, l'Administration Server nella rete può ricevere la connessione dai Network Agent tramite la porta non TLS 14000. Kaspersky Security Center Linux supporta la connessione dei Network Agent anche tramite la porta 14000, ma è consigliabile utilizzare la porta TLS 13000.

5. I dispositivi gestiti (ad eccezione dei dispositivi mobili) richiedono l'attivazione tramite la porta TCP 17000. Ciò non è necessario se il dispositivo dispone già dell'accesso a Internet; in tal caso il dispositivo invia i dati ai server Kaspersky direttamente via Internet.
6. Kaspersky Security Center Web Console Server invia i dati all'Administration Server, che può essere installato nello stesso dispositivo o in un altro dispositivo, tramite la porta TLS 13299.

   6a. I dati provenienti dal browser, installato in un altro dispositivo dell'amministratore, vengono trasferiti a Kaspersky Security Center Web Console Server tramite la porta TLS 8080. Kaspersky Security Center Web Console Server può essere installato in Administration Server o in un altro dispositivo.

7. Nelle applicazioni presenti in un singolo dispositivo avviene lo scambio di traffico locale (nell'Administration Server o in un dispositivo gestito). Non è necessaria l'apertura di porte esterne.
8. Il dati inviati dall'Administration Server ai server Kaspersky (ad esempio, i dati KSN o le informazioni sulle licenze) e i dati inviati dai server Kaspersky all'Administration Server (ad esempio, gli aggiornamenti delle applicazioni e dei database anti-virus) vengono trasferiti tramite il protocollo HTTPS.

   Se non si desidera concedere all'Administration Server l'accesso a Internet, è necessario gestire questi dati manualmente.

9. Le richieste di pacchetti provenienti dai dispositivi gestiti, inclusi i dispositivi mobili, vengono trasferite al server Web, che si trova nello stesso dispositivo in cui si trova Administration Server.

[Topic 183058]

Administration Server nella LAN, dispositivi gestiti in Internet, gateway di connessione in uso

La figura di seguito mostra il traffico dati se Administration Server si trova all'interno di una LAN e i dispositivi gestiti sono in Internet. È in uso un gateway di connessione.

Questo schema di distribuzione è consigliabile se non si desidera che i dispositivi gestiti si connettano direttamente all'Administration Server e non si desidera utilizzare un proxy inverso o un firewall aziendale.

Dispositivi mobili gestiti connessi all'Administration Server tramite un gateway di connessione

In questa figura i dispositivi gestiti sono connessi all'Administration Server tramite un gateway di connessione che si trova nella rete perimetrale. Non è in uso alcun proxy inverso o firewall aziendale.

Le frecce indicano l'origine del traffico: ogni freccia punta da un dispositivo che avvia la connessione al dispositivo che "risponde" alla chiamata. Vengono forniti il numero della porta e il nome del protocollo utilizzato per il trasferimento dei dati. Ogni freccia ha un'etichetta numerica e i dettagli sul traffico dati corrispondente sono i seguenti:

1. Administration Server invia i dati al database. Se si installa l'Administration Server e il database in diversi dispositivi, è necessario rendere disponibili le porte necessarie nel dispositivo in cui si trova il database (ad esempio la porta 3306 per il server MySQL e MariaDB o la porta 432 per PostgreSQL Server o Postgres Pro Server). Fare riferimento alla documentazione DBMS per le informazioni attinenti.
2. Le richieste di comunicazione provenienti da Administration Server vengono trasferite a tutti i dispositivi gestiti non mobili tramite la porta UDP 15000.

   I Network Agent inviano richieste reciproche con un solo dominio di trasmissione. I dati vengono quindi inviati ad Administration Server e utilizzati per definire i limiti del dominio di trasmissione e per l'assegnazione automatica dei punti di distribuzione (se questa opzione è abilitata).

   Se Administration Server non ha accesso diretto ai dispositivi gestiti, le richieste di comunicazione da Administration Server a questi dispositivi non vengono inviate direttamente.

3. Le informazioni sull'arresto dei dispositivi gestiti vengono trasferite dal Network Agent all'Administration Server tramite la porta UDP 13000.
4. Administration Server riceve la connessione dai Network Agent e dagli Administration Server secondari tramite la porta TLS 13000.

   Se è stata utilizzata una versione precedente di Kaspersky Security Center, l'Administration Server nella rete può ricevere la connessione dai Network Agent tramite la porta non TLS 14000. Kaspersky Security Center Linux supporta la connessione dei Network Agent anche tramite la porta 14000, ma è consigliabile utilizzare la porta TLS 13000.

   4a. Anche un gateway di connessione nella rete perimetrale riceve la connessione da Administration Server tramite la porta TLS 13000. Dal momento che un gateway di connessione nella rete perimetrale non può raggiungere le porte di Administration Server, Administration Server crea e mantiene una connessione di segnale permanente con un gateway di connessione. La connessione di segnale non viene utilizzata per il trasferimento dei dati; viene utilizzata solo per inviare un invito all'interazione di rete. Quando deve connettersi al server, il gateway di connessione invia una notifica al server attraverso questa connessione di segnale, quindi il server crea la connessione richiesta per il trasferimento dei dati.

   Anche i dispositivi fuori sede si connettono al gateway di connessione tramite la porta TLS 13000.

5. I dispositivi gestiti (ad eccezione dei dispositivi mobili) richiedono l'attivazione tramite la porta TCP 17000. Ciò non è necessario se il dispositivo dispone già dell'accesso a Internet; in tal caso il dispositivo invia i dati ai server Kaspersky direttamente via Internet.
6. Kaspersky Security Center Web Console Server invia i dati all'Administration Server, che può essere installato nello stesso dispositivo o in un altro dispositivo, tramite la porta TLS 13299.

   6a. I dati provenienti dal browser, installato in un altro dispositivo dell'amministratore, vengono trasferiti a Kaspersky Security Center Web Console Server tramite la porta TLS 8080. Kaspersky Security Center Web Console Server può essere installato in Administration Server o in un altro dispositivo.

7. Nelle applicazioni presenti in un singolo dispositivo avviene lo scambio di traffico locale (nell'Administration Server o in un dispositivo gestito). Non è necessaria l'apertura di porte esterne.
8. Il dati inviati dall'Administration Server ai server Kaspersky (ad esempio, i dati KSN o le informazioni sulle licenze) e i dati inviati dai server Kaspersky all'Administration Server (ad esempio, gli aggiornamenti delle applicazioni e dei database anti-virus) vengono trasferiti tramite il protocollo HTTPS.

   Se non si desidera concedere all'Administration Server l'accesso a Internet, è necessario gestire questi dati manualmente.

9. Le richieste di pacchetti provenienti dai dispositivi gestiti, inclusi i dispositivi mobili, vengono trasferite al server Web, che si trova nello stesso dispositivo in cui si trova Administration Server.

[Topic 183041]

Administration Server all'interno della rete perimetrale, dispositivi gestiti in Internet

La figura di seguito mostra il traffico dati se l'Administration Server si trova nella rete perimetrale (DMZ) e i dispositivi gestiti sono in Internet.

Administration Server nella rete perimetrale, dispositivi mobili gestiti in Internet

In questa figura non è in uso alcun gateway di connessione: i dispositivi mobili si connettono direttamente all'Administration Server.

Le frecce indicano l'origine del traffico: ogni freccia punta da un dispositivo che avvia la connessione al dispositivo che "risponde" alla chiamata. Vengono forniti il numero della porta e il nome del protocollo utilizzato per il trasferimento dei dati. Ogni freccia ha un'etichetta numerica e i dettagli sul traffico dati corrispondente sono i seguenti:

1. Administration Server invia i dati al database. Se si installa l'Administration Server e il database in diversi dispositivi, è necessario rendere disponibili le porte necessarie nel dispositivo in cui si trova il database (ad esempio la porta 3306 per il server MySQL e MariaDB o la porta 432 per PostgreSQL Server o Postgres Pro Server). Fare riferimento alla documentazione DBMS per le informazioni attinenti.
2. Le richieste di comunicazione provenienti da Administration Server vengono trasferite a tutti i dispositivi gestiti non mobili tramite la porta UDP 15000.

   I Network Agent inviano richieste reciproche con un solo dominio di trasmissione. I dati vengono quindi inviati ad Administration Server e utilizzati per definire i limiti del dominio di trasmissione e per l'assegnazione automatica dei punti di distribuzione (se questa opzione è abilitata).

   Se Administration Server non ha accesso diretto ai dispositivi gestiti, le richieste di comunicazione da Administration Server a questi dispositivi non vengono inviate direttamente.

3. Le informazioni sull'arresto dei dispositivi gestiti vengono trasferite dal Network Agent all'Administration Server tramite la porta UDP 13000.
4. Administration Server riceve la connessione dai Network Agent e dagli Administration Server secondari tramite la porta TLS 13000.

   Se è stata utilizzata una versione precedente di Kaspersky Security Center, l'Administration Server nella rete può ricevere la connessione dai Network Agent tramite la porta non TLS 14000. Kaspersky Security Center Linux supporta la connessione dei Network Agent anche tramite la porta 14000, ma è consigliabile utilizzare la porta TLS 13000.

5. I dispositivi gestiti (ad eccezione dei dispositivi mobili) richiedono l'attivazione tramite la porta TCP 17000. Ciò non è necessario se il dispositivo dispone già dell'accesso a Internet; in tal caso il dispositivo invia i dati ai server Kaspersky direttamente via Internet.
6. Kaspersky Security Center Web Console Server invia i dati all'Administration Server, che può essere installato nello stesso dispositivo o in un altro dispositivo, tramite la porta TLS 13299.

   6a. I dati provenienti dal browser, installato in un altro dispositivo dell'amministratore, vengono trasferiti a Kaspersky Security Center Web Console Server tramite la porta TLS 8080. Kaspersky Security Center Web Console Server può essere installato in Administration Server o in un altro dispositivo.

7. Nelle applicazioni presenti in un singolo dispositivo avviene lo scambio di traffico locale (nell'Administration Server o in un dispositivo gestito). Non è necessaria l'apertura di porte esterne.
8. Il dati inviati dall'Administration Server ai server Kaspersky (ad esempio, i dati KSN o le informazioni sulle licenze) e i dati inviati dai server Kaspersky all'Administration Server (ad esempio, gli aggiornamenti delle applicazioni e dei database anti-virus) vengono trasferiti tramite il protocollo HTTPS.

   Se non si desidera concedere all'Administration Server l'accesso a Internet, è necessario gestire questi dati manualmente.

9. Le richieste di pacchetti provenienti dai dispositivi gestiti vengono trasferite al server Web, che si trova nello stesso dispositivo in cui si trova Administration Server.

[Topic 158520]

Interazione dei componenti di Kaspersky Security Center Linux e delle applicazioni di protezione: ulteriori informazioni

In questa sezione vengono forniti gli schemi per l'interazione dei componenti di Kaspersky Security Center Linux e delle applicazioni di protezione gestite. Gli schemi forniscono i numeri delle porte che devono essere disponibili e i nomi dei processi che aprono tali porte.

[Topic 158522]

Convenzioni utilizzate negli schemi di interazione

Nella seguente tabella sono fornite le convenzioni utilizzate negli schemi.

Convenzioni utilizzate nella documentazione

[Topic 158523]

Administration Server e DBMS

I dati provenienti da Administration Server vengono immessi in un database.

Administration Server e DBMS

Se si installano l'Administration Server e il database in diversi dispositivi, è necessario rendere disponibili le porte necessarie nel dispositivo in cui si trova il database (ad esempio la porta 3306 per MariaDB). Fare riferimento alla documentazione DBMS per le informazioni attinenti.

[Topic 158525]

Administration Server e dispositivo client: gestione dell'applicazione di protezione

L'Administration Server riceve la connessione dai Network Agent tramite la porta TLS 13000 (vedere la figura seguente).

Administration Server e dispositivo client: gestione dell'applicazione di protezione, connessione tramite la porta 13000 (consigliata)

Se è stata utilizzata una versione precedente di Kaspersky Security Center Linux, Administration Server nella rete può ricevere connessioni dai Network Agent tramite la porta non SSL 14000 (vedere la figura seguente). Kaspersky Security Center Linux supporta la connessione dei Network Agent anche tramite la porta 14000, ma è consigliabile utilizzare la porta SSL 13000.

Administration Server e dispositivo client: gestione dell'applicazione di protezione, connessione tramite la porta 14000 (protezione inferiore)

Per le spiegazioni degli schemi, vedere la tabella seguente.

Administration Server e dispositivo client: gestione dell'applicazione di protezione (traffico)

[Topic 158532]

Upgrade del software in un dispositivo client tramite un punto di distribuzione

Il dispositivo client si connette al punto di distribuzione tramite la porta 13000 e, se si utilizza il punto di distribuzione come server push, anche tramite la porta 13295; il punto di distribuzione esegue la distribuzione multicast ai Network Agent tramite la porta 15000 (vedere la figura seguente). Gli aggiornamenti e i pacchetti di installazione vengono ricevuti da un punto di distribuzione tramite la porta 15001.

Upgrade del software in un dispositivo client tramite un punto di distribuzione

Per dettagli sullo schema, vedere la tabella di seguito.

Upgrade del software tramite un punto di distribuzione (traffico)

[Topic 158529]

Gerarchia di Administration Server: Administration Server primario e Administration Server secondario

Lo schema (vedere la figura seguente) illustra come utilizzare la porta 13000 per garantire l'interazione tra più Administration Server combinati in una gerarchia.

Successivamente, una volta che gli Administration Server sono combinati in una gerarchia, sarà possibile amministrarli entrambi utilizzando Kaspersky Security Center Web Console connesso all'Administration Server primario. Di conseguenza, l'unico prerequisito è l'accessibilità della porta 13299 dell'Administration Server primario.

Gerarchia di Administration Server: Administration Server primario e Administration Server secondario

Per dettagli sullo schema, vedere la tabella di seguito.

Gerarchia di Administration Server (traffico)

[Topic 158530]

Gerarchia di Administration server con un Administration Server secondario nella rete perimetrale

Gerarchia di Administration server con un Administration Server secondario nella rete perimetrale

Lo schema illustra una gerarchia di Administration Server in cui l'Administration Server secondario disponibile nella rete perimetrale riceve una connessione dall'Administration Server primario (vedere la tabella seguente per le spiegazioni dello schema). Quando si combinano due Administration Server in una gerarchia, verificare che la porta 13299 sia accessibile in entrambi gli Administration Server. Kaspersky Security Center Web Console si connette ad Administration Server tramite la porta 13299.

Successivamente, una volta che gli Administration Server sono combinati in una gerarchia, sarà possibile amministrarli entrambi utilizzando Kaspersky Security Center Web Console connesso all'Administration Server primario. Di conseguenza, l'unico prerequisito è l'accessibilità della porta 13299 dell'Administration Server primario.

Gerarchia di Administration Server con un Administration Server secondario nella rete perimetrale (traffico)

[Topic 158533]

Administration Server, un gateway di connessione in un segmento di rete e un dispositivo client

Administration Server, un gateway di connessione in un segmento di rete e un dispositivo client

Per dettagli sullo schema, vedere la tabella di seguito.

Administration Server, un gateway di connessione in un segmento di rete e un dispositivo client (traffico)

[Topic 158534]

Administration Server e due dispositivi nella rete perimetrale: un gateway di connessione e un dispositivo client

Administration Server con un gateway di connessione e un dispositivo client nella rete perimetrale

Per dettagli sullo schema, vedere la tabella di seguito.

Administration Server con un gateway di connessione in un segmento di rete e un dispositivo client (traffico)

[Topic 178949]

Administration Server e Kaspersky Security Center Web Console

Administration Server e Kaspersky Security Center Web Console

Per dettagli sullo schema, vedere la tabella di seguito.

Administration Server e Kaspersky Security Center Web Console (traffico)

Kaspersky Security Center Web Console può essere installato in Administration Server o in un altro dispositivo.

[Topic 153504]

Operazioni preliminari

Tramite questo scenario è possibile installare Kaspersky Security Center Linux Administration Server e Kaspersky Security Center Web Console, eseguire la configurazione iniziale di Administration Server tramite l'avvio rapido guidato e installare le applicazioni Kaspersky nei dispositivi gestiti utilizzando la Distribuzione guidata della protezione.

Prerequisiti

È necessario disporre di una chiave di licenza (codice di attivazione) per Kaspersky Endpoint Security for Business o di chiavi di licenza (codici di attivazione) per le applicazioni di protezione Kaspersky.

Se si desidera provare prima Kaspersky Security Center Linux, è possibile ottenere una prova gratuita di 30 giorni nel sito Web di Kaspersky.

Passaggi

Lo scenario di installazione principale procede per fasi:

1. Selezione di una struttura per la protezione di un'organizzazione

   Ulteriori informazioni sui componenti di Kaspersky Security Center Linux. In base alla configurazione di rete e al throughput dei canali di comunicazione, definire il numero di Administration Server da utilizzare e come devono essere distribuiti tra le varie sedi (se si esegue una rete distribuita).

   Definire se utilizzare o meno una gerarchia di Administration Server nell'organizzazione. A tale scopo, è necessario valutare se è possibile e conveniente coprire tutti i dispositivi client con un singolo Administration Server o se è necessario creare una gerarchia di Administration Server. Può inoltre essere necessario creare una gerarchia di Administration Server che corrisponda perfettamente alla struttura organizzativa dell'organizzazione per cui si desidera proteggere la rete.

2. Preparazione per l'utilizzo dei certificati personalizzati

   Se l'infrastruttura a chiave pubblica (PKI) dell'organizzazione richiede l'utilizzo di certificati personalizzati emessi da un'autorità di certificazione specifica, preparare tali certificati e assicurarsi che soddisfino tutti i requisiti.

3. Installazione di un sistema di gestione database (DBMS)

   Installare il DBMS che verrà utilizzato da Kaspersky Security Center Linux o utilizzarne uno esistente.

   È possibile scegliere uno dei DBMS supportati. Per informazioni su come installare il DBMS selezionato, consultare la relativa documentazione.

   Se la distribuzione del sistema operativo basato su Linux non contiene un DBMS supportato, è possibile installare il DBMS da un archivio di pacchetti di terzi. Se l'installazione di distribuzioni da archivi di terzi è vietata, è possibile installare il DBMS in un dispositivo separato.

   Se si decide di installare il DBMS di PostgreSQL o Postgres Pro, assicurarsi di aver specificato una password per il l'utente con privilegi avanzati. Se la password non viene specificata, Administration Server potrebbe non essere in grado di connettersi al database.

   Se si installa MariaDB, PostgreSQL o Postgres Pro, utilizzare le impostazioni consigliate per garantire il corretto funzionamento del DBMS.

   Se si desidera modificare il tipo di DBMS dopo l'installazione, è necessario reinstallare Kaspersky Security Center Linux. I dati possono essere parzialmente e manualmente trasferiti a un altro database.

4. Configurazione delle porte

   Verificare che tutte le porte necessarie siano aperte per l'interazione tra i componenti in base della struttura di protezione selezionata.

   Se è necessario concedere ad Administration Server l'accesso a Internet, configurare le porte e specificare le impostazioni di connessione, a seconda della configurazione di rete.

5. Installazione di Kaspersky Security Center Linux

   Selezionare un dispositivo Linux che si intende utilizzare come Administration Server, assicurarsi che il dispositivo soddisfi i requisiti software e hardware, quindi installare Kaspersky Security Center Linux nel dispositivo. La versione server di Network Agent è installata automaticamente insieme ad Administration Server.

6. Installazione di Kaspersky Security Center Web Console e dei plug-in Web di gestione

   Selezionare un dispositivo Linux che si intende utilizzare come workstation dell'amministratore, assicurarsi che il dispositivo soddisfi i requisiti software e hardware, quindi installare Kaspersky Security Center Web Console nel dispositivo. È possibile installare Kaspersky Security Center Web Console nello stesso dispositivo in cui è installato Administration Server o in un altro dispositivo.

   Scaricare il plug-in Web di gestione di Kaspersky Endpoint Security for Linux e installarlo nello stesso dispositivo in cui è installato Kaspersky Security Center Web Console.

7. Installazione di Kaspersky Endpoint Security for Linux e Network Agent nel dispositivo Administration Server

   Per impostazione predefinita, l'applicazione non considera il dispositivo Administration Server come dispositivo gestito. Per proteggere Administration Server da virus e altre minacce, nonché per gestire il dispositivo come qualsiasi altro dispositivo gestito, è consigliabile installare Kaspersky Endpoint Security for Linux e Network Agent per Linux nel dispositivo Administration Server. In questo caso, Network Agent per Linux è installato e funziona indipendentemente dalla versione server di Network Agent installata insieme ad Administration Server.

8. Esecuzione della configurazione iniziale

   Quando l'installazione di Administration Server è completa, alla prima connessione ad Administration Server viene avviato automaticamente l'Avvio rapido guidato. Eseguire la configurazione iniziale di Administration Server in base ai requisiti esistenti. Durante la fase di configurazione iniziale, la procedura guidata utilizza le impostazioni predefinite per creare i criteri e le attività necessari per la distribuzione della protezione. Le impostazioni predefinite potrebbero tuttavia non essere ottimali per le esigenze dell'organizzazione. Se necessario, è possibile modificare le impostazioni dei criteri e delle attività.

9. Individuazione dei dispositivi nella rete

   Individuare i dispositivi manualmente. Kaspersky Security Center Linux riceve gli indirizzi e i nomi di tutti i dispositivi rilevati nella rete. È quindi possibile utilizzare Kaspersky Security Center Linux per installare le applicazioni Kaspersky e software di altri produttori nei dispositivi rilevati. Kaspersky Security Center Linux avvia periodicamente la device discovery, pertanto eventuali nuove istanze che compaiono nella rete verranno rilevate automaticamente.

10. Organizzazione dei dispositivi in gruppi di amministrazione

    In alcuni casi, la distribuzione della protezione nei dispositivi della rete nel modo più immediato può richiedere la suddivisione dell'intero pool di dispositivi in gruppi di amministrazione, tenendo conto della struttura dell'organizzazione. È possibile creare regole di spostamento al fine di distribuire i dispositivi tra i gruppi oppure distribuire manualmente i dispositivi. È possibile assegnare attività di gruppo per i gruppi di amministrazione, definire l'ambito dei criteri e assegnare i punti di distribuzione.

    Verificare che tutti i dispositivi gestiti siano stati assegnati correttamente ai gruppi di amministrazione appropriati e che non siano più presenti dispositivi non assegnati nella rete.

11. Assegnazione dei punti di distribuzione

    I punti di distribuzione vengono assegnati automaticamente ai gruppi di amministrazione ma è possibile assegnarli manualmente, se necessario. È consigliabile utilizzare i punti di distribuzione nelle reti su vasta scala per ridurre il carico su Administration Server e nelle reti con una struttura distribuita per consentire ad Administration Server di accedere ai dispositivi (o ai gruppi di dispositivi) tramite canali a basso throughput.

12. Installazione di Network Agent e di applicazioni di protezione nei dispositivi in rete

    La distribuzione della protezione in una rete aziendale implica l'installazione di Network Agent e delle applicazioni di protezione nei dispositivi rilevati da Administration Server durante la device discovery.

    Per installare le applicazioni in remoto, eseguire la Distribuzione guidata della protezione.

    Le applicazioni di protezione proteggono i dispositivi da virus e da altri programmi che costituiscono una minaccia. Network Agent garantisce la comunicazione tra il dispositivo e Administration Server. Le impostazioni di Network Agent vengono configurate automaticamente per impostazione predefinita.

    Prima di iniziare a installare Network Agent e le applicazioni di protezione nei dispositivi nella rete, verificare che questi dispositivi siano accessibili (attivati).

13. Distribuzione delle chiavi di licenza ai dispositivi client

    Distribuire le chiavi di licenza ai dispositivi client per attivare applicazioni di protezione gestite in tali dispositivi.

14. Configurazione dei criteri delle applicazioni Kaspersky

    Per applicare differenti impostazioni dell'applicazione ai diversi dispositivi, è possibile utilizzare la gestione della protezione incentrata sui dispositivi e/o la gestione della protezione incentrata sugli utenti. La gestione della protezione incentrata sui dispositivi può essere implementata utilizzando criteri e attività. È possibile applicare le attività solo ai dispositivi che soddisfano condizioni specifiche. Per impostare le condizioni per il filtro dei dispositivi, utilizzare le selezioni dispositivi e i tag.

15. Monitoraggio dello stato della protezione della rete

    È possibile monitorare la rete utilizzando i widget nel dashboard, generare rapporti dalle applicazioni Kaspersky, configurare e visualizzare selezioni degli eventi ricevuti dalle applicazioni nei dispositivi gestiti e visualizzare elenchi di notifiche.

[Topic 176383]

Installazione

Questa sezione descrive l'installazione di Kaspersky Security Center Linux e Kaspersky Security Center Web Console.

[Topic 210277]

Configurazione del server MariaDB x64 per l'utilizzo con Kaspersky Security Center Linux

Impostazioni consigliate per il file my.cnf

Per maggiori dettagli sulla configurazione del DBMS, fare riferimento anche alla procedura di configurazione dell'account. Per informazioni sull'installazione del DBMS, fare riferimento alla procedura di installazione del DBMS.

Per configurare il file my.cnf:

1. Aprire il file my.cnf in un editor di testo.
2. Immettere le seguenti righe nella sezione [mysqld] del file my.cnf:

   sort_buffer_size=10M

   join_buffer_size=100M

   join_buffer_space_limit=300M

   join_cache_level=8

   tmp_table_size=512M

   max_heap_table_size=512M

   key_buffer_size=200M

   innodb_buffer_pool_size=<valore>

   innodb_thread_concurrency=20

   innodb_flush_log_at_trx_commit=0

   innodb_lock_wait_timeout=300

   max_allowed_packet=32M

   max_connections=151

   max_prepared_stmt_count=12800

   table_open_cache=60000

   table_open_cache_instances=4

   table_definition_cache=60000

   Il valore di "innodb_buffer_pool_size non deve essere inferiore all'80% della dimensione del database KAV prevista. Si noti che la memoria specificata viene allocata all'avvio del server. Se la dimensione del database è inferiore alla dimensione del buffer specificata, viene allocata solo la memoria richiesta. Se si utilizza MariaDB 10.4.3 o versione precedente, la dimensione effettiva della memoria allocata è di circa il 10% maggiore rispetto alla dimensione del buffer specificata.

   È consigliabile utilizzare il valore del parametro innodb_flush_log_at_trx_commit=0, perché i valori "1" o "2" influiscono negativamente sulla velocità di esecuzione di MariaDB. Assicurarsi che il parametro innodb_file_per_table sia impostato su 1.

   Per MariaDB 10.6, immettere inoltre le seguenti righe nella sezione [mysqld]:

   optimizer_prune_level=0

   optimizer_search_depth=8

Per impostazione predefinita, i componenti aggiuntivi dell'ottimizzatore join_cache_incremental, join_cache_hashed e join_cache_bka sono abilitati. Se questi componenti aggiuntivi non sono abilitati, è necessario abilitarli.

Per verificare se i componenti aggiuntivi dell'ottimizzatore sono abilitati:

1. Nella console del client MariaDB eseguire il comando:

   SELECT @@optimizer_switch;

2. Verificare che l'output del comando contenga le seguenti righe:

   join_cache_incremental=on

   join_cache_hashed=on

   join_cache_bka=on

   Se queste righe sono presenti e hanno i valori on, i componenti aggiuntivi dell'ottimizzatore sono abilitati.

   Se queste righe non sono presenti o hanno i valori off, è necessario eseguire le seguenti operazioni:

   1. Aprire il file my.cnf in un editor di testo.
   2. Aggiungere le seguenti righe nel file my.cnf:

      optimizer_switch='join_cache_incremental=on'

      optimizer_switch='join_cache_hashed=on'

      optimizer_switch='join_cache_bka=on'

I componenti aggiuntivi join_cache_incremental, join_cache_hash e join_cache_bka vengono abilitati.

[Topic 241223]

Configurazione del server PostgreSQL o Postgres per l’utilizzo con Kaspersky Security Center Linux

Kaspersky Security Center Linux supporta i DBMS PostgreSQL e Postgres Pro. Se si utilizza uno di questi DBMS, prendere in considerazione la configurazione dei parametri del server DBMS per ottimizzare il funzionamento del DBMS con Kaspersky Security Center Linux.

Il percorso predefinito del file di configurazione è: /etc/postgresql/<VERSION>/main/postgresql.conf

Parametri consigliati per PostgreSQL e Postgres Pro:

• shared_buffers = 25% del valore della RAM del dispositivo in cui è installato il DBMS

  Se la RAM è inferiore a 1 GB, lasciare il valore predefinito.

• max_stack_depth = dimensione massima dello stack (eseguire il comando 'ulimit -s' per ottenere questo valore in KB) meno il margine di sicurezza di 1 MB
• temp_buffers = 24MB
• work_mem = 16MB
• max_connections = 151
• max_parallel_workers_per_gather = 0
• maintenance_work_mem = 128MB

Assicurarsi che il parametro standard_conforming_strings sia impostato sul valore predefinito on. Ricaricare la configurazione o riavviare il server dopo aver aggiornato il file postgresql.conf. Per ulteriori dettagli, consultare la documentazione di PostgreSQL.

Se si utilizza un cluster Postgres DBMS, specificare il parametro max_connections per tutti i server DBMS e nella configurazione del cluster.

Se si utilizza Postgres Pro 15.7 o Postgres Pro 15.7.1, disabilitare il parametro enable_compound_index_stats:

enable_compound_index_stats = off

Per informazioni dettagliate sui parametri dei server PostgreSQL e Postgres Pro e su come specificarli, fare riferimento alla documentazione del DBMS corrispondente.

Per ulteriori dettagli sulla creazione e la configurazione degli account per PostgreSQL e Postgres Pro, consultare il seguente argomento: Configurazione degli account per l'utilizzo di PostgreSQL e Postgres Pro.

[Topic 166764]

Installazione di Kaspersky Security Center Linux

Questa procedura descrive come installare Kaspersky Security Center Linux.

Prima dell'installazione:

• Installare un DBMS.
• Verificare che il dispositivo in cui si desidera installare Kaspersky Security Center Linux esegua una delle distribuzioni Linux supportate.
• Assicurarsi che il server DNS sia disponibile nella rete.

Usare il file di installazione—ksc64_[numero_versione]_amd64.deb or ksc64-[numero_versione].x86_64.rpm—che corrisponde alla distribuzione Linux installata nel dispositivo. È possibile ottenere il file di installazione scaricandolo dal sito Web di Kaspersky.

Per installare Kaspersky Security Center Linux, eseguire i comandi forniti nelle istruzioni seguenti con un account con privilegi di root.

Per installare Kaspersky Security Center Linux:

1. Se il dispositivo funziona con Astra Linux 1.8 o versione successiva, eseguire le azioni descritte in questo passaggio. Se il dispositivo viene eseguito su un sistema operativo diverso, procedere al passaggio successivo.
   1. Creare la directory /etc/systemd/system/kladminserver_srv.service.d e creare un file denominato override.conf con il seguente contenuto:

      [Service]

      User=

      User=ksc

      CapabilitiesParsec=PARSEC_CAP_PRIV_SOCK

      ExecStart=

      ExecStart=/opt/kaspersky/ksc64/sbin/klserver -d from_wd

   2. Creare una directory /etc/systemd/system/klwebsrv_srv.service.d e creare un file denominato override.conf con il seguente contenuto:

      [Service]

      User=

      User=ksc

      CapabilitiesParsec=PARSEC_CAP_PRIV_SOCK

      ExecStart=

      ExecStart=/opt/kaspersky/ksc64/sbin/klcsweb -d from_wd

2. Creare un gruppo "kladmins" e un account "ksc" senza privilegi. L'account deve essere un membro del gruppo "kladmins". A tale scopo, eseguire in sequenza i seguenti comandi:

   # adduser ksc

   # groupadd kladmins

   # gpasswd -a ksc kladmins

   # usermod -g kladmins ksc

3. Aumentare il limite predefinito di file che è possibile aprire (descrittori di file) per gli account utilizzati per la funzione dei servizi di Administration Server. A tale scopo, aprire il file /etc/security/limits.conf, quindi specificare i limiti soft e hard dei descrittori di file come segue:

   ksc soft nofile 32768

   ksc hard nofile 131072

4. Eseguire l’installazione di Kaspersky Security Center Linux. A seconda della distribuzione Linux, eseguire uno dei seguenti comandi:
   • # apt install /<percorso>/ksc64_[numero_versione]_amd64.deb
   • # yum install /<percorso>/ksc64-[numero_versione].x86_64.rpm -y
5. Eseguire la configurazione di Kaspersky Security Center Linux:

   # /opt/kaspersky/ksc64/lib/bin/setup/postinstall.pl

6. Leggere il Contratto di licenza con l'utente finale (EULA) e l'Informativa sulla privacy. Il testo viene visualizzato nella finestra della riga di comando. Premere la barra spaziatrice per visualizzare il segmento di testo successivo. Quando richiesto inserire i seguenti valori:
   1. Immettere y se i termini del Contratto di licenza con l'utente finale sono stati compresi e accettati. Immettere n se non si accettano i termini del Contratto di licenza con l'utente finale. Per utilizzare Kaspersky Security Center Linux è necessario accettare i termini del Contratto di licenza con l'utente finale.
   2. Immettere y se i termini dell'Informativa sulla privacy sono stati compresi e accettati e se si accetta che i propri dati vengano gestiti e trasmessi (anche a paesi terzi) come descritto nell'Informativa sulla privacy. Immettere n se non si accettano i termini dell'Informativa sulla privacy. Per utilizzare Kaspersky Security Center Linux è necessario accettare i termini dell'Informativa sulla privacy.
7. Quando richiesto, immettere le seguenti impostazioni:
   1. Immettere il nome DNS di Administration Server o l'indirizzo IP statico. Tale indirizzo verrà utilizzato da altri dispositivi per la connessione all'Administration Server.
   2. Immettere il numero di porta SSL di Administration Server. Per impostazione predefinita, viene utilizzata la porta 13000.
   3. Valutare il numero approssimativo di dispositivi che si intende gestire:
      • Se nella rete sono presenti da 1 a 100 dispositivi, immettere 1.
      • Se nella rete sono presenti da 101 a 1000 dispositivi, immettere 2.
      • Se nella rete sono presenti più di 1000 dispositivi, immettere 3.
   4. Immettere il nome del gruppo di protezione per i servizi. Per impostazione predefinita, viene utilizzato il gruppo "kladmins".
   5. Immettere il nome dell'account per avviare il servizio Administration Server. L'account deve essere un membro del gruppo di protezione inserito. Per impostazione predefinita, viene utilizzato l'account "ksc".
   6. Immettere il nome dell'account per avviare altri servizi. L'account deve essere un membro del gruppo di protezione inserito. Per impostazione predefinita, viene utilizzato l'account "ksc".
   7. Selezionare il DBMS installato per l'utilizzo con Kaspersky Security Center Linux:
      • Se è stato installato MySQL o MariaDB, immettere 1.
      • Se è stato installato PostgreSQL o Postgres Pro, immettere 2.
   8. Immettere il nome DNS o l'indirizzo IP del dispositivo in cui è installato il database. 127.0.0.1 per impostazione predefinita per un'installazione DB locale.
   9. Immettere il numero di porta del database. Questa porta viene utilizzata per comunicare con Administration Server. Per impostazione predefinita, vengono utilizzate le seguenti porte:
      • Porta 3306 per MySQL o MariaDB
      • Porta 5432 per PostgreSQL o Postgres Pro
   10. Immettere il nome del database.
   11. Immettere il nome utente dell'account radice del database utilizzato per accedere al database.
   12. Immettere la password dell'account radice del database utilizzato per accedere al database.

       Attendere che i servizi vengano aggiunti e avviati automaticamente:

       • klnagent_srv
       • kladminserver_srv
       • klactprx_srv
       • klwebsrv_srv
   13. Creare un account che fungerà da amministratore di Administration Server. Immettere il nome utente e la password. È possibile utilizzare il seguente comando per creare un nuovo utente: /opt/kaspersky/ksc64/sbin/kladduser -n ksc -p <password>

       La password deve rispettare le seguenti regole:

       • La password utente non può contenere meno di 8 o più di 256 caratteri.
       • La password deve contenere caratteri da almeno tre dei gruppi elencati di seguito:
         • Lettere maiuscole (A-Z)
         • Lettere minuscole (a-z)
         • Numeri (0-9)
         • Caratteri speciali (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;)

Viene aggiunto l'utente e viene installato Kaspersky Security Center Linux.

Verifica del servizio

Utilizzare i seguenti comandi per verificare se un servizio è in esecuzione o meno:

• # systemctl status klnagent_srv.service
• # systemctl status kladminserver_srv.service
• # systemctl status klactprx_srv.service
• # systemctl status klwebsrv_srv.service

[Topic 246025]

Installazione di Kaspersky Security Center Linux in modalità automatica

È possibile installare Kaspersky Security Center Linux nei dispositivi Linux utilizzando un file di risposte per eseguire un'installazione in modalità automatica, ovvero senza la partecipazione dell'utente. Il file di risposte contiene un set personalizzato di parametri di installazione: variabili e rispettivi valori.

Prima dell'installazione:

• Installare un sistema di gestione database (DBMS).
• Verificare che il dispositivo in cui si desidera installare Kaspersky Security Center Linux esegua una delle distribuzioni Linux supportate.

Per installare Kaspersky Security Center Linux in modalità automatica:

1. Leggere il Contratto di licenza con l'utente finale. Seguire i passaggi di seguito solo se sono stati compresi e accettati i termini del Contratto di licenza con l'utente finale.
2. Se il dispositivo funziona con Astra Linux 1.8 o versione successiva, eseguire le azioni descritte in questo passaggio. Se il dispositivo viene eseguito su un sistema operativo diverso, procedere al passaggio successivo.
   1. Creare la directory /etc/systemd/system/kladminserver_srv.service.d e creare un file denominato override.conf con il seguente contenuto:

      [Service]

      User=

      User=ksc

      CapabilitiesParsec=PARSEC_CAP_PRIV_SOCK

      ExecStart=

      ExecStart=/opt/kaspersky/ksc64/sbin/klserver -d from_wd

   2. Creare una directory /etc/systemd/system/klwebsrv_srv.service.d e creare un file denominato override.conf con il seguente contenuto:

      [Service]

      User=

      User=ksc

      CapabilitiesParsec=PARSEC_CAP_PRIV_SOCK

      ExecStart=

      ExecStart=/opt/kaspersky/ksc64/sbin/klcsweb -d from_wd

3. Creare un gruppo 'kladmins' e un account 'ksc' senza privilegi, che deve essere un membro del gruppo 'kladmins'. A tale scopo, eseguire in sequenza i seguenti comandi con un account con privilegi di root:

   # adduser ksc

   # groupadd kladmins

   # gpasswd -a ksc kladmins

   # usermod -g kladmins ksc

4. Creare il file di risposte (in formato TXT) e aggiungere un elenco di variabili nel formato VARIABLE_NAME=variable_value al file di risposte, ciascuna in una riga separata. Il file di risposte deve includere le variabili elencate nella tabella seguente.
5. Impostare il valore della variabile di ambiente KLAUTOANSWERS nell'ambiente root che contiene il nome completo del file di risposte (incluso il percorso), ad esempio con il seguente comando:

   export KLAUTOANSWERS=/tmp/ksc_install/answers.txt

6. Eseguire l'installazione di Kaspersky Security Center Linux in modalità automatica: a seconda della distribuzione Linux, eseguire uno dei seguenti comandi:
   • # apt install /<percorso>/ksc64_[numero_versione]_amd64.deb
   • # yum install /<percorso>/ksc64-[numero_versione].x86_64.rpm -y
7. Creare un utente per l'utilizzo di Kaspersky Security Center Web Console. A tale scopo, eseguire il seguente comando con un account con privilegi di root:

   /opt/kaspersky/ksc64/sbin/kladduser -n ksc -p <password>, dove la password deve contenere almeno 8 caratteri.

   Variabili del file di risposte utilizzate come parametri dell'installazione di Kaspersky Security Center Linux in modalità automatica

   Nome della variabile	Richiesto	Descrizione	Valori possibili
   EULA_ACCEPTED	Sì	Conferma che l'utente ha compreso e accettato i termini del Contratto di licenza con l'utente finale.	1
   PP_ACCEPTED	Sì	Conferma che l'utente ha compreso e accettato i termini dell'Informativa sulla privacy.	1
   KLSRV_UNATT_SERVERADDRESS	Sì	Il nome DNS o l'indirizzo IP statico di Administration Server.	Nome DNS o indirizzo IP
   KLSRV_UNATT_PORT_SRV	No	Il numero di porta di Administration Server. Facoltativamente, il valore predefinito è 14000.	Numero di porta
   KLSRV_UNATT_PORT_SRV_SSL	No	Il numero di porta SSL di Administration Server. Facoltativamente, il valore predefinito è 13000.	Numero di porta
   KLSRV_UNATT_PORT_KLOAPI	No	Il numero di porta KLOAPI di Administration Server. Facoltativamente, il valore predefinito è 13299.	Numero di porta
   KLSRV_UNATT_PORT_GUI	No	Il numero di porta GUI di Administration Server. Facoltativamente, il valore predefinito è 13291.	Numero di porta
   KLSRV_UNATT_NETRANGETYPE	No	Il numero approssimativo di dispositivi che si intende gestire. Facoltativamente, il valore predefinito è 1.	1 f1 per 1-100 dispositivi in rete. 2 per 101-1.000 dispositivi in rete. 3 per oltre 1.000 dispositivi in rete.
   KLSRV_UNATT_DBMS_INSTANCE	Sì	L'indirizzo IP del server di database.	Indirizzo IP
   KLSRV_UNATT_DBMS_PORT	Sì	La porta del server di database.	3306
   KLSRV_UNATT_DB_NAME	Sì	Il nome del database.	kav
   KLSRV_UNATT_DBMS_LOGIN	Sì	Il nome utente di un utente che ha accesso al database.
   KLSRV_UNATT_DBMS_PASSWORD	Sì	La password di un utente che ha accesso al database.
   KLSRV_UNATT_KLADMINSGROUP	Sì	Il nome del gruppo di protezione per i servizi.	kladmins
   KLSRV_UNATT_KLSRVUSER	Sì	Il nome dell'account per avviare il servizio Administration Server. L'account deve essere un membro del gruppo di sicurezza specificato nella variabile KLSRV_UNATT_KLADMINSGROUP.	ksc
   KLSRV_UNATT_KLSVCUSER	Sì	Il nome dell'account per avviare altri servizi. L'account deve essere un membro del gruppo di sicurezza specificato nella variabile KLSRV_UNATT_KLADMINSGROUP.	ksc
   Se Administration Server deve essere distribuito come cluster di failover Kaspersky Security Center Linux, il file di risposte deve includere le seguenti variabili aggiuntive:
   KLFOC_UNATT_NODE	Sì	Il numero del nodo (1 o 2).	1 o 2
   KLFOC_UNATT_STATE_SHARE_MOUNT_PATH	Sì	Il punto di montaggio della condivisione degli stati.
   KLFOC_UNATT_DATA_SHARE_MOUNT_PATH	Sì	Il punto di montaggio della condivisione dei dati.
   KLFOC_UNATT_CONN_MODE	Sì	La modalità di connettività del cluster di failover.	VirtualAdapter o ExternalLoadBalancer
   Nel caso in cui la variabile KLFOC_UNATT_CONN_MODE abbia un valore VirtualAdapter, il file di risposte deve includere le seguenti variabili aggiuntive:
   KLFOC_UNATT_CONN_MODE_VA_NAME	Sì	Il nome della scheda di rete virtuale.
   KLFOC_UNATT_CONN_MODE_VA_IPV4	Una di queste variabili è obbligatoria	L'indirizzo IP della scheda di rete virtuale.	Indirizzo IP
   KLFOC_UNATT_CONN_MODE_VA_IPV6		L'indirizzo IPv6 della scheda di rete virtuale.	Indirizzo IPv6

[Topic 250717]

Installazione di Kaspersky Security Center Linux su Astra Linux in modalità ambiente software chiuso

Questa sezione descrive come installare Kaspersky Security Center Linux nel sistema operativo Astra Linux Special Edition.

Prima dell'installazione:

• Installare il DBMS.

• Scaricare la chiave dell'applicazione kaspersky_astra_pub_key.gpg.

Utilizzare il file di installazione ksc64_[numero_versione]_amd64.deb. È possibile ottenere il file di installazione scaricandolo dal sito Web di Kaspersky.

In un account con privilegi di root, eseguire i comandi forniti in questa istruzione con integrità elevata e riservatezza zero.

Per installare Kaspersky Security Center Linux nel sistema operativo Astra Linux Special Edition (aggiornamento operativo 1.7.2) e Astra Linux Special Edition (aggiornamento operativo 1.6):

1. Aprire il file /etc/digsig/digsig_initramfs.conf, quindi specificare la seguente impostazione:

   DIGSIG_ELF_MODE=1

2. Nella riga di comando, eseguire il seguente comando per installare il pacchetto di compatibilità:

   apt install astra-digsig-oldkeys

3. Creare una directory per la chiave dell'applicazione:

   mkdir -p /etc/digsig/keys/legacy/kaspersky/

4. Posizionare la chiave dell'applicazione nella directory creata nel passaggio precedente:

   cp kaspersky_astra_pub_key.gpg /etc/digsig/keys/legacy/kaspersky/

5. Aggiornare l'immagine del file system RAM iniziale per tutti i kernel del sistema:

   update-initramfs -u -k all

   Riavviare il sistema.

6. Se il dispositivo funziona con Astra Linux 1.8 o versione successiva, eseguire le azioni descritte in questo passaggio. Se il dispositivo viene eseguito su un sistema operativo diverso, procedere al passaggio successivo.
   1. Creare la directory /etc/systemd/system/kladminserver_srv.service.d e creare un file denominato override.conf con il seguente contenuto:

      [Service]

      User=

      User=ksc

      CapabilitiesParsec=PARSEC_CAP_PRIV_SOCK

      ExecStart=

      ExecStart=/opt/kaspersky/ksc64/sbin/klserver -d from_wd

   2. Creare una directory /etc/systemd/system/klwebsrv_srv.service.d e creare un file denominato override.conf con il seguente contenuto:

      [Service]

      User=

      User=ksc

      CapabilitiesParsec=PARSEC_CAP_PRIV_SOCK

      ExecStart=

      ExecStart=/opt/kaspersky/ksc64/sbin/klcsweb -d from_wd

7. Creare un gruppo "kladmins" e un account "ksc" senza privilegi. L'account deve essere un membro del gruppo "kladmins". A tale scopo, eseguire in sequenza i seguenti comandi:

   # adduser ksc

   # groupadd kladmins

   # gpasswd -a ksc kladmins

   # usermod -g kladmins ksc

8. Eseguire l’installazione di Kaspersky Security Center Linux:

   # apt install /<percorso>/ksc64_[numero_versione]_amd64.deb

9. Eseguire la configurazione di Kaspersky Security Center Linux:

   # /opt/kaspersky/ksc64/lib/bin/setup/postinstall.pl

10. Leggere il Contratto di licenza con l'utente finale (EULA) e l'Informativa sulla privacy. Il testo viene visualizzato nella finestra della riga di comando. Premere la barra spaziatrice per visualizzare il segmento di testo successivo. Quando richiesto, inserire i seguenti valori:
    1. Immettere y se i termini del Contratto di licenza con l'utente finale sono stati compresi e accettati. Immettere n se non si accettano i termini del Contratto di licenza con l'utente finale. Per utilizzare Kaspersky Security Center Linux è necessario accettare i termini del Contratto di licenza con l'utente finale.
    2. Immettere y se i termini dell'Informativa sulla privacy sono stati compresi e accettati e se si accetta che i propri dati vengano gestiti e trasmessi (anche a paesi terzi) come descritto nell'Informativa sulla privacy. Immettere n se non si accettano i termini dell'Informativa sulla privacy. Per utilizzare Kaspersky Security Center Linux è necessario accettare i termini dell'Informativa sulla privacy.
11. Quando richiesto, immettere le seguenti impostazioni:
    1. Immettere il nome DNS di Administration Server o l'indirizzo IP statico.
    2. Immettere il numero di porta di Administration Server. Per impostazione predefinita, viene utilizzata la porta 14000.
    3. Immettere il numero di porta SSL di Administration Server. Per impostazione predefinita, viene utilizzata la porta 13000.
    4. Valutare il numero approssimativo di dispositivi che si intende gestire:
       • Se nella rete sono presenti da 1 a 100 dispositivi, immettere 1.
       • Se nella rete sono presenti da 101 a 1000 dispositivi, immettere 2.
       • Se nella rete sono presenti più di 1000 dispositivi, immettere 3.
    5. Immettere il nome del gruppo di protezione per i servizi. Per impostazione predefinita, viene utilizzato il gruppo "kladmins".
    6. Immettere il nome dell'account per avviare il servizio Administration Server. L'account deve essere un membro del gruppo di protezione inserito. Per impostazione predefinita, viene utilizzato l'account "ksc".
    7. Immettere il nome dell'account per avviare altri servizi. L'account deve essere un membro del gruppo di protezione inserito. Per impostazione predefinita, viene utilizzato l'account "ksc".
    8. Immettere l'indirizzo IP del dispositivo in cui è installato il database.
    9. Immettere il numero di porta del database. Questa porta viene utilizzata per comunicare con Administration Server. Per impostazione predefinita, viene utilizzata la porta 3306.
    10. Immettere il nome del database.
    11. Immettere il nome utente dell'account radice del database utilizzato per accedere al database.
    12. Immettere la password dell'account radice del database utilizzato per accedere al database.

        Attendere che i servizi vengano aggiunti e avviati automaticamente:

        • klnagent_srv
        • kladminserver_srv
        • klactprx_srv
        • klwebsrv_srv
    13. Creare un account che fungerà da amministratore di Administration Server. Immettere il nome utente e la password.

        La password deve rispettare le seguenti regole:

        • La password utente deve avere un minimo di 8 e un massimo di 16 caratteri.
        • La password deve contenere caratteri da almeno tre dei gruppi elencati di seguito:
          • Lettere maiuscole (A-Z)
          • Lettere minuscole (a-z)
          • Numeri (0-9)
          • Caratteri speciali (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;)

Kaspersky Security Center Linux viene installato e l'utente viene aggiunto.

Verifica del servizio

Utilizzare i seguenti comandi per verificare se un servizio è in esecuzione o meno:

• # systemctl status klnagent_srv.service
• # systemctl status kladminserver_srv.service
• # systemctl status klactprx_srv.service
• # systemctl status klwebsrv_srv.service

[Topic 181968]

Installazione di Kaspersky Security Center Web Console

Questa sezione descrive come installare Kaspersky Security Center Web Console Server (anche noto come Kaspersky Security Center Web Console) nei dispositivi che eseguono il sistema operativo Linux. Prima dell'installazione, è necessario installare un DBMS e Kaspersky Security Center Linux Administration Server.

Se si installa Kaspersky Security Center Web Console su Astra Linux in modalità ambiente software chiuso, seguire le istruzioni specifiche per Astra Linux.

Utilizzare uno dei seguenti file di installazione che corrisponde alla distribuzione Linux installata nel proprio dispositivo:

• Per Debian—ksc-web-console-[numero_build].x86_64.deb
• Per i sistemi operativi basati su RPM—ksc-web-console-[numero_build].x86_64.rpm
• Per ALT 8 SP—ksc-web-console-[numero_build]-alt8p.x86_64.rpm

È possibile ottenere il file di installazione scaricandolo dal sito Web di Kaspersky.

Per installare Kaspersky Security Center Web Console:

1. Verificare che il dispositivo in cui si desidera installare Kaspersky Security Center Web Console esegua una delle distribuzioni Linux supportate.
2. Leggere il Contratto di licenza con l'utente finale (EULA). Se il kit di distribuzione di Kaspersky Security Center Linux non include un file TXT con il testo dell'EULA, è possibile scaricare il file dal sito Web di Kaspersky. Se non si accettano le condizioni del Contratto di licenza, non installare l'applicazione.
3. Creare un file di risposta che contiene i parametri per la connessione di Kaspersky Security Center Web Console ad Administration Server. Denominare questo file ksc-web-console-setup.json e posizionarlo nella seguente directory: /etc/ksc-web-console-setup.json.

   Esempio di un file di risposta contenente il set minimo di parametri, nonché l'indirizzo e la porta predefiniti:

   {

   "address": "127.0.0.1",

   "port": 8080,

   "trusted": "127.0.0.1|13299|/var/opt/kaspersky/klnagent_srv/1093/cert/klserver.cer|KSC Server",

   "acceptEula": true

   }

   È consigliabile specificare numeri di porta superiori a 1024. Se si desidera che Kaspersky Security Center Web Console funzioni sulle porte inferiori a 1024, dopo l'installazione è necessario eseguire il seguente comando:

   sudo setcap 'cap_net_bind_service=+ep' /var/opt/kaspersky/ksc-web-console/node

   Quando si installa Kaspersky Security Center Web Console nel sistema operativo Linux ALT, è necessario specificare un numero di porta diverso da 8080, poiché la porta 8080 è utilizzata dal sistema operativo.

   Kaspersky Security Center Web Console non può essere aggiornato utilizzando lo stesso file di installazione .rpm. Se si desidera modificare le impostazioni in un file di risposta e utilizzare questo file per reinstallare l'applicazione, è prima necessario rimuovere l'applicazione, quindi reinstallarla con il nuovo file di risposta.

4. In un account con privilegi di root, utilizzare la riga di comando per eseguire il file di installazione con estensione .deb o .rpm, a seconda della distribuzione Linux.
   • Per installare o eseguire l'upgrade di Kaspersky Security Center Web Console da un file .deb, eseguire il comando seguente:

     $ sudo dpkg -i ksc-web-console-[numero_build].x86_64.deb

   • Per installare Kaspersky Security Center Web Console da un file .rpm, eseguire uno dei comandi seguenti:

     $ sudo rpm -ivh --nodeps ksc-web-console-[numero_build].x86_64.rpm

     o

     $ sudo alien -i ksc-web-console-[numero_build].x86_64.rpm

   • Per eseguire l'upgrade da una versione precedente di Kaspersky Security Center Web Console, eseguire uno dei seguenti comandi:
     • Per i dispositivi che eseguono il sistema operativo basato su RPM:

       $ sudo rpm -Uvh --nodeps --force ksc-web-console-[numero_build].x86_64.rpm

     • Per i dispositivi che eseguono il sistema operativo basato su Debian:

       $ sudo dpkg -i ksc-web-console-[numero_build].x86_64.deb

   Verrà avviata la decompressione del file di installazione. Attendere il completamento dell'installazione. Kaspersky Security Center Web Console è installato nella seguente directory: /var/opt/kaspersky/ksc-web-console.

5. Riavviare tutti i servizi Kaspersky Security Center Web Console eseguendo il comando seguente:

   $ sudo systemctl restart KSC*

Al termine dell'installazione, è possibile utilizzare il browser per aprire e accedere a Kaspersky Security Center Web Console.

[Topic 181969]

Parametri di installazione di Kaspersky Security Center Web Console

Per installare Kaspersky Security Center Web Console Server nei dispositivi che eseguono Linux, è necessario creare un file di risposta, ovvero un file .json che contiene i parametri per la connessione di Kaspersky Security Center Web Console ad Administration Server.

Ecco un esempio di un file di risposta contenente il set minimo di parametri, nonché l'indirizzo e la porta predefiniti:

{

"address": "127.0.0.1",

"port": 8080,

"defaultLangId": 1049,

"enableLog": false,

"trusted": "127.0.0.1|13299|/var/opt/kaspersky/klnagent_srv/1093/cert/klserver.cer|KSC Server",

"acceptEula": true,

"certPath": "/var/opt/kaspersky/klnagent_srv/1093/cert/klserver.cer",

"webConsoleAccount": "Group1:User1",

"managementServiceAccount": "Group1:User2",

"serviceWebConsoleAccount": "Group1:User3",

"pluginAccount": "Group1:User4",

"messageQueueAccount": "Group1:User5"

}

È consigliabile specificare numeri di porta superiori a 1024. Se si desidera che Kaspersky Security Center Web Console funzioni sulle porte inferiori a 1024, dopo l'installazione è necessario eseguire il seguente comando:

sudo setcap 'cap_net_bind_service=+ep' /var/opt/kaspersky/ksc-web-console/node

Quando si installa Kaspersky Security Center Web Console nel sistema operativo Linux ALT, è necessario specificare un numero di porta diverso da 8080, poiché la porta 8080 è utilizzata dal sistema operativo.

La tabella seguente descrive i parametri che possono essere specificati in un file di risposta.

Parametri per l'installazione di Kaspersky Security Center Web Console nei dispositivi che eseguono Linux

Se vengono specificati i parametri webConsoleAccount, managementServiceAccount, serviceWebConsoleAccount, pluginAccount o messageQueueAccount, assicurarsi che gli account utente personalizzati appartengano allo stesso gruppo di protezione. Se questi parametri non vengono specificati, il programma di installazione di Kaspersky Security Center Web Console crea un gruppo di protezione predefinito, quindi crea account utente con nomi predefiniti in questo gruppo.

[Topic 257886]

Installazione di Kaspersky Security Center Web Console su Astra Linux in modalità ambiente software chiuso

Espandi tutto | Comprimi tutto

Questa sezione descrive come installare Kaspersky Security Center Web Console Server (anche noto come Kaspersky Security Center Web Console) nel sistema operativo Astra Linux Special Edition. Prima dell'installazione, è necessario installare un DBMS e Kaspersky Security Center Linux Administration Server.

Per installare Kaspersky Security Center Web Console:

1. Verificare che il dispositivo in cui si desidera installare Kaspersky Security Center Web Console esegua una delle distribuzioni Linux supportate.
2. Leggere il Contratto di licenza con l'utente finale (EULA). Se il kit di distribuzione di Kaspersky Security Center Linux non include un file TXT con il testo dell'EULA, è possibile scaricare il file dal sito Web di Kaspersky. Se non si accettano le condizioni del Contratto di licenza, non installare l'applicazione.
3. Creare un file di risposta che contiene i parametri per la connessione di Kaspersky Security Center Web Console ad Administration Server. Denominare questo file ksc-web-console-setup.json e posizionarlo nella seguente directory: /etc/ksc-web-console-setup.json.

   Esempio di un file di risposta contenente il set minimo di parametri, nonché l'indirizzo e la porta predefiniti:

   {

   "address": "127.0.0.1",

   "port": 8080,

   "trusted": "127.0.0.1|13299|/var/opt/kaspersky/klnagent_srv/1093/cert/klserver.cer|KSC Server",

   "acceptEula": true

   }

4. Aprire il file /etc/digsig/digsig_initramfs.conf, quindi specificare la seguente impostazione:

   DIGSIG_ELF_MODE=1

5. Nella riga di comando, eseguire il seguente comando per installare il pacchetto di compatibilità:

   apt install astra-digsig-oldkeys

6. Creare una directory per la chiave dell'applicazione:

   mkdir -p /etc/digsig/keys/legacy/kaspersky/

7. Posizionare la chiave dell'applicazione /opt/kaspersky/ksc64/share/kaspersky_astra_pub_key.gpg nella directory creata nel passaggio precedente:

   cp kaspersky_astra_pub_key.gpg /etc/digsig/keys/legacy/kaspersky/

   Se il kit di distribuzione di Kaspersky Security Center Linux non include la chiave dell'applicazione kaspersky_astra_pub_key.gpg, è possibile scaricarla facendo clic sul collegamento: https://media.kaspersky.com/utilities/CorporateUtilities/kaspersky_astra_pub_key.gpg.

8. Aggiornare i dischi RAM:

   update-initramfs -u -k all

   Riavviare il sistema.

9. In un account con privilegi di root, utilizzare la riga di comando per eseguire il file di installazione. È possibile ottenere il file di installazione scaricandolo dal sito Web di Kaspersky.
   • Per installare o eseguire l'upgrade di Kaspersky Security Center Web Console, eseguire il comando seguente:

     $ sudo dpkg -i ksc-web-console-[numero_build].x86_64.deb

   • Per eseguire l'upgrade da una versione precedente di Kaspersky Security Center Web Console, eseguire il comando seguente:

     $ sudo dpkg -i ksc-web-console-[numero_build].x86_64.deb

   Verrà avviata la decompressione del file di installazione. Attendere il completamento dell'installazione. Kaspersky Security Center Web Console è installato nella seguente directory: /var/opt/kaspersky/ksc-web-console.

10. Riavviare tutti i servizi Kaspersky Security Center Web Console eseguendo il comando seguente:

    $ sudo systemctl restart KSC*

Al termine dell'installazione, è possibile utilizzare il browser per aprire e accedere a Kaspersky Security Center Web Console.

Se il dispositivo funziona con Astra Linux 1.8, è necessario sovrascrivere i diritti utente dopo l'installazione di Kaspersky Security Center Web Console.

Si consiglia di eseguire separatamente i passaggi delle istruzioni per ciascun servizio.

Per sovrascrivere i diritti utente:

1. Aprire i seguenti file:
   • /etc/systemd/system/ KSCSvcWebConsole.service
   • /etc/systemd/system/ KSCWebConsole.service
   • /etc/systemd/system/ KSCWebConsoleManagement.service
   • /etc/systemd/system/ KSCWebConsoleMessageQueue.service
   • /etc/systemd/system/ KSCWebConsolePlugin.service
2. Copiare la stringa User=valore dai file.

   I valori sono diversi per ogni servizio e vengono generati durante l'installazione di Kaspersky Security Center Web Console.

3. Creare le seguenti directory:
   • /etc/systemd/system/ KSCSvcWebConsole.service.d
   • /etc/systemd/system/ KSCWebConsole.service.d
   • /etc/systemd/system/ KSCWebConsoleManagement.service.d
   • /etc/systemd/system/ KSCWebConsoleMessageQueue.service.d
   • /etc/systemd/system/ KSCWebConsolePlugin.service.d
4. In ogni directory creare un file denominato override.conf, quindi inserire la stringa copiata al passaggio 2 nel file. Il file override.conf deve avere il seguente contenuto:
   • per /etc/systemd/system/ KSCSvcWebConsole.service.d

     [Service]

     User=

     User=valore

     CapabilitiesParsec=PARSEC_CAP_PRIV_SOCK

     ExecStart=

     ExecStart=/usr/bin/env /var/opt/kaspersky/ksc-web-console/node /var/opt/kaspersky/ksc-web-console/pm.service-console.js

   • per /etc/systemd/system/ KSCWebConsole.service.d

     [Service]

     User=

     User=valore

     CapabilitiesParsec=PARSEC_CAP_PRIV_SOCK

     ExecStart=

     ExecStart=/usr/bin/env /var/opt/kaspersky/ksc-web-console/node /var/opt/kaspersky/ksc-web-console/pm.js

   • per /etc/systemd/system/ KSCWebConsoleManagement.service.d

     [Service]

     User=

     User=valore

     CapabilitiesParsec=PARSEC_CAP_PRIV_SOCK

     ExecStart=

     ExecStart=/usr/bin/env /var/opt/kaspersky/ksc-web-console/node /var/opt/kaspersky/ksc-web-console/pm.updates-manager.js

   • per /etc/systemd/system/ KSCWebConsoleMessageQueue.service.d

     [Service]

     User=

     User=valore

     CapabilitiesParsec=PARSEC_CAP_PRIV_SOCK

     ExecStart=

     ExecStart=/usr/bin/env /var/opt/kaspersky/ksc-web-console/vendor/nsqd -tls-cert=../nsq-server.crt -tls-key=../nsq-server.key -tls-required=1 -tls-min-version=tls1.2 -tls-root-ca-file=../KLRootCA.crt -max-msg-size=10485760 -mem-queue-size=100 -sync-every=0 -sync-timeout=24h -http-address=127.0.0.1:4151 -https-address=127.0.0.1:4152 -tcp-address=127.0.0.1:4150 -tls-client-auth-policy=require-verify

   • per /etc/systemd/system/ KSCWebConsolePlugin.service.d

     [Service]

     User=

     User=valore

     CapabilitiesParsec=PARSEC_CAP_PRIV_SOCK

     ExecStart=

     ExecStart=/usr/bin/env /var/opt/kaspersky/ksc-web-console/node /var/opt/kaspersky/ksc-web-console/pm.plugin.js

   dove User=valore è la stringa copiata nel passaggio 2. Ad esempio, User=user_svc_nodejs_rjvyyf-xkg.

5. Riavviare il servizio.

[Topic 234942]

Installazione di Kaspersky Security Center Web Console connesso all'Administration Server installato nei nodi del cluster di failover Kaspersky Security Center Linux

Questa sezione descrive come installare Kaspersky Security Center Web Console Server (di seguito anche Kaspersky Security Center Web Console), che si connette all'Administration Server installato nei nodi del cluster di failover Kaspersky Security Center Linux. Prima di installare Kaspersky Security Center Web Console, installare un DBMS e Kaspersky Security Center Linux Administration Server nei nodi del cluster di failover Kaspersky Security Center Linux.

Per installare Kaspersky Security Center Web Console che si connette all'Administration Server installato nei nodi del cluster di failover Kaspersky Security Center Linux:

1. Eseguire il passaggio 1 e il passaggio 2 dell'installazione di Kaspersky Security Center Web Console.
2. Al passaggio 3, nel file di risposta, specificare il parametro di installazione attendibile per consentire al cluster di failover Kaspersky Security Center Linux di connettersi a Kaspersky Security Center Web Console. Il valore stringa di questo parametro ha il seguente formato:

   "trusted": "indirizzo server|porta|percorso certificato|nome server"

   Specificare i componenti del parametro di installazione trusted:

   • Indirizzo di Administration Server. Se una scheda di rete secondaria è stata creata durante la preparazione dei nodi del cluster, utilizzare l'indirizzo IP della scheda come indirizzo del cluster di failover Kaspersky Security Center Linux. In caso contrario, specificare l'indirizzo IP del sistema di bilanciamento del carico di terzi in uso.
   • Porta di Administration Server. La porta OpenAPI utilizzata da Kaspersky Security Center Web Console per la connessione ad Administration Server (il valore predefinito è 13299).
   • Certificato di Administration Server. Il certificato di Administration Server si trova nell'archivio dati condiviso del cluster di failover Kaspersky Security Center Linux. Il percorso predefinito del file del certificato: <cartella dati condivisa> \1093\cert\klserver.cer. Copiare il file del certificato dall'archivio dati condiviso nel dispositivo in cui si installa Kaspersky Security Center Web Console. Specificare il percorso locale del certificato di Administration Server.
   • Nome Administration Server. Il nome del cluster di failover Kaspersky Security Center Linux che verrà visualizzato nella finestra di accesso di Kaspersky Security Center Web Console.
3. Continuare con l'installazione standard di Kaspersky Security Center Web Console.

Al termine dell'installazione, sul desktop viene visualizzato un collegamento ed è possibile accedere a Kaspersky Security Center Web Console.

È possibile accedere a Individuazione e distribuzione → Dispositivi non assegnati per visualizzare le informazioni sui nodi del cluster e sul file server.

[Topic 222395]

Distribuzione del cluster di failover Kaspersky Security Center Linux

Questa sezione contiene sia informazioni generali sul cluster di failover Kaspersky Security Center Linux che istruzioni sulla preparazione e sulla distribuzione del cluster di failover Kaspersky Security Center Linux nella rete.

[Topic 222333]

Scenario: Distribuzione di un cluster di failover Kaspersky Security Center Linux

Un cluster di failover Kaspersky Security Center Linux garantisce un'elevata disponibilità di Kaspersky Security Center Linux e riduce al minimo i tempi di inattività di Administration Server in caso di errore. Il cluster di failover si basa su due istanze identiche di Kaspersky Security Center Linux installate in due computer. Una delle istanze funge da nodo attivo e l'altra da nodo passivo. Il nodo attivo gestisce la protezione dei dispositivi client, mentre quello passivo è predisposto a svolgere tutte le funzioni del nodo attivo in caso di errore del nodo attivo. Quando si verifica un errore, il nodo passivo diventa attivo e il nodo attivo diventa passivo.

Prerequisiti

È necessario disporre dell'hardware che soddisfi i requisiti per il cluster di failover.

La distribuzione delle applicazioni Kaspersky prevede diversi passaggi:

1. Preparazione del file server

   Preparare il file server affinché funzioni come componente del cluster di failover Kaspersky Security Center Linux. Assicurarsi che il file server soddisfi i requisiti hardware e software, creare due cartelle condivise per i dati di Kaspersky Security Center Linux e configurare le autorizzazioni per accedere alle cartelle condivise.

   Istruzioni dettagliate: Preparazione di un file server per il cluster di failover Kaspersky Security Center Linux

2. Preparazione di nodi attivi e passivi

   Preparare due dispositivi con hardware e software identici in modo che fungano da nodi attivi e passivi.

   Istruzioni dettagliate: Preparazione dei nodi per il cluster di failover Kaspersky Security Center Linux

3. Creazione di account per i servizi di Kaspersky Security Center Linux

   Effettuare le seguenti operazioni sul nodo attivo, sul nodo passivo e sul file server:

   1. Creare un gruppo con il nome "kladmins" e assegnare lo stesso GID a tutti e tre i gruppi.
   2. Creare un account utente con il nome "ksc" e assegnare lo stesso UID a tutti e tre gli account utente. Impostare il gruppo primario su "kladmins" per gli account creati.
   3. Creare un account utente con il nome "rightless" e assegnare lo stesso UID a tutti e tre gli account utente. Impostare il gruppo primario su "kladmins" per gli account creati.
4. Installazione del DBMS (Database Management System)

   Sono disponibili due opzioni:

   • Se si desidera utilizzare MariaDB Galera Cluster, non è necessario un dispositivo dedicato per DBMS. Installare MariaDB Galera Cluster in ciascuno dei nodi.
   • Se si desidera usare qualsiasi altro DBMS supportato, installare il DBMS selezionato in un dispositivo dedicato.
5. Installazione di Kaspersky Security Center Linux

   Installare Kaspersky Security Center Linux in modalità cluster di failover in entrambi i nodi. È prima necessario installare Kaspersky Security Center Linux nel nodo attivo, quindi installarlo in quello passivo.

   Inoltre, è possibile installare Kaspersky Security Center Web Console in un dispositivo separato che non sia un nodo del cluster.

6. Test del cluster di failover

   Verificare di aver configurato correttamente il cluster di failover e che funzioni correttamente. È ad esempio possibile arrestare uno dei servizi di Kaspersky Security Center Linux nel nodo attivo: kladminserver, klnagent, ksnproxy, klactprx o klwebsrv. Dopo l'arresto del servizio, la gestione della protezione deve passare automaticamente al nodo passivo.

Risultati

Il cluster di failover Kaspersky Security Center Linux viene distribuito. Familiarizzare con gli eventi che determinano il passaggio dai nodi attivi a quelli passivi.

[Topic 222358]

Informazioni sul cluster di failover Kaspersky Security Center Linux

Un cluster di failover Kaspersky Security Center Linux garantisce un'elevata disponibilità di Kaspersky Security Center Linux e riduce al minimo i tempi di inattività di Administration Server in caso di errore. Il cluster di failover si basa su due istanze identiche di Kaspersky Security Center Linux installate in due computer. Una delle istanze funge da nodo attivo e l'altra da nodo passivo. Il nodo attivo gestisce la protezione dei dispositivi client, mentre quello passivo è predisposto a svolgere tutte le funzioni del nodo attivo in caso di errore del nodo attivo. Quando si verifica un errore, il nodo passivo diventa attivo e il nodo attivo diventa passivo.

In un cluster di failover Kaspersky Security Center Linux, tutti i servizi di Kaspersky Security Center Linux vengono gestiti automaticamente. Non tentare di riavviare i servizi manualmente.

Requisiti hardware e software

Per distribuire un cluster di failover Kaspersky Security Center Linux, è necessario disporre del seguente hardware:

• Due dispositivi con hardware e software identici. Questi dispositivi fungeranno da nodi attivi e passivi.
• Un file server che esegue Linux, con il file system EXT4. È necessario mettere a disposizione un dispositivo dedicato che fungerà da file server.

  Assicurarsi di aver fornito un'elevata larghezza di banda di rete tra il file server e i nodi attivi e passivi.

• Un dispositivo con DBMS (Database Management System) supportato. Se si utilizza MariaDB Galera Cluster come DBMS, non è necessario un dispositivo dedicato per questo scopo.

L'implementazione del cluster di failover fallisce quando sono installati entrambi i pacchetti arping e iputils-arping oppure solo il pacchetto arping. Prima di distribuire un cluster di failover, assicurarsi di avere installato solo il pacchetto di installazione iputils-arping su entrambi i nodi.

Schemi di distribuzione

È possibile scegliere uno dei seguenti schemi per distribuire il cluster di failover Kaspersky Security Center Linux:

• Uno schema che utilizza una scheda di rete secondaria.
• Uno schema che utilizza un sistema di bilanciamento del carico di terze parti.

  

  Uno schema che utilizza una scheda di rete secondaria

Legenda schema:

Administration Server invia i dati al database. Aprire le porte necessarie nel dispositivo in cui si trova il database, ad esempio la porta 3306 per MySQL Server o la porta 5432 per PostgreSQL o Postgres Pro. Fare riferimento alla documentazione DBMS per le informazioni attinenti.

Nei dispositivi gestiti aprire le seguenti porte: TCP 13000, UDP 13000 e TCP 17000.

Un dispositivo con DBMS (Database Management System). Se si utilizza MariaDB Galera Cluster come DBMS, non è necessario un dispositivo dedicato per questo scopo. Installare MariaDB Galera Cluster in ciascuno dei nodi.

Uno schema che utilizza un sistema di bilanciamento del carico di terze parti

Legenda schema:

Nel dispositivo di bilanciamento del carico aprire tutte le porte di Administration Server: TCP 13000, UDP 13000, TCP 13299 e TCP 17000.

Se si desidera utilizzare l'utilità klakaut per l'automazione, è necessario aprire anche la porta TCP 13291.

Nei dispositivi gestiti aprire le seguenti porte: TCP 13000, UDP 13000 e TCP 17000.

Administration Server invia i dati al database. Aprire le porte necessarie nel dispositivo in cui si trova il database, ad esempio la porta 3306 per MySQL Server o la porta 5432 per PostgreSQL o Postgres Pro. Fare riferimento alla documentazione DBMS per le informazioni attinenti.

Un dispositivo con DBMS (Database Management System). Se si utilizza MariaDB Galera Cluster come DBMS, non è necessario un dispositivo dedicato per questo scopo. Installare MariaDB Galera Cluster in ciascuno dei nodi.

Condizioni per il passaggio

Il cluster di failover passa la gestione della protezione dei dispositivi client dal nodo attivo a quello passivo se si verifica uno dei seguenti eventi nel nodo attivo:

• Il nodo attivo è danneggiato a causa di un errore software o hardware.
• Il nodo attivo è stato temporaneamente arrestato per attività di manutenzione.
• Almeno uno dei servizi (o processi) di Kaspersky Security Center Linux non è riuscito o è stato deliberatamente terminato dall'utente. I servizi di Kaspersky Security Center Linux sono i seguenti: kladminserver, klnagent, klactprx e klwebsrv.
• La connessione di rete tra il nodo attivo e l'archivio nel file server è stata interrotta o terminata.

[Topic 222364]

Preparazione di un file server per un cluster di failover Kaspersky Security Center Linux

Un file server funge da componente necessario di un cluster di failover Kaspersky Security Center Linux.

Per preparare un file server:

1. Assicurarsi che il file server soddisfi i requisiti hardware e software.
2. Installare e configurare un server NFS:
   • L'accesso al file server deve essere abilitato per entrambi i nodi nelle impostazioni del server NFS.
   • Il protocollo NFS deve avere la versione 4.0 o 4.1.
   • Requisiti minimi per il kernel Linux:
     • 3.19.0-25, se si utilizza NFS 4.0
     • 4.4.0-176, se si utilizza NFS 4.1
3. Nel file server, creare due cartelle e condividerle utilizzando NFS. Una di queste verrà utilizzata per conservare le informazioni sullo stato del cluster di failover. L’altra verrà utilizzata per archiviare i dati e le impostazioni di Kaspersky Security Center Linux. Specificare i percorsi delle cartelle condivise durante la configurazione dell’installazione di Kaspersky Security Center Linux.

   A seconda della distribuzione Linux, installare il pacchetto nfs-utils o il pacchetto nfs-kernel-server eseguendo il comando corrispondente:

   sudo yum install nfs-utils

   sudo apt install nfs-kernel-server

   Eseguire i seguenti comandi:

   sudo mkdir -p /mnt/KlFocStateShare

   sudo mkdir -p /mnt/KlFocDataShare_klfoc

   sudo chown ksc:kladmins /mnt/KlFocStateShare

   sudo chown ksc:kladmins /mnt/KlFocDataShare_klfoc

   sudo chmod -R 777 /mnt/KlFocStateShare /mnt/KlFocDataShare_klfoc

   sudo sh -c "echo /mnt/KlFocStateShare *\(rw,sync,no_subtree_check,no_root_squash\) >> /etc/exports"

   sudo sh -c "echo /mnt/KlFocDataShare_klfoc *\(rw,sync,no_subtree_check,no_root_squash\) >> /etc/exports"

   sudo exportfs -a

   sudo systemctl start rpcbind

   sudo service nfs start

   Abilitare l'avvio automatico eseguendo il comando seguente:

   sudo systemctl enable rpcbind

4. Riavviare il file server.

Il file server è pronto. Per distribuire il cluster di failover Kaspersky Security Center Linux, seguire le istruzioni aggiuntive in questo scenario.

[Topic 222375]

Preparazione dei nodi per un cluster di failover Kaspersky Security Center Linux

Preparare due dispositivi affinché fungano da nodi attivi e passivi del cluster di failover Kaspersky Security Center Linux.

Per preparare i nodi per il cluster di failover Kaspersky Security Center Linux:

1. Assicurarsi di avere due dispositivi che soddisfino i requisiti hardware e software. Questi dispositivi fungeranno da nodi attivi e passivi del cluster di failover.
2. A seconda della distribuzione Linux, installare il pacchetto nfs-utils o il pacchetto nfs-kernel-server in ciascun nodo eseguendo il comando corrispondente:

   sudo yum install nfs-utils

   sudo apt install nfs-kernel-server

3. Creare i punti di montaggio eseguendo i seguenti comandi:

   sudo mkdir -p /mnt/KlFocStateShare

   sudo mkdir -p /mnt/KlFocDataShare_klfoc

4. Abbinare i punti di montaggio e le cartelle condivise:

   sudo sh -c "echo {server}:{path to the KlFocStateShare folder} /mnt/KlFocStateShare nfs vers=4,soft,timeo=50,retrans=2,auto,user,rw 0 0 >> /etc/fstab"

   sudo sh -c "echo {server}:{percorso della cartella KlFocDataShare_klfoc} /mnt/KlFocDataShare_klfoc nfs vers=4,noauto,user,rw,exec 0 0 >> /etc/fstab"

   Qui, {server}:{percorso della cartella KlFocStateShare} e {server}:{percorso della cartella KlFocDataShare_klfoc} sono i percorsi di rete delle cartelle condivise nel file server.

5. Montare le cartelle condivise eseguendo i seguenti comandi:

   mount /mnt/KlFocStateShare

   mount /mnt/KlFocDataShare_klfoc

6. Assicurarsi che le autorizzazioni per accedere alle cartelle condivise appartengano a ksc:kladmins.

   Eseguire il seguente comando:

   sudo ls -la /mnt/

7. In ogni nodo, configurare una scheda di rete secondaria.

   Una scheda di rete secondaria può essere fisica o virtuale. Se si desidera utilizzare una scheda di rete fisica, connetterla e configurarla con gli strumenti standard del sistema operativo. Se si desidera utilizzare una scheda di rete virtuale, crearla utilizzando software di terzi.

   Eseguire una delle seguenti operazioni:

   • Utilizzare una scheda di rete virtuale.
     1. Utilizzare il seguente comando per verificare che venga utilizzato NetworkManager per gestire la scheda fisica:

        nmcli device status

        Se la scheda fisica viene mostrata come non gestita nell'output, configurare NetworkManager in modo che gestisca la scheda fisica. Gli esatti passaggi di configurazione dipendono dalla distribuzione effettiva.

     2. Utilizzare il seguente comando per identificare le interfacce:

        ip a

     3. Creare un nuovo profilo di configurazione:

        nmcli connection add type macvlan dev <interfaccia fisica> mode bridge ifname <interfaccia virtuale> ipv4.addresses <maschera indirizzo> ipv4.method manual autoconnect no

   • Utilizzare una scheda di rete fisica o un hypervisor. In questo caso, disabilitare il software NetworkManager.
     1. Eliminare le connessioni di NetworkManager per l'interfaccia di destinazione:

        nmcli con del <nome connessione>

        Utilizzare il seguente comando per verificare se l'interfaccia di destinazione dispone di connessioni:

        nmcli con show

     2. Modificare il file NetworkManager.conf. Individuare la sezione keyfile e assegnare l'interfaccia di destinazione al parametro dei dispositivi non gestiti.

        [keyfile]

        unmanaged-devices=interface-name:<nome interfaccia>

     3. Riavviare NetworkManager:

        systemctl reload NetworkManager

        Utilizzare il seguente comando per verificare che l'interfaccia di destinazione non sia gestita:

        nmcli dev status

   • Utilizzare un sistema di bilanciamento del carico di terze parti. È ad esempio possibile utilizzare un server nginx. In questo caso, procedere come segue:
     1. Mettere a disposizione un dispositivo basato su Linux dedicato con nginx installato.
     2. Configurare il bilanciamento del carico. Impostare il nodo attivo come server principale e il nodo passivo come server di backup.
     3. Nel server nginx aprire tutte le porte di Administration Server: TCP 13000, UDP 13000, TCP 13299, TCP 17000.

        Se si desidera utilizzare l'utilità klakaut per l'automazione, è necessario aprire anche la porta TCP 13291.

I nodi sono pronti. Per distribuire il cluster di failover Kaspersky Security Center Linux, seguire le istruzioni aggiuntive dello scenario.

[Topic 222473]

Installazione di Kaspersky Security Center Linux nei nodi del cluster di failover Kaspersky Security Center Linux

Questa procedura descrive come installare Kaspersky Security Center Linux nei nodi del cluster di failover Kaspersky Security Center Linux. Kaspersky Security Center Linux viene installato separatamente in entrambi i nodi del cluster di failover Kaspersky Security Center Linux. Prima si installa l'applicazione nel nodo attivo, poi su quello passivo. Durante l'installazione, è necessario scegliere quale nodo sarà attivo e quale sarà passivo.

Usare il file di installazione—ksc64_[numero_versione]_amd64.deb or ksc64-[numero_versione].x86_64.rpm—che corrisponde alla distribuzione Linux installata nel dispositivo. È possibile ottenere il file di installazione scaricandolo dal sito Web di Kaspersky.

Installazione nel nodo primario (attivo)

Per installare Kaspersky Security Center Linux nel nodo primario:

1. Verificare che il dispositivo in cui si desidera installare Kaspersky Security Center Linux esegua una delle distribuzioni Linux supportate.
2. Nella riga di comando, eseguire i comandi forniti in questa istruzione.
3. Eseguire l’installazione di Kaspersky Security Center Linux. A seconda della distribuzione Linux, eseguire uno dei seguenti comandi:
   • sudo apt install /<path>/ksc64_[numero_versione]_amd64.deb
   • sudo yum install /<path>/ksc64-[numero_versione].x86_64.rpm -y
4. Eseguire la configurazione di Kaspersky Security Center Linux:

   sudo /opt/kaspersky/ksc64/lib/bin/setup/postinstall.pl

5. Leggere il Contratto di licenza con l'utente finale (EULA) e l'Informativa sulla privacy. Il testo viene visualizzato nella finestra della riga di comando. Premere la barra spaziatrice per visualizzare il segmento di testo successivo. Quando richiesto inserire i seguenti valori:
   1. Immettere y se i termini del Contratto di licenza con l'utente finale sono stati compresi e accettati. Immettere n se non si accettano i termini del Contratto di licenza con l'utente finale. Per utilizzare Kaspersky Security Center Linux è necessario accettare i termini del Contratto di licenza con l'utente finale.
   2. Immettere y se i termini dell'Informativa sulla privacy sono stati compresi e accettati e se si accetta che i propri dati vengano gestiti e trasmessi (anche a paesi terzi) come descritto nell'Informativa sulla privacy. Immettere n se non si accettano i termini dell'Informativa sulla privacy. Per utilizzare Kaspersky Security Center Linux è necessario accettare i termini dell'Informativa sulla privacy.
6. Selezionare Nodo cluster primario come modalità di installazione di Administration Server.
7. Quando richiesto, immettere le seguenti impostazioni:
   1. Immettere il percorso locale del punto di montaggio della condivisione degli stati.
   2. Immettere il percorso locale del punto di montaggio della condivisione dei dati.
   3. Scegliere una modalità di connettività del cluster di failover: tramite una scheda di rete secondaria o un servizio di bilanciamento del carico esterno.
   4. Se si utilizza una scheda di rete secondaria, immetterne il nome.
   5. Quando viene richiesto di immettere il nome DNS o l'indirizzo IP statico di Administration Server, immettere l'indirizzo IP della scheda di rete secondaria o l'indirizzo IP del servizio di bilanciamento del carico esterno.
   6. Immettere il numero di porta SSL di Administration Server. Per impostazione predefinita, viene utilizzata la porta 13000.
   7. Valutare il numero approssimativo di dispositivi che si intende gestire:
      • Se nella rete sono presenti da 1 a 100 dispositivi, immettere 1.
      • Se nella rete sono presenti da 101 a 1000 dispositivi, immettere 2.
      • Se nella rete sono presenti più di 1000 dispositivi, immettere 3.
   8. Immettere il nome del gruppo di protezione per i servizi. Per impostazione predefinita, viene utilizzato il gruppo kladmins.
   9. Immettere il nome dell'account per avviare il servizio Administration Server. L'account deve essere un membro del gruppo di protezione inserito. Per impostazione predefinita, viene utilizzato l'account "ksc".
   10. Immettere il nome dell'account per avviare altri servizi. L'account deve essere un membro del gruppo di protezione inserito. Per impostazione predefinita, viene utilizzato l'account "ksc".
   11. Selezionare il DBMS installato per l'utilizzo con Kaspersky Security Center Linux:
       • Se è stato installato MySQL o MariaDB, immettere 1.
       • Se è stato installato PostgreSQL o Postgres Pro, immettere 2.
   12. Immettere il nome DNS o l'indirizzo IP del dispositivo in cui è installato il database.
   13. Immettere il numero di porta del database. Questa porta viene utilizzata per comunicare con Administration Server. Per impostazione predefinita, vengono utilizzate le seguenti porte:
       • Porta 3306 per MySQL o MariaDB
       • Porta 5432 per PostgreSQL o Postgres Pro
   14. Immettere il nome del database.
   15. Immettere il nome utente dell'account radice del database utilizzato per accedere al database.
   16. Immettere la password dell'account radice del database utilizzato per accedere al database.
8. Attendere che i servizi vengano aggiunti e avviati automaticamente:
   • klfocsvc_klfoc
   • kladminserver_klfoc
   • klwebsrv_klfoc
   • klactprx_klfoc
   • klnagent_klfoc
9. Creare un account che fungerà da amministratore di Administration Server. Immettere il nome utente e la password. La password utente non può contenere meno di 8 o più di 16 caratteri.

Viene aggiunto l'utente e viene installato Kaspersky Security Center Linux nel nodo primario.

Installazione nel nodo secondario (passivo)

Per installare Kaspersky Security Center Linux nel nodo secondario:

1. Verificare che il dispositivo in cui si desidera installare Kaspersky Security Center Linux esegua una delle distribuzioni Linux supportate.
2. Nella riga di comando, eseguire i comandi forniti in questa istruzione.
3. Eseguire l’installazione di Kaspersky Security Center Linux. A seconda della distribuzione Linux, eseguire uno dei seguenti comandi:
   • sudo apt install /<path>/ksc64_[numero_versione]_amd64.deb
   • sudo yum install /<path>/ksc64-[numero_versione].x86_64.rpm -y
4. Eseguire la configurazione di Kaspersky Security Center Linux:

   sudo /opt/kaspersky/ksc64/lib/bin/setup/postinstall.pl

5. Leggere il Contratto di licenza con l'utente finale (EULA) e l'Informativa sulla privacy. Il testo viene visualizzato nella finestra della riga di comando. Premere la barra spaziatrice per visualizzare il segmento di testo successivo. Quando richiesto inserire i seguenti valori:
   1. Immettere y se i termini del Contratto di licenza con l'utente finale sono stati compresi e accettati. Immettere n se non si accettano i termini del Contratto di licenza con l'utente finale. Per utilizzare Kaspersky Security Center Linux è necessario accettare i termini del Contratto di licenza con l'utente finale.
   2. Immettere y se i termini dell'Informativa sulla privacy sono stati compresi e accettati e se si accetta che i propri dati vengano gestiti e trasmessi (anche a paesi terzi) come descritto nell'Informativa sulla privacy. Immettere n se non si accettano i termini dell'Informativa sulla privacy. Per utilizzare Kaspersky Security Center Linux è necessario accettare i termini dell'Informativa sulla privacy.
6. Selezionare Nodo cluster secondario come modalità di installazione di Administration Server.
7. Quando richiesto, immettere il percorso locale del punto di montaggio della condivisione degli stati.

Kaspersky Security Center Linux viene installato nel nodo secondario.

Verifica del servizio

Utilizzare i seguenti comandi per verificare se un servizio è in esecuzione o meno:

• systemctl status klnagent_srv.service
• systemctl status kladminserver_srv.service
• systemctl status klactprx_srv.service
• systemctl status klwebsrv_srv.service

Adesso è possibile testare il cluster di failover Kaspersky Security Center Linux per assicurarsi di averlo configurato correttamente e che il cluster funzioni nel modo adeguato.

[Topic 222447]

Avvio e arresto manuale dei nodi del cluster

Potrebbe essere necessario arrestare l'intero cluster di failover Kaspersky Security Center Linux o scollegare temporaneamente uno dei nodi del cluster per la manutenzione. In tal caso, seguire le istruzioni contenute in questa sezione. Non tentare di avviare o arrestare i servizi o i processi relativi al cluster di failover utilizzando altri metodi. Questo potrebbe determinare la perdita di dati.

Avvio e arresto dell'intero cluster di failover per la manutenzione

Per avviare o arrestare l'intero cluster di failover:

1. Nel nodo attivo, passare a /opt/kaspersky/ksc64/sbin.
2. Aprire la riga di comando, quindi eseguire uno dei seguenti comandi:
   • Per arrestare il cluster, eseguire: klfoc -stopcluster --stp klfoc
   • Per avviare il cluster, eseguire: klfoc -startcluster --stp klfoc

Il cluster di failover viene avviato o arrestato, a seconda del comando eseguito.

Manutenzione di uno dei nodi

Per eseguire la manutenzione di uno dei nodi:

1. Nel nodo attivo arrestare il cluster di failover utilizzando il comando klfoc -stopcluster --stp klfoc.
2. Nel nodo che si desidera mantenere, passare a /opt/kaspersky/ksc64/sbin.
3. Aprire la riga di comando, quindi scollegare il nodo dal cluster eseguendo il comando detach_node.sh.
4. Nel nodo attivo avviare il cluster di failover utilizzando il comando klfoc -startcluster --stp klfoc.
5. Eseguire le attività di manutenzione.
6. Nel nodo attivo arrestare il cluster di failover utilizzando il comando klfoc -stopcluster --stp klfoc.
7. Nel nodo che è stato mantenuto, passare a /opt/kaspersky/ksc64/sbin.
8. Aprire la riga di comando, quindi collegare il nodo al cluster eseguendo il comando attach_node.sh.
9. Nel nodo attivo avviare il cluster di failover utilizzando il comando klfoc -startcluster --stp klfoc.

Viene eseguita la manutenzione del nodo, che viene quindi collegato al cluster di failover.

[Topic 156275]

Account per l'utilizzo del DBMS

Per installare Administration Server e utilizzarlo, è necessario un account DBMS interno. Questo account consente di accedere al DBMS e richiede diritti specifici. Un insieme dei diritti richiesti dipende dai seguenti criteri:

• Tipo di DBMS:
  • MySQL o MariaDB
  • PostgreSQL o Postgres Pro
• Metodo di creazione del database di Administration Server:
  • Automatico. Durante l'installazione di Administration Server, è possibile creare automaticamente un database di Administration Server (di seguito denominato anche database del server) utilizzando il programma di installazione di Administration Server (il programma di installazione).
  • Manuale. È possibile utilizzare un'applicazione di terze parti o uno script per creare un database vuoto. Successivamente, è possibile specificare questo database come database del server durante l'installazione di Administration Server.

Seguire il principio del privilegio minimo quando si concedono diritti e autorizzazioni agli account. Ciò significa che i diritti concessi devono essere sufficienti solo per eseguire le azioni richieste.

Le tabelle seguenti contengono informazioni sui diritti del DBMS che è necessario concedere agli account prima di installare e avviare Administration Server.

MySQL e MariaDB

Se si sceglie MySQL o MariaDB come DBMS, creare un account interno DBMS per accedere al DBMS, quindi concedere a questo account i diritti richiesti. Si noti che il metodo di creazione del database non influisce sull'insieme dei diritti. I diritti richiesti sono elencati di seguito:

• Privilegi dello schema:
  • Database di Administration Server: ALL (ad eseclusione di GRANT OPTION).
  • Schemi di sistema (mysql e sys): SELECT, SHOW VIEW.
  • La procedura memorizzata di sys.table_exists: EXECUTE (se si usa MariaDB 10.5 o versione precedente come DBMS, non è necessario concedere il privilegio EXECUTE).
• Privilegi globali per tutti gli schemi: PROCESS, SUPER.

Per ulteriori informazioni su come configurare i diritti dell'account, consultare Configurazione dell'account DBMS per l'utilizzo di MySQL e MariaDB.

Configurazione dei privilegi per il ripristino dei dati di Administration Server

I diritti concessi all'account DBMS interno sono sufficienti per ripristinare i dati di Administration Server dal backup.

PostgreSQL o Postgres Pro

Se si sceglie PostgreSQL o Postgres Pro come DBMS, è possibile utilizzare l'utente Postgres (il ruolo Postgres predefinito) o creare un nuovo ruolo Postgres (di seguito denominato anche ruolo) per accedere al DBMS. A seconda del metodo di creazione del database del server, concedere i diritti richiesti al ruolo come descritto nella tabella seguente. Per ulteriori informazioni su come configurare i diritti del ruolo, consultare Configurazione dell'account DBMS per l'utilizzo di PostgreSQL o Postgres Pro.

Diritti del ruolo Postgres

Configurazione dei privilegi per il ripristino dei dati di Administration Server

Per ripristinare i dati di Administration Server dal backup, il ruolo Postgres utilizzato per accedere al DBMS deve disporre dei diritti di proprietario sul database di Administration Server.