Kaspersky Security Center le permite asignar manualmente dispositivos para actuar como puntos de distribución.
Recomendamos que asigne puntos de distribución automáticamente. En este caso, Kaspersky Security Center seleccionará por sí mismo qué dispositivos deben tener asignados puntos de distribución. Sin embargo, si tiene que optar por no asignar puntos de distribución automáticamente por cualquier motivo (por ejemplo, si desea utilizar servidores asignados exclusivamente), puede asignar puntos de distribución manualmente después de calcular su número y configuración.
Los dispositivos designados como puntos de distribución deben protegerse contra el acceso no autorizado por medios virtuales y físicos.
Para designar manualmente un dispositivo como punto de distribución:
En el menú principal, haga clic en el ícono de configuración () ubicado junto al nombre del Servidor de administración pertinente.
Se abre la ventana Propiedades del Servidor de administración.
En la pestaña General, elija la sección Puntos de distribución.
Seleccione la opción Asignar manualmente puntos de distribución.
Haga clic en el botón Asignar.
Seleccione el dispositivo que quiera designar como punto de distribución.
A la hora de seleccionar un dispositivo, tenga presentes las características de funcionamiento de los puntos de distribución y los requisitos con los que debe cumplir un dispositivo para actuar como punto de distribución.
Seleccione el grupo de administración que desee incluir en el alcance del punto de distribución seleccionado.
Haga clic en el botón Aceptar.
El punto de distribución agregado aparecerá en la lista de puntos de distribución, en la sección Puntos de distribución.
Haga clic en el punto de distribución recién agregado en la lista para abrir su ventana de propiedades.
En la ventana de propiedades, configure los ajustes del punto de distribución:
La sección General contiene la configuración de interacción entre el punto de distribución y los dispositivos cliente:
Si habilita esta opción, se utilizará la multidifusión IP para distribuir automáticamente los paquetes de instalación a los dispositivos cliente del grupo.
Cuando necesite instalar una aplicación en un grupo de dispositivos cliente utilizando un paquete de instalación, la multidifusión IP ayudará a que el proceso se complete más rápidamente. Sin embargo, cuando se necesita instalar una aplicación en un único dispositivo cliente, la multidifusión hace que el tiempo de instalación aumente.
Número del puerto que se usará para la multidifusión IP.
El puerto por defecto es el 15001. De forma predeterminada, si el dispositivo que tiene instalado el Servidor de administración es, además, el punto de distribución designado, se usará el puerto 13001 para las conexiones SSL.
Las actualizaciones se distribuirán a los dispositivos administrados desde las siguientes fuentes:
si deja esta opción habilitada: el presente punto de distribución;
si deshabilita esta opción: otros puntos de distribución, el Servidor de administración o los servidores de actualizaciones de Kaspersky.
Si utiliza puntos de distribución para distribuir las actualizaciones, reducirá el número de descargas y verá una merma en el volumen de tráfico. Además, al distribuir la carga entre los puntos de distribución, también logrará aminorar la carga del Servidor de administración. Puede calcular cuántos puntos de distribución necesitará en su red para reducir los volúmenes de tráfico y de carga.
Si deshabilita esta opción, el número de descargas de actualizaciones y la carga del Servidor de administración podrían aumentar. Esta opción está habilitada de manera predeterminada.
Los paquetes de instalación se distribuirán a los dispositivos administrados desde las siguientes fuentes:
si deja esta opción habilitada: el presente punto de distribución;
si deshabilita esta opción: otros puntos de distribución, el Servidor de administración o los servidores de actualizaciones de Kaspersky.
Si utiliza puntos de distribución para desplegar los paquetes de instalación, reducirá el número de descargas y verá una merma en el volumen de tráfico. Además, al distribuir la carga entre los puntos de distribución, también logrará aminorar la carga del Servidor de administración. Puede calcular cuántos puntos de distribución necesitará en su red para reducir los volúmenes de tráfico y de carga.
Si deshabilita esta opción, el número de descargas de paquetes de instalación y la carga del Servidor de administración podrían aumentar. Esta opción está habilitada de manera predeterminada.
En Kaspersky Security Center, un punto de distribución puede funcionar como servidor push para los dispositivos administrados a través del protocolo móvil y para los dispositivos administrados por el Agente de red. Por ejemplo, se debe habilitar un servidor push si quiere poder forzar la sincronización de los dispositivos KasperskyOS con el Servidor de administración. Un servidor push tiene el mismo alcance de los dispositivos administrados que el punto de distribución en el que se habilitar el servidor push. Si tiene varios puntos de distribución asignados para el mismo grupo de administración, puede habilitar el servidor push en cada uno de los puntos de distribución. En este caso, el Servidor de administración equilibra la carga entre los puntos de distribución.
El número de puerto para el servidor push. Puede especificar el número de cualquier puerto desocupado.
En la sección Cobertura, especifique el ámbito en el que el punto de distribución distribuirá actualizaciones (grupos de administración y/o ubicación de la red).
Para que un dispositivo pueda determinar su ubicación de red, debe tener un sistema operativo Windows. No se puede determinar la ubicación de red de dispositivos con otros sistemas operativos.
Si el punto de distribución funciona en un equipo que no sea el Servidor de administración, en la sección Origen de actualizaciones, puede seleccionar una fuente de actualizaciones para el punto de distribución:
Seleccione un origen de actualizaciones para el punto de distribución:
Seleccione Descargar del Servidor de administración para que el punto de distribución pueda recibir actualizaciones del Servidor de administración.
Seleccione Utilizar la tarea de descarga de actualizaciones para que el punto de distribución pueda utilizar una tarea para recibir las actualizaciones. A continuación, indique qué tarea Descargar actualizaciones en los repositorios de los puntos de distribución se usará:
Si la tarea que desea utilizar ya existe en el dispositivo, selecciónela en la lista.
Si la tarea aún no existe en el dispositivo, haga clic en el vínculo Crear tarea para crearla. Se inicia el Asistente para crear nueva tarea. Siga las instrucciones del asistente.
Contraseña de la cuenta con la que se ejecutará la tarea.
En la sección Proxy de KSN, puede configurar la aplicación para utilizar el punto de distribución para reenviar solicitudes de KSN desde los dispositivos administrados:
El servicio de proxy de KSN se ejecuta en el dispositivo que se utiliza como punto de distribución. Utilice esta función para redistribuir y optimizar el tráfico de la red.
El punto de distribución enviará a Kaspersky las estadísticas de KSN que se enumeran en la declaración de Kaspersky Security Network. De forma predeterminada, la declaración de KSN se encuentra en %ProgramFiles%\Kaspersky Lab\Kaspersky Security Center\ksneula.
Esta opción está deshabilitada de manera predeterminada. Esta opción solo se habilita si las opciones Utilizar el Servidor de administración como servidor proxy y Acepto usar Kaspersky Security Network están habilitadas en la ventana de propiedades del Servidor de administración.
Puede asignar un nodo de un clúster activo-pasivo a un punto de distribución y habilitar el servidor proxy de KSN en ese nodo.
El punto de distribución envía las solicitudes KSN desde los dispositivos administrados a KSN Cloud o KPSN. Las solicitudes de KSN generadas en el punto de distribución mismo también se envían directamente a la nube de KSN Cloud o a KPSN.
Los puntos de distribución que tienen instalado el Agente de red versión 11 (o versiones anteriores) no pueden acceder a KPSN directamente. Si desea reconfigurar los puntos de distribución para enviar solicitudes de KSN a KPSN, active la opción Reenviar solicitudes de KSN al Servidor de administración para cada punto de distribución.
Los puntos de distribución que tienen instalado el Agente de red versión 12 (o una posterior) pueden acceder a KPSN directamente.
Active esta opción, si tiene las configuraciones del servidor proxy configuradas en las propiedades del punto de distribución o en la directiva del Agente de red, pero su arquitectura de red requiere que use KPSN directamente. De lo contrario, las solicitudes de las aplicaciones administradas no podrán llegar a KPSN.
Esta opción está disponible si selecciona la opción Acceder a la nube de KSN/KPSN directamente a través de Internet.
El número del puerto de TCP que los dispositivos administrados utilizarán para conectarse al Servidor proxy de KSN. El número de puerto predeterminado es el 13111.
Si necesita que los dispositivos administrados se conecten al servidor proxy de KSN a través de un puerto UDP, active la opción Usar puerto UDP y especifique un número de puerto UDP. Esta opción está habilitada de manera predeterminada.
El número del puerto de UDP que los dispositivos administrados utilizarán para conectarse al Servidor proxy de KSN. El puerto UDP predeterminado de conexión al servidor proxy de KSN es 15111.
Si el punto de distribución funciona en un equipo que no sea el Servidor de administración, en la sección Puerta de enlace de conexión puede configurar el punto de distribución para que actúe como puerta de enlace para la conexión entre las instancias del Agente de red y el Servidor de administración:
Si no se puede establecer una conexión directa entre el Servidor de administración y los Agentes de red debido a la organización de su red, puede usar el punto de distribución para que actúe como la puerta de enlace de conexión entre el Servidor de administración y los Agentes de red.
Habilite esta opción si necesita que el punto de distribución actúe como una puerta de enlace de conexión entre los Agentes de red y el Servidor de administración. Esta opción está deshabilitada de manera predeterminada.
Si el Servidor de administración está ubicado fuera de la zona desmilitarizada (DMZ), en la red de área local, los Agentes de red instalados en dispositivos remotos no pueden conectarse al Servidor de administración. Puede usar un punto de distribución como puerta de enlace de conexión con conectividad inversa (el Servidor de administración establece una conexión con el punto de distribución).
Habilite esta opción si necesita conectar el Servidor de administración a la puerta de enlace de conexión en DMZ.
Habilite esta opción si necesita la puerta de enlace de conexión en DMZ a fin de abrir un puerto para Web Console que está en DMZ o en Internet. Especifique el número de puerto que se usará para la conexión de Web Console al punto de distribución. El número de puerto predeterminado es el 13299.
Esta opción está disponible si habilita la opción Establecer conexión a la puerta de enlace desde el Servidor de administración (si la puerta de enlace está en DMZ).
Al conectar dispositivos móviles al Servidor de administración a través del punto de distribución que actúa como puerta de enlace de conexión, puede activar las siguientes opciones:
Habilite esta opción si necesita que la puerta de enlace de conexión abra un puerto para los dispositivos móviles y especifique el número de puerto que usarán los dispositivos móviles a fin de conectarse con el punto de distribución. El número de puerto predeterminado es el 13292. El dispositivo móvil comprobará el certificado del Servidor de administración. Al establecer la conexión, solo se autentica el Servidor de administración.
Habilite esta opción si necesita una puerta de enlace de conexión a fin de abrir un puerto que se usará para la autenticación bidireccional del Servidor de administración y los dispositivos móviles. El dispositivo móvil comprobará el certificado del Servidor de administración, y el Servidor de administración comprobará el certificado del dispositivo móvil. Especifique los siguientes parámetros:
Número de puerto que usarán los dispositivos móviles para conectarse con el punto de distribución. El número de puerto predeterminado es el 13293.
Nombres de dominio DNS de la puerta de enlace de conexión que usarán los dispositivos móviles. Separe los nombres de dominio con comas. Los nombres de dominio especificados se incluirán en el certificado del punto de distribución. Si los nombres de dominio usados por los dispositivos móviles no coinciden con el nombre común en el certificado del punto de distribución, los dispositivos móviles no se conectan al punto de distribución.
El nombre de dominio DNS predeterminado es el nombre FQDN de la puerta de enlace de conexión.
En ambos casos, los certificados se verifican mientras se establece la sesión TLS únicamente en el punto de distribución. Los certificados no se reenvían para que los verifique el Servidor de administración. Una vez establecida una sesión TLS con el dispositivo móvil, el punto de distribución utiliza el certificado del Servidor de administración con el fin de crear un túnel para la sincronización entre el dispositivo móvil y el Servidor de administración. Si abre el puerto para la autenticación SSL bidireccional, la única forma de distribuir el certificado del dispositivo móvil es a través de un paquete de instalación.
Configure los sondeos de Active Directory, dominios de Windows e intervalos IP que realizará el punto de distribución:
Puede habilitar y programar el mecanismo de sondeo de red para Active Directory.
Si utiliza un punto de distribución de Windows, puede seleccionar una de las siguientes opciones:
Sondear el dominio actual de Active Directory.
Sondear el bosque de dominio de Active Directory.
Sondear solo los dominios de Active Directory seleccionados. Si selecciona esta opción, agregue uno o más dominios de Active Directory a la lista.
Si usa un punto de distribución de Linux con la versión 15 del Agente de red instalada, puede sondear solo los dominios de Active Directory para los cuales especifique la dirección y las credenciales de usuario. El sondeo del dominio de Active Directory actual y el bosque de dominios de Active Directory no está disponible.
Puede activar la detección de dispositivos por los controladores de dominio.
Si selecciona la opción Activar el sondeo de controladores de dominio, puede seleccionar los controladores de dominio para el sondeo y también especificar la programación de sondeo para ellos.
Si utiliza un punto de distribución de Linux, en la sección Sondear dominios específicos, haga clic en Añadir, y luego especifique la dirección y las credenciales de usuario del controlador de dominio.
Si utiliza un punto de distribución de Windows, puede seleccionar una de las siguientes opciones:
Si activa la opción Usar Zeroconf para sondear las redes IPv6, el punto de distribución automáticamente sondea la red IPv6 mediante el uso de las redes de configuración cero (también denominadas Zeroconf). En ese caso, el punto de distribución sondeará la red completa; el sondeo no estará limitado a los intervalos IP que especifique. La opción Usar Zeroconf para sondear las redes IPv6 está disponible si el punto de distribución ejecuta Linux. Para usar el sondeo de Zeroconf IPv6, debe instalar la utilidad avahi-browse en el punto de distribución.
En la sección Avanzado, especifique la carpeta que debe utilizar el punto de distribución para almacenar datos distribuidos:
Si selecciona esta opción, especifique la ruta a la carpeta en el campo que verá debajo. Puede usar una carpeta local del punto de distribución o una carpeta de otro dispositivo conectado a la red corporativa.
La cuenta de usuario que se utilice para ejecutar el Agente de red en el punto de distribución deberá tener acceso de lectura y escritura a la carpeta especificada.
Haga clic en el botón Aceptar.
El dispositivo seleccionado se designa como punto de distribución.