Distribuzione iniziale

Per gestire i dispositivi in un'organizzazione, è necessario installare Network Agent su ciascuno di essi.

Per l'installazione iniziale di Network Agent su un dispositivo gestito da Linux, è possibile utilizzare i seguenti metodi:

• Collegandosi al dispositivo gestito tramite SSH ed eseguendo l'attività di installazione remota.
• Eseguendo l'installazione del pacchetto nel dispositivo gestito.

Per l'installazione iniziale di Network Agent su un dispositivo gestito da Windows, è possibile utilizzare i seguenti metodi:

• Eseguendo l'attività di installazione remota nel punto di distribuzione di Windows.
• Utilizzando il pacchetto di Windows Installer (MSI) per Network Agent, con strumenti di terze parti per l'installazione remota delle applicazioni.
• Eseguendo il programma di installazione dell'applicazione nel dispositivo gestito.
• Inviando agli utenti dei dispositivi collegamenti ai pacchetti indipendenti generati da Kaspersky Security Center Linux. I pacchetti indipendenti sono moduli eseguibili che contengono i pacchetti di distribuzione delle applicazioni selezionate, con le impostazioni predefinite.

Per l'installazione iniziale di Network Agent su un dispositivo gestito da macOS, è possibile utilizzare i seguenti metodi:

• Eseguendo l'attività di installazione remota nel punto di distribuzione macOS.
• Inviando agli utenti dei dispositivi collegamenti ai pacchetti indipendenti generati da Kaspersky Security Center Linux. I pacchetti indipendenti sono moduli eseguibili che contengono i pacchetti di distribuzione delle applicazioni selezionate, con le impostazioni predefinite.

Dopo aver installato Network Agent su un dispositivo, è possibile eseguire l'installazione remota delle applicazioni Kaspersky su tale dispositivo tramite Network Agent. Il pacchetto di distribuzione di un'applicazione da installare viene trasferito mediante i canali di comunicazione tra i Network Agent e Administration Server, insieme alle impostazioni di installazione definite dall'amministratore. Per trasferire il pacchetto di distribuzione, è possibile utilizzare nodi di distribuzione per il trasferimento, cioè punti di distribuzione, recapito multicast e così via.

Al momento della scelta di un metodo e di una strategia per la distribuzione delle applicazioni in una rete gestita, è necessario considerare diversi fattori (elenco parziale):

• Configurazione della rete dell'organizzazione.
• Numero totale di dispositivi.
• Presenza nella rete dell'organizzazione di dispositivi che non appartengono ad alcun dominio e presenza di account uniformi con diritti di amministratore su tali dispositivi.
• Capacità del canale tra l'Administration Server e i dispositivi.
• Tipo di comunicazione tra Administration Server e le subnet remote e capacità dei canali di rete in tali subnet.
• Impostazioni di sicurezza applicate sui dispositivi remoti all'inizio della distribuzione. Questi parametri consentono di stabilire la connessione remota al dispositivo gestito e di avviare l'installazione.

Configurazione dei programmi di installazione

Prima di avviare la distribuzione delle applicazioni Kaspersky in una rete, è necessario specificare le impostazioni di installazione, ovvero quelle definite durante l'installazione dell'applicazione. Durante l'installazione di Network Agent, è necessario specificare almeno un indirizzo per la connessione ad Administration Server, tuttavia possono essere richieste anche alcune impostazioni avanzate. A seconda del metodo di installazione selezionato, è possibile definire le impostazioni in diversi modi. Nel caso più semplice (installazione interattiva manuale in un dispositivo selezionato), tutte le impostazioni appropriate possono essere definite attraverso l'interfaccia utente del programma di installazione.

Questo metodo per definire le impostazioni non è appropriato per l'installazione automatica delle applicazioni in gruppi di dispositivi. In generale, l'amministratore deve specificare i valori per le impostazioni in modalità centralizzata. Tali valori possono successivamente essere utilizzati per l'installazione automatica nei dispositivi della rete selezionati.

Pacchetti di installazione

Il metodo principale per definire le impostazioni di installazione delle applicazioni è adatto per tutti i metodi di installazione, sia con gli strumenti di Kaspersky Security Center Linux che con la maggior parte strumenti di terze parti. Questo metodo consiste nella creazione di pacchetti di installazione delle applicazioni in Kaspersky Security Center Linux.

I pacchetti di installazione sono generati utilizzando i seguenti metodi:

• Automaticamente, dai pacchetti di distribuzione specificati, in base ai descrittori inclusi (file con estensione kud che contengono regole per l'installazione e l'analisi dei risultati e altre informazioni).
• Da un file di archivio ZIP, CAB, TAR o TAR.GZ, per applicazioni standard o supportate.

I pacchetti di installazione generati sono organizzati gerarchicamente come cartelle con sottocartelle e file. Oltre al pacchetto di distribuzione originale, un pacchetto di installazione contiene impostazioni modificabili (incluse le impostazioni del programma di installazione e le regole per elaborare casi come la necessità di riavviare il sistema operativo per completare l'installazione), nonché moduli ausiliari minori.

I valori delle impostazioni di installazione specifici per una singola applicazione supportata possono essere definiti nell'interfaccia utente di Kaspersky Security Center Web Console al momento della creazione del pacchetto di installazione. Durante l'esecuzione dell'installazione remota delle applicazioni tramite gli strumenti di Kaspersky Security Center Linux, i pacchetti di installazione vengono inviati ai dispositivi. L'esecuzione del programma di installazione di un'applicazione rende disponibili tutte le impostazioni definite dall'amministratore per tale applicazione. Quando si utilizzano strumenti di terze parti per l'installazione delle applicazioni Kaspersky, è sufficiente garantire la disponibilità dell'intero pacchetto di installazione nel dispositivo, ovvero la disponibilità del pacchetto di distribuzione e delle relative impostazioni. I pacchetti di installazione vengono creati e archiviati da Kaspersky Security Center Linux in un'apposita sottocartella della cartella condivisa.

Non specificare dettagli degli account privilegiati nei parametri dei pacchetti di installazione.

La distribuzione tramite i criteri di gruppo di Microsoft Windows non è supportata.

Subito dopo l'installazione di Kaspersky Security Center Linux, alcuni pacchetti di installazione vengono generati automaticamente: sono pronti per l'installazione e includono i pacchetti di Network Agent e i pacchetti delle applicazioni di protezione per Microsoft Windows.

Anche se è possibile impostare la chiave di licenza per un'applicazione nelle proprietà di un pacchetto di installazione, è consigliabile evitare questo metodo di distribuzione della licenza, perché è semplice ottenere l'accesso in lettura ai pacchetti di installazione. È necessario utilizzare chiavi di licenza distribuite automaticamente o le attività di installazione per le chiavi di licenza.

Informazioni sulle attività di installazione remota in Kaspersky Security Center Linux

Kaspersky Security Center Linux fornisce diversi meccanismi per l'installazione remota delle applicazioni, che sono implementati come attività di installazione remota (installazione forzata, installazione tramite copia di un'immagine del disco rigido). È possibile creare un'attività di installazione remota sia per un gruppo di amministrazione specificato che per dispositivi specifici o per una selezione di dispositivi (tali attività sono visualizzate in Kaspersky Security Center Web Console, nella cartella Attività). Durante la creazione di un'attività, è possibile selezionare i pacchetti di installazione (quelli di Network Agent e/o di un'altra applicazione) per l'installazione con questa attività, nonché specificare determinate impostazioni che definiscono il metodo di installazione remota. È inoltre possibile utilizzare l'Installazione remota guidata, che è basata sulla creazione di un'attività di installazione remota e sul monitoraggio dei risultati.

Le attività per i gruppi di amministrazione influiscono sia sui dispositivi inclusi in un gruppo specificato che su tutti i dispositivi in tutti i sottogruppi compresi in tale gruppo di amministrazione. Un'attività copre i dispositivi degli Administration Server secondari inclusi in un gruppo o in qualsiasi dei relativi sottogruppi se l'impostazione corrispondente è abilitata nell'attività.

Le attività per dispositivi specifici aggiornano l'elenco dei dispositivi client a ogni esecuzione, in conformità con i contenuti della selezione al momento dell'avvio dell'attività. Se una selezione include dispositivi che sono stati connessi ad Administration Server secondari, l'attività verrà eseguita anche in tali dispositivi. Per informazioni dettagliate sulle impostazioni e i metodi di installazione, vedere più avanti in questa sezione.

Per garantire la corretta esecuzione di un'attività di installazione remota nei dispositivi connessi agli Administration Server secondari, è necessario utilizzare l'attività di trasmissione per trasferire anticipatamente i pacchetti di installazione utilizzati dall'attività agli Administration Server secondari corrispondenti.

Distribuzione tramite l'acquisizione e la copia dell'immagine di un dispositivo

Se Network Agent deve essere installato in dispositivi in cui è necessario installare (o reinstallare) anche un sistema operativo e altro software, è possibile utilizzare il meccanismo di acquisizione e copia dell'immagine del dispositivo.

Per eseguire la distribuzione acquisendo e copiando un disco rigido:

1. Creare un dispositivo "di riferimento" con un sistema operativo e il software appropriato installato, incluso Network Agent e un'applicazione di protezione.
2. Acquisire l'immagine di riferimento nel dispositivo e distribuire tale immagine nei nuovi dispositivi tramite l'attività dedicata di Kaspersky Security Center Linux.

   Per acquisire e installare le immagini disco, utilizzare gli strumenti di terzi disponibili nell'organizzazione.

Copia di un'immagine disco con strumenti di terze parti

Quando si applicano strumenti di terze parti per l'acquisizione dell'immagine di un dispositivo con Network Agent installato, utilizzare uno dei seguenti metodi:

• Sul dispositivo di riferimento, interrompere il servizio Network Agent ed eseguire l'utilità klmover con l'opzione -dupfix. L'utilità klmover è inclusa nel pacchetto di installazione di Network Agent. Evitare qualsiasi successiva esecuzione del servizio Network Agent finché l'operazione di acquisizione dell'immagine non viene completata.
• Verificare che l'utilità klmover venga eseguita con l'opzione -dupfix prima (requisito obbligatorio) della prima esecuzione del servizio Network Agent nei dispositivi di destinazione, al primo avvio del sistema operativo dopo la distribuzione dell'immagine. L'utilità klmover è inclusa nel pacchetto di installazione di Network Agent.
• Utilizzare la modalità di clonazione del disco di Network Agent.

Se l'immagine del disco rigido è stata copiata in modo errato, è possibile risolvere il problema.

È inoltre possibile acquisire l'immagine di un dispositivo senza Network Agent installato. A tale scopo, eseguire la distribuzione dell'immagine nei dispositivi di destinazione, quindi distribuire Network Agent. Se si utilizza questo metodo, fornire l'accesso alla cartella di rete con i pacchetti di installazione indipendenti da un dispositivo.

Modalità di clonazione del disco di Network Agent

La clonazione del disco rigido di un dispositivo di riferimento è un popolare metodo di installazione del software nei nuovi dispositivi. Se Network Agent viene eseguito in modalità standard nel disco rigido del dispositivo di riferimento, si verifica il seguente problema:

Dopo la distribuzione dell'immagine del disco di riferimento con Network Agent nei nuovi dispositivi, questi vengono visualizzati in Kaspersky Security Center Web Console come dispositivi singoli. Questo problema si verifica perché la procedura di clonazione comporta il mantenimento nei nuovi dispositivi di dati interni identici, utilizzati da Administration Server per associare un dispositivo con il proprio record in Kaspersky Security Center Web Console.

Una specifica modalità di clonazione del disco di Network Agent consente di evitare i problemi associati a una visualizzazione errata dei nuovi dispositivi in Kaspersky Security Center Web Console dopo la clonazione. Utilizzare questa modalità durante la distribuzione del software (con Network Agent) nei nuovi dispositivi tramite la clonazione del disco.

Nella modalità di clonazione del disco, Network Agent continua a funzionare, ma non si connette ad Administration Server. Quando si esce dalla modalità di clonazione, Network Agent elimina i dati interni, in base ai quali Administration Server associa più dispositivi a un singolo record in Kaspersky Security Center Web Console. Al termine della clonazione dell'immagine del dispositivo di riferimento, i nuovi dispositivi sono visualizzati correttamente in Kaspersky Security Center Web Console (con singoli record).

Scenario di utilizzo della modalità di clonazione del disco di Network Agent

1. L'amministratore installa Network Agent in un dispositivo di riferimento.
2. L'amministratore verifica la connessione di Network Agent ad Administration Server utilizzando l'utilità klnagchk.
3. L'amministratore abilita la modalità di clonazione del disco di Network Agent.
4. L'amministratore installa il software e le patch nel dispositivo e lo riavvia tutte le volte che risulta necessario.
5. L'amministratore clona il disco rigido del dispositivo di riferimento in qualsiasi numero di dispositivi.
6. Ogni copia clonata deve soddisfare le seguenti condizioni:
   1. Il nome del dispositivo deve essere modificato.
   2. Il dispositivo deve essere riavviato.
   3. La modalità di clonazione del disco deve essere disabilitata.

Abilitazione e disabilitazione della modalità di clonazione del disco utilizzando l'utilità klmover

Per abilitare o disabilitare la modalità di clonazione del disco di Network Agent:

1. Eseguire l'utilità klmover nel dispositivo in cui è installato Network Agent da clonare.

   L'utilità klmover si trova nella cartella di installazione di Network Agent.

2. Per abilitare la modalità di clonazione del disco, immettere il seguente comando nel prompt dei comandi di Windows: klmover -cloningmode 1.

   Network Agent passa alla modalità di clonazione del disco.

3. Per richiedere lo stato corrente della modalità di clonazione del disco, immettere il seguente comando nel prompt dei comandi: klmover -cloningmode.

   La finestra dell'utilità indicherà se la modalità di clonazione del disco è abilitata o disabilitata.

4. Per disabilitare la modalità di clonazione del disco, immettere il seguente comando nella riga di comando dell'utilità: klmover -cloningmode 0.

Distribuzione forzata tramite l'attività di installazione remota di Kaspersky Security Center Linux

Per eseguire la distribuzione iniziale di Network Agent o di altre applicazioni, è possibile forzare l'installazione dei pacchetti di installazione selezionati utilizzando l'attività di installazione remota di Kaspersky Security Center Linux, a condizione che ogni dispositivo disponga di uno o più account utente con diritti di amministratore locali.

L'installazione forzata può anche essere applicata se i dispositivi non sono direttamente accessibili da Administration Server, ad esempio se i dispositivi sono in rete isolata o se si trovano in una rete locale mentre Administration Server è in una rete perimetrale.

In caso di distribuzione iniziale, Network Agent non è installato. Pertanto, nelle impostazioni dell'attività di installazione remota, non è possibile selezionare la distribuzione dei file richiesti per l'installazione dell'applicazione utilizzando Network Agent. È possibile scegliere di distribuire i file solo utilizzando le risorse del sistema operativo tramite Administration Server o i punti di distribuzione.

Il servizio Administration Server deve essere eseguito con un account con privilegi di amministratore nei dispositivi di destinazione. In alternativa, è possibile specificare un account che ha accesso alla condivisione admin$ nelle impostazioni dell'attività di installazione remota.

Per impostazione predefinita, l'attività di installazione remota si connette ai dispositivi utilizzando le credenziali dell'account con cui è in esecuzione Administration Server. È importante chiarire che questo è l'account utilizzato per accedere alla condivisione admin$, anziché l'account con cui viene eseguita l'attività di installazione remota. L'installazione viene eseguita con l'account LocalSystem.

È possibile specificare i dispositivi di destinazione esplicitamente (con un elenco), selezionando il gruppo di amministrazione di Kaspersky Security Center Linux a cui appartengono o creando una selezione di dispositivi in base a un criterio specifico. L'ora di inizio dell'installazione è definita dalla pianificazione dell'attività. Se l'impostazione Esegui attività non effettuate è abilitata nelle proprietà dell'attività, l'attività può essere eseguita subito dopo l'accensione dei dispositivi di destinazione o quando vengono spostati nel gruppo di amministrazione di destinazione.

L'installazione forzata consiste nella distribuzione dei pacchetti di installazione ai dispositivi di destinazione, nella successiva copia dei file nella risorsa admin$ in ciascuno dei dispositivi di destinazione e nella registrazione remota dei servizi di supporto in tali dispositivi. L'invio dei pacchetti di installazione ai dispositivi di destinazione viene eseguito tramite una funzionalità di Kaspersky Security Center Linux che garantisce l'interazione di rete. In questo caso, devono essere soddisfatte le seguenti condizioni:

• I dispositivi di destinazione sono accessibili dal lato di Administration Server o dal lato del punto di distribuzione.
• La risoluzione dei nomi per i dispositivi di destinazione funziona correttamente nella rete.
• Le condivisioni amministrative (admin$) rimangono abilitate nei dispositivi di destinazione.
• I seguenti servizi di sistema sono in esecuzione nei dispositivi di destinazione:
  • Server (LanmanServer)

    Per impostazione predefinita, questo servizio è in esecuzione.

  • DCOM Server Process Launcher (DcomLaunch)
  • RPC Endpoint Mapper (RpcEptMapper)
  • Remote Procedure Call (RpcSs)
• La porta TCP 445 è aperta nei dispositivi di destinazione per abilitare l'accesso remoto tramite Windows Management Instrumentation.

  TCP 139, UDP 137 e UDP 138 vengono utilizzati dai protocolli precedenti e non sono più necessari per le applicazioni correnti.

  Le porte di accesso dinamiche in uscita devono essere consentite nel firewall per le connessioni da Administration Server e dai punti di distribuzione ai dispositivi di destinazione.

• Le impostazioni di protezione del criterio di dominio di Active Directory possono fornire il funzionamento del protocollo NTLM durante la distribuzione di Network Agent.
• Nei dispositivi di destinazione che eseguono Microsoft Windows XP, la modalità Simple File Sharing è disabilitata.
• Nei dispositivi di destinazione, il modello di protezione e condivisione dell'accesso è impostato su Classico: gli utenti locali eseguono l'autenticazione come se stessi. Non può in alcun modo essere Solo Guest: gli utenti locali si autenticano come Guest.
• I dispositivi di destinazione sono utenti del dominio o vengono creati anticipatamente account uniformi con diritti di amministratore nei dispositivi di destinazione.

Per distribuire correttamente Network Agent o altre applicazioni in un dispositivo che non fa parte di un dominio Active Directory di Windows Server 2003 o versione successiva, è necessario disabilitare Controllo dell'account utente remoto in tale dispositivo. Controllo dell'account utente remoto è uno dei motivi che impedisce agli account amministrativi locali di accedere ad admin$, necessario per la distribuzione forzata di Network Agent o di altre applicazioni. La disabilitazione di Controllo dell'account utente remoto non influisce su Controllo dell'account utente locale.

Durante l'installazione in nuovi dispositivi che non sono stati ancora assegnati ad alcun gruppo di amministrazione di Kaspersky Security Center Linux, è possibile aprire le proprietà dell'attività di installazione remota e specificare il gruppo di amministrazione in cui spostare i dispositivi dopo l'installazione di Network Agent.

Al momento della creazione di un'attività di gruppo, tenere presente che ogni attività di gruppo influisce su tutti i dispositivi in tutti i gruppi nidificati all'interno un gruppo selezionato. È pertanto necessario evitare di duplicare le attività di installazione nei sottogruppi.

Un modo semplificato per creare attività per l'installazione forzata delle applicazioni è l'installazione automatica. A tale scopo, è necessario aprire le proprietà del gruppo di amministrazione, aprire l'elenco dei pacchetti di installazione e selezionare quelli da installare nei dispositivi di questo gruppo. I pacchetti di installazione selezionati saranno installati automaticamente in tutti i dispositivi di questo gruppo e di tutti i relativi sottogruppi. L'intervallo di tempo richiesto per l'installazione dei pacchetti dipende dalla velocità effettiva della rete e dal numero totale di dispositivi in rete.

Per ridurre il carico su Administration Server durante la distribuzione dei pacchetti di installazione ai dispositivi di destinazione, è possibile selezionare l'installazione tramite i punti di distribuzione nell'attività di installazione. Tenere presente che questo metodo di installazione comporta un carico significativo per i dispositivi che operano come punti di distribuzione. Pertanto, si consiglia di selezionare i dispositivi che soddisfano i requisiti per i punti di distribuzione. Se si utilizzano punti di distribuzione, è necessario assicurarsi che siano presenti in ciascuna delle subnet isolate che ospitano i dispositivi di destinazione.

L'utilizzo dei punti di distribuzione come centri di installazione locali può anche essere utile durante l'installazione nei dispositivi in subnet che comunicano con Administration Server tramite un canale con una capacità limitata, mentre è disponibile un canale con una maggiore capacità tra i dispositivi nella stessa subnet.

Lo spazio libero su disco nella partizione con la cartella %ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit deve superare, di diverse volte, le dimensioni totali dei pacchetti di distribuzione delle applicazioni installate.

Esecuzione di pacchetti indipendenti creati tramite Kaspersky Security Center Linux

I metodi descritti in precedenza per la distribuzione iniziale di Network Agent e delle altre applicazioni non possono essere sempre implementati perché non è possibile soddisfare tutte le condizioni applicabili. In tali casi, è possibile creare un comune file eseguibile denominato pacchetto di installazione indipendente tramite Kaspersky Security Center Linux, utilizzando i pacchetti di installazione con le impostazioni di installazione appropriate che sono stati preparati dall'amministratore. Il pacchetto di installazione indipendente è archiviato nella cartella condivisa di Kaspersky Security Center Linux.

È possibile utilizzare Kaspersky Security Center Linux per inviare agli utenti selezionati un messaggio e-mail che contiene un collegamento a questo file nella cartella condivisa, richiedendo loro di eseguire il file (in modalità interattiva o con l'opzione "-s" per l'installazione automatica). È possibile allegare il pacchetto di installazione indipendente a un messaggio e-mail e quindi inviarlo agli utenti dei dispositivi che non hanno accesso alla cartella condivisa di Kaspersky Security Center Linux. L'amministratore può anche copiare il pacchetto indipendente in un'unità rimovibile, trasferirlo in un dispositivo appropriato e quindi eseguirlo in un secondo momento.

È possibile creare un pacchetto indipendente da un pacchetto di Network Agent, un pacchetto di un'altra applicazione (ad esempio, l'applicazione di protezione) o entrambi. Se il pacchetto indipendente è stato creato da Network Agent e un'altra applicazione, l'installazione inizia da Network Agent.

Durante la creazione di un pacchetto indipendente con Network Agent, è possibile specificare il gruppo di amministrazione nel quale verranno automaticamente spostati i nuovi dispositivi (quelli che non sono stati allocati ad alcun gruppo di amministrazione) al termine dell'installazione di Network Agent.

I pacchetti indipendenti possono essere eseguiti in modalità interattiva (per impostazione predefinita), visualizzando il risultato dell'installazione delle applicazioni che contengono, o possono essere eseguiti in modalità automatica (con l'opzione "-s"). La modalità automatica può essere utilizzata per l'installazione tramite script, ad esempio script configurati per l'esecuzione dopo la distribuzione dell'immagine di un sistema operativo. Il risultato dell'installazione in modalità automatica è determinato dal codice restituito del processo.