Sommario
- Individuazione dei dispositivi nella rete
- Scenario: Individuazione dei dispositivi nella rete
- Polling intervallo IP
- Aggiunta e modifica di un intervallo IP
- Polling zeroconf
- Polling del controller di dominio
- Autenticazione e connessione a un controller di dominio
- Configurazione di un controller di dominio Samba
- Utilizzo della modalità dinamica VDI nei dispositivi client
Individuazione dei dispositivi nella rete
Questa sezione descrive la ricerca e l'individuazione dei dispositivi nella rete.
Kaspersky Security Center Linux consente di individuare i dispositivi sulla base dei criteri specificati. È possibile salvare i risultati della ricerca in un file di testo.
La funzionalità di ricerca e individuazione consente di trovare i seguenti dispositivi:
- I dispositivi gestiti nei gruppi di amministrazione di Kaspersky Security Center Administration Server e nei relativi Administration Server secondari.
- I dispositivi non assegnati gestiti da Kaspersky Security Center Administration Server e dai relativi Administration Server secondari.
Scenario: Individuazione dei dispositivi nella rete
È necessario eseguire la device discovery prima dell'installazione delle applicazioni di protezione. Quando vengono individuati tutti i dispositivi della rete, è possibile ricevere informazioni in merito e gestirli tramite i criteri. Il polling periodico della rete è necessario per scoprire se sono presenti nuovi dispositivi e se i dispositivi individuati in precedenza sono ancora in rete.
L'individuazione dei dispositivi della rete comprende le seguenti fasi:
- Device discovery iniziale
Dopo aver completato l’avvio rapido guidato, eseguire manualmente la device discovery.
- Configurazione delle operazioni di polling future
Verificare che il polling dell'intervallo IP sia abilitato e che la pianificazione di polling soddisfi le esigenze dell'organizzazione. Durante la configurazione la pianificazione di polling utilizzare i suggerimenti per la frequenza di polling della rete.
È inoltre possibile abilitare Polling Zeroconf se la rete include dispositivi IPv6.
Se i dispositivi in rete sono inclusi in un dominio, è consigliabile utilizzare il polling del controller di dominio.
- Configurazione delle regole per l'aggiunta dei dispositivi individuati nei gruppi di amministrazione (opzione facoltativa)
Se vengono visualizzati nuovi dispositivi nella rete, questi vengono individuati durante il polling periodico e vengono automaticamente inclusi nel gruppo Dispositivi non assegnati. Se si desidera, è possibile configurare le regole per lo spostamento automatico di questi dispositivi nel gruppo Dispositivi gestiti. È inoltre possibile definire le regole di conservazione.
Se si ignora questa fase di configurazione delle regole, tutti i nuovi dispositivi individuati passano al gruppo Dispositivi non assegnati e rimangono in tale gruppo. Se si desidera, è possibile spostare questi dispositivi nel gruppo Dispositivi gestiti manualmente. Se si spostano manualmente i dispositivi nel gruppo Dispositivi gestiti, è possibile analizzare le informazioni su ciascun dispositivo, decidere se spostarlo in un gruppo di amministrazione e, in tal caso, in quale gruppo.
Risultati
Il completamento dello scenario dà i seguenti risultati:
- Kaspersky Security Center Linux Administration Server rileva i dispositivi nella rete e fornisce informazioni in merito.
- Le operazioni di polling future vengono impostate ed eseguite in base alla pianificazione specificata.
I nuovi dispositivi individuati vengono organizzati in base alle regole configurate. In alternativa, se non è configurata alcuna regola, i dispositivi rimangono nel gruppo Dispositivi non assegnati).
Inizio paginaPolling intervallo IP
Espandi tutto | Comprimi tutto
Kaspersky Security Center Linux tenta di eseguire la risoluzione inversa dei nomi per ogni indirizzo IPv4 nell'intervallo specificato a un nome DNS utilizzando richieste DNS standard. Se questa operazione riesce, il server invia un messaggio ICMP ECHO REQUEST (equivalente al comando ping) al nome ricevuto. Se il dispositivo risponde, le informazioni su di esso vengono aggiunte al database di Kaspersky Security Center Linux. La risoluzione inversa dei nomi è necessaria per escludere i dispositivi di rete che possono avere un indirizzo IP ma che non sono computer, ad esempio stampanti o router di rete.
Questo metodo di polling si basa su un servizio DNS locale configurato correttamente. Deve essere presente una zona di ricerca inversa. Se questa zona non è configurata, il polling della subnet IP non produrrà risultati.
Inizialmente, Kaspersky Security Center Linux ottiene gli intervalli IP per il polling dalle impostazioni di rete del dispositivo in cui è installato. Se l'indirizzo del dispositivo è 192.168.0.1 e la subnet mask è 255.255.255.0, Kaspersky Security Center Linux include automaticamente la rete 192.168.0.0/24 nell'elenco degli indirizzi di polling. Kaspersky Security Center Linux esegue il polling di tutti gli indirizzi da 192.168.0.1 a 192.168.0.254.
Se è abilitato solo il polling dell'intervallo IP, Kaspersky Security Center Linux rileva i dispositivi solo con indirizzi IPv4. Se la rete include dispositivi IPv6, attivare la funzionalità Polling Zeroconf dei dispositivi.
Visualizzazione e modifica delle impostazioni per il polling degli intervalli IP
Per visualizzare e modificare le proprietà per il polling degli intervalli IP:
- Nel menu principale accedere a Individuazione e distribuzione → Individuazione → Intervalli IP.
- Fare clic sul pulsante Proprietà.
Verrà visualizzata la finestra delle proprietà del polling IP.
- Abilitare o disabilitare il polling IP utilizzando l'interruttore Consenti polling.
- Configurare la pianificazione del polling. Per impostazione predefinita, il polling IP viene eseguito ogni 420 minuti (sette ore).
Quando si specifica l'intervallo di polling, verificare che questa impostazione non superi il valore del parametro di durata dell'indirizzo IP. Se un indirizzo IP non viene verificato tramite il polling durante la durata dell'indirizzo IP, tale indirizzo IP viene automaticamente rimosso dai risultati del polling. Per impostazione predefinita, la durata dei risultati del polling è di 24 ore, poiché gli indirizzi IP dinamici, ovvero assegnati tramite il protocollo DHCP (Dynamic Host Configuration Protocol), cambiano ogni 24 ore.
Opzioni per la pianificazione di polling:
- Fare clic sul pulsante Salva.
Le proprietà verranno salvate e applicate a tutti gli intervalli IP.
Esecuzione manuale del polling
Per eseguire immediatamente il polling:
Fare clic su Avvia polling.
Inizio paginaAggiunta e modifica di un intervallo IP
Espandi tutto | Comprimi tutto
Inizialmente, Kaspersky Security Center Linux ottiene gli intervalli IP per il polling dalle impostazioni di rete del dispositivo in cui è installato. Se l'indirizzo del dispositivo è 192.168.0.1 e la subnet mask è 255.255.255.0, Kaspersky Security Center Linux include automaticamente la rete 192.168.0.0/24 nell'elenco degli indirizzi di polling. Kaspersky Security Center Linux esegue il polling di tutti gli indirizzi da 192.168.0.1 a 192.168.0.254. È possibile modificare gli intervalli IP definiti automaticamente o aggiungere intervalli IP personalizzati.
È possibile creare un intervallo solo per gli indirizzi IPv4. Se si abilita Polling Zeroconf, Kaspersky Security Center Linux eseguirà il polling dell'intera rete.
Per aggiungere un nuovo intervallo IP:
- Nel menu principale accedere a Individuazione e distribuzione → Individuazione → Intervalli IP.
- Per aggiungere un nuovo intervallo IP, fare clic sul pulsante Aggiungi.
- Nella finestra visualizzata specificare le seguenti impostazioni:
- Selezionare Abilita polling intervalli IP se si desidera eseguire il polling della subnet o dell'intervallo aggiunto. In caso contrario, non verrà effettuato il polling della subnet o dell'intervallo aggiunto.
- Fare clic sul pulsante Salva.
Il nuovo intervallo IP verrà aggiunto all'elenco degli intervalli IP.
È possibile eseguire il polling di ciascun intervallo IP separatamente utilizzando il pulsante Avvia polling. Per impostazione predefinita, la durata dei risultati del polling è di 24 ore ed è uguale all'impostazione per la durata dell'indirizzo IP.
Per aggiungere una subnet a un intervallo IP esistente:
- Nel menu principale accedere a Individuazione e distribuzione → Individuazione → Intervalli IP.
- Fare clic sul nome dell'intervallo IP a cui si desidera aggiungere una subnet.
- Nella finestra visualizzata fare clic sul pulsante Aggiungi.
- Specificare una subnet utilizzando il relativo indirizzo e la subnet mask oppure tramite il primo e l'ultimo indirizzo IP nell'intervallo IP. In alternativa, aggiungere una subnet esistente facendo clic sul pulsante Sfoglia.
- Fare clic sul pulsante Salva.
La nuova subnet verrà aggiunta all'intervallo IP.
- Fare clic sul pulsante Salva.
Le nuove impostazioni dell'intervallo IP verranno salvate.
È possibile aggiungere tutte le subnet necessarie. Gli intervalli IP denominati non possono sovrapporsi, ma le subnet non denominate all'interno di un intervallo IP non presentano tali restrizioni. È possibile abilitare e disabilitare il polling in modo indipendente per ogni intervallo IP.
Inizio paginaPolling zeroconf
Questo tipo di polling è supportato solo per i punti di distribuzione basati su Linux.
Kaspersky Security Center Linux può eseguire il polling delle reti che hanno dispositivi con indirizzi IPv6. In questo caso, gli intervalli IP non vengono specificati e Kaspersky Security Center Linux esegue il polling dell'intera rete utilizzando le reti zero-configuration (definite anche Zeroconf). Per iniziare a utilizzare Zeroconf, è necessario installare l'utilità avahi-browse nel dispositivo Linux che esegue il polling delle reti: un Administration Server o un punto di distribuzione.
Per abilitare il polling Zeroconf:
- Nel menu principale accedere a Individuazione e distribuzione → Individuazione → Intervalli IP.
- Fare clic sul pulsante Proprietà.
- Nella finestra aperta, attivare l'interruttore Usa Zeroconf per il polling delle reti IPv6.
Successivamente, Kaspersky Security Center Linux inizia a eseguire il polling della rete. In questo caso gli intervalli IP specificati vengono ignorati.
Inizio paginaPolling del controller di dominio
Espandi tutto | Comprimi tutto
Kaspersky Security Center Linux supporta il polling di un controller di dominio Microsoft Active Directory e di un controller di dominio Samba. Per un controller di dominio Samba, Samba 4 viene utilizzato come controller di dominio Active Directory.
Quando si esegue il polling di un controller di dominio, Administration Server o un punto di distribuzione recuperano le informazioni sulla struttura del dominio, sugli account utente, sui gruppi di protezione e sui nomi DNS dei dispositivi inclusi nel dominio.
È consigliabile utilizzare il polling del controller di dominio se tutti i dispositivi in rete sono membri di un dominio. Se alcuni dei dispositivi in rete non sono inclusi nel dominio, questi dispositivi non possono essere rilevati dal polling del controller di dominio.
Il server invia richieste echo ICMP (uguali al comando ping) durante il polling di Microsoft Active Directory.
Prerequisiti
Prima di eseguire il polling di un controller di dominio, assicurarsi di consentire le connessioni al controller di dominio tramite un firewall o un server proxy. Verificare inoltre che i seguenti protocolli siano abilitati nel controller di dominio:
- Lightweight Directory Access Protocol (LDAP)
- Simple Authentication and Security Layer (SASL)
Questo protocollo viene utilizzato se la connessione al controller di dominio viene stabilita utilizzando l'autenticazione SASL. Administration Server e i punti di distribuzione supportano solo il meccanismo DIGEST-MD5.
- Lightweight Directory Access Protocol over Secure Sockets Layer (LDAPS)
Questo protocollo viene utilizzato se è necessario connettersi al controller di dominio tramite una connessione criptata.
Verificare che le seguenti porte siano disponibili nel dispositivo del controller di dominio:
- 389 per il protocollo LDAP e Simple Authentication (incluso SASL)
- 636 per il protocollo LDAPS
Polling del controller di dominio tramite Administration Server
Per eseguire il polling di un controller di dominio utilizzando Administration Server:
- Nel menu principale, passare a Individuazione e distribuzione → Individuazione → Controller di dominio.
- Fare clic su Impostazioni di polling.
Viene visualizzata la finestra Impostazioni di polling del controller di dominio.
- Selezionare l'opzione Abilita polling controller di dominio.
- In Esegui polling di domini specifici, fare clic su Aggiungi, quindi specificare l'indirizzo e le credenziali utente del controller di dominio.
- Se necessario, nella finestra Impostazioni di polling del controller di dominio, specificare la pianificazione del polling. Il periodo predefinito è un'ora. I dati ricevuti al successivo polling sostituiscono completamente i dati precedenti.
Sono disponibili le opzioni di pianificazione di polling seguenti:
- Ogni N giorni
- Ogni N minuti
- In base ai giorni della settimana
- Ogni mese nei giorni specificati delle settimane selezionate
- Esegui attività non effettuate
Se si modificano gli account utente in un gruppo di protezione del dominio, queste modifiche verranno visualizzate in Kaspersky Security Center Linux un'ora dopo il polling del controller di dominio.
- Fare clic su Salva per applicare le modifiche.
- Se si desidera eseguire immediatamente il polling, fare clic sul pulsante Avvia polling.
Polling del controller di dominio utilizzando un punto di distribuzione
È inoltre possibile eseguire il polling di un controller di dominio utilizzando un punto di distribuzione. Un dispositivo gestito basato su Windows o Linux può fungere da punto di distribuzione.
Per un punto di distribuzione Linux, sono supportati il polling di un controller di dominio Microsoft Active Directory e di un controller di dominio Samba.
Per un punto di distribuzione Windows, è supportato solo il polling di un controller di dominio Microsoft Active Directory.
Il polling con un punto di distribuzione Mac non è supportato.
Per configurare il polling del controller di dominio utilizzando il punto di distribuzione:
- Aprire le proprietà del punto di distribuzione.
- Selezionare la sezione Polling del controller di dominio.
- Selezionare l'opzione Abilita polling controller di dominio.
- Selezionare il controller di dominio di cui si desidera eseguire il polling.
Se si utilizza un punto di distribuzione Linux, nella sezione Esegui polling di domini specifici, fare clic su Aggiungi, quindi specificare l'indirizzo e le credenziali utente del controller di dominio.
Se si utilizza un punto di distribuzione Windows, è possibile selezionare una delle seguenti opzioni:
- Esegui polling dominio corrente
- Esegui polling di tutta la foresta di dominio
- Esegui polling di domini specifici
- Fare clic sul pulsante Imposta pianificazione di polling per specificare le opzioni di pianificazione del polling, se necessario.
Il polling viene avviato solo in base alla pianificazione specificata. L'avvio manuale del polling non è disponibile.
Al termine del polling, la struttura del dominio verrà visualizzata nella sezione Controller di dominio.
Se sono installate e attivate le regole di spostamento dei dispositivi, i nuovi dispositivi individuati vengono automaticamente inclusi nel gruppo Dispositivi gestiti. Se non sono state abilitate regole di spostamento, i nuovi dispositivi individuati vengono automaticamente inclusi nel gruppo Dispositivi non assegnati.
Gli account utente rilevati possono essere utilizzati per l'autenticazione del dominio in Kaspersky Security Center Web Console.
Autenticazione e connessione a un controller di dominio
Autenticazione e connessione a un controller di dominio durante il polling di un dominio
Durante il polling di un controller di dominio, Administration Server o un punto di distribuzione identifica il protocollo di connessione per stabilire la connessione iniziale al controller di dominio. Questo protocollo viene utilizzato per tutte le connessioni future al controller di dominio. Quando si stabilisce la connessione iniziale al controller di dominio, è possibile modificare le opzioni di connessione utilizzando il flag Network Agent (KLNAG_LDAP_TLS_REQCERT e KLNAG_LDAP_SSL_CACERT). È possibile configurare i flag Network Agent utilizzando klscflag come descritto in questo articolo.
La connessione iniziale a un controller di dominio procede come segue:
- Administration Server o un punto di distribuzione tenta di connettersi al controller di dominio tramite LDAPS.
Per impostazione predefinita, la verifica del certificato non è richiesta. Impostare il contrassegno
KLNAG_LDAP_TLS_REQCERTsu 1 per applicare la verifica del certificato.Possibili valori del contrassegno
KLNAG_LDAP_TLS_REQCERT:0: il certificato viene richiesto, ma se non viene fornito o se la verifica del certificato non è riuscita, la connessione TLS viene considerata ancora creata correttamente (valore predefinito).1: è richiesta una verifica rigorosa del certificato del server LDAP.
Per impostazione predefinita, quando il flag
KLNAG_LDAP_SSL_CACERTnon è specificato, per accedere alla catena di certificati viene utilizzato il percorso dipendente dal sistema operativo dell'autorità di certificazione (CA). Utilizzare il contrassegnoKLNAG_LDAP_SSL_CACERTper specificare un percorso personalizzato. - Se la connessione LDAPS non riesce, Administration Server o un punto di distribuzione tenta di connettersi al controller di dominio tramite una connessione TCP non criptata tramite SASL (DIGEST-MD5).
Autenticazione e connessione a un controller di dominio durante l'autenticazione di un utente di dominio ad Administration Server
Quando un utente di dominio si autentica in Administration Server, Administration Server identifica il protocollo per stabilire la connessione al controller di dominio.
La connessione a un controller di dominio procede come segue:
- Administration Server tenta di connettersi al controller di dominio tramite LDAPS.
È richiesta una verifica rigorosa del certificato del server LDAP.
Per impostazione predefinita, quando il flag
KLNAG_LDAP_SSL_CACERTnon è specificato, per accedere alla catena di certificati viene utilizzato il percorso dipendente dal sistema operativo dell'autorità di certificazione (CA). Utilizzare il contrassegnoKLNAG_LDAP_SSL_CACERTper specificare un percorso personalizzato. - Se la connessione LDAPS non riesce, si verifica un errore di connessione al controller di dominio e gli altri protocolli di connessione non vengono utilizzati.
Configurazione dei contrassegni
È possibile utilizzare l'utilità klscflag per configurare i contrassegni.
Eseguire la riga dei comandi, quindi modificare la directory corrente nella directory con l'utilità klscflag. Nel dispositivo Administration Server, l'utilità klscflag si trova nella directory di installazione. Il percorso di installazione predefinito è /opt/kaspersky/ksc64/sbin.
Ad esempio, il seguente comando impone la verifica del certificato:
klscflag -fset -pv klnagent -n KLNAG_LDAP_TLS_REQCERT -t d -v 1
Configurazione di un controller di dominio Samba
Kaspersky Security Center Linux supporta un controller di dominio Linux in esecuzione solo su Samba 4.
Un controller di dominio Samba supporta le stesse estensioni dello schema di un controller di dominio Microsoft Active Directory. È possibile abilitare la piena compatibilità di un controller di dominio Samba con un controller di dominio Microsoft Active Directory utilizzando l'estensione dello schema Samba 4. Questa è un'azione facoltativa.
Si consiglia di abilitare la piena compatibilità di un controller di dominio Samba con un controller di dominio Microsoft Active Directory. In questo modo, si assicurerà la corretta interazione tra Kaspersky Security Center Linux e il controller di dominio Samba.
Per abilitare la piena compatibilità di un controller di dominio Samba con un controller di dominio Microsoft Active Directory:
- Eseguire il seguente comando per utilizzare l'estensione dello schema RFC2307:
samba-tool domain provision --use-rfc2307 --interactive - Abilitare l'aggiornamento dello schema in un controller di dominio Samba. A tale scopo, aggiungere la seguente riga al file
/etc/samba/smb.conf:dsdb:schema update allowed = trueSe l'aggiornamento dello schema viene completato con un errore, è necessario eseguire un ripristino completo del controller di dominio che funge da master dello schema.
Se si desidera eseguire correttamente il polling di un controller di dominio Samba, è necessario specificare il netbios name e i parametri del workgroup nel file /etc/samba/smb.conf.
Utilizzo della modalità dinamica VDI nei dispositivi client
Un'infrastruttura virtuale può essere distribuita in una rete aziendale utilizzando macchine virtuali temporanee. Kaspersky Security Center Linux è in grado di rilevare le macchine virtuali temporanee aggiungendo le relative informazioni al database di Administration Server. Dopo che un utente ha finito di utilizzare una macchina virtuale temporanea, quest'ultima viene rimossa dall'infrastruttura virtuale. Tuttavia, è possibile che un record relativo alla macchina virtuale rimossa venga salvato nel database di Administration Server. Inoltre, le macchine virtuali inesistenti possono essere visualizzate in Kaspersky Security Center Web Console.
Per evitare che le informazioni relative alle macchine virtuali non esistenti vengano salvate, Kaspersky Security Center Linux supporta la modalità dinamica per Virtual Desktop Infrastructure (VDI). L'amministratore può abilitare il supporto della modalità dinamica per VDI nelle proprietà del pacchetto di installazione di Network Agent da installare nella macchina virtuale temporanea.
Quando una macchina virtuale temporanea viene disabilitata, Network Agent notifica ad Administration Server che la macchina è stata disabilitata. Se la macchina virtuale è stata disabilitata correttamente, viene rimossa dall'elenco dei dispositivi connessi ad Administration Server. Se durante la disabilitazione della macchina virtuale si verificano errori e Network Agent non invia una notifica relativa alla macchina virtuale disabilitata ad Administration Server, verrà utilizzato uno scenario di backup. In questo scenario, una macchina virtuale viene rimossa dall'elenco dei dispositivi connessi ad Administration Server dopo tre tentativi non riusciti di sincronizzazione con Administration Server.
Abilitazione della modalità dinamica VDI nelle proprietà di un pacchetto di installazione per Network Agent
Per abilitare la modalità dinamica VDI:
- Nel menu principale accedere a Individuazione e distribuzione → Distribuzione e assegnazione → Pacchetti di installazione.
- Nel menu di scelta rapida del pacchetto di installazione di Network Agent selezionare Proprietà.
Verrà visualizzata la finestra Proprietà.
- Nella finestra Proprietà, selezionare la sezione Avanzate.
- Nella sezione Avanzate selezionare l'opzione Abilita modalità dinamica per VDI.
Il dispositivo in cui deve essere installato Network Agent diventa parte di VDI.
Inizio paginaSpostamento dei dispositivi da VDI a un gruppo di amministrazione
Per spostare i dispositivi inclusi in VDI in un gruppo di amministrazione:
- Passare a Risorse (dispositivi) → Regole di spostamento.
- Fare clic su Aggiungi.
- Nella scheda Condizioni delle regole, selezionare la scheda Macchine virtuali.
- Impostare la regola Questa è una macchina virtuale su Sì e Parte di Virtual Desktop Infrastructure su Sì.
- Fare clic su Salva.