Gestione di utenti e ruoli utente

Questa sezione descrive gli utenti e i ruoli utente e fornisce istruzioni per la creazione e la modifica di questi elementi, per l'assegnazione di ruoli e gruppi agli utenti e per l'associazione dei profili criterio ai ruoli.

Informazioni sugli account utente

Kaspersky Security Center Linux consente di gestire account utente e gruppi di protezione. L'applicazione supporta tre tipi di account:

• Account dei dipendenti dell'organizzazione. Administration Server recupera i dati degli account degli utenti di dominio durante il polling del controller del dominio dell'organizzazione.
• Account degli utenti locali. Account locali dei dispositivi gestiti, nonché account locali del dispositivo in cui è installato Administration Server.
• Account di utenti interni di Kaspersky Security Center Linux. È possibile creare account di utenti interni. Questi account vengono utilizzati solo all'interno di Kaspersky Security Center Linux.

Non è possibile utilizzare il gruppo kladmins per accedere a Kaspersky Security Center Web Console in Kaspersky Security Center Linux. Il gruppo kladmins può contenere solo gli account utilizzati per avviare i servizi di Kaspersky Security Center Linux.

Per visualizzare le tabelle degli account utente e dei gruppi di protezione:

1. Nel menu principale accedere a Utenti e ruoli → Utenti e gruppi.
2. Selezionare la scheda Utenti o Gruppi.

Si apre la tabella degli utenti o dei gruppi di protezione. Se si desidera visualizzare la tabella solo con utenti o gruppi interni o solo con utenti o gruppi locali, impostare i criteri di filtro Sottotipo rispettivamente su Interno o Locale.

Informazioni sui ruoli utente

Un ruolo utente (anche denominato ruolo) è un oggetto contenente un set di diritti e privilegi. Un ruolo può essere associato alle impostazioni delle applicazioni Kaspersky installate in un dispositivo utente. È possibile assegnare un ruolo a un set di utenti o a un set di gruppi di protezione a qualsiasi livello nella gerarchia dei gruppi di amministrazione, di Administration Server o a livello di oggetti specifici.

Se i dispositivi vengono gestiti tramite una gerarchia di Administration Server che include Administration Server virtuali, si noti che è possibile creare, modificare o eliminare i ruoli utente solo da un Administration Server fisico. È quindi possibile propagare i ruoli utente agli Administration Server secondari, inclusi quelli virtuali.

È possibile associare i ruoli utente ai profili criterio. Se a un utente viene assegnato un ruolo, tale utente ottiene le impostazioni di protezione necessarie per eseguire le funzioni lavorative.

Un ruolo utente può essere associato agli utenti dei dispositivi in un gruppo di amministrazione specifico.

Ambito del ruolo utente

Un ambito di un ruolo utente è una combinazione di utenti e gruppi di amministrazione. Le impostazioni associate a un ruolo utente si applicano solo ai dispositivi che appartengono agli utenti con questo ruolo e solo se tali dispositivi appartengono a gruppi associati a questo ruolo, inclusi i gruppi figlio.

Vantaggi dell'utilizzo dei ruoli

Un vantaggio dell'utilizzo dei ruoli è che non è necessario specificare le impostazioni di protezione per ciascuno dei dispositivi gestiti o per ciascuno degli utenti separatamente. Il numero di utenti e dispositivi in un'azienda può essere piuttosto elevato, ma il numero delle diverse funzioni lavorative che richiedono differenti impostazioni di protezione è notevolmente inferiore.

Differenze rispetto all'utilizzo dei profili criterio

I profili criterio sono le proprietà di un criterio creato per ciascuna applicazione Kaspersky separatamente. Un ruolo è associato a molti profili criterio creati per diverse applicazioni. Pertanto, un ruolo è un metodo per riunire le impostazioni per un determinato tipo di utente in un'unica posizione.

Configurazione dei diritti di accesso alle funzionalità dell'applicazione. Controllo dell'accesso basato sui ruoli

Kaspersky Security Center Linux offre l'accesso in base al ruolo alle funzionalità di Kaspersky Security Center Linux e delle applicazioni Kaspersky gestite.

È possibile configurare i diritti di accesso alle funzionalità dell'applicazione per gli utenti di Kaspersky Security Center Linux in uno dei seguenti modi:

• Attraverso la configurazione dei diritti per ciascun utente o gruppo di utenti singolarmente.
• Attraverso la creazione di ruoli utente standard con un set di diritti predefinito e l'assegnazione di tali ruoli agli utenti sulla base dell'ambito delle relative mansioni lavorative.

L'applicazione dei ruoli utente ha lo scopo di semplificare e abbreviare le procedure di routine per la configurazione dei diritti di accesso degli utenti alle funzionalità dell'applicazione. I diritti di accesso all'interno di un ruolo vengono configurati in base alle attività standard e all'ambito delle mansioni lavorative degli utenti.

Ai ruoli utente possono essere assegnati nomi corrispondenti ai rispettivi scopi. È possibile creare un numero illimitato di ruoli nell'applicazione.

È possibile utilizzare i ruoli utente predefiniti con un set di diritti già configurato oppure creare nuovi ruoli e configurare autonomamente i diritti richiesti.

Diritti di accesso alle funzionalità dell'applicazione

La tabella seguente mostra le funzionalità di Kaspersky Security Center Linux con i diritti di accesso per gestire le attività, i rapporti e le impostazioni associati e per eseguire le azioni utente associate.

Per eseguire le azioni utente elencate nella tabella, un utente deve disporre del diritto specificato accanto all'azione.

I diritti Lettura, Scrittura ed Esecuzione sono applicabili a qualsiasi attività, rapporto o impostazione. Oltre a questi diritti, un utente deve disporre del diritto Esegui operazioni per le selezioni di dispositivi per gestire attività, rapporti o impostazioni relativi alle selezioni dispositivi.

L'area funzionale Caratteristiche generali: Accesso agli oggetti indipendentemente dagli elenchi di controllo degli accessi è destinata a scopi di controllo. Quando gli utenti ottengono i diritti di Lettura in quest'area funzionale, ottengono l'accesso completo in Lettura a tutti gli oggetti e sono in grado di eseguire qualsiasi attività creata su selezioni di dispositivi connessi ad Administration Server tramite Network Agent con diritti di amministratore locale (root per Linux). Si consiglia di concedere con attenzione questi diritti a un gruppo limitato di utenti che ne hanno bisogno per svolgere le proprie funzioni ufficiali.

Tutte le attività, i rapporti, le impostazioni e i pacchetti di installazione mancanti nella tabella appartengono all'area funzionale Caratteristiche generali: Funzionalità di base.

Diritti di accesso alle funzionalità dell'applicazione

Ruoli utente predefiniti

I ruoli utente assegnati agli utenti di Kaspersky Security Center Linux forniscono set di diritti di accesso alle funzionalità dell'applicazione.

Agli utenti creati in un server virtuale non può essere assegnato un ruolo in Administration Server.

È possibile utilizzare i ruoli utente predefiniti con un set di diritti già configurato oppure creare nuovi ruoli. Quando si crea un nuovo ruolo, è necessario impostare l'ambito del ruolo e assegnare autonomamente i diritti di accesso alle funzionalità di Kaspersky Security Center Linux. Alcuni dei ruoli utente predefiniti disponibili in Kaspersky Security Center Linux possono essere associati a posizioni lavorative specifiche, ad esempio Auditor, Addetto alla sicurezza e Supervisore. I diritti di accesso di questi ruoli sono preconfigurati in base alle attività standard e all'ambito delle mansioni lavorative delle posizioni associate. La tabella seguente illustra il modo in cui è possibile associare i ruoli a posizioni specifiche.

Esempi di ruoli per posizioni specifiche

La tabella seguente illustra i diritti di accesso assegnati a ciascun ruolo utente predefinito.

Le caratteristiche delle aree funzionali Mobile Device Management: Generale e Gestione sistema non sono disponibili in Kaspersky Security Center Linux. Un utente con i ruoli amministratore/operatore di Vulnerability e patch management o Amministratore/Operatore Mobile Device Management hanno accesso solo per i diritti dell'area Caratteristiche generali: Funzionalità di base.

Diritti di accesso dei ruoli utente predefiniti

Assegnazione dei diritti di accesso a oggetti specifici

Oltre ad assegnare diritti di accesso a livello di server, è possibile configurare l'accesso a oggetti specifici, ad esempio a un'attività specifica. L'applicazione consente di specificare i diritti di accesso per i seguenti tipi di oggetti:

• Gruppi di amministrazione
• Attività
• Rapporti
• Selezioni dispositivi
• Selezioni eventi

Per assegnare i diritti di accesso a un oggetto specifico:

1. In base al tipo di oggetto, nel menu principale passare alla sezione corrispondente:
   • Risorse (dispositivi) → Gerarchia dei gruppi
   • Risorse (dispositivi) → Attività
   • Monitoraggio e generazione dei rapporti → Rapporti
   • Risorse (dispositivi) → Selezioni dispositivi
   • Monitoraggio e generazione dei rapporti → Selezioni eventi
2. Aprire le proprietà dell'oggetto per il quale si desidera configurare i diritti di accesso.

   Per aprire la finestra delle proprietà di un gruppo di amministrazione o di un'attività, fare clic sul nome dell'oggetto. È possibile aprire le proprietà di altri oggetti utilizzando il pulsante sulla barra degli strumenti.

3. Nella finestra delle proprietà, aprire la sezione Diritti di accesso.

   Verrà visualizzato l'elenco di utenti. Gli utenti e i gruppi di protezione elencati dispongono dei diritti di accesso all'oggetto. Per impostazione predefinita, se si utilizza una gerarchia di gruppi di amministrazione o server, l'elenco e i diritti di accesso vengono ereditati dal gruppo di amministrazione principale o dal server primario.

4. Per poter modificare l'elenco, abilitare l'opzione Usa autorizzazioni personalizzate.
5. Configurare i diritti di accesso:
   • Utilizzare i pulsanti Aggiungi ed Elimina per modificare l'elenco.
   • Specificare i diritti di accesso per un utente o un gruppo di protezione. Eseguire una delle seguenti operazioni:
     • Se si desidera specificare i diritti di accesso manualmente, selezionare l'utente o il gruppo di protezione, fare clic sul pulsante Diritti di accesso, quindi specificare i diritti di accesso.
     • Se si desidera assegnare un ruolo utente all'utente o al gruppo di protezione, selezionare l'utente o il gruppo di protezione, fare clic sul pulsante Ruoli e selezionare il ruolo da assegnare.
6. Fare clic sul pulsante Salva.

I diritti di accesso all'oggetto sono configurati.

Assegnazione dei diritti di accesso a utenti e gruppi

È possibile concedere a utenti e gruppi di protezione i diritti di accesso per utilizzare diverse funzionalità di Administration Server, ad esempio, Kaspersky Endpoint Security for Linux.

Per assegnare i diritti di accesso a un utente o un gruppo di protezione:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.

   Verrà visualizzata la finestra delle proprietà di Administration Server.

2. Nella scheda Diritti di accesso, selezionare la casella di controllo accanto al nome dell'utente o del gruppo di protezione a cui assegnare i diritti, quindi fare clic sul pulsante Diritti di accesso.

   Non è possibile selezionare più utenti o gruppi di sicurezza contemporaneamente. Se si selezionano più elementi, il pulsante Diritti di accesso verrà disabilitato.

3. Configurare il set di diritti per l'utente o il gruppo:
   1. Espandere il nodo con le funzionalità di Administration Server o di un'altra applicazione Kaspersky.
   2. Selezionare la casella di controllo Consenti o Nega accanto alla funzionalità o al diritto di accesso desiderato.

      Esempio 1: selezionare la casella di controllo Consenti accanto al nodo Integrazione applicazione per concedere tutti i diritti di accesso disponibili alla funzionalità di integrazione dell'applicazione (Lettura, Scrittura ed Esecuzione) per un utente o un gruppo.

      Esempio 2: espandere il nodo Gestione chiavi di criptaggio, quindi selezionare la casella di controllo Consenti accanto all'autorizzazione Scrittura per concedere il diritto di accesso in scrittura alla funzionalità di gestione delle chiavi di criptaggio per un utente o un gruppo.

4. Dopo aver configurato il set di diritti di accesso, fare clic su OK.

Verrà configurato il set di diritti per l'utente o il gruppo di utenti.

Le autorizzazioni dell'Administration Server (o del gruppo di amministrazione) sono suddivise nelle seguenti aree:

• Caratteristiche generali:
  • Gestione dei gruppi di amministrazione
  • Accesso agli oggetti indipendentemente dagli elenchi di controllo degli accessi
  • Funzionalità di base
  • Oggetti eliminati
  • Gestione delle chiavi di criptaggio
  • Elaborazione degli eventi
  • Operazioni in Administration Server (solo nella finestra delle proprietà di Administration Server)
  • Tag dispositivo
  • Distribuzione del software Kaspersky
  • Gestione delle chiavi di licenza
  • Integrazione dell'applicazione
  • Gestione dei rapporti forzata
  • Gerarchia di Administration Server
  • Autorizzazioni utente
  • Administration Server virtuali
• Mobile Device Management:
  • Generale
  • Portale Self Service
• Gestione sistema:
  • Connettività
  • Inventario hardware
  • Controllo accesso alla rete (NAC)
  • Distribuzione del sistema operativo
  • Vulnerability e patch management
  • Installazione remota
  • Inventario software

Se non si seleziona Consenti o Nega per un diritto di accesso, il diritto di accesso viene considerato non definita: è negata finché non viene negata o consentita in modo esplicito per l'utente.

I diritti di un utente sono la somma di quanto segue:

• I diritti propri dell'utente
• I diritti di tutti i ruoli assegnati all'utente
• I diritti di tutto il gruppo di protezione a cui appartiene l'utente
• I diritti di tutti i ruoli assegnati ai gruppi di protezione a cui appartiene l'utente

Se almeno uno di questi set di diritti ha l'autorizzazione Nega, l'autorizzazione viene negata all'utente, anche se altri set la consentono o la lasciano non definita.

È inoltre possibile aggiungere utenti e gruppi di protezione all'ambito di un ruolo utente per usare funzionalità diverse di Administration Server. Le impostazioni associate a un ruolo utente si applicheranno solo ai dispositivi che appartengono agli utenti con questo ruolo e solo se tali dispositivi appartengono a gruppi associati a questo ruolo, inclusi i gruppi figlio.

Aggiunta di un account di un utente interno

Per aggiungere un nuovo account utente interno a Kaspersky Security Center Linux:

1. Nel menu principale, passare a Utenti e ruoli → Utenti e gruppi, quindi selezionare la scheda Utenti.
2. Fare clic su Aggiungi.
3. Nella finestra Aggiungi utente visualizzata specificare le impostazioni del nuovo account utente:
   • Nome.
   • Password per la connessione dell'utente a Kaspersky Security Center Linux.

     La password deve rispettare le seguenti regole:

     • La password deve avere una lunghezza compresa tra 8 e 16 caratteri.
     • La password deve contenere caratteri da almeno tre dei gruppi elencati di seguito:
       • Lettere maiuscole (A-Z)
       • Lettere minuscole (a-z)
       • Numeri (0-9)
       • Caratteri speciali (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;)
     • La password non deve contenere spazi, caratteri Unicode o la combinazione di "." e "@", quando "." si trova prima di "@".

     Per visualizzare i caratteri immessi, tenere premuto il pulsante Mostra.

     Il numero di tentativi per l'immissione della password è limitato. Per impostazione predefinita, il numero massimo di tentativi di immissione della password consentiti è 10. È possibile modificare il numero di tentativi di immissione della password consentiti, come descritto in "Modifica del numero di tentativi di immissione della password consentiti".

     Se l'utente raggiunge il numero di tentativi specificato per l'immissione della password, il relativo account viene bloccato per un'ora. È possibile sbloccare l'account utente solo modificando la password.

4. Fare clic su Salva per salvare le modifiche.

Un nuovo account di utenti viene aggiunto all'elenco di utenti.

Creazione di un gruppo di protezione

Per creare un gruppo di protezione:

1. Nel menu principale, passare a Utenti e ruoli → Utenti e gruppi, quindi selezionare la scheda Gruppi.
2. Fare clic su Aggiungi.
3. Nella finestra Crea gruppo di protezione visualizzata, specificare le seguenti impostazioni per il nuovo gruppo di protezione:
   • Nome gruppo
   • Descrizione
4. Fare clic su Salva per salvare le modifiche.

Un nuovo gruppo di protezione viene aggiunto all'elenco dei gruppi.

Modifica di un account di un utente interno

Per modificare un account utente interno in Kaspersky Security Center Linux:

1. Nel menu principale, passare a Utenti e ruoli → Utenti e gruppi, quindi selezionare la scheda Utenti.
2. Fare clic sul nome dell'account utente che si desidera modificare.
3. Nella finestra delle impostazioni utente visualizzata, nella scheda Generale, modificare le impostazioni dell'account utente:
   • Descrizione
   • Nome completo
   • Indirizzo e-mail
   • Telefono principale
   • Imposta nuova password per la connessione dell'utente a Kaspersky Security Center Linux.

     La password deve rispettare le seguenti regole:

     • La password deve avere una lunghezza compresa tra 8 e 16 caratteri.
     • La password deve contenere caratteri da almeno tre dei gruppi elencati di seguito:
       • Lettere maiuscole (A-Z)
       • Lettere minuscole (a-z)
       • Numeri (0-9)
       • Caratteri speciali (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;)
     • La password non deve contenere spazi, caratteri Unicode o la combinazione di "." e "@", quando "." si trova prima di "@".

     Per visualizzare la password immessa, tenere premuto il pulsante Mostra.

     Il numero di tentativi per l'immissione della password è limitato. Per impostazione predefinita, il numero massimo di tentativi di immissione della password consentiti è 10. È possibile modificare il numero di tentativi consentiti; tuttavia, per motivi di sicurezza, è consigliabile non ridurlo. Se l'utente raggiunge il numero di tentativi specificato per l'immissione della password, il relativo account viene bloccato per un'ora. È possibile sbloccare l'account utente solo modificando la password.

   • Se necessario, spostare l'interruttore su Disabilitato per impedire all'utente di connettersi all'applicazione. È ad esempio possibile disabilitare un account dopo che un dipendente lascia l'azienda.
4. Nella scheda Sicurezza in fase di autenticazione è possibile specificare le impostazioni di protezione per questo account.
5. Nella scheda Gruppi è possibile aggiungere l'utente ai gruppi di protezione.
6. Nella scheda Dispositivi è possibile assegnare dispositivi all'utente.
7. Nella scheda Ruoli è possibile assegnare ruoli all'utente.
8. Fare clic su Salva per salvare le modifiche.

L'account utente aggiornato verrà visualizzato nell'elenco di utenti.

Modifica di un gruppo di protezione

Per modificare un gruppo di protezione:

1. Nel menu principale, passare a Utenti e ruoli → Utenti e gruppi, quindi selezionare la scheda Gruppi.
2. Fare clic sul nome del gruppo di protezione che si desidera modificare.
3. Nella finestra delle impostazioni del gruppo visualizzata modificare le impostazioni del gruppo di protezione:
   • Nella scheda Generale, è possibile modificare le impostazioni Nome e Descrizione. Queste impostazioni sono disponibili solo per i gruppi di protezione interni.
   • Nella scheda Utenti, è possibile aggiungere utenti al gruppo di protezione. Questa impostazione è disponibile solo per utenti interni e gruppi di protezione interni.
   • Nella scheda Ruoli, è possibile assegnare un ruolo al gruppo di protezione.
4. Fare clic su Salva per salvare le modifiche.

Le modifiche vengono applicate al gruppo di protezione.

Assegnazione di un ruolo a un utente o un gruppo di protezione

Per assegnare un ruolo a un utente o un gruppo di protezione:

1. Nel menu principale, passare su Utenti e ruoli → Utenti e gruppi, quindi selezionare la scheda Utenti o Gruppi.
2. Selezionare il nome dell'utente o del gruppo di protezione a cui assegnare un ruolo.

   È possibile selezionare più nomi.

3. Nella riga del menu fare clic sul pulsante Assegna ruolo.

   Verrà avviata l'Assegnazione guidata ruolo.

4. Seguire le istruzioni della procedura guidata: selezionare il ruolo che si desidera assegnare agli utenti o gruppi di protezione selezionati, quindi selezionare l'ambito del ruolo.

   Un ambito di un ruolo utente è una combinazione di utenti e gruppi di amministrazione. Le impostazioni associate a un ruolo utente si applicano solo ai dispositivi che appartengono agli utenti con questo ruolo e solo se tali dispositivi appartengono a gruppi associati a questo ruolo, inclusi i gruppi figlio.

Il ruolo con un set di diritti per l'utilizzo di Administration Server viene assegnato all'utente (o agli utenti o al gruppo di protezione). Nell'elenco degli utenti o dei gruppi di sicurezza, viene visualizzata una casella di controllo nella colonna Ha ruoli assegnati.

Aggiunta di account utente a un gruppo di protezione interno

È possibile aggiungere solo account di utenti interni a un gruppo di protezione interno.

Per aggiungere account utente a un gruppo di protezione interno:

1. Nel menu principale, passare a Utenti e ruoli → Utenti e gruppi, quindi selezionare la scheda Utenti.
2. Selezionare le caselle di controllo accanto agli account utente che si desidera aggiungere a un gruppo di protezione.
3. Fare clic sul pulsante Assegna gruppo.
4. Nella finestra Assegna gruppo visualizzata selezionare il gruppo di protezione a cui si desidera aggiungere gli account utente.
5. Fare clic sul pulsante Salva.

Gli account utente verranno aggiunti al gruppo di protezione. È inoltre possibile aggiungere utenti interni a un gruppo di protezione utilizzando le impostazioni del gruppo.

Assegnazione di un utente come proprietario dispositivo

Per informazioni sull'assegnazione di un utente come proprietario di un dispositivo mobile, vedere la Guida di Kaspersky Security for Mobile.

Per assegnare un utente come proprietario dispositivo:

1. Se si desidera assegnare un proprietario di un dispositivo connesso a un Administration Server virtuale, passare prima all'Administration Server virtuale:
   1. Nel menu principale, fare clic sull'icona a forma di freccia di espansione () a destra del nome corrente dell'Administration Server.
   2. Selezionare l'Administration Server desiderato.
2. Nel menu principale, passare a Utenti e ruoli → Utenti e gruppi, quindi selezionare la scheda Utenti.

   Verrà visualizzato un elenco di utenti. Se si è attualmente connessi a un Administration Server virtuale, l'elenco include gli utenti dell'Administration Server virtuale corrente e dell'Administration Server primario.

3. Fare clic sul nome dell'account utente che si desidera assegnare come proprietario dispositivo.
4. Nella finestra delle impostazioni utente visualizzata, selezionare la scheda Dispositivi.
5. Fare clic su Aggiungi.
6. Dall'elenco dei dispositivi selezionare il dispositivo che si desidera assegnare all'utente.
7. Fare clic su OK.

Il dispositivo selezionato verrà aggiunto all'elenco dei dispositivi assegnati all'utente.

È possibile eseguire la stessa operazione in Risorse (dispositivi) → Dispositivi gestiti, facendo clic sul nome del dispositivo che si desidera assegnare e quindi facendo clic sul collegamento Gestisci proprietario dispositivo.

Abilitazione della protezione dell'account dalle modifiche non autorizzate

È possibile abilitare un'opzione aggiuntiva per proteggere un account utente dalle modifiche non autorizzate. Se questa opzione è abilitata, la modifica delle impostazioni dell'account utente richiede l'autorizzazione dell'utente con i diritti di modifica.

Per abilitare o disabilitare la protezione dell'account dalle modifiche non autorizzate:

1. Nel menu principale, passare a Utenti e ruoli → Utenti e gruppi, quindi selezionare la scheda Utenti.
2. Fare clic sul nome dell'account utente interno per cui specificare la protezione dell'account dalle modifiche non autorizzate.
3. Nella finestra delle impostazioni utente visualizzata selezionare la scheda Sicurezza in fase di autenticazione.
4. Nella scheda Sicurezza in fase di autenticazione, selezionare l'opzione Richiedi l'autenticazione per controllare l'autorizzazione di modifica di questo account se si desidera richiedere le credenziali ogni volta che le impostazioni dell'account vengono modificate. In caso contrario, selezionare l'opzione Consenti agli utenti di modificare questo account senza autenticazione aggiuntiva.
5. Fare clic sul pulsante Salva.

Verifica in due passaggi

Questa sezione descrive come utilizzare la verifica in due passaggi per ridurre il rischio di accesso non autorizzato a Kaspersky Security Center Web Console.

Scenario: Configurazione della verifica in due passaggi per tutti gli utenti

Questo scenario descrive come abilitare la verifica in due passaggi per tutti gli utenti e come escludere gli account utente dalla verifica in due passaggi. Se non è stata abilitata la verifica in due passaggi per il proprio account prima di abilitarla per tutti gli altri utenti, l'applicazione apre innanzitutto la finestra per abilitare la verifica in due passaggi per il proprio account. Questo scenario descrive anche come abilitare la verifica in due passaggi per il proprio account.

Se è stata abilitata la verifica in due passaggi per il proprio account, è possibile procedere al passaggio di abilitazione della verifica in due passaggi per tutti gli utenti.

Prerequisiti

Prima di iniziare:

• Assicurarsi che il proprio account utente disponga del diritto Modifica elenchi di controllo degli accessi agli oggetti dell'area funzionale Caratteristiche generali: Autorizzazioni utente per la modifica delle impostazioni di protezione per gli account di altri utenti.
• Assicurarsi che gli altri utenti di Administration Server installino un'app di autenticazione nei propri dispositivi.

Passaggi

L'abilitazione della verifica in due passaggi per tutti gli utenti procede per fasi:

1. Installazione di un'app di autenticazione in un dispositivo

   È possibile installare qualsiasi applicazione che supporti l'algoritmo TOTP (Time-based One-time Password), ad esempio:

   • Google Authenticator
   • Microsoft Authenticator
   • Bitrix24 OTP
   • Yandex Key
   • Avanpost Authenticator
   • Aladdin 2FA

   Per verificare se Kaspersky Security Center Linux supporta l'app di autenticazione che si desidera utilizzare, abilitare la verifica in due passaggi per tutti gli utenti o per un determinato utente.

   Uno dei passaggi suggerisce di specificare il codice di sicurezza generato dall'app di autenticazione. In caso di esito positivo, Kaspersky Security Center Linux supporta l'applicazione di autenticazione selezionata.

   Si sconsiglia vivamente di installare l'app di autenticazione nello stesso dispositivo da cui viene stabilita la connessione ad Administration Server.

2. Sincronizzazione dell'ora dell'app di autenticazione con l'ora del dispositivo in cui è installato Administration Server

   Verificare che l'ora nel dispositivo con l'app di autenticazione e l'ora nel dispositivo con Administration Server siano sincronizzate con UTC, utilizzando fonti orarie esterne. In caso contrario, potrebbero verificarsi errori durante l'autenticazione e l'attivazione della verifica in due passaggi.

3. Abilitazione della verifica in due passaggi per il proprio account e ricezione della chiave segreta per il proprio account

   Dopo aver abilitato la verifica in due passaggi per il proprio account, è possibile abilitare la verifica in due passaggi per tutti gli utenti.

4. Abilitazione della verifica in due passaggi per tutti gli utenti

   Gli utenti con la verifica in due passaggi abilitata devono utilizzarla per accedere ad Administration Server.

5. Impedisci ai nuovi utenti di impostare la verifica in due passaggi per se stessi

   Per migliorare ulteriormente la protezione dell'accesso a Kaspersky Security Center Web Console, è possibile impedire ai nuovi utenti di impostare autonomamente la verifica in due passaggi.

6. Modifica del nome dell'emittente del codice di sicurezza

   Se si dispone di più Administration Server con nomi simili, potrebbe essere necessario modificare i nomi dell'emittente del codice di sicurezza per un migliore riconoscimento dei diversi Administration Server.

7. Esclusione degli account utente per cui non è necessario abilitare la verifica in due passaggi

   Se necessario, è possibile escludere gli utenti dalla verifica in due passaggi. Gli utenti con account esclusi non devono utilizzare la verifica in due passaggi per accedere ad Administration Server.

8. Configurazione della verifica in due passaggi per il proprio account

   Se gli utenti non sono esclusi dalla verifica in due passaggi e la verifica in due passaggi non è ancora configurata per i propri account, è necessario configurarla nella finestra che si apre quando accedono a Kaspersky Security Center Web Console. In caso contrario, non saranno in grado di accedere ad Administration Server in base ai propri diritti.

Risultati

Al termine di questo scenario:

• La verifica in due passaggi è stata abilitata per l'account.
• La verifica in due passaggi è abilitata per tutti gli account utente di Administration Server, ad eccezione degli account utente che sono stati esclusi.

Informazioni sulla verifica in due passaggi per un account

Kaspersky Security Center Linux fornisce la verifica in due passaggi per gli utenti di Kaspersky Security Center Web Console. Quando la verifica in due passaggi è abilitata per il proprio account, ogni volta che si accede a Kaspersky Security Center Web Console è necessario immettere il nome utente, la password e un codice di sicurezza monouso aggiuntivo. Per ricevere un codice di sicurezza monouso è necessario disporre di un'app di autenticazione nel computer o nel dispositivo mobile.

Un codice di sicurezza ha un identificatore denominato nome dell'emittente. Il nome dell'emittente del codice di sicurezza viene utilizzato come identificatore di Administration Server nell'app di autenticazione. È possibile modificare il nome dell'emittente del codice di sicurezza. Il nome dell'emittente del codice di sicurezza ha un valore predefinito uguale al nome di Administration Server. Il nome dell'emittente viene utilizzato come identificatore di Administration Server nell'app di autenticazione. Se si modifica il nome dell'emittente del codice di sicurezza, è necessario emettere una nuova chiave segreta e passarla all'app di autenticazione. Un codice di sicurezza è monouso ed è valido per un massimo di 90 secondi (il tempo esatto può variare).

Qualsiasi utente per cui è abilitata la verifica in due passaggi può riemettere la propria chiave segreta. Quando un utente esegue l'autenticazione con la chiave segreta riemessa e la utilizza per l'accesso, Administration Server salva la nuova chiave segreta per l'account utente. Se l'utente immette la nuova chiave segreta in modo errato, Administration Server non salva la nuova chiave segreta e mantiene la chiave segreta corrente valida per l'ulteriore autorizzazione.

Qualsiasi software di autenticazione che supporti l'algoritmo TOTP (Time-based One-time Password) può essere utilizzato come app di autenticazione, ad esempio Google Authenticator. Per generare il codice di sicurezza, è necessario sincronizzare l'ora impostata nell'app di autenticazione con l'ora impostata per Administration Server.

Per verificare se Kaspersky Security Center Linux supporta l'app di autenticazione che si desidera utilizzare, abilitare la verifica in due passaggi per tutti gli utenti o per un determinato utente.

Uno dei passaggi suggerisce di specificare il codice di sicurezza generato dall'app di autenticazione. In caso di esito positivo, Kaspersky Security Center Linux supporta l'applicazione di autenticazione selezionata.

Un'app di autenticazione genera il codice di sicurezza nel modo seguente:

1. Administration Server genera una chiave segreta speciale e un codice QR.
2. L'utente specifica la chiave segreta generata o il codice QR generato nell'app di autenticazione.
3. L'app di autenticazione genera un codice di sicurezza monouso che verrà specificato nella finestra di autenticazione di Administration Server.

Si consiglia vivamente di salvare la chiave segreta (o il codice QR) e conservarla in un luogo sicuro. Questo codice consentirà di ripristinare l'accesso a Kaspersky Security Center Web Console nel caso in cui si perda l'accesso al dispositivo mobile.

Per proteggere l’utilizzo di Kaspersky Security Center Linux, è possibile abilitare la verifica in due passaggi per il proprio account e abilitare la verifica in due passaggi per tutti gli utenti.

È possibile escludere gli account dalla verifica in due passaggi. Questa operazione può essere necessaria per gli account di servizio che non possono ricevere un codice di sicurezza per l'autenticazione.

La verifica in due passaggi funziona in base alle seguenti regole:

• Solo un account utente che dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente può abilitare la verifica in due passaggi per tutti gli utenti.
• Solo un utente che ha abilitato la verifica in due passaggi per il proprio account può abilitare l'opzione di verifica in due passaggi per tutti gli utenti.
• Solo un utente che ha abilitato la verifica in due passaggi per il proprio account può escludere altri account utente dall'elenco della verifica in due passaggi abilitata per tutti gli utenti.
• Un utente può abilitare la verifica in due passaggi solo per il proprio account.
• Un account utente che dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente e che ha eseguito l'accesso a Kaspersky Security Center Web Console utilizzando la verifica in due passaggi può disabilitare la verifica in due passaggi: per qualsiasi altro utente solo se la verifica in due passaggi per tutti gli utenti è disabilitata, per un utente escluso dall'elenco della verifica in due passaggi abilitata per tutti gli utenti.
• Qualsiasi utente che ha eseguito l'accesso a Kaspersky Security Center Web Console utilizzando la verifica in due passaggi può riemettere la propria chiave segreta.
• È possibile abilitare l'opzione di verifica in due passaggi per tutti gli utenti per l'Administration Server attualmente in uso. Se si abilita questa opzione in Administration Server, l'opzione viene abilitata anche per gli account utente dei relativi Administration Server virtuali e non si abilita la verifica in due passaggi per gli account utente degli Administration Server secondari.

Abilitazione della verifica in due passaggi per il proprio account

È possibile abilitare la verifica in due passaggi solo per il proprio account.

Prima di iniziare ad abilitare la verifica in due passaggi per il proprio account, assicurarsi che nel dispositivo mobile sia installata un'app di autenticazione. Assicurarsi che l'ora impostata nell'app di autenticazione sia sincronizzata con l'ora impostata nel dispositivo in cui è installato Administration Server.

Per abilitare la verifica in due passaggi per un account utente:

1. Nel menu principale, passare a Utenti e ruoli → Utenti e gruppi, quindi selezionare la scheda Utenti.
2. Fare clic sul nome dell'account.
3. Nella finestra delle impostazioni utente visualizzata selezionare la scheda Sicurezza in fase di autenticazione:
   1. Selezionare l'opzione Richiedi nome utente, password e codice di sicurezza (verifica in due passaggi). Fare clic sul pulsante Salva.
   2. Nella finestra della verifica in due passaggi visualizzata, fare clic su Visualizza come configurare la verifica in due passaggi.

      Fare clic su Visualizza codice QR.

   3. Scansionare il codice QR dall'app di autenticazione sul dispositivo mobile per ricevere il codice di sicurezza monouso.
   4. Nella finestra della verifica in due passaggi specificare il codice di sicurezza generato dall'app di autenticazione, quindi fare clic sul pulsante Controlla e applica.
4. Fare clic sul pulsante Salva.

La verifica in due passaggi è stata abilitata per l'account.

Scansionare il codice QR dall'app di autenticazione sul dispositivo mobile per ricevere il codice di sicurezza monouso.

Abilitazione della verifica in due passaggi richiesta per tutti gli utenti

È possibile abilitare la verifica in due passaggi per tutti gli utenti di Administration Server se il proprio account dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente e se è stata eseguita l'autenticazione utilizzando la verifica in due passaggi.

Per abilitare la verifica in due passaggi per tutti gli utenti:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.

   Verrà visualizzata la finestra delle proprietà di Administration Server.

2. Nella scheda Sicurezza in fase di autenticazione della finestra delle proprietà spostare l'interruttore dell'opzione di verifica in due passaggi per tutti gli utenti sulla posizione "abilitato".
3. Se non è stata abilitata la verifica in due passaggi per il proprio account, l'applicazione apre la finestra per abilitare la verifica in due passaggi per il proprio account.
   1. Nella finestra della verifica in due passaggi, fare clic su Visualizza come configurare la verifica in due passaggi.
   2. Fare clic su Visualizza codice QR.
   3. Scansionare il codice QR dall'applicazione di autenticazione sul dispositivo mobile per ricevere il codice di sicurezza monouso.

      In alternativa, immettere manualmente la chiave segreta nell'applicazione di autenticazione.

   4. Nella finestra della verifica in due passaggi specificare il codice di sicurezza generato dall'applicazione di autenticazione, quindi fare clic sul pulsante Controlla e applica.

La verifica in due passaggi è abilitata per tutti gli utenti. D'ora in poi gli utenti di Administration Server, inclusi gli utenti aggiunti dopo aver abilitato la verifica in due passaggi per tutti gli utenti, dovranno configurare la verifica in due passaggi per i propri account, ad eccezione degli utenti esclusi dalla verifica in due passaggi.

Disabilitazione della verifica in due passaggi per un account utente

È possibile disabilitare la verifica in due passaggi per il proprio account, nonché per l'account di un altro utente.

È possibile disabilitare la verifica in due passaggi di un altro account utente se il proprio account dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente e se è stata eseguita l'autenticazione utilizzando la verifica in due passaggi.

Per disabilitare la verifica in due passaggi per un account utente:

1. Nel menu principale, passare a Utenti e ruoli → Utenti e gruppi, quindi selezionare la scheda Utenti.
2. Fare clic sul nome dell'account utente interno per cui si desidera disabilitare la verifica in due passaggi. Può trattarsi del proprio account o dell'account di un altro utente.
3. Nella finestra delle impostazioni utente visualizzata selezionare la scheda Sicurezza in fase di autenticazione.
4. Selezionare l'opzione Richiedi solo nome utente e password se si desidera disabilitare la verifica in due passaggi per un account utente.
5. Fare clic sul pulsante Salva.

La verifica in due passaggi è disabilitata per l'account utente.

Se si desidera ripristinare l'accesso per un utente che non può accedere a Kaspersky Security Center Web Console utilizzando la verifica in due passaggi, disabilitare la verifica in due passaggi per questo account utente, quindi selezionare l'opzione Richiedi solo nome utente e password come descritto sopra. Successivamente, accedere a Kaspersky Security Center Web Console con l'account utente per il quale è stata disabilitata la verifica in due passaggi, quindi abilitare nuovamente la verifica.

Disabilitazione della verifica in due passaggi richiesta per tutti gli utenti

È possibile disabilitare la verifica in due passaggi richiesta per tutti gli utenti se la verifica in due passaggi è abilitata per il proprio account e se quest'ultimo dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente. Se la verifica in due passaggi non è abilitata per il proprio account, è necessario abilitare la verifica in due passaggi per il proprio account prima di disabilitarla per tutti gli utenti.

Per disabilitare la verifica in due passaggi per tutti gli utenti:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.

   Verrà visualizzata la finestra delle proprietà di Administration Server.

2. Nella scheda Sicurezza in fase di autenticazione della finestra delle proprietà spostare l'interruttore dell'opzione di verifica in due passaggi per tutti gli utenti sulla posizione "disabilitato".
3. Inserire le credenziali del proprio account nella finestra di autenticazione.

La verifica in due passaggi è disabilitata per tutti gli utenti. La disabilitazione della verifica in due passaggi per tutti gli utenti non si applica agli account specifici per i quali la verifica in due passaggi è stata precedentemente abilitata separatamente.

Esclusione di account dalla verifica in due passaggi

È possibile escludere gli account utente dalla verifica in due passaggi se si dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente.

Se un account utente viene escluso dall'elenco della verifica in due passaggi per tutti gli utenti, tale utente non deve utilizzare la verifica in due passaggi.

L'esclusione degli account dalla verifica in due passaggi può essere necessaria per gli account di servizio che non possono passare il codice di sicurezza durante l'autenticazione.

Se si desidera escludere alcuni account utente dalla verifica in due passaggi:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.

   Verrà visualizzata la finestra delle proprietà di Administration Server.

2. Nella scheda Sicurezza in fase di autenticazione della finestra delle proprietà, nella tabella delle esclusioni dalla verifica in due passaggi fare clic sul pulsante Aggiungi.
3. Nella finestra visualizzata:
   1. Selezionare gli account utente che si desidera escludere.
   2. Fare clic sul pulsante OK.

Gli account utente selezionati vengono esclusi dalla verifica in due passaggi.

Configurazione della verifica in due passaggi per il proprio account

La prima volta che si accede a Kaspersky Security Center Linux dopo l'abilitazione della verifica in due passaggi, si apre la finestra per la configurazione della verifica in due passaggi per l'account.

Prima di configurare la verifica in due passaggi per il proprio account, assicurarsi che nel dispositivo mobile sia installata un'app di autenticazione. Verificare che l'ora nel dispositivo con l'app di autenticazione e l'ora nel dispositivo con Administration Server siano sincronizzate con UTC, utilizzando fonti orarie esterne.

Per configurare la verifica in due passaggi per il proprio account:

1. Generare un codice di sicurezza monouso utilizzando l'app di autenticazione sul dispositivo mobile. A tale scopo, eseguire una delle azioni seguenti:
   • Immettere manualmente la chiave segreta nell'app di autenticazione.
   • Fare clic su Visualizza codice QR ed eseguire la scansione del codice QR utilizzando l'app di autenticazione.

   Verrà visualizzato un codice di sicurezza sul dispositivo mobile.

2. Nella finestra di configurazione della verifica in due passaggi specificare il codice di sicurezza generato dall'app di autenticazione, quindi fare clic sul pulsante Controlla e applica.

La verifica in due passaggi viene configurata per il proprio account. È possibile accedere ad Administration Server in base ai propri diritti.

Impedisci ai nuovi utenti di impostare la verifica in due passaggi per se stessi

Per migliorare ulteriormente la protezione dell'accesso a Kaspersky Security Center Web Console, è possibile impedire ai nuovi utenti di impostare autonomamente la verifica in due passaggi.

Quando questa opzione è abilitata, un utente con la verifica in due passaggi disabilitata, ad esempio un nuovo amministratore di dominio, non può configurare autonomamente la verifica in due passaggi. Pertanto, tale utente non può essere autenticato in Administration Server e non può accedere a Kaspersky Security Center Web Console senza l'approvazione di un altro amministratore di Kaspersky Security Center Linux che ha già abilitato la verifica in due passaggi.

Questa opzione è disponibile se la verifica in due passaggi è abilitata per tutti gli utenti.

Per impedire ai nuovi utenti di impostare autonomamente la verifica in due passaggi:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.

   Verrà visualizzata la finestra delle proprietà di Administration Server.

2. Nella scheda Sicurezza in fase di autenticazione della finestra delle proprietà, spostare l'interruttore Vieta ai nuovi utenti di impostare la verifica in due passaggi per se stessi nella posizione di abilitazione.

Questa opzione non influisce sugli account utente aggiunti alle esclusioni della verifica in due passaggi.

Per concedere a Kaspersky Security Center Web Console l'accesso a un utente con la verifica in due passaggi disabilitata, disattivare temporaneamente l'opzione Vieta ai nuovi utenti di impostare la verifica in due passaggi per se stessi, chiedere all'utente di abilitare la verifica in due passaggi, quindi riattivare l'opzione.

Generazione di una nuova chiave segreta

È possibile generare una nuova chiave segreta per la verifica in due passaggi per il proprio account solo se è stata eseguita l'autorizzazione utilizzando la verifica in due passaggi.

Per generare una nuova chiave segreta per un account utente:

1. Nel menu principale, passare a Utenti e ruoli → Utenti e gruppi, quindi selezionare la scheda Utenti.
2. Fare clic sul nome dell'account utente per cui si desidera generare una nuova chiave segreta per la verifica in due passaggi.
3. Nella finestra delle impostazioni utente visualizzata selezionare la scheda Sicurezza in fase di autenticazione.
4. Nella sceda Sicurezza in fase di autenticazione, fare clic sul collegamento Genera una nuova chiave segreta.
5. Nella finestra della verifica in due passaggi visualizzata specificare una nuova chiave di sicurezza generata dall'app di autenticazione.
6. Fare clic sul pulsante Controlla e applica.

Viene generata una nuova chiave segreta per l'utente.

Se il dispositivo mobile viene smarrito, è possibile installare un'app di autenticazione in un altro dispositivo mobile e generare una nuova chiave segreta per ripristinare l'accesso a Kaspersky Security Center Web Console.

Modifica del nome dell'emittente del codice di sicurezza

È possibile disporre di più identificatori (chiamati emittenti) per diversi Administration Server. È possibile modificare il nome dell'emittente di un codice di sicurezza ad esempio nel caso in cui Administration Server utilizzi già un nome simile dell'emittente del codice di sicurezza per un altro Administration Server. Per impostazione predefinita, il nome dell'emittente di un codice di sicurezza è uguale al nome di Administration Server.

Dopo aver modificato il nome dell'emittente del codice di sicurezza, è necessario riemettere una nuova chiave segreta e passarla all'app di autenticazione.

Per specificare un nuovo nome dell'emittente del codice di sicurezza:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.

   Verrà visualizzata la finestra delle proprietà di Administration Server.

2. Nella finestra delle impostazioni utente visualizzata selezionare la scheda Sicurezza in fase di autenticazione.
3. Nella scheda Sicurezza in fase di autenticazione, fare clic sul collegamento Modifica.

   Verrà visualizzata la sezione Modifica emittente codice di sicurezza.

4. Specificare un nuovo nome dell'emittente del codice di sicurezza.
5. Fare clic sul pulsante OK.

Viene specificato un nuovo nome dell'emittente del codice di sicurezza per Administration Server.

Modifica del numero di tentativi di immissione della password consentiti

L’utente di Kaspersky Security Center Linux può immettere una password non valida un numero limitato di volte. Una volta raggiunto il limite, l'account utente viene bloccato per un'ora.

Per impostazione predefinita, il numero massimo di tentativi di immissione della password consentiti è 10. È possibile modificare il numero di tentativi di immissione della password consentiti, come descritto in questa sezione.

Per modificare il numero di tentativi di immissione della password consentiti:

1. Nel dispositivo Administration Server, eseguire una riga di comando Linux.
2. Per l'utilità klscflag, eseguire il seguente comando:

   sudo /opt/kaspersky/ksc64/sbin/klscflag -fset -pv klserver -n SrvSplPpcLogonAttempts -t d -v N

   dove N è un numero di tentativi di immissione di una password.

3. Per applicare le modifiche, riavviare il servizio Administration Server.

Il numero massimo di tentativi di immissione della password consentiti è stato modificato.

Eliminazione di un utente o un gruppo di protezione

È possibile eliminare solo utenti interni o gruppi di protezione interni.

Per eliminare un utente o un gruppo di protezione:

1. Nel menu principale, passare su Utenti e ruoli → Utenti e gruppi, quindi selezionare la scheda Utenti o Gruppi.
2. Selezionare la casella di controllo accanto all'utente o al gruppo di protezione che si desidera eliminare.
3. Fare clic su Elimina.
4. Nella finestra visualizzata fare clic su OK.

L'utente o il gruppo di protezione verrà eliminato.

Creazione di un ruolo utente

Per creare un ruolo utente:

1. Nel menu principale accedere a Utenti e ruoli → Ruoli.
2. Fare clic su Aggiungi.
3. Nella finestra Nome nuovo ruolo visualizzata immettere il nome del nuovo ruolo.
4. Fare clic su OK per applicare le modifiche.
5. Nella finestra delle proprietà del ruolo visualizzata modificare le impostazioni del ruolo:
   • Nella scheda Generale modificare il nome del ruolo.

     Non è possibile modificare il nome di un ruolo predefinito.

   • Nella scheda Impostazioni modificare l'ambito del ruolo, i criteri e i profili associati al ruolo.
   • Nella scheda Diritti di accesso modificare i diritti per l'accesso alle applicazioni Kaspersky.
6. Fare clic su Salva per salvare le modifiche.

Il nuovo ruolo verrà visualizzato nell'elenco dei ruoli utente.

Modifica di un ruolo utente

Per modificare un ruolo utente:

1. Nel menu principale accedere a Utenti e ruoli → Ruoli.
2. Fare clic sul nome del ruolo che si desidera modificare.
3. Nella finestra delle proprietà del ruolo visualizzata modificare le impostazioni del ruolo:
   • Nella scheda Generale modificare il nome del ruolo.

     Non è possibile modificare il nome di un ruolo predefinito.

   • Nella scheda Impostazioni modificare l'ambito del ruolo, i criteri e i profili associati al ruolo.
   • Nella scheda Diritti di accesso modificare i diritti per l'accesso alle applicazioni Kaspersky.
4. Fare clic su Salva per salvare le modifiche.

Il ruolo aggiornato verrà visualizzato nell'elenco dei ruoli utente.

Modifica dell'ambito di un ruolo utente

Un ambito di un ruolo utente è una combinazione di utenti e gruppi di amministrazione. Le impostazioni associate a un ruolo utente si applicano solo ai dispositivi che appartengono agli utenti con questo ruolo e solo se tali dispositivi appartengono a gruppi associati a questo ruolo, inclusi i gruppi figlio.

Per aggiungere utenti, gruppi di protezione e gruppi di amministrazione all'ambito di un ruolo utente, è possibile utilizzare una dei seguenti metodi:

Metodo 1:

1. Nel menu principale, passare su Utenti e ruoli → Utenti e gruppi, quindi selezionare la scheda Utenti o Gruppi.
2. Selezionare le caselle di controllo accanto agli utenti o ai gruppi di protezione che si desidera aggiungere all'ambito del ruolo utente.
3. Fare clic sul pulsante Assegna ruolo.

   Verrà avviata l'Assegnazione guidata ruolo. Procedere con la procedura guidata utilizzando il pulsante Avanti.

4. Nel passaggio Selezionare un ruolo selezionare il ruolo utente che si desidera assegnare.
5. Nel passaggio Definire l'ambito selezionare il gruppo di amministrazione da aggiungere all'ambito del ruolo utente.
6. Fare clic sul pulsante Assegna ruolo per chiudere la finestra.

Gli utenti o i gruppi di protezione selezionati e il gruppo di amministrazione selezionato verranno aggiunti all'ambito del ruolo utente.

Metodo 2:

1. Nel menu principale accedere a Utenti e ruoli → Ruoli.
2. Fare clic sul nome del ruolo per cui si desidera definire l'ambito.
3. Nella finestra delle proprietà del ruolo visualizzata, selezionare la scheda Impostazioni.
4. Nella sezione Ambito ruolo fare clic su Aggiungi.

   Verrà avviata l'Assegnazione guidata ruolo. Procedere con la procedura guidata utilizzando il pulsante Avanti.

5. Nel passaggio Definire l'ambito selezionare il gruppo di amministrazione da aggiungere all'ambito del ruolo utente.
6. Nel passaggio Selezionare gli utenti della procedura guidata selezionare gli utenti e i gruppi di protezione che si desidera aggiungere all'ambito del ruolo utente.
7. Fare clic sul pulsante Assegna ruolo per chiudere la finestra.
8. Fare clic sul pulsante Chiudi () per chiudere la finestra delle proprietà del ruolo.

Gli utenti o i gruppi di protezione selezionati e il gruppo di amministrazione selezionato verranno aggiunti all'ambito del ruolo utente.

Metodo 3:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.

   Verrà visualizzata la finestra delle proprietà di Administration Server.

2. Nella scheda Diritti di accesso, selezionare la casella di controllo accanto al nome dell'utente o del gruppo di sicurezza che si desidera aggiungere all'ambito dei ruoli utente, quindi fare clic sul pulsante Ruoli.

   Non è possibile selezionare più utenti o gruppi di sicurezza contemporaneamente. Se si selezionano più elementi, il pulsante Ruoli verrà disabilitato.

3. Nella finestra Ruoli selezionare il ruolo utente che si desidera assegnare, quindi applicare e salvare le modifiche.

   Gli utenti o i gruppi di protezione selezionati verranno aggiunti all'ambito del ruolo utente.

Eliminazione di un ruolo utente

Per eliminare un ruolo utente:

1. Nel menu principale accedere a Utenti e ruoli → Ruoli.
2. Selezionare la casella di controllo accanto al nome del ruolo che si desidera eliminare.
3. Fare clic su Elimina.
4. Nella finestra visualizzata fare clic su OK.

Il ruolo utente verrà eliminato.

Associazione dei profili criterio ai ruoli

È possibile associare i ruoli utente ai profili criterio. In questo caso, la regola di attivazione per questo profilo criterio si basa sul ruolo: il profilo criterio diventa attivo per un utente che ha il ruolo specificato.

Il criterio vieta ad esempio un software di navigazione GPS in tutti i dispositivi in un gruppo di amministrazione. Il software di navigazione GPS è necessario in un solo dispositivo nel gruppo di amministrazione Utenti: quello di proprietà di un corriere. In questo caso, è possibile assegnare un ruolo "Corriere" al proprietario, quindi creare un profilo criterio che consente l'esecuzione del software di navigazione GPS solo nei dispositivi i cui proprietari hanno il ruolo "Corriere". Tutte le altre impostazioni del criterio vengono mantenute. Solo l'utente con il ruolo "Corriere" sarà autorizzato a eseguire il software di navigazione GPS. Se in seguito viene assegnato il ruolo "Corriere" a un altro dipendente, anche il nuovo dipendente potrà eseguire il software di navigazione nel dispositivo dell'organizzazione. L'esecuzione del software di navigazione GPS sarà ancora non consentita negli altri dispositivi dello stesso gruppo di amministrazione.

Per associare un ruolo a un profilo criterio:

1. Nel menu principale accedere a Utenti e ruoli → Ruoli.
2. Fare clic sul nome del ruolo che si desidera associare a un profilo criterio.

   Verrà visualizzata la finestra delle proprietà del ruolo, con la scheda Generale selezionata.

3. Selezionare la scheda Impostazioni e scorrere fino alla sezione Criteri e profili.
4. Fare clic su Modifica.
5. Per associare il ruolo a:
   • Un profilo criterio esistente: fare clic sull'icona della freccia di espansione () accanto al nome del criterio desiderato, quindi selezionare la casella di controllo accanto al profilo a cui associare il ruolo.
   • Un nuovo profilo criterio:
     1. Selezionare la casella di controllo accanto al criterio per cui si desidera creare un profilo.
     2. Fare clic su Nuovo profilo criterio.
     3. Specificare un nome per il nuovo profilo e configurare le impostazioni del profilo.
     4. Fare clic sul pulsante Salva.
     5. Selezionare la casella di controllo accanto al nuovo profilo.
6. Fare clic su Assegna al ruolo.

Il profilo verrà associato al ruolo e visualizzato nelle proprietà del ruolo. Il profilo si applica automaticamente a qualsiasi dispositivo il cui proprietario è assegnato al ruolo.

Propagazione dei ruoli utente agli Administration Server secondari

Per impostazione predefinita, gli elenchi dei ruoli utente degli Administration Server primari e secondari sono indipendenti. È possibile configurare l'applicazione in modo da propagare automaticamente i ruoli utente creati nell'Administration Server primario a tutti gli Administration Server secondari. I ruoli utente possono inoltre essere propagati da un Administration Server secondario ai relativi Administration Server secondari.

Per propagare i ruoli utente dall'Administration Server primario agli Administration Server secondari:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.

   Verrà visualizzata la finestra delle proprietà di Administration Server, con la scheda Generale selezionata.

2. Passare alla sezione Gerarchia di Administration Server.
3. Abilitare l'opzione Trasferisci elenco dei ruoli agli Administration Server secondari, quindi fare clic sul pulsante Salva.

L'applicazione copierà i ruoli utente dell'Administration Server primario negli Administration Server secondari.

Quando l'opzione Trasferisci elenco dei ruoli agli Administration Server secondari è abilitata e vengono propagati i ruoli utente, questi non possono essere modificati o eliminati negli Administration Server secondari. Quando si crea un nuovo ruolo o si modifica un ruolo esistente nell'Administration Server primario, le modifiche vengono copiate automaticamente negli Administration Server secondari. Quando si elimina un ruolo utente nell'Administration Server primario, questo ruolo rimane negli Administration Server secondari, ma può essere modificato o eliminato.

I ruoli propagati all'Administration Server secondario dal server primario sono visualizzati con i segni di spunta verdi (). Non è possibile modificare tali ruoli nell'Administration Server secondario.

Se si crea un ruolo nell'Administration Server primario ed è presente un ruolo con lo stesso nome nell'Administration Server secondario, il nuovo ruolo viene copiato nell'Administration Server secondario con l'aggiunta di un indice al nome, ad esempio ~~1, ~~2 (l'indice può essere casuale).

Se si disabilita l'opzione Trasferisci elenco dei ruoli agli Administration Server secondari, tutti i ruoli utente restano negli Administration Server secondari, ma diventano indipendenti da quelli nell'Administration Server primario. Dopo essere diventati indipendenti, i ruoli utente negli Administration Server secondari possono essere modificati o eliminati.