Best practice per la distribuzione

Kaspersky Security Center Linux è un'applicazione distribuita. Kaspersky Security Center Linux include le seguenti applicazioni:

• Administration Server - Il componente principale, progettato per la gestione dei dispositivi di un'organizzazione e l'archiviazione dei dati in un sistema DBMS.
• Kaspersky Security Center Web Console: lo strumento di base per l'amministratore. È possibile installare Kaspersky Security Center Web Console nello stesso dispositivo in cui è installato Administration Server o in un altro dispositivo.
• Network Agent – Utilizzato per gestire l'applicazione di protezione installata in un dispositivo, nonché per ottenere informazioni sul dispositivo e per trasferire queste informazioni ad Administration Server. I Network Agent vengono installati nei dispositivi di un'organizzazione.

La distribuzione di Kaspersky Security Center Linux nella rete di un'organizzazione viene eseguita come segue:

• Installazione di Administration Server
• Installazione di Kaspersky Security Center Web Console nel dispositivo dell'amministratore
• Installazione di Network Agent e dell'applicazione di protezione nei dispositivi dell'organizzazione

Guida all'hardening

Kaspersky Security Center Linux è progettato per l'esecuzione centralizzata delle attività di base di amministrazione e manutenzione nella rete di un'organizzazione. L'applicazione fornisce all'amministratore l'accesso a informazioni dettagliate sul livello di sicurezza della rete dell'organizzazione. Kaspersky Security Center Linux consente di configurare tutti i componenti della protezione creati utilizzando le applicazioni Kaspersky.

Kaspersky Security Center Linux Administration Server ha accesso completo alla gestione della protezione dei dispositivi client ed è il componente più importante del sistema di sicurezza dell'organizzazione. Pertanto, per Administration Server sono necessari metodi di protezione avanzati.

Prima della configurazione, creare una copia di backup di Kaspersky Security Center Linux Administration Server utilizzando l'attività Backup dei dati di Administration Server o l'utilità klbackup e salvarla in una posizione sicura.

Nella Guida all'hardening, sono descritti i suggerimenti e le caratteristiche della configurazione di Kaspersky Security Center Linux e dei suoi componenti, intesi a ridurre i rischi di compromissione.

La Guida all'hardening contiene le seguenti informazioni:

• Selezione dell'architettura di Administration Server
• Configurazione di una connessione sicura ad Administration Server
• Configurazione degli account per l'accesso ad Administration Server
• Gestione della protezione di Administration Server
• Gestione della protezione dei dispositivi client
• Configurazione della protezione per le applicazioni gestite
• Manutenzione di Administration Server
• Trasferimento di informazioni ad applicazioni di terzi
• Suggerimenti sulla sicurezza per i sistemi informativi di terze parti

Distribuzione di Administration Server

Architettura di Administration Server

In generale, la scelta di un'architettura di gestione centralizzata dipende dalla posizione dei dispositivi protetti, dall'accesso da reti adiacenti, dagli schemi di distribuzione degli aggiornamenti del database e così via.

Nella fase iniziale dello sviluppo dell'architettura, si consiglia di familiarizzare con i componenti di Kaspersky Security Center Linux e con le modalità di interazione tra essi, così come con gli schemi per il traffico dati e l'utilizzo delle porte.

Sulla base di queste informazioni, è possibile formare un'architettura che specifichi:

• La posizione di Administration Server e le connessioni di rete
• L'organizzazione delle aree di lavoro dell'amministratore e i metodi di connessione ad Administration Server
• I metodi di distribuzione per Network Agent e il software di protezione
• L'utilizzo dei punti di distribuzione
• L'utilizzo di Administration Server virtuali
• L'utilizzo di una gerarchia di Administration Server
• Lo schema di aggiornamento del database anti-virus
• Altri flussi informativi

Selezione di un dispositivo per l'installazione di Administration Server

Si consiglia di installare Administration Server in un server dedicato nell'infrastruttura dell'organizzazione. Se nel server non è installato altro software di terzi, è possibile configurare le impostazioni di sicurezza in base ai requisiti di Kaspersky Security Center Linux, senza dipendere dai requisiti del software di terzi.

È possibile distribuire Administration Server in un server fisico o in un server virtuale. Verificare che il dispositivo selezionato soddisfi i requisiti hardware e software.

Limitazione della distribuzione di Administration Server in un controller di dominio, un server terminal o un dispositivo utente

Si sconsiglia vivamente di installare Administration Server in un controller di dominio, un server terminal o un dispositivo utente.

Si consiglia di fornire la separazione funzionale dei nodi chiave di rete. Questo approccio consente di mantenere l'operatività di diversi sistemi quando un nodo si guasta o è compromesso. Al contempo, è possibile creare diversi criteri di sicurezza per ciascun nodo.

Account per l'installazione e l'esecuzione di Administration Server

Durante la distribuzione di Administration Server, è necessario creare due account senza privilegi. I servizi inclusi in Administration Server funzioneranno con questi account senza privilegi. Seguire il principio del privilegio minimo quando si concedono diritti e autorizzazioni agli account. Evitare di includere account non necessari nel gruppo "kladmins".

È inoltre necessario creare un account DBMS interno. Administration Server utilizza questo account DBMS interno per accedere al DBMS selezionato.

Il set di account richiesti e i loro diritti dipende dal tipo di DBMS selezionato e dal metodo di creazione del database di Administration Server.

Sicurezza della connessione

Utilizzo di TLS

Si consiglia di vietare le connessioni non sicure ad Administration Server. Ad esempio, è possibile vietare le connessioni che utilizzano HTTP nelle impostazioni di Administration Server.

Si noti che, per impostazione predefinita, diverse porte HTTP di Administration Server sono chiuse. La porta rimanente viene utilizzata per il server Web di Administration Server (8060). Questa porta può essere limitata dalle impostazioni del firewall del dispositivo Administration Server.

Impostazioni TLS rigorose

Si consiglia di utilizzare il protocollo TLS versione 1.2 e successive e di limitare o vietare gli algoritmi di criptaggio non sicuri.

È possibile configurare i protocolli di criptaggio (TLS) utilizzati da Administration Server. Si noti che al momento del rilascio di una versione di Administration Server, le impostazioni del protocollo di criptaggio sono configurate per impostazione predefinita per garantire un trasferimento sicuro dei dati.

Limitazione dell'accesso al database di Administration Server

Si consiglia di limitare l'accesso al database di Administration Server. Ad esempio, concedere l'accesso solo dal dispositivo Administration Server. In questo modo, si riduce la probabilità che il database di Administration Server venga compromesso a causa di vulnerabilità note.

È possibile configurare i parametri in base alle istruzioni operative del database utilizzato, nonché fornire porte chiuse sui firewall.

Configurazione di una lista di indirizzi IP consentiti per la connessione ad Administration Server

Per impostazione predefinita, gli utenti possono accedere a Kaspersky Security Center Linux da qualsiasi dispositivo in cui è installato Kaspersky Security Center Web Console. È possibile configurare Administration Server in modo che gli utenti possano connettersi ad esso solo da dispositivi con indirizzi IP consentiti.

Account e autenticazione

Prima di eseguire i seguenti passaggi, creare una copia di backup di Kaspersky Security Center Linux Administration Server utilizzando l'attività Backup dei dati di Administration Server o l'utilità klbackup e salvarla in una posizione sicura.

Utilizzo della verifica in due passaggi con Administration Server

Kaspersky Security Center Linux fornisce la verifica in due passaggi per gli utenti di Kaspersky Security Center Web Console, basata sullo standard RFC 6238 (algoritmo TOTP, Time-based One-time Password).

Quando la verifica in due passaggi è abilitata per il proprio account, ogni volta che si accede a Kaspersky Security Center Web Console è necessario immettere il nome utente, la password e un codice di sicurezza monouso aggiuntivo. Per ricevere un codice di sicurezza monouso è necessario installare un'app di autenticazione nel computer o nel dispositivo mobile.

Esistono autenticatori software e hardware (token) che supportano lo standard RFC 6238. Ad esempio, gli autenticatori software includono Google Authenticator, Microsoft Authenticator, FreeOTP.

Si sconsiglia vivamente di installare l'app di autenticazione nello stesso dispositivo da cui viene stabilita la connessione ad Administration Server. È possibile installare un'app di autenticazione nel dispositivo mobile.

Utilizzo dell'autenticazione a due fattori per un sistema operativo

Si consiglia di utilizzare l'autenticazione a più fattori (MFA) per l'autenticazione nel dispositivo Administration Server utilizzando un token, una smart card o un altro metodo (se possibile).

Divieto di salvare la password amministratore

Se si utilizza Kaspersky Security Center Web Console, si sconsiglia di salvare la password amministratore nel browser installato nel dispositivo dell'utente.

Autenticazione di un account utente interno

Per impostazione predefinita, la password di un account utente interno di Administration Server deve rispettare le seguenti regole:

• La password deve avere una lunghezza compresa tra 8 e 16 caratteri.

• La password deve contenere caratteri da almeno tre dei gruppi elencati di seguito:

  • Lettere maiuscole (A-Z)

  • Lettere minuscole (a-z)

  • Numeri (0-9)

  • Caratteri speciali (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;)

• La password non deve contenere spazi, caratteri Unicode o la combinazione di "." e "@", quando "." si trova prima di "@".

Per impostazione predefinita, il numero massimo di tentativi di immissione della password consentiti è 10. È possibile modificare il numero di tentativi di immissione della password consentiti.

L’utente di Kaspersky Security Center Linux può immettere una password non valida un numero limitato di volte. Una volta raggiunto il limite, l'account utente viene bloccato per un'ora.

Gruppo di amministrazione dedicato per Administration Server

Si consiglia di creare un gruppo di amministrazione dedicato per Administration Server. Concedere a questo gruppo diritti di accesso speciali e creare un criterio di sicurezza speciale per lo stesso.

Per evitare di abbassare intenzionalmente il livello di sicurezza di Administration Server, si consiglia di limitare l'elenco degli account che possono gestire il gruppo di amministrazione dedicato.

Limitazione dell'assegnazione del ruolo di amministratore principale

All'utente creato dall'utilità kladduser viene assegnato il ruolo di amministratore principale nell'elenco di controllo degli accessi (ACL) di Administration Server. Si consiglia di evitare l'assegnazione del ruolo di amministratore principale a un numero elevato di utenti.

Configurazione dei diritti di accesso alle funzionalità dell'applicazione

Si consiglia di utilizzare una configurazione flessibile dei diritti di accesso alle funzionalità di Kaspersky Security Center Linux per ciascun utente o gruppo di utenti.

Il controllo degli accessi in base al ruolo consente la creazione di ruoli utente standard con un set di diritti predefinito e l'assegnazione di tali ruoli agli utenti sulla base dell'ambito delle relative mansioni lavorative.

Principali vantaggi del modello di controllo degli accessi in base al ruolo:

• Amministrazione semplificata
• Gerarchia dei ruoli
• Approccio con privilegio minimo
• Separazione dei compiti

È possibile assegnare ruoli predefiniti a determinati dipendenti in base alle loro posizioni o creare ruoli completamente nuovi.

Durante la configurazione dei ruoli, prestare attenzione ai privilegi associati alla modifica dello stato della protezione del dispositivo Administration Server e all'installazione remota di software di terzi:

• Gestione dei gruppi di amministrazione.
• Operazioni con Administration Server.
• Installazione remota.
• Modifica dei parametri per l’archiviazione di eventi e l’invio delle notifiche.

  Questo privilegio consente di impostare notifiche che eseguono uno script o un modulo eseguibile nel dispositivo Administration Server quando si verifica un evento.

Account separato per l'installazione remota delle applicazioni

Oltre alla differenziazione di base dei diritti di accesso, si consiglia di limitare l'installazione remota delle applicazioni per tutti gli account (ad eccezione dell'amministratore principale o di un altro account specializzato).

Si consiglia di utilizzare un account separato per l'installazione remota delle applicazioni. È possibile assegnare un ruolo o autorizzazioni all'account separato.

Controllo periodico di tutti gli utenti e delle azioni degli utenti

Si consiglia di eseguire un controllo periodico di tutti gli utenti sul dispositivo Administration Server. In questo modo, è possibile rispondere a determinati tipi di minacce alla sicurezza associate alla possibile compromissione del dispositivo.

È inoltre possibile monitorare le azioni degli utenti, ad esempio la connessione e la disconnessione da Administration Server, la connessione ad Administration Server con un errore e la modifica degli oggetti (per gli oggetti che supportano la gestione delle revisioni).

Gestione della protezione di Administration Server

Selezione di un software di protezione di Administration Server

A seconda del tipo di distribuzione di Administration Server e della strategia di protezione generale, selezionare l'applicazione per proteggere il dispositivo Administration Server.

Se si distribuisce Administration Server in un dispositivo dedicato, si consiglia di selezionare l'applicazione Kaspersky Endpoint Security per proteggere il dispositivo Administration Server. In questo modo, è possibile applicare tutte le tecnologie disponibili per proteggere il dispositivo Administration Server, inclusi i moduli di analisi del comportamento.

Se Administration Server è installato in un dispositivo esistente nell'infrastruttura ed è stato utilizzato in precedenza per altre attività, si consiglia di prendere in considerazione il seguente software di protezione:

• Kaspersky Industrial CyberSecurity for Nodes. Si consiglia di installare questa applicazione nei dispositivi inclusi in una rete industriale. Kaspersky Industrial CyberSecurity for Nodes è un'applicazione che dispone di certificati di compatibilità con vari produttori di software industriale.
• Prodotti di sicurezza suggeriti. Se Administration Server è installato in un dispositivo con altro software, si consiglia di consultare i suggerimenti del fornitore del software sulla compatibilità dei prodotti di sicurezza (potrebbero già essere disponibili suggerimenti per la selezione di una soluzione di sicurezza e potrebbe essere necessario configurare l'area attendibile).

Creazione di un criterio di sicurezza separato per l'applicazione di protezione

Si consiglia di creare un criterio di sicurezza separato per l'applicazione che protegge il dispositivo Administration Server. Questo criterio deve essere diverso dal criterio di sicurezza per i dispositivi client. In questo modo, è possibile specificare le impostazioni di sicurezza più appropriate per Administration Server, senza influire sul livello di protezione di altri dispositivi.

Si consiglia di dividere i dispositivi in gruppi e quindi di inserire il dispositivo Administration Server in un gruppo separato per il quale è possibile creare criteri di sicurezza speciali.

Moduli di protezione

In assenza di suggerimenti speciali da parte del fornitore del software di terzi installato nello stesso dispositivo di Administration Server, si consiglia di attivare e configurare tutti i moduli di protezione disponibili (dopo aver verificato il funzionamento di tali moduli di protezione per un certo periodo di tempo).

Configurazione del firewall del dispositivo Administration Server

Nel dispositivo Administration Server, si consiglia di configurare il firewall in modo da limitare il numero di dispositivi da cui gli amministratori possono connettersi ad Administration Server tramite Kaspersky Security Center Web Console.

Per impostazione predefinita, Administration Server utilizza la porta 13299 per ricevere le connessioni da Kaspersky Security Center Web Console. Si consiglia di limitare il numero di dispositivi da cui è possibile gestire Administration Server utilizzando questa porta.

Gestione della protezione dei dispositivi client

Limitazione dell'aggiunta di chiavi di licenza ai pacchetti di installazione

I pacchetti di installazione sono archiviati nella cartella condivisa di Administration Server, nella sottocartella Pacchetti. Se si aggiunge una chiave di licenza a un pacchetto di installazione, tutti gli utenti con diritti di lettura su questa cartella possono accedere alla chiave di licenza (direttamente o tramite il server Web integrato in Administration Server).

Per evitare di compromettere la chiave di licenza, si sconsiglia di aggiungere chiavi di licenza ai pacchetti di installazione.

Si consiglia di utilizzare la distribuzione automatica delle chiavi di licenza ai dispositivi gestiti, la distribuzione tramite l'attività Aggiungi chiave di licenza per un'applicazione gestita e aggiungere manualmente un codice di attivazione o un file chiave ai dispositivi.

Regole automatiche per lo spostamento dei dispositivi tra i gruppi di amministrazione

Si consiglia di limitare l'uso delle regole automatiche per lo spostamento dei dispositivi tra i gruppi di amministrazione.

Se si utilizzano regole automatiche per lo spostamento dei dispositivi, ciò potrebbe comportare la propagazione di criteri che forniscono più privilegi al dispositivo spostato rispetto a quelli di cui disponeva prima del riposizionamento.

Inoltre, lo spostamento di un dispositivo client in un altro gruppo di amministrazione può comportare la propagazione delle impostazioni dei criteri. Queste impostazioni dei criteri potrebbero non essere appropriate per la distribuzione a dispositivi guest e non attendibili.

Questo suggerimento non si applica all'allocazione iniziale una tantum dei dispositivi ai gruppi di amministrazione.

Requisiti di sicurezza per i punti di distribuzione e i gateway di connessione

I dispositivi con Network Agent installato possono fungere da punto di distribuzione ed eseguire le seguenti funzioni:

• Distribuire gli aggiornamenti e i pacchetti di installazione ricevuti da Administration Server ai dispositivi client all'interno del gruppo.
• Eseguire l'installazione remota di software di terzi e applicazioni Kaspersky nei dispositivi client.
• Eseguire il polling della rete per rilevare nuovi dispositivi e aggiornare le informazioni sui dispositivi esistenti. Il punto di distribuzione può utilizzare gli stessi metodi di rilevamento dei dispositivi di Administration Server.

Posizionamento dei punti di distribuzione sulla rete dell'organizzazione utilizzati per:

• Riduzione del carico su Administration Server
• Ottimizzazione del traffico
• Concessione all'Administration Server dell'accesso ai dispositivi in parti difficili da raggiungere della rete

Tenendo conto delle capacità disponibili, si consiglia di proteggere i dispositivi che fungono da punti di distribuzione da qualsiasi tipo di accesso non autorizzato (anche fisico).

Limitazione dell'assegnazione automatica dei punti di distribuzione

Per semplificare l'amministrazione e assicurare l'operatività della rete, si consiglia di utilizzare l'assegnazione automatica dei punti di distribuzione. Tuttavia, per le reti industriali e le reti di piccole dimensioni, si consiglia di evitare l'assegnazione automatica dei punti di distribuzione, poiché, ad esempio, le informazioni private degli account utilizzati per il push delle attività di installazione remota possono essere trasferite ai punti di distribuzione tramite il sistema operativo.

Per le reti industriali e le reti di piccole dimensioni, è possibile assegnare manualmente i dispositivi in modo che fungano da punti di distribuzione.

È inoltre possibile visualizzare il Rapporto sull'attività dei punti di distribuzione.

Configurazione della protezione per le applicazioni gestite

Criteri delle applicazioni gestite

Si consiglia di creare un criterio per ogni tipo di applicazione e componente utilizzato di Kaspersky Security Center Linux (Network Agent, Kaspersky Endpoint Security for Windows, Kaspersky Endpoint Security for Linux, Kaspersky Endpoint Agent e altri). Questo criterio deve essere applicato a tutti i dispositivi gestiti (il gruppo di amministrazione principale) o a un gruppo separato in cui i nuovi dispositivi gestiti vengono automaticamente spostati in base alle regole di spostamento configurate.

Indicazione della password per disabilitare la protezione e disinstallare l'applicazione

Si consiglia vivamente di abilitare la protezione con password per impedire agli intrusi di disabilitare o disinstallare le applicazioni di protezione Kaspersky. Nelle piattaforme in cui è supportata la protezione con password, è possibile impostare la password, ad esempio, per Kaspersky Endpoint Security, Network Agent e altre applicazioni Kaspersky. Dopo aver abilitato la protezione tramite password, si consiglia di bloccare le impostazioni corrispondenti chiudendo il "lucchetto".

Specificazione della password per la connessione manuale di un dispositivo client ad Administration Server (utilità klmover)

L'utilità klmover consente di connettere manualmente un dispositivo client ad Administration Server. L'utilità klmover si trova nella cartella di installazione di Network Agent.

Per impedire agli intrusi di spostare i dispositivi fuori dal controllo di Administration Server, si consiglia di abilitare la protezione tramite password per l'esecuzione dell'utilità klmover. Per abilitare la protezione con password, selezionare l'opzione Usa password di disinstallazione nelle impostazioni dei criteri di Network Agent.

L'utilità klmover richiede i diritti di amministratore locale.

Se si perde o si dimentica la password di Network Agent protetto da password installato nel dispositivo che non è più sotto la gestione di Kaspersky Security Center Linux, non è possibile rimuovere Network Agent utilizzando l'utilità klmover o il prompt dei comandi. In questo caso, è necessario reinstallare il sistema operativo nel dispositivo in cui è installato Network Agent protetto da password.

L'abilitazione dell'opzione Usa password di disinstallazione nei dispositivi Windows consente anche di abilitare la protezione tramite password per lo strumento Cleaner (cleaner.exe).

Utilizzo di Kaspersky Security Network

In tutti i criteri delle applicazioni gestite e nelle proprietà di Administration Server, si consiglia di abilitare l'uso di Kaspersky Security Network (KSN) e di accettare l'Informativa KSN. Quando si aggiorna o si effettua l'upgrade di Administration Server, è possibile accettare l'Informativa KSN aggiornata. In alcuni casi, quando l'uso dei servizi cloud è vietato dalla legge o da altri regolamenti, è possibile disabilitare KSN.

Scansione regolare dei dispositivi gestiti

Per tutti i gruppi di dispositivi, si consiglia di creare un'attività che esegua periodicamente una scansione completa dei dispositivi.

Individuazione di nuovi dispositivi

Si consiglia di configurare correttamente le impostazioni di rilevamento dei dispositivi: impostare l'integrazione con controller di dominio e specificare gli intervalli di indirizzi IP per il rilevamento di nuovi dispositivi.

Per motivi di sicurezza, è possibile utilizzare il gruppo di amministrazione predefinito che include tutti i nuovi dispositivi e i criteri predefiniti che interessano questo gruppo.

Manutenzione di Administration Server

Copia di backup dei dati di Administration Server

Backup dei dati consente di ripristinare i dati di Administration Server senza perdita di dati.

Le impostazioni dell'attività di backup dei dati possono essere modificate come segue:

• La frequenza di backup aumenta
• Viene specificata una directory speciale per il salvataggio delle copie
• Le password per le copie di backup sono state modificate

Se si archiviano copie di backup in una directory speciale, diversa dalla directory predefinita, si consiglia di limitare l'elenco di controllo di accesso (ACL, Access Control List) per questa directory. Gli account di Administration Server e gli account del database di Administration Server devono disporre dell'accesso in scrittura per questa directory.

Manutenzione di Administration Server

La manutenzione di Administration Server consente di ridurre il volume del database e migliorare le prestazioni e l'affidabilità delle operazioni dell'applicazione. È consigliabile eseguire la manutenzione di Administration Server almeno ogni settimana.

La manutenzione di Administration Server viene eseguita tramite un'attività specializzata. Durante la manutenzione di Administration Server, l'applicazione esegue le azioni seguenti:

• Riorganizza gli indici del database
• Aggiorna le statistiche del database
• Riduce le dimensioni del database (se necessario)

Installazione degli aggiornamenti del sistema operativo e degli aggiornamenti software di terzi

Si consiglia vivamente di installare periodicamente gli aggiornamenti software per il sistema operativo e il software di terzi nel dispositivo Administration Server.

I dispositivi client non richiedono una connessione continua ad Administration Server, quindi è possibile riavviare il dispositivo Administration Server in modo sicuro dopo aver installato gli aggiornamenti. Tutti gli eventi registrati nei dispositivi client durante il periodo di inattività di Administration Server vengono inviati ad esso dopo il ripristino della connessione.

Trasferimento di eventi a sistemi di terzi

Monitoraggio e generazione dei rapporti

Per una risposta tempestiva ai problemi di sicurezza, si consiglia di configurare le funzionalità di monitoraggio e generazione dei rapporti.

Esportazione di eventi nei sistemi SIEM

Per il rilevamento rapido dei problemi di sicurezza prima che si verifichino danni significativi, si consiglia di utilizzare l'esportazione degli eventi in un sistema SIEM.

Notifiche e-mail degli eventi di controllo

Kaspersky Security Center Linux consente di ricevere informazioni sugli eventi che si verificano durante l'esecuzione di Administration Server e delle applicazioni Kaspersky installate nei dispositivi gestiti. Per una risposta tempestiva alle emergenze, si consiglia di configurare Administration Server in modo che invii notifiche sugli eventi di controllo, gli eventi critici, gli eventi di errore e gli avvisi pubblicati.

Poiché questi eventi sono eventi interni al sistema, è prevedibile che se ne verifichino pochi; si tratta di una situazione abbastanza normale per la posta.

Scenario: autenticazione di MySQL Server

Si consiglia di utilizzare un certificato TLS per autenticare MySQL Server. È possibile utilizzare un certificato di un'autorità di certificazione attendibile o un certificato autofirmato.

Administration Server supporta l'autenticazione SSL unidirezionale e bidirezionale per MySQL.

Abilitazione dell'autenticazione SSL unidirezionale

Seguire questi passaggi per configurare l'autenticazione SSL unidirezionale per MySQL:

1. Generare un certificato TLS autofirmato per il server MySQL

   Eseguire il seguente comando:

   openssl genrsa 1024 > ca-key.pem

   openssl req -new -x509 -nodes -days 365 -key ca-key.pem -config myssl.cnf > ca-cert.pem

   openssl req -newkey rsa:1024 -days 365 -nodes -keyout server-key.pem -config myssl.cnf > server-req.pem

   openssl x09 -req -in server-req.pem -days 365 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > server-cert.pem

2. Creare un file flag del server

   Utilizzare l'utilità klscflag per creare il contrassegno del server KLSRV_MYSQL_OPT_SSL_CA e specificare il percorso del certificato come valore. L'utilità klscflag si trova nella directory in cui è installato Administration Server. Il percorso di installazione predefinito è /opt/kaspersky/ksc64/sbin.

   klscflag -fset -pv klserver -n KLSRV_MYSQL_OPT_SSL_CA -v <percorso di ca-cert.pem> -t d

3. Configurare il database

   Specificare i certificati nel file my.cnf. Aprire il file my.cnf in un editor di testo e aggiungere le seguenti righe nella sezione [mysqld]:

   [mysqld]

   ssl-ca=".../mysqlcerts/ca-cert.pem"

   ssl-cert=".../mysqlcerts/server-cert.pem"

   ssl-key=".../mysqlcerts/server-key.pem"

Abilitazione dell'autenticazione SSL bidirezionale

Seguire questi passaggi per configurare l'autenticazione SSL bidirezionale per MySQL:

1. Creare file flag del server

   Utilizzare l'utilità klscflag per creare i contrassegni del server e specificare il percorso dei file del certificato come valori:

   klscflag -fset -pv klserver -n KLSRV_MYSQL_OPT_SSL_CA -v <percorso di ca-cert.pem> -t s

   klscflag -fset -pv klserver -n KLSRV_MYSQL_OPT_SSL_CERT -v <percorso di server-cert.pem> -t s

   klscflag -fset -pv klserver -n KLSRV_MYSQL_OPT_SSL_KEY -v <percorso di server-key.pem> -t s

   L'utilità klscflag si trova nella directory in cui è installato Administration Server. Il percorso di installazione predefinito è /opt/kaspersky/ksc64/sbin.

2. Specificare la passphrase (facoltativo)

   Se server-key.pem richiede una passphrase, creare un contrassegno KLSRV_MARIADB_OPT_TLS_PASPHRASE e specificare la passphrase come valore:

   klscflag -fset -pv klserver -n KLSRV_MARIADB_OPT_TLS_PASPHRASE -v <passphrase> -t s

3. Configurare il database

   Specificare i certificati nel file my.cnf. Aprire il file my.cnf in un editor di testo e aggiungere le seguenti righe nella sezione [mysqld]:

   [mysqld]

   ssl-ca=".../mysqlcerts/ca-cert.pem"

   ssl-cert=".../mysqlcerts/server-cert.pem"

   ssl-key=".../mysqlcerts/server-key.pem"

Scenario: autenticazione del server PostgreSQL

Espandi tutto | Comprimi tutto

Si consiglia di utilizzare un certificato TLS per autenticare il server PostgreSQL. È possibile utilizzare un certificato di un'autorità di certificazione attendibile o un certificato autofirmato.

Administration Server supporta l'autenticazione SSL unidirezionale e bidirezionale per PostgreSQL.

L'autenticazione del server PostgreSQL avviene in fasi:

1. Generazione di un certificato per il server PostgreSQL

   Eseguire i seguenti comandi:

   openssl req -new -x509 -days 365 -nodes -text -out psql.crt -keyout psql.key -subj "/CN=psql"

   chmod og-rwx psql.key

2. Generazione di un certificato per Administration Server

   Eseguire i seguenti comandi. Il valore CN deve corrispondere al nome dell'utente che si connette a PostgreSQL per conto di Administration Server. Il nome utente è impostato su postgres per impostazione predefinita.

   openssl req -new -x509 -days 365 -nodes -text -out postgres.crt -keyout postgres.key -subj "/CN=postgres"

   chmod og-rwx postgres.key

3. Configurazione dell'autenticazione del certificato client

   Modificare pg_hba.conf come segue:

   hostssl mydb myuser 192.168.1.0/16 scram-sha-256

   Assicurarsi che pg_hba.conf non includa un record che inizia con host.

4. Specifica del certificato PostgreSQL

   Autenticazione SSL unidirezionale

   Modificare postgresql.conf come segue (specificare il percorso corretto dei file .crt e .key):

   listen_addresses ='localhost, server-ip'

   ssl = on

   ssl_cert_file = '<psql.crt>'

   ssl_key_file = '<psql.key>'

   Autenticazione SSL bidirezionale

   Modificare postgresql.conf come segue (specificare il percorso corretto dei file .crt e .key):

   listen_addresses ='localhost, server-ip'

   ssl = on

   ssl_ca_file = '<postgres.crt>'

   ssl_cert_file = '<psql.crt>'

   ssl_key_file = '<psql.key>'

5. Riavvio del daemon PostgreSQL

   Eseguire il seguente comando:

   systemctl restart postgresql-14.service

6. Specifica del flag del server per Administration Server

   Autenticazione SSL unidirezionale

   Utilizzare l'utilità klscflag per creare il contrassegno del server KLSRV_POSTGRES_OPT_SSL_CA e specificare il percorso del certificato come valore.

   Eseguire la riga dei comandi, quindi modificare la directory corrente nella directory con l'utilità klscflag. L'utilità klscflag si trova nella directory in cui è installato Administration Server. Il percorso di installazione predefinito è /opt/kaspersky/ksc64/sbin.

   Eseguire il seguente comando:

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CA -v <percorso di psql.crt> -t s

   Autenticazione SSL bidirezionale

   Utilizzare l'utilità klscflag per creare i contrassegni del server e specificare il percorso dei file del certificato come valori.

   Eseguire la riga dei comandi, quindi modificare la directory corrente nella directory con l'utilità klscflag. L'utilità klscflag si trova nella directory in cui è installato Administration Server. Il percorso di installazione predefinito è /opt/kaspersky/ksc64/sbin.

   Eseguire i seguenti comandi:

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CA -v <percorso di psql.crt> -t s

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CERT -v <percorso di postgres.crt> -t s

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_KEY -v <percorso di postgres.key> -t s

   Se postgres.key richiede una passphrase, creare un contrassegno KLSRV_POSTGRES_OPT_TLS_PASPHRASE e specificare la passphrase come valore:

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_TLS_PASPHRASE -v <passphrase> -t s

7. Riavvio del servizio Administration Server

Preparazione per la distribuzione

Questa sezione descrive le operazioni che è necessario eseguire prima della distribuzione di Kaspersky Security Center Linux.

Pianificazione della distribuzione di Kaspersky Security Center Linux

Questa sezione contiene informazioni sulle opzioni più convenienti per la distribuzione dei componenti di Kaspersky Security Center Linux nella rete di un'organizzazione a seconda dei seguenti criteri:

• Numero totale di dispositivi
• Unità (sedi locali, filiali) separate a livello organizzativo o geografico
• Reti distinte connesse tramite canali con larghezza di banda ridotta
• Necessità dell'accesso via Internet all'Administration Server

Schemi tipici di distribuzione di un sistema di protezione

In questa sezione vengono descritti gli schemi standard per la distribuzione di un sistema di protezione anti-virus in una rete aziendale tramite Kaspersky Security Center.

Il sistema deve essere protetto contro qualsiasi tipo di accesso non autorizzato. È consigliabile installare tutti gli aggiornamenti della protezione disponibili per il sistema operativo prima di installare l'applicazione nel dispositivo e proteggere fisicamente Administration Server e punti di distribuzione.

È possibile utilizzare Kaspersky Security Center per distribuire un sistema di protezione in una rete aziendale tramite i seguenti schemi di distribuzione:

• Distribuzione di un sistema di protezione tramite Kaspersky Security Center Web Console.

  Le applicazioni Kaspersky vengono installate automaticamente nei dispositivi client che, a loro volta, vengono connessi automaticamente ad Administration Server utilizzando Kaspersky Security Center.

• Distribuzione manuale di un sistema di protezione utilizzando pacchetti di installazione indipendenti generati da Kaspersky Security Center.

  L'installazione delle applicazioni Kaspersky nei dispositivi client e nella workstation dell'amministratore viene eseguita manualmente; le impostazioni per la connessione dei dispositivi client ad Administration Server vengono specificate durante l'installazione di Network Agent.

  Questo metodo di distribuzione è consigliato nei casi in cui l'installazione remota non è possibile.

Kaspersky Security Center non supporta la distribuzione utilizzando i criteri di gruppo di Microsoft Active Directory.

Informazioni sulla pianificazione della distribuzione di Kaspersky Security Center Linux nella rete di un'organizzazione

Un Administration Server può supportare un massimo di 50.000 dispositivi (con PostgreSQL o Postgres Pro come DBMS). Se il numero totale di dispositivi nella rete di un'organizzazione è superiore a 50.000, è necessario distribuire più Administration Server nella rete e combinarli in una gerarchia per gestirli comodamente in modo centralizzato.

Se un'organizzazione include sedi locali remote su larga scala (filiali) con amministratori distinti, è consigliabile distribuire gli Administration Server in tali sedi. In caso contrario, tali filiali devono essere considerate reti distinte connesse tramite canali a basso throughput; vedere la sezione "Configurazione standard: poche sedi su larga scala gestite da amministratori distinti".

Quando si utilizzano reti distinte connesse tramite canali con larghezza di banda ridotta, è possibile ridurre il traffico assegnando a uno o più Network Agent il ruolo di punto di distribuzione (vedere la tabella per il calcolo del numero di punti di distribuzione). In questo caso, tutti i dispositivi in una rete distinta recupereranno gli aggiornamenti da tali centri di aggiornamento locali. I punti di distribuzione effettivi possono scaricare gli aggiornamenti sia da Administration Server (scenario predefinito) sia dai server Kaspersky in Internet (vedere la sezione "Configurazione standard: più sedi remote di piccole dimensioni").

La sezione "Configurazioni standard di Kaspersky Security Center Linux" fornisce descrizioni dettagliate delle configurazioni standard di Kaspersky Security Center Linux. Durante la pianificazione della distribuzione, scegliere la configurazione standard più adatta, in base alla struttura dell'organizzazione.

In fase di pianificazione della distribuzione, deve essere valutata l'assegnazione di uno speciale certificato X.509 all'Administration Server. L'assegnazione del certificato X.509 all'Administration Server può essere utile nei seguenti casi (elenco parziale):

• Ispezione del traffico SSL (Secure Sockets Layer) per mezzo di un proxy con terminazione SSL o per l'utilizzo di un proxy inverso
• Specificazione dei valori richiesti nei campi del certificato
• Specificazione del livello di criptaggio richiesto di un certificato

Selezione di una struttura per la protezione di un'azienda

La selezione di una struttura per la protezione di un'organizzazione viene definita dai seguenti fattori:

• Topologia della rete dell'organizzazione.
• Struttura dell'organizzazione.
• Numero di dipendenti responsabili della protezione della rete e allocazione delle relative responsabilità.
• Risorse hardware che possono essere allocate nei componenti di gestione della protezione.
• Throughput dei canali di comunicazione che è possibile allocare per la manutenzione dei componenti della protezione nella rete dell'organizzazione.
• Limiti di tempo per l'esecuzione di operazioni amministrative critiche nella rete dell'organizzazione. Le operazioni amministrative critiche includono, ad esempio, la distribuzione dei database anti-virus e la modifica dei criteri per i dispositivi client.

Quando si seleziona una struttura di protezione, è innanzitutto consigliabile effettuare una stima delle risorse hardware e di rete disponibili che è possibile utilizzare per l'esecuzione di un sistema di protezione centralizzato.

Per analizzare l'infrastruttura di rete e hardware, è consigliabile attenersi alla seguente procedura:

1. Definire le seguenti impostazioni della rete per cui verrà distribuita la protezione:
   • Numero di segmenti di rete.
   • Velocità dei canali di comunicazione tra i singoli segmenti di rete.
   • Numero di dispositivi gestiti in ciascun segmento di rete.
   • Throughput di ciascun canale di comunicazione che è possibile allocare per garantire il funzionamento della protezione.
2. Determinare il tempo massimo consentito per l'esecuzione delle operazioni di amministrazione chiave per tutti i dispositivi gestiti.
3. Analizzare le informazioni dei passaggi 1 e 2, oltre ai dati dai test di carico del sistema di amministrazione. In base all'analisi, rispondere alle seguenti domande:
   • È possibile servire tutti i client con un solo Administration Server o è necessaria una gerarchia di Administration Server?
   • Quale configurazione hardware di Administration Server è necessaria per gestire tutti i client nel rispetto dei limiti di tempo specificati al passaggio 2?
   • È necessario utilizzare i punti di distribuzione per ridurre il carico sui canali di comunicazione?

Dopo aver ottenuto le risposte alle domande indicate nel passaggio 3, è possibile compilare un set di strutture consentite per la protezione dell'organizzazione.

Nella rete dell'organizzazione è possibile utilizzare una delle seguenti strutture di protezione standard:

• Un solo Administration Server. Tutti i dispositivi client sono connessi a un solo Administration Server. Administration Server opera come punto di distribuzione.
• Un solo Administration Server con punti di distribuzione. Tutti i dispositivi client sono connessi a un solo Administration Server. Alcuni dispositivi client della rete operano come punti di distribuzione.
• Gerarchia di Administration server. Per ciascun segmento di rete viene allocato un singolo Administration Server, che entra a far parte di una gerarchia generale di Administration Server. L'Administration Server primario opera come punto di distribuzione.
• Gerarchia di Administration Server con punti di distribuzione. Per ciascun segmento di rete viene allocato un singolo Administration Server, che entra a far parte di una gerarchia generale di Administration Server. Alcuni dispositivi client della rete operano come punti di distribuzione.

Configurazioni standard di Kaspersky Security Center Linux

Questa sezione descrive le seguenti configurazioni standard utilizzate per la distribuzione dei componenti di Kaspersky Security Center Linux nella rete di un'organizzazione:

• Singola sede
• Poche sedi su larga scala, separate a livello geografico e gestite da amministratori distinti
• Più sedi di piccole dimensioni, separate a livello geografico

Configurazione standard: singola sede

È possibile distribuire uno o più Administration Server nella rete dell'organizzazione. Il numero di Administration Server che è possibile selezionare può essere basato sull'hardware disponibile o sul numero totale di dispositivi gestiti.

Un Administration Server può supportare fino a 50.000 dispositivi (con PostgreSQL o Postgres Pro come DBMS). Considerare la possibilità di aumentare il numero di dispositivi gestiti in futuro: può essere utile connettere un numero più limitato di dispositivi a un singolo Administration Server.

Gli Administration Server possono essere distribuiti nella rete interna o nella rete perimetrale, a seconda del fatto che sia necessario o meno l'accesso via Internet agli Administration Server.

Se vengono utilizzati più server, è consigliabile combinarli in una gerarchia. L'utilizzo di una gerarchia di Administration Server consente di evitare la duplicazione di criteri e attività e di amministrare l'intero set di dispositivi gestiti come se fossero gestiti da un singolo Administration Server (ricerca di dispositivi, creazione di selezioni di dispositivi e generazione di rapporti).

Configurazione standard: poche sedi su larga scala gestite da amministratori distinti

Se un'organizzazione ha diverse sedi su larga scala e geograficamente distanti, è necessario prendere in considerazione l'opzione di distribuire Administration Server in ciascuna sede. Per ogni sede possono essere distribuiti uno o più server di amministrazione, a seconda del numero di dispositivi client e dell'hardware disponibile. In questo caso, ciascuna sede avrà le caratteristiche descritte nello scenario "Configurazione standard: singola sede". Per semplificare l'amministrazione è consigliabile combinare tutti gli Administration Server in una gerarchia (possibilmente multi-livello).

Se alcuni dipendenti si spostano da un ufficio all'altro con i propri dispositivi (laptop), creare profili di connessione di Network Agent nel criterio di Network Agent. Si noti che i profili di connessione di Network Agent sono supportati solo per i dispositivi Windows e macOS.

Configurazione standard: più sedi remote di piccole dimensioni

Questa configurazione standard prevede una sede centrale e diverse sedi remote di piccole dimensioni che possono comunicare con la sede centrale tramite Internet. Ogni sede remota può essere posizionata dietro un NAT (Network Address Translation), quindi non è possibile stabilire alcuna connessione tra due sedi remote poiché sono isolate.

È necessario distribuire un Administration Server nella sede centrale e assegnare uno o più punti di distribuzione a tutte le altre sedi. Se le sedi sono collegate via Internet, può essere utile creare un'attività Scarica aggiornamenti negli archivi dei punti di distribuzione per i punti di distribuzione, in modo gli aggiornamenti vengano scaricati direttamente dai server di Kaspersky, dalla cartella locale o di rete, invece che da Administration Server.

Se alcuni dispositivi in una sede remota non hanno accesso diretto all'Administration Server (ad esempio, l'accesso all'Administration Server viene fornito via Internet ma alcuni dispositivi non hanno accesso a Internet), i punti di distribuzione devono essere impostati in modalità gateway di connessione. In questo caso, i Network Agent nei dispositivi della sede remota saranno connessi per l'ulteriore sincronizzazione all'Administration Server, ma attraverso il gateway, non direttamente.

Poiché in genere l'Administration Server non è in grado di eseguire il polling della rete della sede remota, può essere utile assegnare questa funzione a un punto di distribuzione.

L'Administration Server non potrà inviare notifiche tramite la porta UDP 15000 ai dispositivi gestiti posizionati dietro il NAT nella sede remota. Per risolvere questo problema, è possibile abilitare la modalità di connessione continua ad Administration Server nelle proprietà dei dispositivi che operano come punti di distribuzione (casella di controllo Non eseguire la disconnessione da Administration Server). Questa modalità è disponibile se il numero totale di punti di distribuzione non è superiore a 300. Utilizzare i server push per assicurarsi che vi sia una connettività costante tra un dispositivo gestito e l'Administration Server. Fare riferimento al seguente argomento per i dettagli: Abilitazione di un server push.

Selezione di un DBMS

Nella seguente tabella, sono elencate le opzioni DBMS valide, nonché i suggerimenti e le limitazioni per il relativo utilizzo.

Suggerimenti e limitazioni su DBMS

Per informazioni su come installare il DBMS selezionato, consultare la relativa documentazione.

Si consiglia di disabilitare l'attività Inventario software e disabilitare (nelle impostazioni del criterio di Kaspersky Endpoint Security) le notifiche di Administration Server nelle applicazioni avviate.

Se si decide di installare il DBMS di PostgreSQL o Postgres Pro, assicurarsi di aver specificato una password per il l'utente con privilegi avanzati. Se la password non viene specificata, Administration Server potrebbe non essere in grado di connettersi al database.

Se si installa MySQL, MariaDB, PostgreSQL o Postgres Pro, utilizzare le impostazioni consigliate per garantire il corretto funzionamento del DBMS.

Se si utilizza un DBMS PostgreSQL, MariaDB o MySQL, la scheda Eventi potrebbe mostrare un elenco incompleto di eventi per il dispositivo client selezionato. Questo si verifica quando il DBMS archivia una quantità molto elevata di eventi. È possibile aumentare il numero di eventi visualizzati effettuando una delle seguenti operazioni:

• Rimozione degli eventi non necessari.
• Riduzione del periodo di archiviazione per gli eventi non necessari.

Per visualizzare un elenco completo degli eventi registrati in Administration Server per il dispositivo, utilizzare Rapporti.

Concessione dell'accesso via Internet all'Administration Server

L'accesso via Internet all'Administration Server è necessario nei seguenti casi:

• Aggiornamento periodico dei database, dei moduli software e delle applicazioni Kaspersky
• Aggiornamento di software di terze parti

  Per impostazione predefinita, non è richiesta la connessione Internet per l'installazione degli aggiornamenti software Microsoft nei dispositivi gestiti da parte di Administration Server. I dispositivi gestiti possono ad esempio scaricare gli aggiornamenti software Microsoft direttamente dai server Microsoft Update o da Windows Server con Microsoft Windows Server Update Services (WSUS) distribuito nella rete dell'organizzazione. Administration Server deve essere connesso a Internet nei seguenti casi:

  • Quando si usa Administration Server come server WSUS
  • Per installare gli aggiornamenti di software di terze parti diverso dal software Microsoft
• Correzione delle vulnerabilità del software di terze parti

  È necessaria una connessione Internet affinché Administration Server esegua le seguenti attività:

  • Per creare un elenco di correzioni consigliate per le vulnerabilità del software Microsoft. L'elenco viene creato e aggiornato regolarmente dagli specialisti Kaspersky.
  • Per correggere le vulnerabilità in software di terze parti diverso dal software Microsoft.
• Gestione dei dispositivi (portatili) degli utenti fuori sede
• Gestione dei dispositivi nelle sedi remote
• Interazione con gli Administration Server primari o secondari situati nelle sedi remote
• Gestione dei dispositivi mobili

Questa sezione descrive i modi tipici per fornire l'accesso via Internet all'Administration Server. Ciascuno dei casi che prevedono l'accesso via Internet ad Administration Server può richiedere un certificato dedicato per Administration Server.

Accesso a Internet: Administration Server in una rete locale

Se l'Administration Server è posizionato nella rete interna di un'organizzazione, è consigliabile rendere la porta TCP 13000 dell'Administration Server accessibile dall'esterno per mezzo del port forwarding.

Accesso a Internet: Administration Server in una rete perimetrale

Se l'Administration Server è posizionato nella rete perimetrale dell'organizzazione, non ha accesso alla rete interna dell'organizzazione. Si applicano pertanto le seguenti limitazioni:

• L'Administration Server non può rilevare nuovi dispositivi.
• Administration Server non può eseguire la distribuzione iniziale di Network Agent tramite l'installazione forzata sui dispositivi nella rete interna dell'organizzazione.

  Questo vale solo per l'installazione iniziale di Network Agent. Qualsiasi ulteriore upgrade di Network Agent o l'installazione dell'applicazione di protezione potranno comunque essere eseguiti dall'Administration Server.

Si noti che Kaspersky Security Center Linux non supporta la distribuzione utilizzando i criteri di gruppo di Microsoft Windows.

È possibile utilizzare i punti di distribuzione che si trovano nella rete dell'organizzazione. Per eseguire la distribuzione iniziale nei dispositivi senza Network Agent, installare Network Agent in uno dei dispositivi e quindi assegnargli lo stato di punto di distribuzione. L'installazione iniziale di Network Agent negli altri dispositivi sarà eseguita da Administration Server tramite questo punto di distribuzione.

Per assicurare il corretto invio delle notifiche alla porta UDP 15000 sui dispositivi gestiti nella rete interna dell'organizzazione, è necessario coprire l'intera rete con punti di distribuzione. Nelle proprietà dei punti di distribuzione assegnati selezionare la casella di controllo Non eseguire la disconnessione da Administration Server. Administration Server stabilirà una connessione continua ai punti di distribuzione e questi potranno inviare notifiche alla porta UDP 15000 nei dispositivi che si trovano nella rete interna dell'organizzazione (può trattarsi di una rete IPv4 o IPv6).

Informazioni sui punti di distribuzione

Un dispositivo in cui è installato Network Agent può essere utilizzato come punto di distribuzione. In questa modalità, Network Agent può distribuire gli aggiornamenti, che possono essere recuperati da Administration Server o dai server Kaspersky. In quest'ultimo caso, configurare il download degli aggiornamenti per un punto di distribuzione.

La distribuzione dei punti di distribuzione nella rete di un'organizzazione ha i seguenti obiettivi:

• Riduzione del carico sull'Administration Server.
• Ottimizzazione del traffico.
• Concessione all'Administration Server dell'accesso ai dispositivi in posizioni difficili da raggiungere della rete dell'organizzazione. La disponibilità di un punto di distribuzione nella rete dietro un NAT (in relazione all'Administration Server) consente all'Administration Server di eseguire le seguenti azioni:
  • Inviare notifiche ai dispositivi tramite UDP nella rete IPv4 o IPv6
  • Eseguire il polling della rete IPv4 o IPv6
  • Eseguire la distribuzione iniziale
  • Fungere da server push

Un punto di distribuzione viene assegnato a un gruppo di amministrazione. In questo caso, l'ambito del punto di distribuzione include tutti i dispositivi all'interno del gruppo di amministrazione e di tutti i relativi sottogruppi. Tuttavia, il dispositivo che opera come punto di distribuzione può non essere incluso nel gruppo di amministrazione a cui è stato assegnato.

È possibile far funzionare un punto di distribuzione come gateway di connessione. In questo caso, i dispositivi nell'ambito del punto di distribuzione saranno connessi all'Administration Server tramite il gateway, non direttamente. Questa modalità può essere utile negli scenari che non consentono di stabilire una connessione diretta tra Administration Server e dispositivi gestiti.

Se si utilizza un dispositivo basato su Linux come punto di distribuzione, si consiglia vivamente di aumentare il limite dei descrittori di file per il servizio klnagent, poiché se l'ambito del punto di distribuzione include molti dispositivi, il numero massimo predefinito di file che è possibile aprire potrebbe non essere sufficiente.

Aumento del limite dei descrittori di file per il servizio klnagent

Se l'ambito di un punto di distribuzione basato su Linux include molti dispositivi, il limite predefinito di file che è possibile aprire (descrittori di file) potrebbe non essere sufficiente. Per evitare questo, è possibile aumentare il limite dei descrittori di file per il servizio klnagent.

Per aumentare il limite dei descrittori di file per il servizio klnagent:

1. Nel dispositivo basato su Linux che funge da punto di distribuzione, aprire il file /lib/systemd/system/klnagent64.service, quindi specificare i limiti hard e soft dei descrittori di file nel parametro LimitNOFILE della sezione [Service]:

   LimitNOFILE=<soft_resource_limit>:<hard_resource_limit>

   Ad esempio, LimitNOFILE=32768:131072. Si noti che il limite soft dei descrittori di file deve essere inferiore o uguale al limite hard.

2. Eseguire il seguente comando per assicurarsi che i parametri siano specificati correttamente:

   systemd-analyze verify klnagent64.service

   Se i parametri sono specificati in modo errato, questo comando può generare uno dei seguenti errori:

   • /lib/systemd/system/klnagent64.service:11: Failed to parse resource value, ignoring: 32768:13107

     Se si verifica questo errore, i simboli nella riga LimitNOFILE sono stati specificati in modo errato. È necessario controllare e correggere la riga immessa.

   • /lib/systemd/system/klnagent64.service:11: Soft resource limit chosen higher than hard limit, ignoring: 32768:13107

     Se si verifica questo errore, il limite soft dei descrittori di file immessi è maggiore del limite hard. È necessario controllare la riga immessa e assicurarsi che il limite soft dei descrittori di file sia uguale o inferiore al limite hard.

3. Eseguire il seguente comando per ricaricare il processo systemd:

   systemctl daemon-reload

4. Eseguire il seguente comando per riavviare il servizio Network Agent:

   systemctl restart klnagent

5. Eseguire il seguente comando per assicurarsi che i parametri specificati vengano applicati correttamente:

   less /proc/<nagent_proc_id>/limits

   dove il parametro <nagent_proc_id> è l'identificatore del processo di Network Agent. È possibile eseguire il seguente comando per ottenere l'identificatore:

   ps -ax | grep klnagent

Per il punto di distribuzione basato su Linux, il limite di file che è possibile aprire è stato aumentato.

Calcolo del numero e configurazione dei punti di distribuzione

Più dispositivi client contiene una rete, maggiore è il numero dei punti di distribuzione richiesti. È consigliabile non disabilitare l'assegnazione automatica dei punti di distribuzione. Quando è abilitata l'assegnazione automatica dei punti di distribuzione, Administration Server assegna i punti di distribuzione se il numero dei dispositivi client è ampio e definisce la configurazione.

Utilizzo di punti di distribuzione assegnati in modo esclusivo

Se si prevede di utilizzare alcuni dispositivi specifici come punti di distribuzione (ovvero, server assegnati in modo esclusivo), è possibile scegliere di non utilizzare l'assegnazione automatica dei punti di distribuzione. In questo caso, verificare che i dispositivi a cui assegnare il ruolo di punti di distribuzione dispongano di un volume sufficiente di spazio libero su disco, che non vengano arrestati regolarmente e che la modalità di sospensione sia disabilitata.

Numero di punti di distribuzione assegnati in modo esclusivo in una rete che contiene un solo segmento di rete, in base al numero di dispositivi di rete

Numero di punti di distribuzione assegnati in modo esclusivo in una rete che contiene più segmenti di rete, in base al numero di dispositivi di rete

Utilizzo di dispositivi client standard (workstation) come punti di distribuzione

Se si prevede di utilizzare dispositivi client standard (ovvero, workstation) come punti di distribuzione, è consigliabile assegnare i punti di distribuzione come indicato nelle tabelle seguenti per evitare un carico eccessivo sui canali di comunicazione e su Administration Server:

Numero di workstation che operano come punti di distribuzione in una rete che contiene un solo segmento di rete, in base al numero di dispositivi di rete

Numero di workstation che operano come punti di distribuzione in una rete che contiene più segmenti di rete, in base al numero di dispositivi di rete

Se un punto di distribuzione viene arrestato (o non è disponibile per altri motivi), i dispositivi gestiti nel relativo ambito possono accedere ad Administration Server per gli aggiornamenti.

Administration Server virtuali

Sulla base di un Administration Server fisico, è possibile creare più Administration Server virtuali, simili agli Administration Server secondari. Rispetto al modello di accesso discrezionale, che è basato su elenchi di controllo di accesso (ACL), il modello degli Administration Server virtuali è più funzionale e fornisce un maggior livello di isolamento. Oltre a una struttura dedicata di gruppi di amministrazione per i dispositivi assegnati con criteri e attività, ogni Administration Server virtuale dispone di un proprio gruppo di dispositivi non assegnati, di insiemi di rapporti, dispositivi ed eventi selezionati, pacchetti di installazione, regole di spostamento e così via. L'ambito funzionale degli Administration Server virtuali può essere utilizzato sia dai provider di servizi (xSP) per massimizzare l'isolamento dei clienti, sia da organizzazioni su vasta scala con flussi di lavoro sofisticati e numerosi amministratori.

Gli Administration Server virtuali sono molto simili agli Administration Server secondari, ma con le seguenti distinzioni:

• Un Administration Server virtuale non dispone della maggior parte delle impostazioni globali e di specifiche porte TCP.
• Un Administration Server virtuale non dispone di Administration Server secondari.
• Un Administration Server virtuale non include altri Administration Server virtuali.
• Un Administration Server fisico visualizza i dispositivi, i gruppi, gli eventi e gli oggetti nei dispositivi gestiti (elementi in Quarantena, registro delle applicazioni e così via) di tutti i relativi Administration Server virtuali.
• Un Administration Server virtuale può eseguire solo la scansione della rete a cui sono connessi punti di distribuzione.

Impostazioni di rete per l'interazione con servizi esterni

Kaspersky Security Center Linux utilizza le seguenti impostazioni di rete per l'interazione con i servizi esterni.

Impostazioni di rete

Per una corretta interazione di Kaspersky Security Center Linux con i servizi esterni, tenere conto dei seguenti suggerimenti:
- Il traffico di rete non criptato deve essere consentito sulle porte 443 e 1443 dell'apparecchiatura di rete e del server proxy dell'organizzazione.
- Quando Administration Server interagisce con i server di aggiornamento Kaspersky e con i server di Kaspersky Security Network, è necessario evitare di dirottare il traffico di rete con la sostituzione del certificato (

Per scaricare gli aggiornamenti tramite il protocollo HTTP o HTTPS utilizzando l'utilità klscflag:

1. Eseguire la riga dei comandi, quindi modificare la directory corrente nella directory con l'utilità klscflag. L'utilità klscflag si trova nella directory in cui è installato Administration Server. Il percorso di installazione predefinito è /opt/kaspersky/ksc64/sbin.
2. Se si desidera scaricare gli aggiornamenti tramite il protocollo HTTP, eseguire uno dei seguenti comandi nell'account root:
   • Nel dispositivo in cui è installato Administration Server:

     klscflag -fset -pv klserver -s Updater -n DisableKLHttps -t d -v 1

   • Su un punto di distribuzione;

     klscflag -fset -pv klnagent -s Updater -n DisableKLHttps -t d -v 1

   Se si desidera scaricare gli aggiornamenti tramite il protocollo HTTPS, eseguire uno dei seguenti comandi nell'account root:

   • Nel dispositivo in cui è installato Administration Server:

     klscflag -fset -pv klserver -s Updater -n DisableKLHttps -t d -v 0

   • Su un punto di distribuzione;

     klscflag -fset -pv klnagent -s Updater -n DisableKLHttps -t d -v 0

Distribuzione di Network Agent e dell'applicazione di protezione

Per gestire i dispositivi in un'organizzazione, è necessario installare Network Agent su ciascuno di essi. La distribuzione di Kaspersky Security Center Linux nei dispositivi di un'organizzazione in genere ha inizio con l'installazione di Network Agent nei dispositivi.

In Microsoft Windows XP, Network Agent potrebbe non eseguire correttamente le seguenti operazioni: scaricare gli aggiornamenti direttamente dai server Kaspersky (come punto di distribuzione) e funzionare come server proxy KSN (come punto di distribuzione).

Distribuzione iniziale

Per gestire i dispositivi in un'organizzazione, è necessario installare Network Agent su ciascuno di essi.

Per l'installazione iniziale di Network Agent su un dispositivo gestito da Linux, è possibile utilizzare i seguenti metodi:

• Collegandosi al dispositivo gestito tramite SSH ed eseguendo l'attività di installazione remota.
• Eseguendo l'installazione del pacchetto nel dispositivo gestito.

Per l'installazione iniziale di Network Agent su un dispositivo gestito da Windows, è possibile utilizzare i seguenti metodi:

• Eseguendo l'attività di installazione remota nel punto di distribuzione di Windows.
• Utilizzando il pacchetto di Windows Installer (MSI) per Network Agent, con strumenti di terze parti per l'installazione remota delle applicazioni.
• Eseguendo il programma di installazione dell'applicazione nel dispositivo gestito.
• Inviando agli utenti dei dispositivi collegamenti ai pacchetti indipendenti generati da Kaspersky Security Center Linux. I pacchetti indipendenti sono moduli eseguibili che contengono i pacchetti di distribuzione delle applicazioni selezionate, con le impostazioni predefinite.

Per l'installazione iniziale di Network Agent su un dispositivo gestito da macOS, è possibile utilizzare i seguenti metodi:

• Eseguendo l'attività di installazione remota nel punto di distribuzione macOS.
• Inviando agli utenti dei dispositivi collegamenti ai pacchetti indipendenti generati da Kaspersky Security Center Linux. I pacchetti indipendenti sono moduli eseguibili che contengono i pacchetti di distribuzione delle applicazioni selezionate, con le impostazioni predefinite.

Dopo aver installato Network Agent su un dispositivo, è possibile eseguire l'installazione remota delle applicazioni Kaspersky su tale dispositivo tramite Network Agent. Il pacchetto di distribuzione di un'applicazione da installare viene trasferito mediante i canali di comunicazione tra i Network Agent e Administration Server, insieme alle impostazioni di installazione definite dall'amministratore. Per trasferire il pacchetto di distribuzione, è possibile utilizzare nodi di distribuzione per il trasferimento, cioè punti di distribuzione, recapito multicast e così via.

Al momento della scelta di un metodo e di una strategia per la distribuzione delle applicazioni in una rete gestita, è necessario considerare diversi fattori (elenco parziale):

• Configurazione della rete dell'organizzazione.
• Numero totale di dispositivi.
• Presenza nella rete dell'organizzazione di dispositivi che non appartengono ad alcun dominio e presenza di account uniformi con diritti di amministratore su tali dispositivi.
• Capacità del canale tra l'Administration Server e i dispositivi.
• Tipo di comunicazione tra Administration Server e le subnet remote e capacità dei canali di rete in tali subnet.
• Impostazioni di sicurezza applicate sui dispositivi remoti all'inizio della distribuzione. Questi parametri consentono di stabilire la connessione remota al dispositivo gestito e di avviare l'installazione.

Configurazione dei programmi di installazione

Prima di avviare la distribuzione delle applicazioni Kaspersky in una rete, è necessario specificare le impostazioni di installazione, ovvero quelle definite durante l'installazione dell'applicazione. Durante l'installazione di Network Agent, è necessario specificare almeno un indirizzo per la connessione ad Administration Server, tuttavia possono essere richieste anche alcune impostazioni avanzate. A seconda del metodo di installazione selezionato, è possibile definire le impostazioni in diversi modi. Nel caso più semplice (installazione interattiva manuale in un dispositivo selezionato), tutte le impostazioni appropriate possono essere definite attraverso l'interfaccia utente del programma di installazione.

Questo metodo per definire le impostazioni non è appropriato per l'installazione automatica delle applicazioni in gruppi di dispositivi. In generale, l'amministratore deve specificare i valori per le impostazioni in modalità centralizzata. Tali valori possono successivamente essere utilizzati per l'installazione automatica nei dispositivi della rete selezionati.

Pacchetti di installazione

Il metodo principale per definire le impostazioni di installazione delle applicazioni è adatto per tutti i metodi di installazione, sia con gli strumenti di Kaspersky Security Center Linux che con la maggior parte strumenti di terze parti. Questo metodo consiste nella creazione di pacchetti di installazione delle applicazioni in Kaspersky Security Center Linux.

I pacchetti di installazione sono generati utilizzando i seguenti metodi:

• Automaticamente, dai pacchetti di distribuzione specificati, in base ai descrittori inclusi (file con estensione kud che contengono regole per l'installazione e l'analisi dei risultati e altre informazioni).
• Da un file di archivio ZIP, CAB, TAR o TAR.GZ, per applicazioni standard o supportate.

I pacchetti di installazione generati sono organizzati gerarchicamente come cartelle con sottocartelle e file. Oltre al pacchetto di distribuzione originale, un pacchetto di installazione contiene impostazioni modificabili (incluse le impostazioni del programma di installazione e le regole per elaborare casi come la necessità di riavviare il sistema operativo per completare l'installazione), nonché moduli ausiliari minori.

I valori delle impostazioni di installazione specifici per una singola applicazione supportata possono essere definiti nell'interfaccia utente di Kaspersky Security Center Web Console al momento della creazione del pacchetto di installazione. Durante l'esecuzione dell'installazione remota delle applicazioni tramite gli strumenti di Kaspersky Security Center Linux, i pacchetti di installazione vengono inviati ai dispositivi. L'esecuzione del programma di installazione di un'applicazione rende disponibili tutte le impostazioni definite dall'amministratore per tale applicazione. Quando si utilizzano strumenti di terze parti per l'installazione delle applicazioni Kaspersky, è sufficiente garantire la disponibilità dell'intero pacchetto di installazione nel dispositivo, ovvero la disponibilità del pacchetto di distribuzione e delle relative impostazioni. I pacchetti di installazione vengono creati e archiviati da Kaspersky Security Center Linux in un'apposita sottocartella della cartella condivisa.

Non specificare dettagli degli account privilegiati nei parametri dei pacchetti di installazione.

La distribuzione tramite i criteri di gruppo di Microsoft Windows non è supportata.

Subito dopo l'installazione di Kaspersky Security Center Linux, alcuni pacchetti di installazione vengono generati automaticamente: sono pronti per l'installazione e includono i pacchetti di Network Agent e i pacchetti delle applicazioni di protezione per Microsoft Windows.

Anche se è possibile impostare la chiave di licenza per un'applicazione nelle proprietà di un pacchetto di installazione, è consigliabile evitare questo metodo di distribuzione della licenza, perché è semplice ottenere l'accesso in lettura ai pacchetti di installazione. È necessario utilizzare chiavi di licenza distribuite automaticamente o le attività di installazione per le chiavi di licenza.

Informazioni sulle attività di installazione remota in Kaspersky Security Center Linux

Kaspersky Security Center Linux fornisce diversi meccanismi per l'installazione remota delle applicazioni, che sono implementati come attività di installazione remota (installazione forzata, installazione tramite copia di un'immagine del disco rigido). È possibile creare un'attività di installazione remota sia per un gruppo di amministrazione specificato che per dispositivi specifici o per una selezione di dispositivi (tali attività sono visualizzate in Kaspersky Security Center Web Console, nella cartella Attività). Durante la creazione di un'attività, è possibile selezionare i pacchetti di installazione (quelli di Network Agent e/o di un'altra applicazione) per l'installazione con questa attività, nonché specificare determinate impostazioni che definiscono il metodo di installazione remota. È inoltre possibile utilizzare l'Installazione remota guidata, che è basata sulla creazione di un'attività di installazione remota e sul monitoraggio dei risultati.

Le attività per i gruppi di amministrazione influiscono sia sui dispositivi inclusi in un gruppo specificato che su tutti i dispositivi in tutti i sottogruppi compresi in tale gruppo di amministrazione. Un'attività copre i dispositivi degli Administration Server secondari inclusi in un gruppo o in qualsiasi dei relativi sottogruppi se l'impostazione corrispondente è abilitata nell'attività.

Le attività per dispositivi specifici aggiornano l'elenco dei dispositivi client a ogni esecuzione, in conformità con i contenuti della selezione al momento dell'avvio dell'attività. Se una selezione include dispositivi che sono stati connessi ad Administration Server secondari, l'attività verrà eseguita anche in tali dispositivi. Per informazioni dettagliate sulle impostazioni e i metodi di installazione, vedere più avanti in questa sezione.

Per garantire la corretta esecuzione di un'attività di installazione remota nei dispositivi connessi agli Administration Server secondari, è necessario utilizzare l'attività di trasmissione per trasferire anticipatamente i pacchetti di installazione utilizzati dall'attività agli Administration Server secondari corrispondenti.

Distribuzione tramite l'acquisizione e la copia dell'immagine di un dispositivo

Se Network Agent deve essere installato in dispositivi in cui è necessario installare (o reinstallare) anche un sistema operativo e altro software, è possibile utilizzare il meccanismo di acquisizione e copia dell'immagine del dispositivo.

Per eseguire la distribuzione acquisendo e copiando un disco rigido:

1. Creare un dispositivo "di riferimento" con un sistema operativo e il software appropriato installato, incluso Network Agent e un'applicazione di protezione.
2. Acquisire l'immagine di riferimento nel dispositivo e distribuire tale immagine nei nuovi dispositivi tramite l'attività dedicata di Kaspersky Security Center Linux.

   Per acquisire e installare le immagini disco, utilizzare gli strumenti di terzi disponibili nell'organizzazione.

Copia di un'immagine disco con strumenti di terze parti

Quando si applicano strumenti di terze parti per l'acquisizione dell'immagine di un dispositivo con Network Agent installato, utilizzare uno dei seguenti metodi:

• Sul dispositivo di riferimento, interrompere il servizio Network Agent ed eseguire l'utilità klmover con l'opzione -dupfix. L'utilità klmover è inclusa nel pacchetto di installazione di Network Agent. Evitare qualsiasi successiva esecuzione del servizio Network Agent finché l'operazione di acquisizione dell'immagine non viene completata.
• Verificare che l'utilità klmover venga eseguita con l'opzione -dupfix prima (requisito obbligatorio) della prima esecuzione del servizio Network Agent nei dispositivi di destinazione, al primo avvio del sistema operativo dopo la distribuzione dell'immagine. L'utilità klmover è inclusa nel pacchetto di installazione di Network Agent.
• Utilizzare la modalità di clonazione del disco di Network Agent.

Se l'immagine del disco rigido è stata copiata in modo errato, è possibile risolvere il problema.

È inoltre possibile acquisire l'immagine di un dispositivo senza Network Agent installato. A tale scopo, eseguire la distribuzione dell'immagine nei dispositivi di destinazione, quindi distribuire Network Agent. Se si utilizza questo metodo, fornire l'accesso alla cartella di rete con i pacchetti di installazione indipendenti da un dispositivo.

Modalità di clonazione del disco di Network Agent

La clonazione del disco rigido di un dispositivo di riferimento è un popolare metodo di installazione del software nei nuovi dispositivi. Se Network Agent viene eseguito in modalità standard nel disco rigido del dispositivo di riferimento, si verifica il seguente problema:

Dopo la distribuzione dell'immagine del disco di riferimento con Network Agent nei nuovi dispositivi, questi vengono visualizzati in Kaspersky Security Center Web Console come dispositivi singoli. Questo problema si verifica perché la procedura di clonazione comporta il mantenimento nei nuovi dispositivi di dati interni identici, utilizzati da Administration Server per associare un dispositivo con il proprio record in Kaspersky Security Center Web Console.

Una specifica modalità di clonazione del disco di Network Agent consente di evitare i problemi associati a una visualizzazione errata dei nuovi dispositivi in Kaspersky Security Center Web Console dopo la clonazione. Utilizzare questa modalità durante la distribuzione del software (con Network Agent) nei nuovi dispositivi tramite la clonazione del disco.

Nella modalità di clonazione del disco, Network Agent continua a funzionare, ma non si connette ad Administration Server. Quando si esce dalla modalità di clonazione, Network Agent elimina i dati interni, in base ai quali Administration Server associa più dispositivi a un singolo record in Kaspersky Security Center Web Console. Al termine della clonazione dell'immagine del dispositivo di riferimento, i nuovi dispositivi sono visualizzati correttamente in Kaspersky Security Center Web Console (con singoli record).

Scenario di utilizzo della modalità di clonazione del disco di Network Agent

1. L'amministratore installa Network Agent in un dispositivo di riferimento.
2. L'amministratore verifica la connessione di Network Agent ad Administration Server utilizzando l'utilità klnagchk.
3. L'amministratore abilita la modalità di clonazione del disco di Network Agent.
4. L'amministratore installa il software e le patch nel dispositivo e lo riavvia tutte le volte che risulta necessario.
5. L'amministratore clona il disco rigido del dispositivo di riferimento in qualsiasi numero di dispositivi.
6. Ogni copia clonata deve soddisfare le seguenti condizioni:
   1. Il nome del dispositivo deve essere modificato.
   2. Il dispositivo deve essere riavviato.
   3. La modalità di clonazione del disco deve essere disabilitata.

Abilitazione e disabilitazione della modalità di clonazione del disco utilizzando l'utilità klmover

Per abilitare o disabilitare la modalità di clonazione del disco di Network Agent:

1. Eseguire l'utilità klmover nel dispositivo in cui è installato Network Agent da clonare.

   L'utilità klmover si trova nella cartella di installazione di Network Agent.

2. Per abilitare la modalità di clonazione del disco, immettere il seguente comando nel prompt dei comandi di Windows: klmover -cloningmode 1.

   Network Agent passa alla modalità di clonazione del disco.

3. Per richiedere lo stato corrente della modalità di clonazione del disco, immettere il seguente comando nel prompt dei comandi: klmover -cloningmode.

   La finestra dell'utilità indicherà se la modalità di clonazione del disco è abilitata o disabilitata.

4. Per disabilitare la modalità di clonazione del disco, immettere il seguente comando nella riga di comando dell'utilità: klmover -cloningmode 0.

Distribuzione forzata tramite l'attività di installazione remota di Kaspersky Security Center Linux

Per eseguire la distribuzione iniziale di Network Agent o di altre applicazioni, è possibile forzare l'installazione dei pacchetti di installazione selezionati utilizzando l'attività di installazione remota di Kaspersky Security Center Linux, a condizione che ogni dispositivo disponga di uno o più account utente con diritti di amministratore locali.

L'installazione forzata può anche essere applicata se i dispositivi non sono direttamente accessibili da Administration Server, ad esempio se i dispositivi sono in rete isolata o se si trovano in una rete locale mentre Administration Server è in una rete perimetrale.

In caso di distribuzione iniziale, Network Agent non è installato. Pertanto, nelle impostazioni dell'attività di installazione remota, non è possibile selezionare la distribuzione dei file richiesti per l'installazione dell'applicazione utilizzando Network Agent. È possibile scegliere di distribuire i file solo utilizzando le risorse del sistema operativo tramite Administration Server o i punti di distribuzione.

Il servizio Administration Server deve essere eseguito con un account con privilegi di amministratore nei dispositivi di destinazione. In alternativa, è possibile specificare un account che ha accesso alla condivisione admin$ nelle impostazioni dell'attività di installazione remota.

Per impostazione predefinita, l'attività di installazione remota si connette ai dispositivi utilizzando le credenziali dell'account con cui è in esecuzione Administration Server. È importante chiarire che questo è l'account utilizzato per accedere alla condivisione admin$, anziché l'account con cui viene eseguita l'attività di installazione remota. L'installazione viene eseguita con l'account LocalSystem.

È possibile specificare i dispositivi di destinazione esplicitamente (con un elenco), selezionando il gruppo di amministrazione di Kaspersky Security Center Linux a cui appartengono o creando una selezione di dispositivi in base a un criterio specifico. L'ora di inizio dell'installazione è definita dalla pianificazione dell'attività. Se l'impostazione Esegui attività non effettuate è abilitata nelle proprietà dell'attività, l'attività può essere eseguita subito dopo l'accensione dei dispositivi di destinazione o quando vengono spostati nel gruppo di amministrazione di destinazione.

L'installazione forzata consiste nella distribuzione dei pacchetti di installazione ai dispositivi di destinazione, nella successiva copia dei file nella risorsa admin$ in ciascuno dei dispositivi di destinazione e nella registrazione remota dei servizi di supporto in tali dispositivi. L'invio dei pacchetti di installazione ai dispositivi di destinazione viene eseguito tramite una funzionalità di Kaspersky Security Center Linux che garantisce l'interazione di rete. In questo caso, devono essere soddisfatte le seguenti condizioni:

• I dispositivi di destinazione sono accessibili dal lato di Administration Server o dal lato del punto di distribuzione.
• La risoluzione dei nomi per i dispositivi di destinazione funziona correttamente nella rete.
• Le condivisioni amministrative (admin$) rimangono abilitate nei dispositivi di destinazione.
• I seguenti servizi di sistema sono in esecuzione nei dispositivi di destinazione:
  • Server (LanmanServer)

    Per impostazione predefinita, questo servizio è in esecuzione.

  • DCOM Server Process Launcher (DcomLaunch)
  • RPC Endpoint Mapper (RpcEptMapper)
  • Remote Procedure Call (RpcSs)
• La porta TCP 445 è aperta nei dispositivi di destinazione per abilitare l'accesso remoto tramite Windows Management Instrumentation.

  TCP 139, UDP 137 e UDP 138 vengono utilizzati dai protocolli precedenti e non sono più necessari per le applicazioni correnti.

  Le porte di accesso dinamiche in uscita devono essere consentite nel firewall per le connessioni da Administration Server e dai punti di distribuzione ai dispositivi di destinazione.

• Le impostazioni di protezione del criterio di dominio di Active Directory possono fornire il funzionamento del protocollo NTLM durante la distribuzione di Network Agent.
• Nei dispositivi di destinazione che eseguono Microsoft Windows XP, la modalità Simple File Sharing è disabilitata.
• Nei dispositivi di destinazione, il modello di protezione e condivisione dell'accesso è impostato su Classico: gli utenti locali eseguono l'autenticazione come se stessi. Non può in alcun modo essere Solo Guest: gli utenti locali si autenticano come Guest.
• I dispositivi di destinazione sono utenti del dominio o vengono creati anticipatamente account uniformi con diritti di amministratore nei dispositivi di destinazione.

Per distribuire correttamente Network Agent o altre applicazioni in un dispositivo che non fa parte di un dominio Active Directory di Windows Server 2003 o versione successiva, è necessario disabilitare Controllo dell'account utente remoto in tale dispositivo. Controllo dell'account utente remoto è uno dei motivi che impedisce agli account amministrativi locali di accedere ad admin$, necessario per la distribuzione forzata di Network Agent o di altre applicazioni. La disabilitazione di Controllo dell'account utente remoto non influisce su Controllo dell'account utente locale.

Durante l'installazione in nuovi dispositivi che non sono stati ancora assegnati ad alcun gruppo di amministrazione di Kaspersky Security Center Linux, è possibile aprire le proprietà dell'attività di installazione remota e specificare il gruppo di amministrazione in cui spostare i dispositivi dopo l'installazione di Network Agent.

Al momento della creazione di un'attività di gruppo, tenere presente che ogni attività di gruppo influisce su tutti i dispositivi in tutti i gruppi nidificati all'interno un gruppo selezionato. È pertanto necessario evitare di duplicare le attività di installazione nei sottogruppi.

Un modo semplificato per creare attività per l'installazione forzata delle applicazioni è l'installazione automatica. A tale scopo, è necessario aprire le proprietà del gruppo di amministrazione, aprire l'elenco dei pacchetti di installazione e selezionare quelli da installare nei dispositivi di questo gruppo. I pacchetti di installazione selezionati saranno installati automaticamente in tutti i dispositivi di questo gruppo e di tutti i relativi sottogruppi. L'intervallo di tempo richiesto per l'installazione dei pacchetti dipende dalla velocità effettiva della rete e dal numero totale di dispositivi in rete.

Per ridurre il carico su Administration Server durante la distribuzione dei pacchetti di installazione ai dispositivi di destinazione, è possibile selezionare l'installazione tramite i punti di distribuzione nell'attività di installazione. Tenere presente che questo metodo di installazione comporta un carico significativo per i dispositivi che operano come punti di distribuzione. Pertanto, si consiglia di selezionare i dispositivi che soddisfano i requisiti per i punti di distribuzione. Se si utilizzano punti di distribuzione, è necessario assicurarsi che siano presenti in ciascuna delle subnet isolate che ospitano i dispositivi di destinazione.

L'utilizzo dei punti di distribuzione come centri di installazione locali può anche essere utile durante l'installazione nei dispositivi in subnet che comunicano con Administration Server tramite un canale con una capacità limitata, mentre è disponibile un canale con una maggiore capacità tra i dispositivi nella stessa subnet.

Lo spazio libero su disco nella partizione con la cartella %ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit deve superare, di diverse volte, le dimensioni totali dei pacchetti di distribuzione delle applicazioni installate.

Esecuzione di pacchetti indipendenti creati tramite Kaspersky Security Center Linux

I metodi descritti in precedenza per la distribuzione iniziale di Network Agent e delle altre applicazioni non possono essere sempre implementati perché non è possibile soddisfare tutte le condizioni applicabili. In tali casi, è possibile creare un comune file eseguibile denominato pacchetto di installazione indipendente tramite Kaspersky Security Center Linux, utilizzando i pacchetti di installazione con le impostazioni di installazione appropriate che sono stati preparati dall'amministratore. Il pacchetto di installazione indipendente è archiviato nella cartella condivisa di Kaspersky Security Center Linux.

È possibile utilizzare Kaspersky Security Center Linux per inviare agli utenti selezionati un messaggio e-mail che contiene un collegamento a questo file nella cartella condivisa, richiedendo loro di eseguire il file (in modalità interattiva o con l'opzione "-s" per l'installazione automatica). È possibile allegare il pacchetto di installazione indipendente a un messaggio e-mail e quindi inviarlo agli utenti dei dispositivi che non hanno accesso alla cartella condivisa di Kaspersky Security Center Linux. L'amministratore può anche copiare il pacchetto indipendente in un'unità rimovibile, trasferirlo in un dispositivo appropriato e quindi eseguirlo in un secondo momento.

È possibile creare un pacchetto indipendente da un pacchetto di Network Agent, un pacchetto di un'altra applicazione (ad esempio, l'applicazione di protezione) o entrambi. Se il pacchetto indipendente è stato creato da Network Agent e un'altra applicazione, l'installazione inizia da Network Agent.

Durante la creazione di un pacchetto indipendente con Network Agent, è possibile specificare il gruppo di amministrazione nel quale verranno automaticamente spostati i nuovi dispositivi (quelli che non sono stati allocati ad alcun gruppo di amministrazione) al termine dell'installazione di Network Agent.

I pacchetti indipendenti possono essere eseguiti in modalità interattiva (per impostazione predefinita), visualizzando il risultato dell'installazione delle applicazioni che contengono, o possono essere eseguiti in modalità automatica (con l'opzione "-s"). La modalità automatica può essere utilizzata per l'installazione tramite script, ad esempio script configurati per l'esecuzione dopo la distribuzione dell'immagine di un sistema operativo. Il risultato dell'installazione in modalità automatica è determinato dal codice restituito del processo.

Installazione remota delle applicazioni nei dispositivi in cui è installato Network Agent

Se un Network Agent connesso all'Administration Server primario (o a uno dei relativi Server secondari) è installato in un dispositivo, è possibile eseguire l'upgrade di Network Agent in tale dispositivo, nonché installare, aggiornare o rimuovere qualsiasi applicazione supportata tramite Network Agent.

È possibile abilitare l'opzione Utilizzando Network Agent nelle proprietà dell'attività di installazione remota.

Se questa opzione è selezionata, i pacchetti di installazione con le impostazioni di installazione definite dall'amministratore saranno trasferiti ai dispositivi di destinazione tramite i canali di comunicazione tra Network Agent e Administration Server.

Per ottimizzare il carico su Administration Server e ridurre al minimo il traffico tra Administration Server e i dispositivi, è consigliabile assegnare punti di distribuzione in ogni rete remota o in ogni dominio di trasmissione (vedere le sezioni "Informazioni sui punti di distribuzione" e "Creazione di una struttura di gruppi di amministrazione e assegnazione dei punti di distribuzione". In questo caso, i pacchetti di installazione e le impostazioni del programma di installazione sono distribuiti dall'Administration Server ai dispositivi di destinazione tramite i punti di distribuzione.

È inoltre possibile utilizzare i punti di distribuzione per l'invio (multicast) dei pacchetti di installazione, che consente di ridurre considerevolmente il traffico di rete durante la distribuzione delle applicazioni.

Durante il trasferimento dei pacchetti di installazione ai dispositivi di destinazione tramite i canali di comunicazione tra i Network Agent e l'Administration Server, tutti i pacchetti di installazione che sono stati preparati per il trasferimento saranno anche memorizzati nella cache nella cartella /var/opt/kaspersky/klnagent_srv/1093/.working/. Quando si utilizzano diversi pacchetti di installazione di grandi dimensioni, di vari tipi e che coinvolgono numerosi punti di distribuzione, le dimensioni di questa cartella possono aumentare notevolmente.

I file non possono essere eliminati manualmente della cartella FTServer. Quando i pacchetti di installazione originali vengono eliminati, i dati corrispondenti sono eliminati automaticamente della cartella FTServer.

I dati ricevuti dai punti di distribuzione vengono salvati nella cartella /var/opt/kaspersky/klnagent_srv/1103/.

I file non possono essere eliminati manualmente della cartella $FTClTmp. Al termine delle attività che utilizzano i dati in questa cartella, i contenuti della cartella saranno eliminati automaticamente.

Poiché i pacchetti di installazione sono distribuiti tramite i canali di comunicazione tra Administration Server e i Network Agent da un archivio intermedio in un formato ottimizzato per i trasferimenti in rete, non sono consentite modifiche ai pacchetti di installazione archiviati nella cartella originale di ogni pacchetto di installazione. Tali modifiche non saranno registrate automaticamente da Administration Server. Se è necessario modificare manualmente i file dei pacchetti di installazione (sebbene sia consigliabile evitare questo scenario), è necessario modificare qualsiasi impostazione di un pacchetto di installazione in Kaspersky Security Center Web Console. La modifica delle impostazioni di un pacchetto di installazione in Kaspersky Security Center Web Console fa sì che Administration Server aggiorni l'immagine del pacchetto nella cache che è stato preparato per il trasferimento nei dispositivi di destinazione.

Il server invia richieste echo ICMP (lo stesso del comando ping) al dispositivo di destinazione durante l'installazione remota.

Gestione dei riavvii dei dispositivi nell'attività di installazione remota

I dispositivi spesso richiedono un riavvio per completare l'installazione remota delle applicazioni (in particolare in Windows).

Se si utilizza l'attività Installazione remota di Kaspersky Security Center Linux, nella Creazione guidata nuova attività o nella finestra delle proprietà dell'attività che è stata creata (sezione Riavvio del sistema operativo), è possibile selezionare l'azione da eseguire quando il dispositivo Windows richiede un riavvio:

• Non riavviare il dispositivo. In questo caso, non sarà eseguito alcun riavvio automatico. Per completare l'installazione, è necessario riavviare il dispositivo (ad esempio, manualmente o tramite l'attività di gestione del dispositivo). Le informazioni sul riavvio richiesto saranno salvate nei risultati dell'attività e nello stato del dispositivo. Questa opzione è adatta per le attività di installazione nei server e negli altri dispositivi per cui il funzionamento continuo è di importanza critica.
• Riavvia il dispositivo. In questo caso, il dispositivo viene sempre riavviato automaticamente quando è richiesto un riavvio per il completamento dell'installazione. Questa opzione è utile per le attività di installazione nei dispositivi per cui sono previste pause periodiche durante la relativa esecuzione (chiusura o riavvio).
• Richiedi l'intervento dell'utente. In questo caso, sarà visualizzata una notifica del riavvio sullo schermo del dispositivo client e verrà richiesto all'utente di riavviare il dispositivo manualmente. Per questa opzione è possibile definire alcune impostazioni avanzate: il testo del messaggio per l'utente, la frequenza di visualizzazione del messaggio e l'intervallo di tempo al termine del quale sarà forzato il riavvio (senza la conferma dell'utente). L'opzione Richiedi l'intervento dell'utente è la più adatta per le workstation, in cui gli utenti devono avere la possibilità di selezionare l'orario che preferiscono per un riavvio del sistema.

Aggiornamento dei database in un pacchetto di installazione di un'applicazione di protezione

Prima di avviare la distribuzione della protezione, è necessario tenere presente che è possibile aggiornare i database anti-virus (inclusi i moduli delle patch automatiche) forniti con il pacchetto di distribuzione dell'applicazione di protezione. È consigliabile aggiornare i database nel pacchetto di installazione dell'applicazione prima di avviare la distribuzione (ad esempio, utilizzando il comando corrispondente nel menu di scelta rapida di un pacchetto di installazione selezionato). In tal modo, è possibile ridurre il numero di riavvii richiesti per il completamento della distribuzione della protezione nei dispositivi di destinazione.

Monitoraggio della distribuzione

Per monitorare la distribuzione di Kaspersky Security Center Linux e assicurarsi che un'applicazione di protezione e Network Agent siano installati nei dispositivi gestiti, utilizzare la funzionalità di monitoraggio e generazione dei rapporti:

• Utilizzare il widget di distribuzione del dashboard per monitorare la distribuzione in tempo reale.
• Utilizzare i rapporti per ottenere informazioni dettagliate.

Configurazione dei programmi di installazione

Questa sezione fornisce informazioni sui file dei programmi di installazione di Kaspersky Security Center Linux e sulle impostazioni di installazione, oltre a raccomandazioni su come installare Administration Server e Network Agent in modalità automatica.

Informazioni generali

I programmi di installazione dei componenti di Kaspersky Security Center Linux per dispositivi Windows sono basati sulla tecnologia Windows Installer. L'elemento fondamentale di un programma di installazione è un pacchetto MSI. Questo formato dei pacchetti consente di sfruttare tutti i vantaggi offerti da Windows Installer: la scalabilità, la disponibilità di un sistema di applicazione delle patch, il sistema di trasformazione, l'installazione centralizzata tramite soluzioni di terze parti e la registrazione trasparente con il sistema operativo.

Parametri di installazione di Administration Server

La tabella seguente descrive le proprietà che è possibile configurare durante l'installazione di Kaspersky Security Center Linux in modalità automatica.

Parametri dell'installazione di Administration Server in modalità automatica

Parametri di installazione di Network Agent

Nella tabella seguente sono descritte le proprietà MSI che è possibile configurare durante l'installazione di Network Agent. Tutti i parametri sono facoltativi, ad eccezione di EULA e SERVERADDRESS.

Parametri dell'installazione di Network Agent in modalità automatica

Infrastruttura virtuale

Kaspersky Security Center Linux supporta l'utilizzo di macchine virtuali. È possibile installare Network Agent e l'applicazione di protezione in ogni macchina virtuale, nonché proteggere le macchine virtuali a livello di hypervisor. Nel primo caso è possibile utilizzare un'applicazione di protezione standard o Kaspersky Security for Virtualization Light Agent per proteggere le macchine virtuali. Nel secondo caso è possibile utilizzare Kaspersky Security for Virtualization Agentless.

Kaspersky Security Center Linux supporta i rollback delle macchine virtuali allo stato precedente.

Suggerimenti per la riduzione del carico sulle macchine virtuali

Durante l'installazione di Network Agent in una macchina virtuale, è consigliabile valutare se disabilitare alcune funzionalità di Kaspersky Security Center Linux che risultano di scarsa utilità per le macchine virtuali.

Quando si installa Network Agent in una macchina virtuale o in un modello utilizzato per la generazione di macchine virtuali, è consigliabile eseguire le seguenti azioni:

• Se si esegue un'installazione remota, nella finestra delle proprietà del pacchetto di installazione di Network Agent, nella sezione Avanzate selezionare l'opzione Ottimizza le impostazioni per VDI.
• Se si esegue un'installazione interattiva tramite una procedura guidata, nella finestra della procedura guidata selezionare l'opzione Ottimizza le impostazioni di Network Agent per l'infrastruttura virtuale.

La selezione di queste opzioni modifica le impostazioni di Network Agent in modo da mantenere disabilitate le seguenti funzionalità per impostazione predefinita (prima dell'applicazione di un criterio):

• Recupero delle informazioni sul software installato
• Recupero delle informazioni sull'hardware
• Recupero delle informazioni sulle vulnerabilità rilevate
• Recupero delle informazioni sugli aggiornamenti richiesti

In genere, queste funzionalità non sono necessarie nelle macchine virtuali perché utilizzano software uniforme e hardware virtuale.

La disabilitazione delle funzionalità è reversibile. Se è richiesta una delle funzionalità disabilitate, è possibile abilitarla tramite il criterio di Network Agent o mediante le impostazioni locali di Network Agent. Le impostazioni locali di Network Agent sono disponibili tramite il menu di scelta rapida del dispositivo appropriato in Kaspersky Security Center Web Console.

Supporto delle macchine virtuali dinamiche

Kaspersky Security Center Linux supporta le macchine virtuali dinamiche. Se nella rete dell'organizzazione è stata distribuita un'infrastruttura virtuale, in alcuni casi è possibile utilizzare macchine virtuali (temporanee) dinamiche. Le macchine virtuali dinamiche vengono create con nomi univoci in base a un modello che è stato preparato dall'amministratore. L'utente lavora su una macchina virtuale per un certo periodo e, dopo lo spegnimento, questa macchina virtuale sarà rimossa dall'infrastruttura virtuale. Se Kaspersky Security Center Linux è stato distribuito nella rete dell'organizzazione, una macchina virtuale con Network Agent installato verrà aggiunta al database di Administration Server. Dopo lo spegnimento di una macchina virtuale, anche la voce corrispondente deve essere rimossa dal database di Administration Server.

Per rendere disponibile la funzionalità di rimozione automatica delle voci nelle macchine virtuali, durante l'installazione di Network Agent in un modello per le macchine virtuali dinamiche, selezionare l'opzione Abilita modalità dinamica per VDI:

• Per l'installazione remota - Nella finestra delle proprietà del pacchetto di installazione di Network Agent (sezione Avanzate)
• Per l'installazione interattiva - Nell'Installazione guidata di Network Agent

Evitare di selezionare l'opzione Abilita modalità dinamica per VDI durante l'installazione di Network Agent nei dispositivi fisici.

Se si desidera archiviare gli eventi generati dalle macchine virtuali dinamiche in Administration Server per un certo periodo dopo la rimozione delle macchine virtuali, nella finestra delle proprietà di Administration Server, nella sezione Archivio eventi, selezionare l'opzione Archivia eventi dopo l'eliminazione dei dispositivi e specificare il periodo di archiviazione massimo degli eventi (in giorni).

Supporto della copia delle macchine virtuali

La copia di una macchina virtuale con Network Agent installato o la creazione di una macchina virtuale da un modello con Network Agent installato sono identiche alla distribuzione dei Network Agent tramite l'acquisizione e la copia di un'immagine del disco rigido. In generale, durante la copia delle macchine virtuali è necessario eseguire le stesse azioni previste durante la distribuzione di Network Agent tramite la copia un'immagine del disco.

Tuttavia, nei due casi descritti di seguito viene illustrato Network Agent, che rileva automaticamente la copia. Per i motivi indicati in precedenza, non è necessario eseguire le operazioni sofisticate descritte in "Distribuzione tramite l'acquisizione e la copia dell'immagine del disco rigido di un dispositivo":

• L'opzione Abilita modalità dinamica per VDI era selezionata durante l'installazione di Network Agent: dopo ogni riavvio del sistema operativo, questa macchina virtuale sarà riconosciuta come un nuovo dispositivo, indipendentemente dal fatto che sia stata copiata.
• È in uso uno dei seguenti hypervisor: VMware, HyperV o Xen: Network Agent rileva la copia della macchina virtuale in base agli ID modificati dell'hardware virtuale.

L'analisi delle modifiche nell'hardware virtuale non è assolutamente affidabile. Prima di applicare questo metodo su larga scala, è necessario testarlo su un piccolo gruppo di macchine virtuali per la versione dell'hypervisor attualmente in uso nell'organizzazione.

Supporto del rollback del file system per i dispositivi con Network Agent

Kaspersky Security Center Linux è un'applicazione distribuita. Il rollback del file system uno stato precedente in un dispositivo con Network Agent installato determinerà la mancata sincronizzazione dei dati e impedirà il corretto funzionamento di Kaspersky Security Center Linux.

È possibile eseguire il rollback del file system (o di una sua parte) nei seguenti casi:

• Durante la copia di un'immagine del disco rigido.
• Durante il ripristino di uno stato della macchina virtuale tramite l'infrastruttura virtuale.
• Durante il ripristino dei dati da una copia di backup o da un punto di ripristino.

Gli scenari in cui software di terze parti nei dispositivi con Network Agent installato influisce sulla directory /var/opt/kaspersky/klnagent sono solo scenari critici per Kaspersky Security Center Linux. Pertanto, è necessario escludere sempre questa cartella dalla procedura di ripristino, se possibile.

Dal momento che le regole per l'ambiente di lavoro di alcune organizzazioni consentono i rollback del file system nei dispositivi, il supporto per il rollback del file system nei dispositivi con Network Agent installato è stato aggiunto a Kaspersky Security Center Linux a partire dalla versione 10 Maintenance Release 1 (Administration Server e i Network Agent devono essere della versione 10 Maintenance Release 1 o successiva). Quando sono rilevati, tali dispositivi vengono riconnessi automaticamente all'Administration Server con una cancellazione completa dei dati e una sincronizzazione completa.

Per impostazione predefinita, il supporto per il rilevamento del rollback del file system è abilitato in Kaspersky Security Center Linux.

Per quanto possibile, evitare di eseguire il rollback della directory /var/opt/kaspersky/klnagent nei dispositivi con Network Agent installato, perché la risincronizzazione completa dei dati richiede una notevole quantità di risorse.

Non è assolutamente consentito un rollback dello stato del sistema in un dispositivo con Administration Server installato, né un rollback del database utilizzato da Administration Server.

È possibile ripristinare uno stato di Administration Server da una copia di backup solo con l'utilità klbackup standard.

Installazione locale delle applicazioni

In questa sezione viene descritta una procedura di installazione per le applicazioni che possono essere installate solo nei dispositivi in locale.

Per eseguire l'installazione locale delle applicazioni in un dispositivo client specifico, è necessario disporre di diritti di amministratore per il dispositivo.

Per installare le applicazioni in locale in un dispositivo client specifico:

1. Installare Network Agent nel dispositivo client e configurare la connessione tra il dispositivo client e Administration Server.
2. Installare le applicazioni richieste nel dispositivo, come descritto nei manuali delle applicazioni.
3. Installare un plug-in di gestione per ognuna delle applicazioni installate nella workstation dell'amministratore.

Kaspersky Security Center Linux supporta inoltre l'opzione per l'installazione locale delle applicazioni utilizzando un pacchetto di installazione indipendente. Kaspersky Security Center Linux non supporta l'installazione di tutte le applicazioni Kaspersky.

Installazione di Network Agent per Linux in modalità interattiva

Questo articolo descrive come installare Network Agent nei dispositivi Linux in modalità interattiva, specificando passo dopo passo i parametri di installazione. In alternativa, è possibile utilizzare un file di risposte: un file di testo contenente un set personalizzato di parametri di installazione: variabili e rispettivi valori. L'uso di questo file di risposte consente di eseguire un'installazione in modalità automatica, ovvero senza la partecipazione dell'utente.

Per installare Network Agent in modalità interattiva:

1. Eseguire l'installazione di Network Agent. A seconda della distribuzione Linux, eseguire uno dei seguenti comandi:
   • Per installare Network Agent da un pacchetto RPM in un sistema operativo a 32 bit:

     # yum -i klnagent-<numero build>.i386.rpm

   • Per installare Network Agent da un pacchetto RPM in un sistema operativo a 64 bit:

     # yum -i klnagent64-<numero build>.x86_64.rpm

   • Per installare Network Agent da un pacchetto RPM in un sistema operativo a 64 bit per l'architettura Arm:

     # yum -i klnagent64-<numero build>.aarch64.rpm

   • Per installare Network Agent da un pacchetto DEB in un sistema operativo a 32 bit:

     # apt install ./klnagent_<numero build>_i386.deb

   • Per installare Network Agent da un pacchetto DEB in un sistema operativo a 64 bit:

     # apt install ./klnagent64_<numero build>_amd64.deb

   • Per installare Network Agent da un pacchetto DEB in un sistema operativo a 64 bit per l'architettura Arm:

     # apt install ./klnagent64_<numero build>_arm64.deb

2. Eseguire la configurazione di Network Agent:

   # /opt/kaspersky/klnagent64/lib/bin/setup/postinstall.pl

3. Leggere il Contratto di licenza con l'utente finale (EULA). Il testo viene visualizzato nella finestra della riga di comando. Premere la barra spaziatrice per visualizzare il segmento di testo successivo. Quando richiesto inserire uno dei seguenti valori:
   • Immettere y se i termini del Contratto di licenza con l'utente finale sono stati compresi e accettati.
   • Immettere n se non si accettano i termini del Contratto di licenza con l'utente finale. Per utilizzare Network Agent, è necessario accettare i termini del Contratto di licenza con l'utente finale.
   • Immettere r per mostrare nuovamente il Contratto di licenza con l'utente finale.
4. Immettere l'indirizzo IP o il nome DNS di Administration Server.
5. Immettere il numero di porta di Administration Server. Per impostazione predefinita, viene utilizzata la porta 14000.
6. Immettere il numero di porta SSL di Administration Server. Per impostazione predefinita, viene utilizzata la porta 13000.
7. Immettere y se si desidera utilizzare il criptaggio SSL per il traffico tra Network Agent e Administration Server. In caso contrario, immettere n.
8. Selezionare una delle seguenti opzioni per configurare Network Agent:
   • [1]: non configurare un gateway di connessione.

     Il dispositivo non fungerà da gateway di connessione e non si connetterà ad Administration Server tramite un gateway di connessione.

   • [2]: non utilizzare un gateway di connessione.

     Il dispositivo non si connetterà ad Administration Server tramite un gateway di connessione.

   • [3]: eseguire la connessione al server utilizzando un gateway di connessione.

     Il dispositivo si connetterà ad Administration Server tramite un gateway di connessione.

   • [4]: utilizzare come gateway di connessione.

     Il dispositivo fungerà da gateway di connessione.

Network Agent viene installato in un dispositivo Linux.

Installazione di Network Agent per Windows in modalità interattiva

Per installare Network Agent in locale in un dispositivo:

1. Nel dispositivo, eseguire il file ksc_<numero versione>.<numero build>_full_<lingua localizzazione>.exe dal pacchetto di distribuzione scaricato da internet.

   Verrà visualizzata una finestra che richiede di selezionare le applicazioni Kaspersky da installare.

2. Nella finestra di selezione dell'applicazione fare clic sul collegamento Installa solo Kaspersky Security Center 15 Network Agent per avviare l'Installazione guidata di Network Agent. Seguire le istruzioni della procedura guidata.

   Durante l'esecuzione dell'Installazione guidata, è possibile specificare le impostazioni avanzate di Network Agent (vedere di seguito).

3. Se si desidera utilizzare il dispositivo come gateway di connessione per uno specifico gruppo di amministrazione, nella finestra Gateway di connessione dell'Installazione guidata selezionare Use Network Agent as connection gateway in DMZ.
4. Per configurare Network Agent durante l'installazione in una macchina virtuale:
   1. Se si prevede di creare macchine virtuali dinamiche dall'immagine della macchina virtuale, abilitare la modalità dinamica di Network Agent per Virtual Desktop Infrastructure (VDI). A tale scopo, nella finestra Impostazioni avanzate dell'Installazione guidata selezionare l'opzione Abilita modalità dinamica per VDI. 

      Ignorare questo passaggio se non si prevede di creare macchine virtuali dinamiche dall'immagine della macchina virtuale.

   2. Ottimizzare il funzionamento di Network Agent per VDI. A tale scopo, nella finestra Impostazioni avanzate dell'Installazione guidata, selezionare l'opzione Ottimizza le impostazioni per VDI.

      Verrà disabilitata la scansione dei file eseguibili per rilevare la presenza di vulnerabilità all'avvio del dispositivo. Inoltre, verrà disabilitato l'invio di informazioni sui seguenti oggetti ad Administration Server:

      • Registro hardware
      • Applicazioni installate nel dispositivo
      • Aggiornamenti di Microsoft Windows da installare nel dispositivo client locale
      • Vulnerabilità del software rilevate nel dispositivo client locale

      Inoltre, sarà possibile abilitare l'invio di queste informazioni nelle proprietà di Network Agent o nelle impostazioni del criterio di Network Agent.

Al termine dell'Installazione guidata, Network Agent viene installato nel dispositivo.

È possibile visualizzare le proprietà del servizio Network Agent; è inoltre possibile avviare, arrestare e monitorare l'esecuzione di Network Agent utilizzando gli strumenti standard di Microsoft Windows: Gestione computer\Servizi.

Installazione di Network Agent for Windows in modalità automatica

Network Agent può essere installato in modalità automatica, ovvero senza l'input dei parametri di installazione. L'installazione automatica utilizza un pacchetto di installazione di Windows (MSI) per Network Agent. Il file MSI è disponibile nel pacchetto di distribuzione di Kaspersky Security Center Linux, nella cartella Packages\NetAgent\exec.

L'installazione di Network Agent dal pacchetto MSI è possibile solo in modalità automatica, l'installazione interattiva dal pacchetto MSI non è supportata.

Per installare Network Agent in un dispositivo locale in modalità automatica:

1. Leggere il Contratto di licenza con l'utente finale. Utilizzare il comando di seguito solo se sono stati compresi e accettati i termini del Contratto di licenza con l'utente finale.
2. Eseguire il comando

   msiexec /i "Kaspersky Network Agent.msi" /qn <parametri_installazione>

   dove parametri_installazione è un elenco di parametri e dei valori corrispondenti separati da uno spazio (PROP1=PROP1VAL PROP2=PROP2VAL).

   Nell'elenco dei parametri è necessario includere EULA=1. In caso contrario Network Agent non verrà installato.

Se si utilizzano le impostazioni di connessione standard per Kaspersky Security Center e Network Agent nei dispositivi remoti, eseguire il comando:

/l*vx è la chiave per la scrittura dei log. Il log viene creato durante l'installazione di Network Agent e salvato in C:\windows\temp\nag_inst.log.

Oltre a nag_inst.log, l'applicazione crea il file $klssinstlib.log, che contiene il log di installazione. Questo file è archiviato nella cartella %windir%\temp or %temp%. Per la risoluzione dei problemi, l'utente o un esperto del Servizio di assistenza tecnica Kaspersky potrebbe aver bisogno di entrambi i file di log: nag_inst.log e $klssinstlib.log.

Se è necessario specificare la porta per la connessione ad Administration Server, eseguire il comando:

Il parametro SERVERPORT corrisponde al numero di porta per la connessione ad Administration Server.

I nomi e i possibili valori per i parametri che è possibile utilizzare durante l'installazione di Network Agent in modalità automatica sono elencati nella sezione Parametri di installazione di Network Agent.

Installazione di applicazioni in modalità automatica

Per installare un'applicazione in modalità automatica:

1. Nel menu principale accedere a Individuazione e distribuzione → Distribuzione e assegnazione → Pacchetti di installazione.
2. Selezionare la casella di controllo accanto al programma di installazione dell'applicazione richiesta o crearne una nuova per l'applicazione.

   Il pacchetto di installazione verrà memorizzato in Administration Server, nella sottocartella Packages della cartella condivisa. A ogni pacchetto di installazione corrisponde una sottocartella distinta.

3. Aprire la cartella che contiene il pacchetto di installazione richiesto in uno dei seguenti modi:
   • Copiando la cartella che corrisponde al pacchetto di installazione appropriato dall'Administration Server nel dispositivo client e aprendo la cartella copiata nel dispositivo client.
   • Aprendo dal dispositivo client la cartella condivisa che corrisponde al pacchetto di installazione desiderato in Administration Server.

   Se la cartella condivisa si trova in un dispositivo con sistema operativo Microsoft Windows Vista, selezionare il valore Disabilitato per l'impostazione Controllo dell'account utente: esegui tutti gli amministratori in modalità Approvazione amministratore (Start → Pannello di controllo → Amministrazione → Criteri di protezione locali → Impostazioni di protezione).

4. A seconda dell'applicazione selezionata, eseguire le seguenti operazioni:
   • Per Kaspersky Anti-Virus for Windows Workstations, Kaspersky Anti-Virus for Windows Servers e Kaspersky Security Center, aprire la sottocartella exec, quindi eseguire il file eseguibile (con estensione .exe) con la chiave /s.
   • Per le altre applicazioni Kaspersky, eseguire il file eseguibile (con estensione .exe) con l'opzione /s dalla cartella aperta.

   L'esecuzione del file eseguibile con le chiavi EULA=1 e PRIVACYPOLICY=1 comporta la lettura, la comprensione e l'accettazione dei termini del Contratto di licenza con l'utente finale e dell'Informativa sulla privacy. L'utente è inoltre consapevole che i dati verranno gestiti e trasmessi (anche a paesi terzi) come descritto nell'Informativa sulla privacy. Il testo del Contratto di licenza e dell'Informativa sulla privacy è incluso nel kit di distribuzione di Kaspersky Security Center Linux. È necessario accettare le condizioni del Contratto di licenza e dell'Informativa sulla privacy per installare l'applicazione o per eseguire l'upgrade da una versione precedente dell'applicazione.

Installazione delle applicazioni tramite pacchetti indipendenti

Kaspersky Security Center consente di creare pacchetti di installazione indipendenti per le applicazioni. Un pacchetto di installazione indipendente è un file eseguibile che può essere posizionato su un server Web, inviato per e-mail o trasferito in altro modo a un dispositivo client. Il file ricevuto può essere eseguito in locale nel dispositivo client per installare un'applicazione senza utilizzare Kaspersky Security Center.

Per installare un'applicazione utilizzando un pacchetto di installazione indipendente:

1. Nel menu principale accedere a Individuazione e distribuzione → Distribuzione e assegnazione → Pacchetti di installazione.
2. Selezionare la casella di controllo accanto al pacchetto di installazione dell'applicazione richiesta, quindi fare clic sul pulsante Distribuisci.
3. Nella finestra visualizzata, selezionare Utilizzo di un pacchetto indipendente, quindi fare clic sul pulsante Avanti.

   Verrà avviata la Creazione guidata pacchetto di installazione indipendente. Procedere con la procedura guidata utilizzando il pulsante Avanti.

4. Selezionare l'opzione Crea pacchetto di installazione indipendente.
5. Specificare se i dispositivi devono essere spostati in un gruppo di amministrazione dopo l'installazione di Network Agent.
6. Nel passaggio finale della procedura guidata, selezionare un metodo per il trasferimento del pacchetto di installazione indipendente nel dispositivo client, quindi fare clic sull'icona Fine per terminare la procedura guidata.
7. Trasferire il pacchetto di installazione indipendente nel dispositivo client.
8. Eseguire il pacchetto di installazione indipendente nel dispositivo client.

L'applicazione verrà installata nel dispositivo client con le impostazioni specificate nel pacchetto indipendente.

Quando si crea un pacchetto di installazione indipendente, questo viene automaticamente pubblicato nel server Web. Il collegamento per il download del pacchetto indipendente viene visualizzato nell'elenco dei pacchetti di installazione indipendenti creati. Se necessario, è possibile annullare la pubblicazione del pacchetto indipendente selezionato e ripubblicarlo sul server Web. Per impostazione predefinita, per il download dei pacchetti di installazione indipendenti viene utilizzata la porta 8060.

Impostazioni del pacchetto di installazione di Network Agent

Espandi tutto | Comprimi tutto

Per configurare un pacchetto di installazione di Network Agent:

1. Eseguire una delle seguenti operazioni:
   • Nel menu principale accedere a Individuazione e distribuzione → Distribuzione e assegnazione → Pacchetti di installazione.
   • Nel menu principale accedere a Operazioni → Archivi → Pacchetti di installazione.

   Verrà visualizzato un elenco dei pacchetti di installazione disponibili in Administration Server.

2. Fare clic sul nome del pacchetto di installazione di Network Agent.

Verrà visualizzata la finestra delle proprietà del pacchetto di installazione di Network Agent.

Le impostazioni di un pacchetto di installazione di rete sono raggruppate nelle seguenti schede:

• Scheda Generale

  Questa scheda mostra le seguenti informazioni sul pacchetto di installazione:

  • Nome pacchetto di installazione
  • Nome e versione dell'applicazione per cui è stato creato il pacchetto di installazione
  • Dimensione del pacchetto di installazione
  • Data di creazione del pacchetto di installazione
  • Percorso della cartella del pacchetto di installazione
• Scheda Impostazioni

  Questa scheda presenta le impostazioni necessarie per assicurare il corretto funzionamento di Network Agent subito dopo essere stato installato.

  • Sezione Impostazioni
    • Installa nella cartella predefinita

      Se questa opzione è selezionata, Network Agent verrà installato nella cartella <Unità>:\Programmi\Kaspersky Lab\NetworkAgent. Se la cartella non esiste, verrà creata automaticamente.

      Per impostazione predefinita, questa opzione è selezionata.

    • Installa nella cartella specificata

      Se questa opzione è selezionata, Network Agent verrà installato nella cartella specificata nel campo di immissione.

    • Usa password di disinstallazione

      Se questa opzione è abilitata, è possibile immettere la password di disinstallazione (disponibile solo per Network Agent nei dispositivi che eseguono sistemi operativi Windows).

      Per impostazione predefinita, questa opzione è disabilitata.

    • Proteggi il servizio Network Agent dalle operazioni non autorizzate di rimozione o terminazione e impedisci la modifica delle impostazioni

      Quando questa opzione è abilitata, dopo l'installazione di Network Agent in un dispositivo gestito, il componente non può essere rimosso o riconfigurato senza i privilegi richiesti. Il servizio Network Agent non può essere arrestato. Questa opzione non ha effetto sui controller di dominio.

      Abilitare questa opzione per proteggere Network Agent sulle workstation gestite con diritti di amministratore locale.

      Per impostazione predefinita, questa opzione è disabilitata.

    • Installa automaticamente le patch e gli aggiornamenti applicabili per i componenti con lo stato Indefinito

      Se questa opzione è abilitata, tutti gli aggiornamenti e le patch scaricati per Administration Server, Network Agent, Kaspersky Security Center Web Console, server per dispositivi mobili Exchange e server per dispositivi mobili MDM iOS verranno installati automaticamente.

      Se questa opzione è disabilitata, tutti gli aggiornamenti e le patch scaricati verranno installati solo dopo l'impostazione dello stato su Approvato. Gli aggiornamenti e le patch con lo stato Indefinito non verranno installati.

      Per impostazione predefinita, questa opzione è abilitata.

  • Sezione Connection

    In questa sezione è possibile configurare la connessione di Network Agent ad Administration Server. Per stabilire una connessione, è possibile utilizzare il protocollo SSL o UDP. Per configurare la connessione, specificare le seguenti impostazioni:

    • Indirizzo di Administration Server

      Indirizzo del dispositivo in cui è installato Administration Server.

    • Numero di porta

      Il numero di porta utilizzato per la connessione.

    • Porta SSL

      Numero di porta utilizzato per la connessione tramite il protocollo SSL.

    • Usa certificato server

      Se questa opzione è abilitata, l'autenticazione dell'accesso di Network Agent ad Administration Server utilizzerà il file di certificato che è possibile specificare facendo clic sul pulsante Seleziona file di certificato.

      Se questa opzione è disabilitata, il file di certificato verrà ricevuto da Administration Server alla prima connessione di Network Agent all'indirizzo specificato nel campo Indirizzo di Administration Server.

      È consigliabile non disabilitare questa opzione, poiché la ricezione automatica di un certificato di Administration Server da parte di Network Agent al momento della connessione ad Administration Server è considerata non sicura.

      Per impostazione predefinita, questa opzione è disabilitata.

    • Usa connessione SSL

      Se questa opzione è abilitata, la connessione ad Administration Server viene stabilita attraverso una porta sicura tramite SSL.

      Per impostazione predefinita, questa opzione è disabilitata. È consigliabile non disabilitare questa opzione in modo che la connessione rimanga protetta.

    • Usa porta UDP

      Se questa opzione è abilitata, Network Agent è connesso ad Administration Server tramite una porta UDP. Ciò consente di gestire i dispositivi client e ricevere informazioni in merito.

      La porta UDP deve essere aperta nei dispositivi gestiti in cui è installato Network Agent. È pertanto consigliabile non disabilitare questa opzione.

      Per impostazione predefinita, questa opzione è abilitata.

    • Porta UDP

      In questo campo è possibile specificare la porta utilizzata per la connessione di Administration Server a Network Agent tramite il protocollo UDP.

      La porta UDP predefinita è 15000.

    • Non usare server proxy

      Se questa opzione è abilitata, viene utilizzata la connessione diretta per connettere il dispositivo al server di amministrazione.

    • Usa server proxy

      Se questa opzione è abilitata, specificare i parametri del server proxy:

      • Indirizzo server proxy
      • Porta server proxy

      Se il server proxy richiede l'autenticazione, abilitare l'opzione Autenticazione server proxy e specificare il Nome utente e la Password dell'account con cui viene stabilita la connessione al server proxy. È consigliabile specificare le credenziali di un account con i privilegi minimi richiesti solo per l'autenticazione del server proxy.

    • Per motivi di compatibilità, non è consigliabile specificare le impostazioni di connessione proxy nelle impostazioni del pacchetto di installazione di Network Agent.
    • Apri porte di Network Agent in Microsoft Windows Firewall

      Se questa opzione è abilitata, le porte utilizzate da Network Agent vengono aggiunte all'elenco di esclusioni di Microsoft Windows Firewall.

      Per impostazione predefinita, questa opzione è abilitata.

      Questa opzione è disponibile solo per i pacchetti di installazione di Network Agent destinati ai dispositivi che eseguono Windows.

  • Sezione Advanced

    In questa sezione, è possibile configurare il metodo di utilizzo del gateway di connessione.

    Nel gruppo di impostazioni Utilizzare Network Agent come gateway di connessione nella rete perimetrale, è possibile configurare il metodo di connessione tra un dispositivo e Administration Server:

    • Utilizzare Network Agent come gateway di connessione nella rete perimetrale

      Se questa opzione è abilitata, Network Agent viene utilizzato come gateway di connessione nella rete perimetrale per connettersi ad Administration Server, comunicare con esso e assicurare la protezione dei dati in Network Agent durante la trasmissione dei dati.

    • Esegui la connessione ad Administration Server utilizzando un gateway di connessione

      Se questa opzione è abilitata, la connessione ad Administration Server viene stabilita utilizzando un gateway di connessione per ridurre il numero di connessioni ad Administration Server. In questo caso, inserire l'indirizzo del dispositivo che fungerà da gateway di connessione nel campo Indirizzo gateway connessione.

    Nel gruppo di impostazioni Usa VDI (Virtual Desktop Infrastructure), è possibile configurare la connessione per Virtual Desktop Infrastructure (VDI) se la rete include macchine virtuali:

    • Abilita modalità dinamica per VDI

      Se questa opzione è abilitata, la modalità dinamica per Virtual Desktop Infrastructure (VDI) sarà abilitata per Network Agent installato in una macchina virtuale.

      Per impostazione predefinita, questa opzione è disabilitata.

    • Ottimizza le impostazioni per VDI

      Se questa opzione è abilitata, le seguenti funzionalità sono disabilitate nelle impostazioni di Network Agent:

      • Recupero delle informazioni sul software installato
      • Recupero delle informazioni sull'hardware
      • Recupero delle informazioni sulle vulnerabilità rilevate
      • Recupero delle informazioni sugli aggiornamenti richiesti

      Per impostazione predefinita, questa opzione è disabilitata.

  • Sezione Tag

    La sezione Tag visualizza un elenco di parole chiave (tag) che possono essere aggiunte ai dispositivi client dopo l'installazione di Network Agent. È possibile aggiungere e rimuovere tag dall'elenco, nonché rinominarli.

    Se la casella di controllo accanto a un tag è selezionata, il tag viene aggiunto automaticamente ai dispositivi gestiti durante l'installazione di Network Agent.

    Se la casella di controllo accanto a un tag è deselezionata, il tag non viene aggiunto automaticamente ai dispositivi gestiti durante l'installazione di Network Agent. È possibile aggiungere manualmente il tag ai dispositivi.

    Rimuovendo un tag dall'elenco, il tag viene rimosso automaticamente da tutti i dispositivi a cui è stato aggiunto.

    Le regole di assegnazione automatica dei tag non sono applicabili ai pacchetti di installazione di Network Agent destinati ai dispositivi in cui viene eseguito Linux e macOS.

• Scheda Pacchetti indipendenti

  In questa scheda, è possibile eseguire le seguenti operazioni:

  • Visualizzare l'elenco dei pacchetti di installazione indipendenti disponibili.
  • Pubblicare un pacchetto di installazione indipendente sul server Web facendo clic sul pulsante Pubblica. Il pacchetto di installazione indipendente pubblicato è disponibile per il download per gli utenti a cui è stato inviato il collegamento al pacchetto di installazione indipendente.
  • Annullare la pubblicazione di un pacchetto di installazione indipendente sul server Web facendo clic sul pulsante Annulla pubblicazione. Il pacchetto di installazione indipendente non pubblicato è disponibile per il download solo per gli amministratori.
  • Scaricare un pacchetto di installazione indipendente nel dispositivo facendo clic sul pulsante Scarica.
  • Inviare un messaggio e-mail con il collegamento a un pacchetto di installazione indipendente facendo clic sul pulsante Invia tramite e-mail.
  • Rimuovere un pacchetto di installazione indipendente facendo clic sul pulsante Rimuovi.
• Scheda Cronologia revisioni

  In questa scheda, è possibile visualizzare la cronologia delle revisioni del pacchetto di installazione. È possibile confrontare le revisioni, visualizzare le revisioni, salvare le revisioni in un file e aggiungere e modificare le descrizioni delle revisioni.

Configurazione manuale dell'attività di gruppo per la scansione di un dispositivo con Kaspersky Endpoint Security

L'Avvio rapido guidato crea un'attività di gruppo per la scansione di un dispositivo. Se la pianificazione specificata automaticamente dell'attività di scansione di gruppo non è appropriata per l'organizzazione, è necessario impostare manualmente la pianificazione più adatta per questa attività in base alle regole del luogo di lavoro adottate nell'organizzazione.

Ad esempio, all'attività viene assegnata una pianificazione Esegui il venerdì alle 19:00 con un'impostazione casuale automatica e la casella di controllo Esegui attività non effettuate è deselezionata. Di conseguenza, se i dispositivi nell'organizzazione vengono spenti ad esempio il venerdì alle 18:30, l'attività di scansione del dispositivo non verrà eseguita. In questo caso, è necessario impostare manualmente l'attività di scansione di gruppo.