Im Anschluss an das dieses Szenario können Sie den Administrationsserver bereitstellen und den Administrationsagenten und Sicherheitsanwendungen auf Geräten im Netzwerk installieren. Sie können dieses Skript verwenden, um sich mit dem Programm vertraut zu machen und das Programm für die weitere Arbeit zu installieren.
Die Installation von Kaspersky Security Center umfasst die folgenden Schritte:
Die Bereitstellung von Kaspersky Security Center in einer Cloud-Umgebung sowie die Bereitstellung von Kaspersky Security Center für Dienstanbieter sind in anderen Abschnitten der Hilfe beschrieben.
Wir empfehlen, zur Installation des Administrationsservers mindestens eine Stunde und für die Implementierung des gesamten Szenarios mindestens einen Werktag einzuplanen. Es wird außerdem empfohlen, auf dem Computer, der als Kaspersky Security Center Administrationsserver dient, eine Sicherheitsanwendung wie Kaspersky Security für Windows Server oder Kaspersky Endpoint Security zu installieren.
Nach der Ausführung aller Schritte des Szenarios wird der Schutz im Unternehmensnetzwerk auf folgende Weise implementiert:
Die Installation von Kaspersky Security Center erfolgt in mehreren Schritten:
Vorbereitende Maßnahmen
Stellen Sie sicher, dass Sie über einen Lizenzschlüssel (Aktivierungscode) für Kaspersky Security Center oder über Lizenzschlüssel (Aktivierungscodes) für Kaspersky-Sicherheitsanwendungen verfügen.
Entpacken Sie das Archiv, das Sie von Ihrem Vertrieb erhalten haben. Dieses Archiv enthält die Lizenzschlüssel (key-Dateien), die Aktivierungscodes, und eine Liste der Kaspersky-Anwendungen, die mit jedem Lizenzschlüssel aktiviert werden können.
Wenn Sie Kaspersky Security Center zunächst ausprobieren möchten, können Sie eine kostenlose 30-Tage-Testversion auf der Kaspersky-Website herunterladen.
Ausführliche Informationen zur Lizenzierung von Kaspersky-Sicherheitsanwendungen, die nicht in Kaspersky Security Center enthalten sind, finden Sie in den Dokumentationen dieser Anwendungen.
Machen Sie sich mit den Komponenten von Kaspersky Security Center vertraut. Wählen Sie die Schutzstruktur und die Netzwerkkonfiguration aus, die für Ihre Organisation am besten geeignet sind. Bestimmen Sie ausgehend von der Konfiguration des Netzwerks und der Bandbreite der Übertragungskanäle, wie viele Administrationsserver verwendet und wie sie über die Büros verteilt werden müssen, wenn Sie mit einem verteilten Netzwerk arbeiten.
Zur Erreichung und Aufrechterhaltung der optimalen Leistung unter verschiedenen Arbeitsbedingungen berücksichtigen Sie die Anzahl der Geräte im Netzwerk, die Netztopologie und den erforderlichen Funktionsumfang von Kaspersky Security Center (Details dazu finden Sie im Handbuch zur Skalierung von Kaspersky Security Center).
Legen Sie fest, ob eine Hierarchie der Administrationsserver in der Organisation verwendet werden soll. Dazu müssen Sie ermitteln, ob es möglich und sinnvoll ist, alle Client-Geräte mit einem einzigen Administrationsserver zu verwalten, oder ob eine Hierarchie der Administrationsserver aufgebaut werden sollte. Möglicherweise müssen Sie auch eine Hierarchie der Administrationsserver aufbauen, die mit der Organisationsstruktur des Unternehmens übereinstimmt, dessen Netzwerk Sie schützen möchten.
Wenn Sie den Schutz von mobilen Geräten gewährleisten müssen, konfigurieren Sie als Vorbereitung den Exchange ActiveSync-Servers für mobile Geräte und den iOS MDM-Server.
Stellen Sie sicher, dass die Geräte, die Sie zu Administrationsservern bestimmen möchten, und die Geräte, auf denen die Verwaltungskonsole installiert werden soll, die Hard- und Softwarevoraussetzungen erfüllen.
Wenn die Public-Key-Infrastruktur (PKI) in Ihrer Organisation die Verwendung von benutzerdefinierten, von einer bestimmten Zertifizierungsstelle (Certification Authority - CA) ausgestellten, Zertifikaten erfordert, bereiten Sie diese Zertifikate vor und stellen Sie sicher, dass sie alle Voraussetzungen erfüllen.
Wenn Sie eine Version von Kaspersky Security Center mit Unterstützung der Verwaltung mobiler Geräte, Integration mit SIEM-Systemen und/oder Schwachstellen- und Patch-Management verwenden möchten, stellen Sie sicher, dass Sie über eine Schlüsseldatei oder einen Aktivierungscode für die Programmlizenzierung verfügen.
Während der Bereitstellung des Schutzes werden Sie aufgefordert, Kaspersky aktive Lizenzschlüssel für jene Programme bereitzustellen, die Sie mithilfe von Kaspersky Security Center verwalten möchten (siehe Liste der verwaltbaren Sicherheitsanwendungen). Die Details zur Lizenzierung der einzelnen Sicherheitsanwendungen können Sie in der Dokumentation zu diesen Programmen nachlesen.
Planen Sie die Hardwarekonfiguration für das DBMS und den Administrationsserver unter Berücksichtigung der Anzahl der Geräte in Ihrem Netzwerk.
Berücksichtigen Sie bei der DBMS-Auswahl die Anzahl der verwalteten Geräte, die der Administrationsserver abdecken soll. Wenn in Ihrem Netzwerk weniger als 10.000 Geräte vorhanden sind und Sie nicht vorhaben, die Anzahl zu erhöhen, können Sie ein kostenloses Datenbankverwaltungssystem (DBMS) wie SQL Express oder MySQL auswählen und es auf dem Gerät installieren, auf dem sich der Administrationsserver befindet. Alternativ können Sie das MariaDB-DBMS auswählen, mit dem Sie bis zu 20.000 Geräte verwalten können. Wenn in Ihrem Netzwerk mehr als 10.000 Geräte vorhanden sind (oder Sie eine Erweiterung des Netzwerks bis zu einer solchen Geräteanzahl planen), wird empfohlen, ein gebührenpflichtiges SQL-DBMS auszuwählen und auf einem separaten Gerät unterzubringen. Ein gebührenpflichtiges DBMS kann mit mehreren Administrationsservern zusammenarbeiten, ein kostenloses DBMS nur mit einem.
Wenn Sie SQL Server DBMS auswählen, beachten Sie, dass Sie die in der Datenbank gespeicherten Daten zu MySQL, MariaDB oder Azure-SQL DBMS migrieren können. Um die Migration durchzuführen, sichern Sie Ihre Daten und stellen Sie die Daten im neuen DBMS wieder her.
Machen Sie sich mit den Benutzerkonten für das Arbeiten mit DBMS vertraut und installieren Sie Ihr DBMS.
Wählen Sie vor der Installation ein unterstütztes DBMS aus. Sie können beispielsweise PostgreSQL, Postgres Pro, Microsoft SQL Server, MySQL oder MariaDB auswählen.
Informationen zur Installation des ausgewählten DBMS finden Sie in dessen Dokumentation.
Wenn Sie sich entscheiden, PostgreSQL oder Postgres Pro als DBMS zu installieren, stellen Sie sicher, dass Sie ein Kennwort für den Superuser angegeben haben. Wenn das Kennwort nicht angegeben wird, kann sich der Administrationsserver möglicherweise nicht mit der Datenbank verbinden.
Wenn Sie MariaDB, MySQL, PostgreSQL oder Postgres Pro installieren, verwenden Sie die empfohlenen Einstellungen, um sicherzustellen, dass das DBMS ordnungsgemäß funktioniert.
Schreiben Sie die Einstellungen des DBMS auf und bewahren Sie diese auf, da sie bei der Installation des Administrationsservers benötigt werden. Diese Einstellungen enthalten den Namen des SQL-Servers, die Portnummer für die Verbindung mit dem SQL-Server, den Benutzerkonto-Namen und das Kennwort für den Zugriff auf den SQL-Server.
Der Installer für Kaspersky Security Center erstellt standardmäßig die Datenbank für die Zuordnung der Informationen des Administrationsservers, Sie können jedoch auf deren Erstellung verzichten und eine andere Datenbank verwenden. Überzeugen Sie sich in diesem Fall davon, dass die Datenbank erstellt wurde, dass Sie ihren Namen kennen und dass dem Benutzerkonto, unter dem der Administrationsservers auf diese Datenbank zugreifen wird, die Rolle db_owner zugewiesen wurde.
Wenden Sie sich erforderlichenfalls an den DBMS-Administrator, falls Sie Informationen benötigen.
Stellen Sie sicher, dass die Ports geöffnet sind, die für die Interaktion der Komponenten entsprechend der von Ihnen gewählten Schutzstruktur benötigt werden.
Wenn der Zugriff auf den Administrationsserver aus dem Internet gewährt werden muss, konfigurieren Sie die Ports und die Verbindungseinstellungen je nach Netzwerkkonfiguration.
Überprüfen Sie, ob Sie über lokale Administratorrechte verfügen, damit eine erfolgreiche Installation des Kaspersky Security Center Administrationsservers und die Bereitstellung des Schutzes auf den Geräten gewährleistet ist. Für die Installation des Administrationsagenten auf diesen Geräten sind lokale Administratorrechte auf den Client-Geräten erforderlich. Nach der Installation des Administrationsagenten können Sie mit seiner Hilfe auf dem Gerät eine Remote-Installation von Programmen ohne Benutzerkonto mit Administratorrechten für das Gerät ausführen.
Der Installer von Kaspersky Security Center installiert auf dem Gerät, das für die Installation des Administrationsservers ausgewählt wurde, standardmäßig drei lokale Benutzerkonten, in deren Namen der Administrationsserver und die Dienste von Kaspersky Security Center gestartet werden:
Sie können die Kontoerstellung für die Dienste des Administrationsservers und für andere Dienste deaktivieren. Sie verwenden stattdessen Ihre bereits vorhandenen Benutzerkonten, beispielsweise Domänenbenutzerkonten, wenn Sie vorhaben, den Administrationsserver auf dem Failover-Cluster zu installieren oder aus einem anderen Grund planen, die Domänenbenutzerkonten anstelle der lokalen zu verwenden. Stellen Sie in diesem Fall sicher, dass die zur Ausführung des Administrationsservers und von Kaspersky Security Center vorgesehenen Benutzerkonten erstellt wurden und über alle erforderlichen Berechtigungen zum Zugriff auf das DBMS verfügen (Wenn Sie weiterhin vorhaben, Betriebssysteme über Kaspersky Security Center bereitzustellen, verzichten Sie nicht auf das Erstellen der Benutzerkonten).
Installation von Kaspersky Security Center und einer Kaspersky-Sicherheitsanwendung auf dem Administrationsserver-Gerät
Laden Sie Kaspersky Security Center von der Kaspersky-Website herunter. Sie können entweder das vollständige Paket, nur die Web Console oder nur die Verwaltungskonsole herunterladen.
Installieren Sie den Administrationsserver auf dem ausgewählten Gerät (bzw. den Geräten, wenn Sie vorhaben mehr als einen Administrationsserver zu verwenden). Sie können die Standard- oder die benutzerdefinierte Installation des Administrationsservers auswählen. Zusammen mit dem Administrationsserver wird auch die Verwaltungskonsole installiert. Es wird empfohlen, den Administrationsserver anstatt auf einem Domänencontroller auf einem dezidierten Server zu installieren.
Die Standardinstallation wird empfohlen, wenn Sie sich mit Kaspersky Security Center bekannt machen und die Ausführung des Programms z. B. in einem kleinen Bereich des Netzwerks testen möchten. Bei der Standardinstallation passen Sie nur die Einstellungen der Datenbank an. Bei der Standardinstallation konfigurieren Sie nur die Einstellungen der Datenbank und können nur den Standardsatz von Plug-ins zur Verwaltung der Kaspersky-Anwendungen installieren. Sie können die Standardinstallation auch verwenden, wenn Sie bereits Erfahrung mit Kaspersky Security Center haben und in der Lage sind, alle erforderlichen Einstellungen nach der Standardinstallation anzupassen.
Die benutzerdefinierte Installation erlaubt das Ändern bestimmter Einstellungen von Kaspersky Security Center – beispielsweise den Pfad zum freigegebenen Ordner, Benutzerkonten und Ports für die Verbindung mit dem Administrationsserver sowie die Einstellungen der Datenbank. Bei der benutzerdefinierten Installation können Sie angeben, welche Verwaltungs-Plug-ins für Programme von Kaspersky installiert werden sollen. Falls erforderlich, können Sie die benutzerdefinierte Installation im Silent-Modus starten.
Zusammen mit dem Administrationsserver werden auch die Verwaltungskonsole und die Serverversion des Administrationsagenten installiert. Während der Installation können Sie bei Bedarf auch die Kaspersky Security Center Web Console installieren.
Bei Bedarf können Sie die Verwaltungskonsole und/oder die Kaspersky Security Center Web Console separat im Administrator-Arbeitsplatz installieren, um den Administrationsserver über das Netzwerk zu verwalten.
Nach Abschluss der Installation des Administrationsservers wird bei der ersten Verbindung mit dem Administrationsserver automatisch der Schnellstartassistent ausgeführt. Befolgen Sie die Schritte des Assistenten, um die Erstkonfiguration des Administrationsservers nach Bedarf vorzunehmen. Während der Erstkonfiguration erstellt der Assistent die zur Bereitstellung des Schutzes notwendigen Richtlinien und Aufgaben mit Standardeinstellungen. Diese Einstellungen sind eventuell nicht optimal für Ihr Unternehmen geeignet. Bei Bedarf können Sie die Einstellungen der Richtlinien und Aufgaben anpassen (Szenario: Netzwerkschutz konfigurieren, Schutz im Netzwerk eines Kundenunternehmens anpassen).
Wenn Sie die Funktionen über die Basisfunktionen hinaus verwenden möchten, lizenzieren Sie die Anwendung. Sie können dies in einem der Schritte des Schnellstartassistenten durchführen.
Nach der erfolgreichen Ausführung der vorhergehenden Schritte ist der Administrationsserver installiert und zur Verwendung bereit.
Stellen Sie sicher, dass die Verwaltungskonsole aktiv ist und dass Sie sich mithilfe der Konsole mit dem Administrationsserver verbinden können. Stellen Sie außerdem sicher, dass auf dem Administrationsserver die Aufgabe zum Download von Updates in die Datenverwaltung des Administrationsservers (im Ordner Aufgaben der Konsolenstruktur) und die Richtlinie für Kaspersky Endpoint Security (im Ordner Richtlinien der Konsolenstruktur) vorhanden sind.
Wenn die Prüfung abgeschlossen ist, fahren Sie mit den folgenden Schritten fort.
Zentrale Bereitstellung von Kaspersky-Sicherheitsanwendungen auf den Client-Geräten
Dieser Schritt ist Teil des Schnellstartassistenten. Sie können die Gerätesuche auch manuell starten. Daraufhin erhält Kaspersky Security Center die Adressen und die Namen aller Geräte, die im Netzwerk registriert sind. Im Folgenden können Sie mithilfe von Kaspersky Security Center die Anwendungen von Kaspersky und von anderen Herstellern auf den gefundenen Geräten installieren. Da Kaspersky Security Center die Gerätesuche regelmäßig startet, werden neue Geräte im Netzwerk automatisch gefunden, sobald sie auftauchen.
Als Bereitstellung des Schutzes (Szenario: Netzwerkschutz konfigurieren, Schutz im Netzwerk eines Kundenunternehmens anpassen) im Organisationsnetzwerk wird die Installation des Administrationsagenten sowie einer Sicherheitsanwendung (z. B. Kaspersky Endpoint Security) auf den Geräten verstanden, die vom Administrationsserver bei der Gerätesuche gefunden wurden.
Die Sicherheitsanwendungen schützen Geräte vor Viren und/oder anderen Programmen, die eine Bedrohung darstellen. Der Administrationsagent gewährleistet die Verbindung des Geräts mit dem Administrationsserver. Die Einstellungen des Administrationsagenten werden standardmäßig automatisch angepasst.
Wenn Sie möchten, können Sie den Administrationsagenten im Silent-Modus mit einer Antwortdatei oder ohne eine Antwortdatei installieren.
Bevor Sie den Administrationsagenten und die Sicherheitsanwendungen auf Geräten im Netzwerk installieren, stellen Sie sicher, dass diese Geräte verfügbar (aktiviert) sind. Sie können den Administrationsagenten sowohl auf virtuellen Maschinen als auch auf physischen Geräten installieren.
Die Sicherheitsanwendungen und der Administrationsagent können sowohl per Remote-Installation als auch lokal installiert werden.
Remote-Installation – Sie können mithilfe des Assistenten für die Bereitstellung des Schutzes die Sicherheitsanwendung (z. B. Kaspersky Endpoint Security für Windows) und den Administrationsagenten per Remote-Zugriff auf Geräten installieren, die vom Administrationsserver im Organisationsnetzwerk gefunden wurden. Im Normalfall verteilt die Aufgabe zur Remote-Installation erfolgreich den Schutz für die meisten vernetzten Geräte. Sie kann jedoch auf einigen Geräten einen Fehler zurückgegeben, beispielsweise, wenn ein Gerät ausgeschaltet ist oder aus einem anderen Grund nicht darauf zugegriffen werden kann. In diesem Fall wird empfohlen, eine manuelle Verbindung zum Gerät aufzubauen und eine lokale Installation vorzunehmen.
Lokale Installation – wird auf solchen Geräten im Netzwerk verwendet, auf denen die Verteilung mithilfe der Aufgabe zur Remote-Installation nicht vorgenommen werden konnte. Um den Schutz auf solchen Geräten zu installieren, erstellen Sie ein autonomes Installationspaket für den lokalen Start auf diesen Geräten.
Die Installation des Administrationsagenten auf Geräten mit dem Betriebssystem Linux bzw. macOS, wird in der Dokumentation für Kaspersky Endpoint Security für Linux bzw. für Kaspersky Endpoint Security for Mac beschrieben. Obwohl Geräte mit den Betriebssystemen Linux und macOS als weniger verwundbar gelten als Windows-Geräte, wird empfohlen, Sicherheitsanwendungen auf diesen Geräten zu installieren.
Stellen Sie nach der Installation sicher, dass die Sicherheitsanwendung auf den verwalteten Geräten installiert wurde. Starten Sie dazu den Bericht über die Versionen der Kaspersky-Programme und machen Sie sich mit den Ergebnissen vertraut.
Verteilen Sie die Lizenzschlüssel auf die Client-Geräte, um die verwalteten Sicherheitsanwendungen auf diesen Geräten zu aktivieren.
Dieser Schritt ist Teil des Schnellstartassistenten.
Wenn Sie mobile Unternehmensgeräte verwalten möchten, führen Sie die erforderlichen Schritte zur Vorbereitung aus und stellen Sie die Funktion Verwaltung mobiler Geräte bereit.
In einigen Fällen müssen für die optimale Implementierung des Schutzes auf den Geräten im Netzwerk die Geräte unter Berücksichtigung der Organisationsstruktur des Unternehmens in Administrationsgruppen zusammengefasst werden. Sie können Verschiebungsregeln für die Verteilung der Geräte auf Gruppen erstellen oder die Geräte manuell verteilen. Für Administrationsgruppen können Gruppenaufgaben und Gültigkeitsbereiche von Richtlinien bestimmt und Verteilungspunkte zugewiesen werden.
Stellen Sie sicher, dass alle verwalteten Geräte den entsprechenden Administrationsgruppen zugewiesen wurden und dass keine nicht zugeordneten Geräte mehr im Netzwerk vorhanden sind.
Kaspersky Security Center weist Verteilungspunkte automatisch den Administrationsgruppen zu, aber Sie können diese bei Bedarf auch manuell zuweisen. In den folgenden Fällen wird die Verwendung von Verteilungspunkten empfohlen: In großen Netzwerken, um die Auslastung des Administrationsservers zu senken, sowie in Netzwerken mit einer verteilten Struktur, um dem Administrationsserver Zugriff auf Geräte oder Gerätegruppen zu gewähren, die über Kanäle mit geringer Bandbreite verbunden sind. Sie können neben Windows-Geräten auch Linux-Geräte als Verteilungspunkte einsetzen.