Procedure consigliate per i provider di servizi

Questa sezione fornisce informazioni su come configurare e utilizzare Kaspersky Security Center Linux.

Questa sezione contiene raccomandazioni relative alla distribuzione, alla configurazione e all'utilizzo dell'applicazione e descrive come risolvere i problemi più comuni che possono verificarsi durante l'esecuzione dell'applicazione.

Pianificazione della distribuzione di Kaspersky Security Center Linux

Durante la pianificazione della distribuzione dei componenti di Kaspersky Security Center Linux nella rete di un'organizzazione, è necessario tenere conto delle dimensioni e dell'ambito del progetto, in particolare per quanto riguarda i seguenti fattori:

• Numero totale di dispositivi
• Numero di client MSP

Un solo Administration Server può supportare un massimo di 50.000 dispositivi. Se il numero totale di dispositivi nella rete di un'organizzazione è superiore a 50.000, il provider di servizi deve distribuire più Administration Server, che possono essere combinati in una gerarchia per gestirli comodamente in modo centralizzato.

È possibile creare fino a 500 Server virtuali in un singolo Administration Server, pertanto è richiesto un singolo Administration Server ogni 500 client MSP.

In fase di pianificazione della distribuzione, deve essere valutata l'assegnazione di uno speciale certificato X.509 all'Administration Server. L'assegnazione del certificato X.509 all'Administration Server può essere utile nei seguenti casi (elenco parziale):

• Ispezione del traffico SSL (Secure Sockets Layer) per mezzo di un proxy con terminazione SSL
• Specificazione dei valori richiesti nei campi del certificato
• Specificazione del livello di criptaggio richiesto di un certificato

Concessione dell'accesso via Internet all'Administration Server

Per consentire ai dispositivi nella rete client di accedere ad Administration Server via Internet, è necessario rendere disponibili le seguenti porte di Administration Server:

• TCP 13000: porta TLS di Administration Server per la connessione dei Network Agent distribuiti nella rete client
• TCP 8061: porta HTTPS per la pubblicazione dei pacchetti indipendenti utilizzando gli strumenti di Kaspersky Security Center Web Console
• TCP 8060: porta HTTP per la pubblicazione dei pacchetti indipendenti utilizzando gli strumenti di Kaspersky Security Center Web Console
• TCP 13292: porta TLS necessaria solo se sono presenti dispositivi mobili da gestire
• TCP 8080: porta HTTPS per Kaspersky Security Center Web Console

Configurazione standard di Kaspersky Security Center Linux

Uno o più Administration Server vengono distribuiti nei server degli MSP. Il numero di Administration Server che è possibile selezionare può essere basato sull'hardware disponibile, sul numero totale di client MSP gestiti o sul numero totale di dispositivi gestiti.

Un solo Administration Server può supportare fino a 50.000 dispositivi. È necessario tenere conto della possibilità di aumentare il numero di dispositivi gestiti in futuro: può essere utile connettere un numero più limitato di dispositivi a un singolo Administration Server.

È possibile creare fino a 500 Server virtuali in un singolo Administration Server, pertanto è richiesto un singolo Administration Server ogni 500 client MSP.

Se vengono utilizzati più server, è consigliabile combinarli in una gerarchia. L'utilizzo di una gerarchia di Administration Server consente di evitare la duplicazione di criteri e attività e di amministrare l'intero set di dispositivi gestiti come se fossero gestiti da un singolo Administration Server (ricerca di dispositivi, creazione di selezioni di dispositivi e generazione di rapporti).

In ogni server virtuale corrispondente a un client MSP è necessario assegnare uno o più punti di distribuzione. Se i client MSP e Administration Server sono collegati via Internet, può essere utile creare un'attività Scarica aggiornamenti negli archivi dei punti di distribuzione per i punti di distribuzione, in modo che scarichino gli aggiornamenti direttamente dai server di Kaspersky, invece che da Administration Server.

Se alcuni dispositivi della rete client MSP non hanno accesso diretto a Internet, è necessario attivare la modalità gateway di connessione per i punti di distribuzione. In questo caso, i Network Agent nei dispositivi nella rete del client MSP saranno connessi per l'ulteriore sincronizzazione ad Administration Server, ma attraverso il gateway, non direttamente.

Poiché in genere Administration Server non è in grado di eseguire il polling della rete del client MSP, può essere utile assegnare questa funzione a un punto di distribuzione.

Administration Server non potrà inviare notifiche tramite la porta UDP 15000 ai dispositivi gestiti posizionati dietro il NAT nella rete del client MSP. Per risolvere questo problema, può essere utile abilitare la modalità di connessione continua ad Administration Server nelle proprietà dei dispositivi che operano come punti di distribuzione e vengono eseguiti in modalità gateway di connessione (opzione Non eseguire la disconnessione da Administration Server). La modalità di connessione continua è disponibile se il numero totale di punti di distribuzione non è superiore a 300.

Un client MSP potrebbe voler gestire i dispositivi Android e i dispositivi iOS dei dipendenti. Administration Server gestisce i dispositivi mobili tramite TLS, porta TCP 13292.

Informazioni sui punti di distribuzione

Il dispositivo in cui è installato Network Agent può essere utilizzato come punto di distribuzione. In questa modalità, Network Agent può eseguire le seguenti funzioni:

• Trasferire file ai dispositivi client, tra cui:
  • Aggiornamenti dei moduli software e database Kaspersky

    Gli aggiornamenti possono essere recuperati dall'Administration Server o dai server di Kaspersky. Nel secondo caso, è necessario creare l'attività Scarica aggiornamenti negli archivi dei punti di distribuzione per il dispositivo che opera come punto di distribuzione.

  • Aggiornamenti software di terze parti
  • Pacchetti di installazione
• Installare il software (inclusa la distribuzione iniziale dei Network Agent) in altri dispositivi.
• Eseguire il polling della rete per rilevare nuovi dispositivi e aggiornare le informazioni sui dispositivi esistenti. Un punto di distribuzione può applicare gli stessi metodi di device discovery di Administration Server.

La distribuzione dei punti di distribuzione nella rete di un'organizzazione ha i seguenti obiettivi:

• Ridurre il carico su Administration Server se questo opera come sorgente degli aggiornamenti.
• Ottimizzare il traffico Internet poiché, in questo caso, ogni dispositivo nella rete del client MSP non deve accedere ai server di Kaspersky o ad Administration Server per gli aggiornamenti.
• Concedere l'accesso ad Administration Server ai dispositivi dietro il NAT (rispetto ad Administration Server) della rete del client MSP, consentendo ad Administration Server di eseguire le seguenti azioni:
  • Inviare notifiche ai dispositivi tramite UDP nella rete IPv4 o IPv6
  • Eseguire il polling della rete IPv4 o IPv6
  • Eseguire la distribuzione iniziale
  • Fungere da server push

Un punto di distribuzione viene assegnato a un gruppo di amministrazione. In questo caso, l'ambito del punto di distribuzione include tutti i dispositivi contenuti nel gruppo di amministrazione e in tutti i relativi sottogruppi. Tuttavia, il dispositivo che opera come punto di distribuzione può non essere incluso nel gruppo di amministrazione a cui è stato assegnato.

È possibile far funzionare un punto di distribuzione come gateway di connessione. In questo caso, i dispositivi nell'ambito del punto di distribuzione saranno connessi all'Administration Server tramite il gateway, non direttamente. È possibile utilizzare questa modalità negli scenari che non consentono di stabilire una connessione diretta tra i dispositivi con Network Agent e un Administration Server.

I dispositivi che operano come punti di distribuzione devono essere protetti, anche da un punto di vista fisico, da qualsiasi accesso non autorizzato.

Gerarchia di Administration Server

Alcune società clienti, ad esempio MSP, possono eseguire più Administration Server. Poiché può essere scomodo amministrare più Administration Server distinti, è possibile applicare una gerarchia. In una gerarchia, un Administration Server basato su Linux può fungere sia da server primario che da server secondario. Il server primario basato su Linux può gestire sia i server secondari basati su Linux che quelli basati su Windows. Un server primario basato su Windows può gestire un server secondario basato su Linux.

Una configurazione "primario/secondario" per due Administration Server fornisce le seguenti opzioni:

• Un Administration Server secondario eredita i criteri, le attività, i ruoli utente e i pacchetti di installazione dall'Administration Server primario, evitando così la duplicazione delle impostazioni.
• Le selezioni di dispositivi nell'Administration Server primario possono includere i dispositivi degli Administration Server secondari.
• I rapporti nell'Administration Server primario possono contenere dati (incluse informazioni dettagliate) ottenuti dagli Administration Server secondari.
• È possibile utilizzare un Administration Server primario come sorgente degli aggiornamenti per l'Administration Server secondario.

L'Administration Server primario riceve i dati solo dagli Administration Server secondari non virtuali nell'ambito delle opzioni elencate sopra. Questa limitazione non si applica agli Administration Server virtuali, che condividono il database con l'Administration Server primario.

Administration Server virtuali

Sulla base di un Administration Server fisico, è possibile creare più Administration Server virtuali, simili agli Administration Server secondari. Rispetto al modello di accesso discrezionale, che è basato su elenchi di controllo di accesso (ACL), il modello degli Administration Server virtuali è più funzionale e fornisce un maggior livello di isolamento. Oltre a una struttura dedicata di gruppi di amministrazione per i dispositivi assegnati con criteri e attività, ogni Administration Server virtuale dispone di un proprio gruppo di dispositivi non assegnati, di insiemi di rapporti, dispositivi ed eventi selezionati, pacchetti di installazione, regole di spostamento e così via. Per il massimo isolamento reciproco dei client MSP, è consigliabile scegliere Administration Server virtuali come funzionalità da utilizzare. Inoltre, la creazione di un Administration Server virtuale per ogni client MSP consente di offrire ai client opzioni di base per l'amministrazione della rete tramite Kaspersky Security Center Web Console.

Gli Administration Server virtuali sono molto simili agli Administration Server secondari, ma con le seguenti distinzioni:

• Un Administration Server virtuale non dispone della maggior parte delle impostazioni globali e di specifiche porte TCP.
• Un Administration Server virtuale non dispone di Administration Server secondari.
• Un Administration Server virtuale non include altri Administration Server virtuali.
• Un Administration Server fisico visualizza i dispositivi, i gruppi, gli eventi e gli oggetti nei dispositivi gestiti (elementi in Quarantena, registro delle applicazioni e così via) di tutti i relativi Administration Server virtuali.
• Un Administration Server virtuale può eseguire solo la scansione della rete a cui sono connessi punti di distribuzione.

Distribuzione e configurazione iniziale

Kaspersky Security Center Linux è un'applicazione distribuita. Kaspersky Security Center Linux include le seguenti applicazioni:

• Administration Server - Il componente principale, progettato per la gestione dei dispositivi di un'organizzazione e l'archiviazione dei dati in un sistema DBMS.
• Kaspersky Security Center Web Console — Un'interfaccia Web per Administration Server pensata per le operazioni di base. È possibile installare il componente in qualsiasi dispositivo che soddisfi i requisiti hardware e software.
• Network Agent: utilizzato per gestire l'applicazione di protezione installata in un dispositivo, nonché per ottenere informazioni sul dispositivo. I Network Agent vengono installati nei dispositivi di un'organizzazione.

La distribuzione di Kaspersky Security Center Linux nella rete di un'organizzazione viene eseguita come segue:

• Installazione di Administration Server
• Installazione di Kaspersky Security Center Web Console
• Installazione di Network Agent e dell'applicazione di protezione nei dispositivi dell'organizzazione

Raccomandazioni sull'installazione di Administration Server

Questa sezione contiene raccomandazioni su come installare Administration Server. Vengono inoltre illustrati gli scenari per l'utilizzo di una cartella condivisa nel dispositivo con Administration Server per distribuire Network Agent nei dispositivi client.

Creazione degli account per i servizi di Administration Server in un cluster di failover

Prima di iniziare la distribuzione di Kaspersky Security Center Linux su un cluster di failover, è necessario creare account per i servizi Kaspersky Security Center Linux.

A tale scopo, effettuare le seguenti operazioni sul nodo attivo, sul nodo passivo e sul file server:

1. Creare un gruppo con il nome "kladmins" e assegnare lo stesso GID a tutti e tre i gruppi.
2. Creare un account utente con il nome "ksc" e assegnare lo stesso UID a tutti e tre gli account utente. Impostare il gruppo primario su "kladmins" per gli account creati.
3. Creare un account utente con il nome "rightless" e assegnare lo stesso UID a tutti e tre gli account utente. Impostare il gruppo primario su "kladmins" per gli account creati.

Selezione di un DBMS

Nella seguente tabella, sono elencate le opzioni DBMS valide, nonché i suggerimenti e le limitazioni per il relativo utilizzo.

Suggerimenti e limitazioni su DBMS

Per informazioni su come installare il DBMS selezionato, consultare la relativa documentazione.

Si consiglia di disabilitare l'attività Inventario software e disabilitare (nelle impostazioni del criterio di Kaspersky Endpoint Security) le notifiche di Administration Server nelle applicazioni avviate.

Se si decide di installare il DBMS di PostgreSQL o Postgres Pro, assicurarsi di aver specificato una password per il l'utente con privilegi avanzati. Se la password non viene specificata, Administration Server potrebbe non essere in grado di connettersi al database.

Se si installa MySQL, MariaDB, PostgreSQL o Postgres Pro, utilizzare le impostazioni consigliate per garantire il corretto funzionamento del DBMS.

Se si utilizza un DBMS PostgreSQL, MariaDB o MySQL, la scheda Eventi potrebbe mostrare un elenco incompleto di eventi per il dispositivo client selezionato. Questo si verifica quando il DBMS archivia una quantità molto elevata di eventi. È possibile aumentare il numero di eventi visualizzati effettuando una delle seguenti operazioni:

• Rimozione degli eventi non necessari.
• Riduzione del periodo di archiviazione per gli eventi non necessari.

Per visualizzare un elenco completo degli eventi registrati in Administration Server per il dispositivo, utilizzare Rapporti.

Specificazione dell'indirizzo dell'Administration Server

Durante l'installazione di Administration Server, è necessario specificare l'indirizzo IP statico o il nome DNS di Administration Server. Questo indirizzo sarà utilizzato come indirizzo predefinito al momento della creazione dei pacchetti di installazione di Network Agent. Sarà quindi possibile modificare l'indirizzo dell'host di Administration Server utilizzando gli strumenti di Kaspersky Security Center Web Console. L'indirizzo non sarà modificato automaticamente nei pacchetti di installazione di Network Agent che sono stati già creati.

Distribuzione di Network Agent e delle applicazioni di protezione

Per gestire i dispositivi di un'organizzazione e proteggerli dalle minacce alla sicurezza, è necessario installare Network Agent e un'applicazione di protezione Kaspersky su ciascuno di essi.

Per informazioni sulla distribuzione della protezione, fare riferimento alla sezione Distribuzione di Network Agent e dell'applicazione di protezione.

In Microsoft Windows XP, Network Agent potrebbe non eseguire correttamente le seguenti operazioni: scaricare gli aggiornamenti direttamente dai server Kaspersky (come punto di distribuzione) e funzionare come server proxy KSN (come punto di distribuzione).

Configurazione della protezione nella rete di un'organizzazione client

Al termine dell'installazione di Administration Server, Kaspersky Security Center Web Console viene avviato e richiede di eseguire la configurazione iniziale tramite la procedura guidata appropriata. Durante l'esecuzione dell'Avvio rapido guidato, i seguenti criteri e attività vengono creati nel gruppo di amministrazione radice:

• Criterio di Kaspersky Endpoint Security
• Attività di gruppo per l'aggiornamento di Kaspersky Endpoint Security
• Attività di gruppo per la scansione di un dispositivo con Kaspersky Endpoint Security
• Criterio di Network Agent
• Attività Scansione vulnerabilità (attività di Network Agent)
• Attività di installazione degli aggiornamenti e correzione delle vulnerabilità (attività di Network Agent)

I criteri e le attività sono creati con le impostazioni predefinite, che possono risultare non ottimali o perfino non utilizzabili per l'organizzazione. È pertanto necessario verificare le proprietà degli oggetti che sono stati creati e modificarle manualmente, se necessario.

Questa sezione contiene informazioni sulla configurazione manuale di criteri, attività e altre impostazioni di Administration Server, nonché le informazioni sul punto di distribuzione, sulla creazione di una struttura di gruppi di amministrazione e di una gerarchia di attività e altre impostazioni.

Configurazione manuale del criterio di Kaspersky Endpoint Security

Questa sezione fornisce raccomandazioni su come configurare il criterio di Kaspersky Endpoint Security, creato dall'Avvio rapido guidato. È possibile eseguire la configurazione nella finestra delle proprietà del criterio.

Quando si modifica un'impostazione, tenere presente che è possibile bloccarla o sbloccarla per impedirne o consentirne la modifica del valore in una workstation.

Configurazione del criterio nella sezione Protezione minacce avanzata

Per una descrizione completa delle impostazioni in questa sezione, fare riferimento alla documentazione di Kaspersky Endpoint Security for Windows.

Nella sezione Protezione minacce avanzata è possibile configurare l'utilizzo di Kaspersky Security Network per Kaspersky Endpoint Security for Windows. È inoltre possibile configurare i moduli di Kaspersky Endpoint Security for Windows, ad esempio Rilevamento del Comportamento, Prevenzione Exploit, Prevenzione Intrusioni Host e Motore di Remediation.

Nella sottosezione Kaspersky Security Network è consigliabile abilitare l'opzione Kaspersky Security Network. L'utilizzo di questa opzione consente di ridistribuire e ottimizzare il traffico nella rete. Se l'opzione Kaspersky Security Network è disabilitata, è possibile abilitare l'uso diretto dei server KSN.

Configurazione del criterio nella sezione Protezione minacce essenziale

Per una descrizione completa delle impostazioni in questa sezione, fare riferimento alla documentazione di Kaspersky Endpoint Security for Windows.

Nella sezione Protezione minacce essenziale della finestra delle proprietà del criterio, si consiglia di specificare impostazioni aggiuntive nelle sottosezioni Firewall e Protezione minacce file.

La sottosezione Firewall contiene le impostazioni che consentono di controllare le attività di rete delle applicazioni sui dispositivi client. Un dispositivo client utilizza una rete a cui è assegnato uno dei seguenti stati: pubblico, locale o attendibile. A seconda dello stato della rete, Kaspersky Endpoint Security può consentire o negare le attività di rete su un dispositivo. Quando si aggiunge una nuova rete all'organizzazione, è necessario assegnare uno stato di rete appropriato a questa. Ad esempio, se il dispositivo client è un laptop, si consiglia che questo dispositivo utilizzi la rete pubblica o attendibile, poiché il laptop non è sempre connesso alla rete locale. Nella sottosezione Firewall, è possibile verificare se sono stati assegnati correttamente gli stati alle reti utilizzate nell'organizzazione.

Per controllare l'elenco delle reti:

1. Nelle proprietà del criterio, passare a Protezione minacce essenziale → Firewall.
2. Nella sezione Reti disponibili, fare clic sul pulsante Impostazioni.
3. Nella finestra Firewall visualizzata, passare alla scheda Reti per visualizzare l'elenco delle reti.

Nella sottosezione Protezione minacce file, è possibile disabilitare la scansione delle unità di rete. La scansione delle unità di rete può comportare un carico significativo per le unità di rete. È più pratico eseguire la scansione indiretta sui file server.

Per disabilitare la scansione delle unità di rete:

1. Nelle proprietà del criterio, passare a Protezione minacce essenziale → Protezione minacce file.
2. Nella sezione Livello di sicurezza, fare clic sul pulsante Impostazioni.
3. Nella finestra Protezione minacce file visualizzata, nella scheda Generali, deselezionare la casella di controllo Tutte le unità di rete.

Configurazione del criterio nella sezione Impostazioni generali

Per la descrizione completa delle impostazioni in questa sezione, fare riferimento alla documentazione di Kaspersky Endpoint Security.

Di seguito sono descritte le operazioni di configurazione avanzate che è consigliabile eseguire nella sezione Impostazioni generali della finestra delle proprietà del criterio di Kaspersky Endpoint Security.

Sezione Impostazioni generali, sottosezione Rapporti e archivi

Nella sezione Trasferimento dei dati ad Administration Server, notare la casella di controllo Informazioni sulle applicazioni avviate. Se questa casella di controllo è selezionata, il database di Administration Server salva informazioni su tutte le versioni di tutti i moduli software nei dispositivi connessi alla rete. Queste informazioni possono richiedere una quantità significativa di spazio su disco nel database di Kaspersky Security Center Linux (decine di gigabyte). Pertanto, se la casella di controllo Informazioni sulle applicazioni avviate è ancora selezionata nel criterio di primo livello, deve essere deselezionata.

Sezione Impostazioni generali, sottosezione Interfaccia

Se la protezione dalle minacce nella rete dell'organizzazione deve essere gestita in modalità centralizzata tramite Kaspersky Security Center Web Console, è necessario disabilitare la visualizzazione dell'interfaccia di utente di Kaspersky Endpoint Security nelle workstation (deselezionando la casella di controllo Visualizza interfaccia applicazione nella sezione Interazione con l'utente) e abilitare la protezione tramite password (selezionando la casella di controllo Abilita la protezione tramite password nella sezione Protezione tramite password).

Configurazione del criterio nella sezione Configurazione eventi

Nella sezione Configurazione eventi è consigliabile disabilitare il salvataggio di qualsiasi evento in Administration Server, tranne i seguenti:

• Nella scheda Critico:
  • L'esecuzione automatica dell'applicazione è disabilitata
  • Accesso negato
  • Avvio dell'applicazione non consentito
  • Disinfezione non attuabile
  • Contratto di licenza con l'utente finale violato
  • Impossibile caricare il modulo di criptaggio
  • Impossibile avviare due attività contemporaneamente
  • È stata rilevata una minaccia attiva. Si consiglia di avviare Disinfezione avanzata
  • Attacco di rete rilevato
  • Non tutti i componenti sono stati aggiornati
  • Errore di attivazione
  • Errore durante l'abilitazione della modalità portatile
  • Errore durante l'interazione con Kaspersky Security Center
  • Errore durante la disabilitazione della modalità portatile
  • Errore durante la modifica dei componenti dell'applicazione
  • Errore durante l'applicazione delle regole di criptaggio/decriptaggio dei file
  • Il criterio non può essere applicato
  • Processo terminato
  • Attività di rete bloccata
• Nella scheda Errore funzionale: Impostazioni attività non valide. Impostazioni non applicate
• Nella scheda Avviso:
  • L'Auto-difesa è disabilitata
  • Chiave di riserva errata
  • L'utente ha scelto di non applicare il criterio di criptaggio
• Nella scheda Informazioni: Avvio dell'applicazione non consentito in modalità di test

Configurazione manuale dell'attività di gruppo di aggiornamento per Kaspersky Endpoint Security

Se Administration Server opera come sorgente degli aggiornamenti, l'opzione di pianificazione ottimale e consigliata per Kaspersky Endpoint Security è Quando vengono scaricati nuovi aggiornamenti nell'archivio con la casella di controllo Usa automaticamente il ritardo casuale per l'avvio delle attività selezionata.

Se si crea un'attività locale di download degli aggiornamenti dai server Kaspersky nell'archivio in ogni punto di distribuzione, la pianificazione periodica sarà ottimale e consigliata per l'attività di aggiornamento di gruppo di Kaspersky Endpoint Security. In questo caso, il valore dell'intervallo con impostazione casuale deve essere impostato su 1 ora.

Configurazione manuale dell'attività di gruppo per la scansione di un dispositivo con Kaspersky Endpoint Security

L'Avvio rapido guidato crea un'attività di gruppo per la scansione di un dispositivo. Se la pianificazione specificata automaticamente dell'attività di scansione di gruppo non è appropriata per l'organizzazione, è necessario impostare manualmente la pianificazione più adatta per questa attività in base alle regole del luogo di lavoro adottate nell'organizzazione.

Ad esempio, all'attività viene assegnata una pianificazione Esegui il venerdì alle 19:00 con un'impostazione casuale automatica e la casella di controllo Esegui attività non effettuate è deselezionata. Di conseguenza, se i dispositivi nell'organizzazione vengono spenti ad esempio il venerdì alle 18:30, l'attività di scansione del dispositivo non verrà eseguita. In questo caso, è necessario impostare manualmente l'attività di scansione di gruppo.

Pianificazione dell'attività Trova vulnerabilità e aggiornamenti richiesti

L'Avvio rapido guidato crea l'attività Trova vulnerabilità e aggiornamenti richiesti per Network Agent. Per impostazione predefinita, all'attività viene assegnata una pianificazione Esegui il martedì alle 19:00 con un'impostazione casuale automatica e la casella di controllo Esegui attività non effettuate è selezionata.

Se le regole dell'organizzazione per l'ambiente di lavoro prevedono lo spegnimento di tutti i dispositivi in tale orario, l'attività Trova vulnerabilità e aggiornamenti richiesti verrà eseguita dopo la riaccensione dei dispositivi, il mercoledì mattina. Un'attività di questo tipo potrebbe essere indesiderabile perché una Scansione vulnerabilità può aumentare il carico sui sottosistemi del disco e della CPU. È necessario impostare la pianificazione appropriata per l'attività in base alle regole per l'ambiente di lavoro adottate nell'organizzazione.

Configurazione manuale dell'attività di gruppo per l'installazione degli aggiornamenti e la correzione delle vulnerabilità

L'Avvio rapido guidato crea un'attività di gruppo per l'installazione degli aggiornamenti e la correzione delle vulnerabilità per Network Agent. Per impostazione predefinita, l'attività è impostata per l'esecuzione ogni giorno alle 01:00, con un'impostazione casuale automatica, e l'opzione Esegui attività non effettuate non è abilitata.

Se le regole dell'organizzazione per l'ambiente di lavoro prevedono lo spegnimento dei dispositivi durante la notte, l'installazione degli aggiornamenti non verrà eseguita. È necessario impostare la pianificazione appropriata per l'attività Scansione vulnerabilità in base alle regole per l'ambiente di lavoro adottate nell'organizzazione. È anche importante tenere presente che l'installazione degli aggiornamenti può richiedere il riavvio del dispositivo.

Creazione di una struttura di gruppi di amministrazione e assegnazione dei punti di distribuzione

Una struttura di gruppi di amministrazione in Kaspersky Security Center Linux esegue le seguenti funzioni:

• Imposta l'ambito dei criteri.

  È disponibile un metodo alternativo per l'applicazione delle impostazioni appropriate nei dispositivi, utilizzando i profili criterio. In questo caso, l'ambito dei criteri viene impostato, ad esempio, tramite tag dispositivo o ruoli utente.

• Imposta l'ambito delle attività di gruppo.

  Esiste un approccio alla definizione dell'ambito delle attività di gruppo che non è basato su una gerarchia di gruppi di amministrazione: l'utilizzo di attività per selezioni dispositivi e di attività per dispositivi specifici.

• Imposta i diritti di accesso a dispositivi, Administration Server virtuali e Administration Server secondari.
• Assegna i punti di distribuzione.

Al momento della creazione della struttura dei gruppi di amministrazione, è necessario tenere conto della topologia della rete dell'organizzazione per l'assegnazione ottimale dei punti di distribuzione. La distribuzione ottimale dei punti di distribuzione consente di ridurre il traffico nella rete dell'organizzazione.

A seconda dello schema dell'organizzazione e della topologia di rete adottata dal client MSP, le seguenti configurazioni standard possono essere applicate alla struttura dei gruppi di amministrazione:

• Singola sede
• Più sedi separate di piccole dimensioni

Configurazione del client MSP standard: singola sede

In una configurazione standard con una singola sede, tutti i dispositivi si trovano nella rete dell'organizzazione e sono visibili reciprocamente. La rete dell'organizzazione può comprendere diversi componenti (reti o segmenti di rete) connessi tramite canali con larghezza di banda ridotta.

Sono disponibili i seguenti metodi per creare la struttura dei gruppi di amministrazione:

• Creazione della struttura dei gruppi di amministrazione tenendo conto della topologia di rete. La struttura dei gruppi di amministrazione potrebbe non riflettere la topologia di rete alla perfezione. Una corrispondenza tra i diversi componenti della rete e alcuni gruppi di amministrazione può essere sufficiente. È possibile utilizzare l'assegnazione automatica dei punti di distribuzione o assegnarli manualmente.
• Creazione della struttura dei gruppi di amministrazione senza tenere conto della topologia di rete. In questo caso è necessario disabilitare l'assegnazione automatica dei punti di distribuzione e quindi assegnare a uno o più dispositivi il ruolo di punti di distribuzione per un gruppo di amministrazione radice in ciascun componente della rete, ad esempio per il gruppo Dispositivi gestiti. Tutti i punti di distribuzione saranno allo stesso livello e avranno lo stesso ambito che comprende tutti i dispositivi della rete dell'organizzazione. In questo caso, tutti i Network Agent si connetteranno al punto di distribuzione con il percorso più vicino. Il percorso di un punto di distribuzione è monitorabile con l'utilità tracert o l'utilità traceroute.

Configurazione del client MSP standard: più sedi remote di piccole dimensioni

Questa configurazione standard prevede la presenza di diverse sedi remote, che possono comunicare con la sede centrale via Internet. Ogni sede remota è situata dietro il NAT, ovvero la connessione da una sede remota all'altra non è possibile perché le sedi sono isolate tra loro.

La configurazione deve essere riflessa nella struttura dei gruppi di amministrazione: è necessario creare un gruppo di amministrazione distinto per ogni sede remota (i gruppi Sede 1 e Sede 2 nella figura seguente).

Le sedi remote sono incluse nella struttura dei gruppi di amministrazione

È necessario assegnare uno o più punti di distribuzione a ogni gruppo di amministrazione che corrisponde a una sede. I punti di distribuzione devono essere dispositivi nella sede remota con una quantità sufficiente di spazio libero su disco. I dispositivi distribuiti nel gruppo Sede 1, ad esempio, accederanno ai punti di distribuzione assegnati al gruppo di amministrazione Sede 1.

Se alcuni utenti si spostano fisicamente tra le sedi con i loro computer portatili, è necessario selezionare due o più dispositivi (oltre ai punti di distribuzione esistenti) in ogni sede remota e assegnare loro il ruolo di punti di distribuzione per un gruppo di amministrazione di primo livello (Gruppo radice per le sedi nella figura precedente).

Esempio: un computer portatile è distribuito nel gruppo di amministrazione Sede 1 e quindi viene spostato fisicamente nella sede che corrisponde al gruppo di amministrazione Sede 2. Dopo lo spostamento del portatile, Network Agent tenta di accedere ai punti di distribuzione assegnati al gruppo Sede 1, ma tali punti di distribuzione non sono disponibili. Network Agent inizia quindi a tentare di accedere ai punti di distribuzione che sono stati assegnati al Gruppo radice per le sedi. Poiché le sedi remote sono isolate tra loro, i tentativi di accedere ai punti di distribuzione assegnati al gruppo di amministrazione Gruppo radice per le sedi avranno esito positivo solo quando Network Agent tenta di accedere ai punti di distribuzione nel gruppo Sede 2. In altre parole, il computer portatile rimarrà nel gruppo di amministrazione che corrisponde alla sede iniziale, ma utilizzerà il punto di distribuzione della sede in cui si trova fisicamente al momento.

Gerarchia di criteri tramite i profili criterio

Questa sezione fornisce informazioni su come applicare i criteri ai dispositivi nei gruppi di amministrazione. Questa sezione fornisce anche informazioni sui profili dei criteri.

Gerarchia dei criteri

In Kaspersky Security Center Linux i criteri vengono utilizzati per definire una singola raccolta di impostazioni per più dispositivi. Ad esempio, l'ambito del criterio dell'applicazione P definito per il gruppo di amministrazione G include i dispositivi gestiti in cui è installata l'applicazione P che sono stati distribuiti nel gruppo G e in tutti i relativi sottogruppi, ad eccezione dei sottogruppi in cui la casella di controllo Eredita da gruppo padre è deselezionata nelle proprietà.

Un criterio differisce da qualsiasi impostazione locale in base alle icone di blocco () accanto alle relative impostazioni. Se un'impostazione (o un gruppo di impostazioni) è bloccata nelle proprietà del criterio, è necessario in primo luogo utilizzare questa impostazione (o gruppo di impostazioni) durante la creazione delle impostazioni da applicare e, in secondo luogo, scrivere le impostazioni o il gruppo di impostazioni nel criterio downstream.

La creazione delle impostazioni da applicare in un dispositivo può essere descritta come segue: i valori di tutte le impostazioni che non sono state bloccate vengono ottenuti dal criterio, quindi sono sovrascritti con i valori delle impostazioni locali. La raccolta risultante viene quindi sovrascritta con i valori delle impostazioni bloccate ottenuti dal criterio.

I criteri della stessa applicazione si influenzano reciprocamente attraverso la gerarchia dei gruppi di amministrazione: le impostazioni bloccate del criterio upstream sovrascrivono le stesse impostazioni del criterio downstream.

Esiste un criterio speciale per gli utenti fuori sede. Questo criterio ha effetto su un dispositivo quando il dispositivo passa in modalità fuori sede. I criteri fuori sede non influiscono sugli altri criteri attraverso la gerarchia dei gruppi di amministrazione.

Profili criterio

L'applicazione dei criteri ai dispositivi solo tramite la gerarchia dei gruppi di amministrazione in molte circostanze può essere poco pratica. Può essere necessario creare più istanze di un singolo criterio con una o due impostazioni differenti per gruppi di amministrazione diversi e sincronizzare i contenuti di questi criteri in futuro.

Per contribuire a evitare tali problemi, Kaspersky Security Center Linux supporta profili di criteri. Un profilo criterio è un sottoinsieme denominato di impostazioni dei criteri. Questo sottoinsieme viene distribuito nei dispositivi di destinazione insieme al criterio, integrandolo in una condizione specifica definita condizione di attivazione del profilo. I profili contengono solo le impostazioni diverse dal criterio "di base" che è attivo sul dispositivo client (computer o dispositivo mobile). L'attivazione di un profilo determina la modifica delle impostazioni del criterio attivo nel dispositivo prima dell'attivazione del profilo. Tali impostazioni assumono i valori specificati nel profilo.

Attualmente ai profili criterio si applicano le seguenti limitazioni:

• Un criterio può includere al massimo 100 profili.
• Un profilo criterio non può contenere altri profili.
• Un profilo criterio non può contenere impostazioni di notifica.

Contenuto di un profilo

Un profilo criterio contiene i seguenti elementi:

• Nome. I profili con nomi identici si influenzano reciprocamente attraverso la gerarchia dei gruppi di amministrazione con regole comuni.
• Sottoinsieme di impostazioni dei criteri. A differenza del criterio, che contiene tutte le impostazioni, un profilo contiene solo le impostazioni che sono effettivamente richieste (le impostazioni bloccate).
• Condizione di attivazione è un'espressione logica con le proprietà del dispositivo. Un profilo è attivo (integra il criterio) solo quando la condizione di attivazione del profilo diventa vera. In tutti gli altri casi, il profilo è inattivo e viene ignorato. Le seguenti proprietà del dispositivo possono essere incluse nell'espressione logica:
  • Stato della modalità fuori sede.
  • Proprietà dell'ambiente di rete - Nome della regola attiva per la connessione di Network Agent.
  • Presenza o assenza dei tag specificati nel dispositivo.
  • Posizione del dispositivo in un'unità di Active Directory: esplicita (il dispositivo è direttamente nell'unità organizzativa specificata) o implicita (il dispositivo è in un'unità organizzativa che è contenuta nell'unità organizzativa specificata a qualsiasi livello di annidamento).
  • Appartenenza del dispositivo a un gruppo di protezione di Active Directory (esplicita o implicita).
  • Appartenenza del proprietario del dispositivo a un gruppo di protezione di Active Directory (esplicita o implicita).
• Casella di controllo per la disabilitazione del profilo. I profili disabilitati vengono sempre ignorati e le relative condizioni di attivazione non sono verificate.
• Priorità del profilo. Le condizioni di attivazione di differenti profili sono indipendenti, quindi è possibile attivare contemporaneamente più profili. Se i profili attivi contengono raccolte di impostazioni che non si sovrappongono, non si verifica alcun problema. Se invece due profili attivi contengono valori diversi della stessa impostazione, si verifica un'ambiguità. Questa ambiguità deve essere evitata tramite le priorità dei profili: il valore della variabile ambigua viene ottenuto dal profilo che ha la priorità più alta (quello al livello superiore nell'elenco dei profili).

Comportamento dei profili quando i criteri si influenzano reciprocamente attraverso la gerarchia

I profili con lo stesso nome vengono uniti in base alle regole di unione dei criteri. I profili di un criterio upstream hanno una priorità più alta rispetto ai profili di un criterio downstream. Se la modifica delle impostazioni non è consentita nel criterio upstream (è bloccata), il criterio downstream utilizza le condizioni di attivazione del profilo di quello upstream. Se la modifica delle impostazioni è consentita nel criterio upstream, vengono utilizzate le condizioni di attivazione del profilo del criterio downstream.

Poiché un profilo criterio può contenere la proprietà Il dispositivo è offline nella relativa condizione di attivazione, i profili sostituiscono completamente la funzionalità dei criteri per gli utenti fuori sede, che non saranno non più supportati.

Un criterio per gli utenti fuori sede può contenere profili, ma questi profili possono essere attivati solo una volta che il dispositivo passa alla modalità fuori sede.

Attività

Kaspersky Security Center Linux consente di gestire le applicazioni di protezione Kaspersky installate nei dispositivi creando ed eseguendo attività. Le attività sono necessarie per l'installazione, l'avvio e l'arresto delle applicazioni, la scansione dei file, l'aggiornamento dei database e dei moduli software, oltre che per eseguire altre azioni sulle applicazioni.

Le attività per un'applicazione specifica possono essere create solo se è installato il plug-in di gestione per tale applicazione.

Le attività possono essere eseguite nell'Administration Server e nei dispositivi.

Le seguenti attività vengono eseguite nell'Administration Server:

• Distribuzione automatica dei rapporti
• Download degli aggiornamenti nell'archivio di Administration Server
• Backup dei dati di Administration Server
• Manutenzione del database

I seguenti tipi di attività vengono eseguiti nei dispositivi:

• Attività locali - Attività eseguite in un dispositivo specifico

  Le attività locali possono essere modificate dall'amministratore utilizzando Kaspersky Security Center Web Console oppure dall'utente di un dispositivo remoto (ad esempio attraverso l'interfaccia dell'applicazione di protezione). Se un'attività locale viene modificata contemporaneamente dall'amministratore e dall'utente di un dispositivo gestito, hanno effetto le modifiche apportate dall'amministratore perché hanno una priorità più alta.

• Attività di gruppo - Attività eseguite su tutti i dispositivi di un gruppo specifico

  A meno che non sia diversamente specificato nelle proprietà dell'attività, un'attività di gruppo si applica anche a tutti i sottogruppi del gruppo selezionato. Un'attività di gruppo influisce anche (facoltativamente) sui dispositivi connessi agli Administration Server secondari e virtuali distribuiti nel gruppo o in uno dei relativi sottogruppi.

• Attività globali - Attività eseguite su un set di dispositivi, indipendentemente dalla loro appartenenza a un gruppo

Per ogni applicazione è possibile creare attività di gruppo, attività globali o attività locali.

È possibile apportare modifiche alle impostazioni delle attività, visualizzarne l'avanzamento, copiarle, esportarle, importarle ed eliminarle.

Le attività vengono avviate in un dispositivo solo se l'applicazione per cui l'attività è stata creata è in esecuzione.

I risultati delle attività sono salvati nel registro eventi Syslog e nel registro eventi di Kaspersky Security Center Linux, sia in modo centralizzato in Administration Server che localmente in ogni dispositivo.

Non includere dati privati nelle impostazioni dell'attività. Ad esempio, non specificare la password dell'amministratore del dominio.

Regole di spostamento dei dispositivi

È consigliabile automatizzare l'allocazione dei dispositivi ai gruppi di amministrazione attraverso le regole di spostamento dei dispositivi. Una regola di spostamento dei dispositivi comprende tre elementi principali: nome, condizione di esecuzione (espressione logica con gli attributi del dispositivo) e gruppo di amministrazione di destinazione. Una regola sposta un dispositivo nel gruppo di amministrazione di destinazione se gli attributi del dispositivo soddisfano la condizione di esecuzione della regola.

Tutte le regole di spostamento dei dispositivi hanno priorità. L'Administration Server verifica gli attributi del dispositivo per determinare se soddisfano la condizione di esecuzione di ogni regola, in ordine di priorità crescente. Se gli attributi del dispositivo soddisfano la condizione di esecuzione di una regola, il dispositivo viene spostato nel gruppo di destinazione, quindi l'elaborazione della regola è completa per questo dispositivo. Se gli attributi del dispositivo soddisfano le condizioni di più regole, il dispositivo viene spostato nel gruppo di destinazione della regola con la priorità più alta (al livello più alto nell'elenco delle regole).

Le regole di spostamento dei dispositivi possono essere create implicitamente. Ad esempio, nelle proprietà di un pacchetto di installazione o di un'attività di installazione remota è possibile specificare il gruppo di amministrazione in cui deve essere spostato il dispositivo dopo l'installazione di Network Agent. Inoltre, le regole di spostamento dei dispositivi possono essere create esplicitamente dall'amministratore di Kaspersky Security Center Linux nella sezione Risorse (dispositivi) → Regole di spostamento.

Per impostazione predefinita, una regola di spostamento dei dispositivi viene utilizzata per l'allocazione iniziale dei dispositivi ai gruppi di amministrazione. La regola sposta i dispositivi dal gruppo dei dispositivi non assegnati una sola volta. Se in precedenza un dispositivo era stato spostato da questa regola, la regola non lo sposterà di nuovo, anche se si reinserisce manualmente il dispositivo nel gruppo dei dispositivi non assegnati. Questo è il modo consigliato per applicare le regole di spostamento.

È possibile spostare i dispositivi che sono già stati assegnati ad alcuni gruppi di amministrazione. A tale scopo, nelle proprietà di una regola deselezionare la casella di controllo Sposta solo i dispositivi che non appartengono a un gruppo di amministrazione.

L'applicazione delle regole di spostamento a dispositivi che sono già stati assegnati ad alcuni gruppi di amministrazione aumenta considerevolmente il carico sull'Administration Server.

La casella di controllo Sposta solo i dispositivi che non appartengono a un gruppo di amministrazione è bloccata nelle proprietà delle regole di spostamento create automaticamente. Tali regole vengono create quando si aggiunge l'attività Installa applicazione in remoto o si crea un pacchetto di installazione indipendente.

È possibile creare una regola di spostamento da applicare ripetutamente a un singolo dispositivo.

È consigliabile evitare di spostare ripetutamente un singolo dispositivo da un gruppo all'altro (ad esempio, per applicare uno speciale criterio al dispositivo, eseguire una speciale attività di gruppo o aggiornare il dispositivo attraverso un punto di distribuzione specifico).

Tali scenari non sono supportati, perché comportano un notevole aumento del carico su Administration Server e del traffico di rete. Questi scenari sono anche in conflitto con i principi operativi di Kaspersky Security Center Linux (in particolare nell'area di diritti di accesso, eventi e rapporti). Un'altra soluzione deve ad esempio essere trovata attraverso l'utilizzo di profili criterio, attività per selezioni dispositivi, l'assegnazione di Network Agent in base allo scenario standard.

Classificazione del software

Lo strumento principale per monitorare l'esecuzione delle applicazioni sono le categorie Kaspersky (di seguito denominate anche categorie KL). Le categorie KL consentono agli amministratori di Kaspersky Security Center Linux di semplificare il supporto della classificazione del software e ridurre al minimo il traffico verso i dispositivi gestiti.

È necessario creare categorie utente per le applicazioni che non possono essere classificate in alcuna delle categorie KL esistenti (ad esempio, per il software personalizzato). Le categorie utente vengono create in base al pacchetto di installazione di un'applicazione (MSI) o a una cartella con pacchetti di installazione.

Se è disponibile una raccolta di software di grandi dimensioni che non è stata classificata tramite le categorie KL, può essere utile creare una categoria aggiornata automaticamente. I checksum dei file eseguibili saranno aggiunti automaticamente a questa categoria a ogni modifica della cartella che contiene i pacchetti di distribuzione.

Backup e ripristino delle impostazioni di Administration Server

Il backup delle impostazioni di Administration Server e del relativo database viene eseguito tramite l'attività di backup e l'utilità klbackup. Una copia di backup include tutte le impostazioni e gli oggetti principali relativi ad Administration Server, come certificati, chiavi primarie per il criptaggio delle unità nei dispositivi gestiti, chiavi per varie licenze, struttura dei gruppi di amministrazione con tutti i relativi contenuti, attività, criteri e così via. Con una copia di backup è possibile ripristinare il funzionamento di un Administration Server il prima possibile, un'operazione che richiede da una decina di minuti a un paio d'ore.

Se non è disponibile una copia di backup, un errore può comportare la perdita dei certificati e di tutte le impostazioni di Administration Server. In tal caso, sarà necessario riconfigurare completamente Kaspersky Security Center Linux ed eseguire di nuovo la distribuzione iniziale di Network Agent nella rete dell'organizzazione. Andranno inoltre perse tutte le chiavi primarie per il criptaggio delle unità nei dispositivi gestiti, con il rischio di una perdita irrevocabile dei dati criptati nei dispositivi con Kaspersky Endpoint Security. Pertanto, non dimenticare di eseguire periodicamente backup di Administration Server utilizzando l'attività di backup standard.

L'Avvio rapido guidato crea l'attività di backup per le impostazioni di Administration Server e ne configura l'esecuzione quotidiana, alle 4:00. Le copie di backup vengono salvate per impostazione predefinita nella cartella %ALLUSERSPROFILE%\Application Data\KasperskySC.

Poiché una copia di backup contiene dati importanti, l'attività di backup e l'utilità klbackup forniscono funzionalità di protezione tramite password delle copie di backup. Per impostazione predefinita, l'attività di backup viene creata con una password vuota. È necessario impostare una password nelle proprietà dell'attività di backup. Il mancato rispetto di questo requisito causa una situazione in cui tutte le chiavi dei certificati di Administration Server, le chiavi per le licenze e le chiavi primarie per il criptaggio delle unità nei dispositivi gestiti restano non criptate.

In aggiunta al backup periodico, è anche necessario creare una copia di backup prima di ogni modifica significativa, inclusa l'installazione di upgrade e patch di Administration Server.

Il ripristino da una copia di backup viene eseguito con l'utilità klbackup in un'istanza funzionante di Administration Server che è stata appena installata e con la stessa versione (o una versione successiva) di quella per cui è stata creata la copia di backup.

L'istanza di Administration Server in cui deve essere eseguito il ripristino deve utilizzare un DBMS dello stesso tipo e di una versione analoga o successiva. La versione di Administration Server può essere la stessa (con una patch identica o successiva) o una versione successiva.

In questa sezione sono descritti gli scenari standard per il ripristino delle impostazioni e degli oggetti di Administration Server.

Un dispositivo con Administration Server è inutilizzabile

Se un dispositivo con Administration Server risulta inutilizzabile a causa di un errore, è consigliabile eseguire le seguenti operazioni:

• Al nuovo Administration Server deve essere assegnato lo stesso indirizzo: nome DNS, o indirizzo IP statico (a seconda dell'elemento impostato al momento della distribuzione dei Network Agent).
• Installare Administration Server utilizzando un DBMS dello stesso tipo e della stessa versione (o di una versione successiva). È possibile installare la stessa versione del server (con una patch identica o successiva) o una versione successiva. Dopo installazione, non eseguire la configurazione iniziale tramite la procedura guidata.
• Eseguire l'utilità klbackup ed eseguire il ripristino.

Le impostazioni di Administration Server o il database sono danneggiati

Se Administration Server risulta inutilizzabile perché le impostazioni o il database sono danneggiati (ad esempio, in seguito a una sovralimentazione), è consigliabile utilizzare il seguente scenario di ripristino:

1. Eseguire la scansione del file system nel dispositivo danneggiato.
2. Disinstallare la versione inutilizzabile di Administration Server.
3. Reinstallare Administration Server utilizzando un DBMS dello stesso tipo e della stessa versione (o di una versione successiva). È possibile installare la stessa versione del server (con una patch identica o successiva) o una versione successiva. Dopo installazione, non eseguire la configurazione iniziale tramite la procedura guidata.
4. Eseguire l'utilità klbackup ed eseguire il ripristino.

Non è consentito ripristinare Administration Server in un modo diverso dall'utilizzo dell'utilità klbackup.

Qualsiasi tentativo di ripristinare Administration Server tramite software di terze parti causerà inevitabilmente la mancata sincronizzazione dei dati nei nodi dell'applicazione Kaspersky Security Center Linux distribuita e, di conseguenza, impedirà il corretto funzionamento dell'applicazione.

Informazioni sui profili di connessione per gli utenti fuori sede

Gli utenti fuori sede con computer portatili (di seguito denominati anche "dispositivi") possono aver bisogno di modificare il metodo di connessione a un Administration Server o passare da un Administration Server all'altro a seconda della posizione corrente del dispositivo nella rete aziendale.

I profili di connessione sono supportati solo per i dispositivi che eseguono Windows e macOS.

Utilizzo di differenti indirizzi di un singolo Administration Server

I dispositivi con Network Agent installato possono connettersi all'Administration Server dalla rete Intranet dell'organizzazione o da Internet. Questa situazione può richiedere l'utilizzo da parte di Network Agent di differenti indirizzi per la connessione ad Administration Server: l'indirizzo esterno dell'Administration Server per la connessione Internet e l'indirizzo interno dell'Administration Server per la connessione dalla rete interna.

A tale scopo, è necessario aggiungere un profilo (per la connessione ad Administration Server da Internet) al criterio di Network Agent. Aggiungere il profilo nelle proprietà del criterio (sezione Connettività, sottosezione Profili connessione). Nella finestra di creazione del profilo è necessario disabilitare l'opzione Usa per ricevere solo aggiornamenti e selezionare l'opzione Sincronizza le impostazioni di connessione con le impostazioni di Administration Server specificate nel profilo. Se si utilizza un gateway di connessione per accedere ad Administration Server (ad esempio, in una configurazione di Kaspersky Security Center Linux come quella descritta in Accesso a Internet: Network Agent come gateway nella rete perimetrale), è necessario specificare l'indirizzo del gateway di connessione nel campo corrispondente del profilo di connessione.

Passaggio da un Administration Server all'altro a seconda della rete corrente

Se l'organizzazione ha più sedi con diversi Administration Server e alcuni dispositivi con Network Agent installato si spostano tra di esse, è necessario che Network Agent si connetta all'Administration Server della rete locale nella sede in cui si trova attualmente il dispositivo.

In questo caso, è necessario creare un profilo per la connessione ad Administration Server nelle proprietà del criterio di Network Agent per ciascuna delle sedi, tranne che per la sede principale in cui si trova l'Administration Server principale originale. È necessario specificare gli indirizzi di Administration Server nei profili di connessione e abilitare o disabilitare l'opzione Usa per ricevere solo aggiornamenti:

• Selezionare l'opzione se è necessario sincronizzare Network Agent con l'Administration Server principale e utilizzare il server locale solo per scaricare gli aggiornamenti.
• Disabilitare questa opzione se è necessario che Network Agent sia completamente gestito dall'Administration Server locale.

Sarà quindi necessario impostare le condizioni per il passaggio ai nuovi profili creati: almeno una condizione per ciascuna delle sedi, tranne che per la sede principale. Lo scopo di ogni condizione consiste nel rilevamento degli elementi che sono specifici per l'ambiente di rete di una sede. Se una condizione è vera, il profilo corrispondente viene attivato. Se nessuna delle condizioni è vera, Network Agent passa all'Administration Server principale.

Accesso remoto ai dispositivi gestiti

In questa sezione vengono fornite informazioni sull'accesso remoto ai dispositivi gestiti.

Utilizzo dell'opzione "Non eseguire la disconnessione da Administration Server" per garantire connettività continua tra un dispositivo gestito e Administration Server

Se non si utilizzano server push, Kaspersky Security Center Linux non garantisce una connettività continua tra i dispositivi gestiti e Administration Server. I Network Agent nei dispositivi gestiti stabiliscono periodicamente connessioni ed eseguono la sincronizzazione con l'Administration Server. L'intervallo tra queste sessioni di sincronizzazione è definito in un criterio di Network Agent. Se è necessaria una sincronizzazione preventiva, Administration Server (o un punto di distribuzione, se in uso) invia un pacchetto di rete firmato tramite una rete IPv4 o IPv6 alla porta UDP di Network Agent. Il numero di porta predefinito è 15000. Se non è possibile stabilire la connessione tramite UDP tra Administration Server e un dispositivo gestito, la sincronizzazione verrà eseguita alla successiva connessione periodica di Network Agent ad Administration Server entro l'intervallo di sincronizzazione.

Alcune operazioni non possono essere eseguite senza una connessione preventiva tra Network Agent e Administration Server, come l'esecuzione e l'arresto di attività locali, la ricezione di statistiche per un'applicazione gestita. Per risolvere il problema, se non si utilizzano server push è possibile utilizzare l'opzione Non eseguire la disconnessione da Administration Server per assicurarsi che vi sia connettività continua tra un dispositivo gestito e Administration Server.

Per garantire connettività continua tra un dispositivo gestito e Administration Server:

1. Nel menu principale accedere a Risorse (dispositivi) → Dispositivi gestiti.

   Verrà visualizzato l'elenco dei dispositivi gestiti.

2. Nell'elenco dei dispositivi gestiti fare clic sul collegamento con il nome del dispositivo richiesto.
3. Nella sezione Generale della finestra delle proprietà del dispositivo, abilitare l'opzione Non eseguire la disconnessione da Administration Server.

Viene stabilita la connettività continua tra il dispositivo gestito e Administration Server.

Il numero massimo di dispositivi con l'opzione Non eseguire la disconnessione da Administration Server selezionata è 300.

Informazioni sul controllo del tempo di connessione tra un dispositivo e Administration Server

Al momento dell'arresto di un dispositivo, Network Agent invia una notifica all'Administration Server di questo evento. In Kaspersky Security Center Web Console il dispositivo viene visualizzato come spento. Tuttavia, Network Agent non può notificare ad Administration Server tutti gli eventi di questo tipo. Administration Server, pertanto, analizza periodicamente l'attributo Connesso ad Administration Server (il valore di questo attributo è visualizzato in Kaspersky Security Center Web Console nella sezione Generale delle proprietà del dispositivo) per ogni dispositivo e lo confronta con l'intervallo di sincronizzazione nelle impostazioni correnti di Network Agent. Se un dispositivo non risponde per più di tre intervalli di sincronizzazione consecutivi, il dispositivo è contrassegnato come arrestato.

Informazioni sulla sincronizzazione forzata

Anche se Kaspersky Security Center sincronizza automaticamente lo stato, le impostazioni, le attività e i criteri per i dispositivi gestiti, in alcuni casi l'amministratore ha l'esigenza di sapere esattamente se la sincronizzazione è stata già eseguita per un determinato dispositivo.

La finestra delle proprietà di un dispositivo gestito contiene il pulsante Forza sincronizzazione. Quando Kaspersky Security Center Linux esegue il comando di sincronizzazione, Administration Server tenta di connettersi al dispositivo. Se questo tentativo va a buon fine viene eseguita la sincronizzazione forzata. In caso contrario, la sincronizzazione verrà forzata solo dopo la successiva connessione pianificata tra Network Agent e l'Administration Server.