Despliegue forzado con la tarea de instalación remota de Kaspersky Security Center Cloud Console
Para realizar el despliegue inicial del Agente de red u otras aplicaciones, puede forzar la instalación de los paquetes seleccionados mediante la tarea de instalación remota de Kaspersky Security Center Cloud Console, siempre que cada dispositivo tenga una cuenta de usuario con derechos de administrador local.
En el caso del despliegue inicial, el Agente de red no está instalado. Por lo tanto, en la configuración de la tarea de instalación remota, no se puede seleccionar la distribución de los archivos necesarios para la instalación de la aplicación mediante el Agente de red. Solo puede escoger distribuir archivos utilizando recursos del sistema operativo a través de puntos de distribución.
Debe especificar una cuenta que tenga acceso al recurso compartido admin$ en la configuración de la tarea de instalación remota.
Puede especificar dispositivos de destino explícitamente (con una lista), seleccionando el grupo de administración de Kaspersky Security Center Cloud Console al cual pertenecen o creando una selección de dispositivos basados en un criterio específico. La hora de inicio de instalación es definida por la programación de la tarea. Si la configuración Ejecutar tareas no realizadas se activa en las propiedades de la tarea, la tarea se puede ejecutar inmediatamente después de que los dispositivos de destino se activen o cuando se muevan al grupo de administración de destino.
La instalación forzada consiste en la entrega de paquetes de instalación a dispositivos de destino, la copia posterior de archivos en el recurso admin$ en cada uno de los dispositivos de destino y el registro remoto de los servicios de compatibilidad en esos dispositivos. La entrega de paquetes de instalación a dispositivos de destino se realiza mediante una función de Kaspersky Security Center Cloud Console que garantiza la interacción de la red. Las condiciones siguientes se deben cumplir en este caso:
- Los dispositivos de destino son accesibles desde el lado del punto de distribución.
- La resolución del nombre para los dispositivos de destino funciona correctamente en la red.
- Los usos compartidos administrativos (admin$) permanecen activados en los dispositivos de destino.
- Los siguientes servicios del sistema se están ejecutando en los dispositivos de destino:
- Servidor (LanmanServer)
De forma predeterminada, este servicio se está ejecutando.
- Iniciador de procesos del servidor DCOM (DcomLaunch)
- Asignador de endpoints de RPC (RpcEptMapper)
- Llamada a procedimiento remoto (RpcSs)
- Servidor (LanmanServer)
- El puerto TCP 445 está abierto en los dispositivos de destino para permitir el acceso remoto a través del Instrumental de administración de Windows.
Los puertos TCP 139, UDP 137 y UDP 138 son utilizados por protocolos más antiguos y ya no son necesarios para las aplicaciones actuales.
Se deben permitir puertos dinámicos de acceso saliente en el firewall para las conexiones desde los puntos de distribución a los dispositivos de destino.
- La configuración de seguridad de la directiva del dominio de Active Directory puede permitir el funcionamiento del protocolo NTLM durante el despliegue del Agente de Red.
- En los dispositivos de destino que ejecutan Microsoft Windows XP, el modo de uso compartido simple de archivos está deshabilitado.
- En los dispositivos de destino, el modelo de seguridad y uso compartido de acceso se configura como Clásico: los usuarios locales se autentican como ellos mismos. De ninguna manera puede ser Solo invitados: los usuarios locales se autentican como invitados.
- Los dispositivos de destino son miembros del dominio, o bien se crean cuentas uniformes con derechos de administrador en los dispositivos de destino de antemano.
Para desplegar correctamente el Agente de red u otras aplicaciones en un dispositivo que no está unido a un dominio de Active Directory de Windows Server 2003 o posterior, debe desactivar UAC remoto en ese dispositivo. UAC remoto es una de las razones que impide que las cuentas administrativas locales accedan a admin$, que es necesario para el despliegue forzado del Agente de red u otras aplicaciones. La desactivación del UAC remoto no afecta al UAC local.
Durante la instalación en dispositivos nuevos que todavía no se han asignado a ninguno de los grupos de administración de Kaspersky Security Center Cloud Console, puede abrir las propiedades de la tarea de instalación remota y especificar el grupo de administración al cual los dispositivos se moverán después de la instalación del Agente de red.
Al crear una tarea de grupo, tenga en cuenta que cada tarea de grupo afecta a todos los dispositivos en todos los grupos anidados dentro de un grupo seleccionado. Por lo tanto, debe evitar duplicar las tareas de instalación en los subgrupos.
Una manera sencilla de crear tareas para la instalación forzada de aplicaciones es la instalación automática. Para hacer esto, debe abrir las propiedades del grupo de administración, abrir la lista de paquetes de instalación y seleccionar los que se deben instalar en dispositivos de este grupo. Como resultado, los paquetes de instalación seleccionados se instalarán automáticamente en todos los dispositivos de este grupo y todos sus subgrupos. El intervalo de tiempo durante el cual los paquetes se instalarán depende del rendimiento de la red y el número total de dispositivos conectados a una red.
Los dispositivos que actúan como puntos de distribución deben cumplir con los requisitos para los puntos de distribución. Debe asegurarse de que los puntos de distribución estén presentes en cada una de las subredes aisladas que alojan dispositivos de destino.
El espacio libre del disco en la partición con la carpeta %ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit debe superar, en gran cantidad, el tamaño total de los paquetes de distribución de aplicaciones instaladas.