Hauptinstallationsszenario

Im Anschluss an das dieses Szenario können Sie den Administrationsserver bereitstellen und den Administrationsagenten und Sicherheitsanwendungen auf Geräten im Netzwerk installieren. Sie können dieses Skript verwenden, um sich mit dem Programm vertraut zu machen und das Programm für die weitere Arbeit zu installieren.

Weitere Informationen zur Bereitstellung von Kaspersky Security Center Cloud Console entnehmen Sie bitte der Dokumentation von Kaspersky Security Center Cloud Console.

Die Installation von Kaspersky Security Center umfasst die folgenden Schritte:

  1. Vorbereitende Maßnahmen
  2. Installation von Kaspersky Security Center und einer Kaspersky-Sicherheitsanwendung auf dem Administrationsserver-Gerät
  3. Zentrale Bereitstellung von Kaspersky-Sicherheitsanwendungen auf den Client-Geräten

Die Bereitstellung von Kaspersky Security Center in einer Cloud-Umgebung sowie die Bereitstellung von Kaspersky Security Center für Dienstanbieter sind weiteren Abschnitten der Hilfe beschrieben.

Wir empfehlen, zur Installation des Administrationsservers mindestens eine Stunde und für die Implementierung des gesamten Szenarios mindestens einen Werktag einzuplanen. Es wird außerdem empfohlen, auf dem Computer, der als Kaspersky Security Center Administrationsserver dient, eine Sicherheitsanwendung wie Kaspersky Security für Windows Server oder Kaspersky Endpoint Security zu installieren.

Nach der Ausführung aller Schritte des Szenarios wird der Schutz im Unternehmensnetzwerk auf folgende Weise implementiert:

Die Installation von Kaspersky Security Center erfolgt in mehreren Schritten:

Vorbereitende Maßnahmen

  1. Abrufen der erforderlichen Dateien

    Stellen Sie sicher, dass Sie über einen Lizenzschlüssel (Aktivierungscode) für Kaspersky Security Center oder über Lizenzschlüssel (Aktivierungscodes) für Kaspersky-Sicherheitsanwendungen verfügen.

    Entpacken Sie das Archiv, das Sie von Ihrem Vertrieb erhalten haben. Dieses Archiv enthält die Lizenzschlüssel (key-Dateien), die Aktivierungscodes, und eine Liste der Kaspersky-Programme, die mit jedem Lizenzschlüssel aktiviert werden können.

    Wenn Sie Kaspersky Security Center zunächst ausprobieren möchten, können Sie eine kostenlose 30-Tage-Testversion auf der Kaspersky-Website herunterladen.

    Ausführliche Informationen zur Lizenzierung von Kaspersky-Sicherheitsanwendungen, die nicht in Kaspersky Security Center enthalten sind, finden Sie in den Dokumentationen dieser Anwendungen.

  2. Struktur des Schutzes in der Organisation auswählen

    Machen Sie sich mit den Komponenten von Kaspersky Security Center vertraut. Wählen Sie die Schutzstruktur und die Netzwerkkonfiguration aus, die für Ihre Organisation am besten geeignet sind. Bestimmen Sie ausgehend von der Konfiguration des Netzwerks und der Bandbreite der Übertragungskanäle, wie viele Administrationsserver verwendet und wie sie über die Büros verteilt werden müssen, wenn Sie mit einem verteilten Netzwerk arbeiten.

    Zur Erreichung und Aufrechterhaltung der optimalen Leistung unter verschiedenen Arbeitsbedingungen berücksichtigen Sie die Anzahl der Geräte im Netzwerk, die Netztopologie und den erforderlichen Funktionsumfang von Kaspersky Security Center (Details dazu finden Sie im Handbuch zur Skalierung von Kaspersky Security Center).

    Legen Sie fest, ob eine Hierarchie der Administrationsserver in der Organisation verwendet werden soll. Dazu müssen Sie ermitteln, ob es möglich und sinnvoll ist, alle Client-Geräte mit einem einzigen Administrationsserver zu verwalten, oder ob eine Hierarchie der Administrationsserver aufgebaut werden sollte. Möglicherweise müssen Sie auch eine Hierarchie der Administrationsserver aufbauen, die mit der Organisationsstruktur des Unternehmens übereinstimmt, dessen Netzwerk Sie schützen möchten.

    Wenn Sie den Schutz von mobilen Geräten gewährleisten müssen, konfigurieren Sie als Vorbereitung den Exchange ActiveSync-Servers für mobile Geräte und den iOS MDM-Server.

    Stellen Sie sicher, dass die Geräte, die Sie zu Administrationsservern bestimmen möchten, und die Geräte, auf denen die Verwaltungskonsole installiert werden soll, die Hard- und Softwarevoraussetzungen erfüllen.

  3. Vorbereitung der Verwendung benutzerdefinierter Zertifikate

    Wenn die Public-Key-Infrastruktur (PKI) in Ihrer Organisation die Verwendung von benutzerdefinierten, von einer bestimmten Zertifizierungsstelle (Certification Authority - CA) ausgestellten, Zertifikaten erfordert, bereiten Sie diese Zertifikate vor und stellen Sie sicher, dass sie alle Voraussetzungen erfüllen.

  4. Vorbereitung der Lizenzierung von Kaspersky Security Center

    Wenn Sie eine Version von Kaspersky Security Center mit Unterstützung der Verwaltung mobiler Geräte, Integration mit SIEM-Systemen und/oder Schwachstellen- und Patch-Management verwenden möchten, stellen Sie sicher, dass Sie über eine Schlüsseldatei oder einen Aktivierungscode für die Programmlizenzierung verfügen.

  5. Vorbereitung der Lizenzierung der verwalteten Sicherheitsanwendungen

    Während der Bereitstellung des Schutzes werden Sie aufgefordert, Kaspersky aktive Lizenzschlüssel für jene Programme bereitzustellen, die Sie mithilfe von Kaspersky Security Center verwalten möchten (siehe Liste der verwaltbaren Sicherheitsanwendungen). Die Details zur Lizenzierung der einzelnen Sicherheitsanwendungen können Sie in der Dokumentation zu diesen Programmen nachlesen.

  6. Auswahl der Hardwarekonfiguration des Administrationsservers und des DBMS

    Planen Sie die Hardwarekonfiguration für das DBMS und den Administrationsserver unter Berücksichtigung der Anzahl der Geräte in Ihrem Netzwerk.

  7. Auswahl des DBMS

    Berücksichtigen Sie bei der DBMS-Auswahl die Anzahl der verwalteten Geräte, die der Administrationsserver abdecken soll. Wenn in Ihrem Netzwerk weniger als 10.000 Geräte vorhanden sind und Sie nicht vorhaben, die Anzahl zu erhöhen, können Sie ein kostenloses Datenbankverwaltungssystem (DBMS) wie SQL Express oder MySQL auswählen und es auf dem Gerät installieren, auf dem sich der Administrationsserver befindet. Alternativ können Sie das MariaDB-DBMS auswählen, mit dem Sie bis zu 20.000 Geräte verwalten können. Wenn in Ihrem Netzwerk mehr als 10.000 Geräte vorhanden sind (oder Sie eine Erweiterung des Netzwerks bis zu einer solchen Geräteanzahl planen), wird empfohlen, ein gebührenpflichtiges SQL-DBMS auszuwählen und auf einem separaten Gerät unterzubringen. Ein gebührenpflichtiges DBMS kann mit mehreren Administrationsservern zusammenarbeiten, ein kostenloses DBMS nur mit einem.

  8. DBMS-Installation und Erstellen der Datenbank

    Machen Sie sich mit den Benutzerkonten für das Arbeiten mit DBMS vertraut und installieren Sie Ihr DBMS. Schreiben Sie die Einstellungen des DBMS auf und bewahren Sie sie auf, da Sie sie bei der Installation des Administrationsservers benötigen werden. Diese Einstellungen enthalten den Namen des SQL-Servers, die Portnummer für die Verbindung mit dem SQL-Server, den Benutzerkonto-Namen und das Kennwort für den Zugriff auf den SQL-Server.

    Der Installer für Kaspersky Security Center erstellt standardmäßig die Datenbank für die Zuordnung der Informationen des Administrationsservers, Sie können jedoch auf deren Erstellung verzichten und eine andere Datenbank verwenden. Überzeugen Sie sich in diesem Fall davon, dass die Datenbank erstellt wurde, dass Sie ihren Namen kennen und dass dem Benutzerkonto, unter dem der Administrationsservers auf diese Datenbank zugreifen wird, die Rolle db_owner zugewiesen wurde.

    Wenden Sie sich erforderlichenfalls an den DBMS-Administrator, falls Sie Informationen benötigen.

  9. Konfiguration der Ports

    Stellen Sie sicher, dass die Ports geöffnet sind, die für die Interaktion der Komponenten entsprechend der von Ihnen gewählten Schutzstruktur benötigt werden.

    Wenn der Zugriff auf den Administrationsserver aus dem Internet gewährt werden muss, konfigurieren Sie die Ports und die Verbindungseinstellungen je nach Netzwerkkonfiguration.

  10. Überprüfung von Benutzerkonten

    Überprüfen Sie, ob Sie über lokale Administratorrechte verfügen, damit eine erfolgreiche Installation des Kaspersky Security Center Administrationsservers und die Bereitstellung des Schutzes auf den Geräten gewährleistet ist. Für die Installation des Administrationsagenten auf diesen Geräten sind lokale Administratorrechte auf den Client-Geräten erforderlich. Nach der Installation des Administrationsagenten können Sie mit seiner Hilfe auf dem Gerät eine Remote-Installation von Programmen ohne Benutzerkonto mit Administratorrechten für das Gerät ausführen.

    Der Installer von Kaspersky Security Center installiert auf dem Gerät, das für die Installation des Administrationsservers ausgewählt wurde, standardmäßig drei lokale Benutzerkonten, in deren Namen der Administrationsserver und die Dienste von Kaspersky Security Center gestartet werden:

    • KL-AK-*: Benutzerkonto für Dienst des Administrationsservers.
    • KlScSvc: Benutzerkonto für die übrigen Dienste aus dem Bestand des Administrationsservers.
    • KlPxeUser: Benutzerkonto für die Softwareverteilung für das Betriebssystem.

    Sie können die Kontoerstellung für die Dienste des Administrationsservers und für andere Dienste deaktivieren. Sie verwenden stattdessen Ihre bereits vorhandenen Benutzerkonten, beispielsweise Domänenbenutzerkonten, wenn Sie vorhaben, den Administrationsserver auf dem Failover-Cluster zu installieren oder aus einem anderen Grund planen, die Domänenbenutzerkonten anstelle der lokalen zu verwenden. Überzeugen Sie sich in diesem Fall davon, dass die Benutzerkonten für den Start des Administrationsservers und der Dienste von Kaspersky Security Center erstellt wurden, nicht privilegiert sind und über die erforderlichen Rechte für den Zugriff auf das DBMS verfügen. (Wenn Sie zu einem späteren Zeitpunkt mithilfe von Kaspersky Security Center Betriebssysteme auf den Geräten verteilen möchten, lehnen Sie nicht die Erstellung von Benutzerkonten ab.)

Installation von Kaspersky Security Center und einer Kaspersky-Sicherheitsanwendung auf dem Administrationsserver-Gerät

  1. Installation des Administrationsservers, der Verwaltungskonsole, Kaspersky Security Center 13.2 Web Console und der Verwaltungs-Plug-ins für die Sicherheitsanwendungen

    Laden Sie Kaspersky Security Center von der Kaspersky-Website herunter. Sie können entweder das vollständige Paket, nur die Web Console oder nur die Verwaltungskonsole herunterladen.

    Installieren Sie den Administrationsserver auf dem ausgewählten Gerät (bzw. den Geräten, wenn Sie vorhaben mehr als einen Administrationsserver zu verwenden). Sie können die Standard- oder die benutzerdefinierte Installation des Administrationsservers auswählen. Zusammen mit dem Administrationsserver wird auch die Verwaltungskonsole installiert. Es wird empfohlen, den Administrationsserver anstatt auf einem Domaincontroller auf einem dezidierten Server zu installieren.

    Die Standardinstallation wird empfohlen, wenn Sie sich mit Kaspersky Security Center bekannt machen und die Ausführung des Programms z. B. in einem kleinen Bereich des Netzwerks testen möchten. Bei der Standardinstallation passen Sie nur die Einstellungen der Datenbank an. Bei der Standardinstallation konfigurieren Sie nur die Einstellungen der Datenbank und können nur den Standardsatz von Plug-ins zur Verwaltung der Programme von Kaspersky installieren. Sie können die Standardinstallation auch verwenden, wenn Sie bereits Erfahrung mit Kaspersky Security Center haben und in der Lage sind, alle erforderlichen Einstellungen nach der Standardinstallation anzupassen.

    Die benutzerdefinierte Installation erlaubt das Ändern bestimmter Einstellungen von Kaspersky Security Center – beispielsweise den Pfad zum freigegebenen Ordner, Benutzerkonten und Ports für die Verbindung mit dem Administrationsserver sowie die Einstellungen der Datenbank. Bei der benutzerdefinierten Installation können Sie angeben, welche Verwaltungs-Plug-ins für Programme von Kaspersky installiert werden sollen. Falls erforderlich, können Sie die benutzerdefinierte Installation im Silent-Modus starten.

    Zusammen mit dem Administrationsserver werden auch die Verwaltungskonsole und die Serverversion des Administrationsagenten installiert. Während der Installation können Sie bei Bedarf auch die Kaspersky Security Center 13.2 Web Console installieren.

    Bei Bedarf können Sie die Verwaltungskonsole und/oder die Kaspersky Security Center 13.2 Web Console separat im Administrator-Arbeitsplatz installieren, um den Administrationsserver über das Netzwerk zu verwalten.

  2. Erstkonfiguration und Lizenzierung

    Nach Abschluss der Installation des Administrationsservers wird bei der ersten Verbindung mit dem Administrationsserver automatisch der Schnellstartassistent ausgeführt. Befolgen Sie die Schritte des Assistenten, um die Erstkonfiguration des Administrationsservers nach Bedarf vorzunehmen. Während der Erstkonfiguration erstellt der Assistent die zur Bereitstellung des Schutzes notwendigen Richtlinien und Aufgaben mit Standardeinstellungen. Diese Einstellungen sind eventuell nicht optimal für Ihr Unternehmen geeignet. Bei Bedarf können Sie die Einstellungen der Richtlinien und Aufgaben bearbeiten (Schutz im Netzwerk eines Kundenunternehmens anpassen, Szenario: Netzwerkschutz konfigurieren).

    Wenn Sie die Funktionen über die Basisfunktionen hinaus verwenden möchten, lizenzieren Sie die Anwendung. Sie können dies in einem der Schritte des Schnellstartassistenten durchführen.

  3. Überprüfung der erfolgreichen Installation des Administrationsservers

    Nach der erfolgreichen Ausführung der vorhergehenden Schritte ist der Administrationsserver installiert und zur Verwendung bereit.

    Stellen Sie sicher, dass die Verwaltungskonsole aktiv ist und dass Sie sich mithilfe der Konsole mit dem Administrationsserver verbinden können. Stellen Sie außerdem sicher, dass auf dem Administrationsserver die Aufgabe zum Download von Updates in die Datenverwaltung des Administrationsservers (im Ordner Aufgaben der Konsolenstruktur) und die Richtlinie für Kaspersky Endpoint Security (im Ordner Richtlinien der Konsolenstruktur) vorhanden sind.

    Wenn die Prüfung abgeschlossen ist, fahren Sie mit den folgenden Schritten fort.

Zentrale Bereitstellung von Kaspersky-Sicherheitsanwendungen auf den Client-Geräten

  1. Geräte im Netzwerk finden

    Dieser Schritt ist im Schnellstartassistenten für das Programm vorhanden. Sie können die Gerätesuche auch manuell starten. Daraufhin erhält Kaspersky Security Center die Adressen und die Namen aller Geräte, die im Netzwerk registriert sind. Im Folgenden können Sie mithilfe von Kaspersky Security Center Programme von Kaspersky und von anderen Herstellern auf den gefundenen Geräten installieren. Da Kaspersky Security Center die Gerätesuche regelmäßig startet, werden neue Geräte im Netzwerk automatisch gefunden, sobald sie auftauchen.

  2. Installation des Administrationsagenten und der Sicherheitsanwendungen auf den Geräten im Netzwerk

    Als Softwareverteilung des Schutzes (Schutz im Netzwerk eines Kundenunternehmens anpassen, Szenario: Netzwerkschutz konfigurieren) im Organisationsnetzwerk wird die Installation des Administrationsagenten sowie einer Sicherheitsanwendung (z. B. Kaspersky Endpoint Security) auf den Geräten verstanden, die vom Administrationsserver bei der Gerätesuche gefunden wurden.

    Die Sicherheitsanwendungen schützen Geräte vor Viren und/oder anderen Programmen, die eine Bedrohung darstellen. Der Administrationsagent gewährleistet die Verbindung des Geräts mit dem Administrationsserver. Die Einstellungen des Administrationsagenten werden standardmäßig automatisch angepasst.

    Wenn Sie möchten, können Sie den Administrationsagenten im Silent-Modus mit einer Antwortdatei oder ohne eine Antwortdatei installieren.

    Bevor Sie den Administrationsagenten und die Sicherheitsanwendungen auf Geräten im Netzwerk installieren, stellen Sie sicher, dass diese Geräte verfügbar (aktiviert) sind. Sie können den Administrationsagenten sowohl auf virtuellen Maschinen als auch auf physischen Geräten installieren.

    Die Sicherheitsanwendungen und der Administrationsagent können sowohl per Remote-Installation als auch lokal installiert werden.

    Remote-Installation – Sie können mithilfe des Assistenten für die Bereitstellung des Schutzes die Sicherheitsanwendung (z. B. Kaspersky Endpoint Security für Windows) und den Administrationsagenten per Remote-Zugriff auf Geräten installieren, die vom Administrationsserver im Organisationsnetzwerk gefunden wurden. Im Normalfall verteilt die Aufgabe zur Remote-Installation erfolgreich den Schutz für die meisten vernetzten Geräte. Sie kann jedoch auf einigen Geräten einen Fehler zurückgegeben, beispielsweise, wenn ein Gerät ausgeschaltet ist oder aus einem anderen Grund nicht darauf zugegriffen werden kann. In diesem Fall wird empfohlen, eine manuelle Verbindung zum Gerät aufzubauen und eine lokale Installation vorzunehmen.

    Lokale Installation – wird auf solchen Geräten im Netzwerk verwendet, auf denen die Verteilung mithilfe der Aufgabe zur Remote-Installation nicht vorgenommen werden konnte. Um den Schutz auf solchen Geräten zu installieren, erstellen Sie ein autonomes Installationspaket für den lokalen Start auf diesen Geräten.

    Die Installation des Administrationsagenten auf Geräten mit dem Betriebssystem Linux bzw. macOS, wird in der Dokumentation für Kaspersky Endpoint Security für Linux bzw. für Kaspersky Endpoint Security für Mac beschrieben. Obwohl Geräte mit den Betriebssystemen Linux und macOS als weniger verwundbar gelten als Windows-Geräte, wird empfohlen, Sicherheitsanwendungen auf diesen Geräten zu installieren.

    Stellen Sie nach der Installation sicher, dass die Sicherheitsanwendung auf den verwalteten Geräten installiert wurde. Starten Sie dazu den Bericht über die Versionen der Kaspersky-Programme und machen Sie sich mit den Ergebnissen vertraut.

  3. Lizenzschlüssel auf Client-Geräte verteilen

    Verteilen Sie die Lizenzschlüssel auf die Client-Geräte, um die verwalteten Sicherheitsanwendungen auf diesen Geräten zu aktivieren.

  4. Einstellungen zum Schutz mobiler Geräte

    Dieser Schritt ist im Schnellstartassistenten für das Programm vorhanden.

    Wenn Sie mobile Unternehmensgeräte verwalten möchten, führen Sie die erforderlichen Schritte zur Vorbereitung aus und stellen Sie die Funktion Mobile Geräte verwalten bereit.

  5. Administrationsgruppenstruktur anlegen

    In einigen Fällen müssen für die optimale Implementierung des Schutzes auf den Geräten im Netzwerk die Geräte unter Berücksichtigung der Organisationsstruktur des Unternehmens in Administrationsgruppen zusammengefasst werden. Sie können Verschiebungsregeln für die Verteilung der Geräte auf Gruppen erstellen oder die Geräte manuell verteilen. Für Administrationsgruppen können Gruppenaufgaben und Gültigkeitsbereiche von Richtlinien bestimmt und Verteilungspunkte zugewiesen werden.

    Stellen Sie sicher, dass alle verwalteten Geräte den entsprechenden Administrationsgruppen zugewiesen wurden und dass keine nicht zugeordneten Geräte mehr im Netzwerk vorhanden sind.

  6. Verteilungspunkte zuweisen

    Kaspersky Security Center weist Verteilungspunkte automatisch den Administrationsgruppen zu, aber Sie können diese bei Bedarf auch manuell zuweisen. In den folgenden Fällen wird die Verwendung von Verteilungspunkten empfohlen: In großen Netzwerken, um die Auslastung des Administrationsservers zu senken, sowie in Netzwerken mit einer verteilten Struktur, um dem Administrationsserver Zugriff auf Geräte oder Gerätegruppen zu gewähren, die über Kanäle mit geringer Bandbreite verbunden sind. Sie können neben Windows-Geräten auch Linux-Geräte als Verteilungspunkte einsetzen.

Siehe auch:

Grundbegriffe

Ports, die von Kaspersky Security Center verwendet werden

Schemata für Datenverkehr und Portnutzung

Interaktion der Komponenten von Kaspersky Security Center und der Sicherheitsanwendungen: weitere Informationen

Architektur

Szenario: Softwareverteilung in einer Cloud-Umgebung

Bereitstellung des Zugriffs auf den Administrationsserver aus dem Internet

Erforderliche Berechtigungen für die Softwareverteilung des Exchange ActiveSync-Servers für mobile Geräte

Methoden zur Softwareverteilung des Exchange ActiveSync-Servers für mobile Geräte

Benutzerkonto für die Arbeit des Dienstes Exchange ActiveSync

iOS MDM-Server

Verbinden eines neuen Netzwerksegments mithilfe von Linux-Geräten

Szenario: Überwachung und Berichterstattung

Szenario: Netzwerkschutz konfigurieren

Eine Background-Verbindung für Cross-Service-Integration herstellen

Nach oben