Kaspersky Security Center permet de désigner manuellement des appareils comme points de distribution.
Nous vous recommandons d'assigner les points de distribution automatiquement. Dans ce cas, Kaspersky Security Center choisira lui-même les appareils à désigner comme points de distribution. Cependant, si vous souhaitez, pour quelque raison que ce soit, refuser la désignation automatique des points de distribution (si vous souhaitez, par exemple, utiliser des serveurs prévus à cet effet), vous pouvez désigner les points de distribution manuellement, après avoir évalué leur quantité et leur configuration.
Les appareils fonctionnant comme points de distribution doivent être protégés, y compris physiquement contre tout accès non autorisé.
Pour désigner manuellement un appareil comme point de distribution :
Dans le menu principal, cliquez sur l'icône des paramètres () en regard du nom du Serveur d'administration requis.
La fenêtre des propriétés du Serveur d'administration s'ouvre.
Sous l'onglet Général, sélectionnez la section Points de distribution.
Sélectionnez l'option Attribuer manuellement les points de distribution.
Cliquez sur le bouton Désigner.
Sélectionner l'appareil dont vous voulez faire un point de distribution.
Lors de la sélection de l'appareil, prenez en compte les particularités de fonctionnement des points de distribution et les exigences pour l'appareil qui joue le rôle de point de distribution.
Sélectionnez le groupe d'administration que vous voulez inclure dans le champ du point de distribution sélectionné.
Cliquez sur le bouton OK.
Le point de distribution que vous avez ajouté sera affiché dans la liste des points de distribution, dans la section Points de distribution.
Cliquez sur le nouveau point de distribution dans la liste pour ouvrir la fenêtre de ses propriétés.
Configurez le point de distribution dans la fenêtre des propriétés :
Dans la section Général, indiquez les paramètres d'interaction entre le point de distribution et les appareils clients :
Si cette option est activée, la multidiffusion pour la diffusion automatique des paquets d'installation sur les appareils clients du groupe sera utilisée.
La diffusion IP multidiffusion réduit le temps nécessaire à l'installation d'une application à partir d'un paquet d'installation sur un groupe d'appareils clients, mais prolonge le temps d'installation lorsque vous installez une application sur un seul appareil client.
Le numéro de port est de 15001 par défaut. Dans le cas où le point de distribution tourne sur un appareil sur lequel est également installé un Serveur d'administration, le numéro de port par défaut pour la connexion SSL est 13001.
Les mises à jour sont distribuées aux appareils administrés à partir des sources suivantes :
Ce point de distribution si cette option est activée.
Autres points de distribution, Serveur d'administration ou serveurs de mise à jour Kaspersky si cette option est désactivée.
Si vous utilisez des points de distribution pour déployer des mises à jour, vous pouvez économiser du trafic parce que vous réduisez le nombre de téléchargements. Vous pouvez aussi alléger la charge sur le Serveur d'administration et répartir la charge entre les points de distribution. Vous pouvez calculer le nombre de points de distribution de votre réseau pour optimiser le trafic et la charge.
Si vous désactivez cette option, le nombre de téléchargements de mises à jour et de charges sur le Serveur d'administration peut augmenter. Cette option est activée par défaut.
Les paquets d'installation sont distribuées aux appareils administrés à partir des sources suivantes :
Ce point de distribution si cette option est activée.
Autres points de distribution, Serveur d'administration ou serveurs de mise à jour Kaspersky si cette option est désactivée.
Si vous utilisez des points de distribution pour déployer des paquets d'installation, vous pouvez économiser du trafic parce que vous réduisez le nombre de téléchargements. Vous pouvez aussi alléger la charge sur le Serveur d'administration et répartir la charge entre les points de distribution. Vous pouvez calculer le nombre de points de distribution de votre réseau pour optimiser le trafic et la charge.
Si vous désactivez cette option, le nombre de téléchargements de paquets d'installation et de charges sur le Serveur d'administration peut augmenter. Cette option est activée par défaut.
Dans Kaspersky Security Center, un point de distribution peut servir de serveur push pour les appareils administrés via le protocole mobile et pour les appareils administrés par l'Agent d'administration. Par exemple, un serveur push doit être activé si vous souhaitez pouvoir forcer la synchronisation des appareils KasperskyOS avec le Serveur d'administration. Un serveur push a la même portée d'appareils administrés que le point de distribution sur lequel le serveur push est activé. Si plusieurs points de distribution sont affectés au même groupe d'administration, vous pouvez activer le serveur push sur chacun des points de distribution. Dans ce cas, le Serveur d'administration équilibre la charge entre les points de distribution.
Le numéro de port pour le serveur push. Vous pouvez préciser le numéro de tout port inoccupé.
Dans la section Zone d'action, indiquez la zone dans laquelle le point de distribution va distribuer des mises à jour (groupes d'administration et/ou emplacement réseau).
Seuls les appareils administrés sous Windows peuvent définir l'emplacement réseau. La définition de l'emplacement réseau est inaccessible pour les appareils administrés sous d'autres systèmes d'exploitation.
Si le point de distribution fonctionne sur un ordinateur autre que le Serveur d'administration, dans la section Source de mises à jour, vous pouvez sélectionner une source de mises à jour pour le point de distribution :
Sélectionnez une source de mises à jour pour le point de distribution :
Pour que le point de distribution récupère les mises à jour du Serveur d'administration, sélectionnez Récupérer depuis le Serveur d'administration.
Pour autoriser le point de distribution à recevoir les mises à jour à l'aide d'une tâche, sélectionnez Utiliser la tâche d'obtention des mises à jour de téléchargement des mises à jour, puis spécifiez une tâche Télécharger les mises à jour dans les référentiels des points de distribution :
Si une telle tâche existe déjà sur l'appareil, sélectionnez-la dans la liste.
Si aucune tâche de ce type n'existe encore sur l'appareil, cliquez sur le lien Créer la tâche pour créer une tâche. Ceci permet de lancer l'Assistant de création d'une tâche. Suivez les instructions de l'assistant.
Mot de passe du compte utilisateur au nom duquel la tâche sera lancée.
Dans la section Proxy KSN, vous pouvez configurer l'application afin qu'elle utilise le point de distribution pour transmettre les requêtes KSN depuis les appareils administrés :
Le service KSN proxy est exécuté sur l'appareil qui est utilisé en tant que points de distribution. Utilisez cette fonction pour rediffuser et optimiser le trafic sur le réseau.
Le point de distribution envoie les statistiques KSN, lesquelles sont répertoriées dans la Déclaration de Kaspersky Security Network, à Kaspersky. Par défaut, la Déclaration KSN se trouve dans %ProgramFiles%\Kaspersky Lab\Kaspersky Security Center\ksneula.
Cette option est Inactif par défaut. L'activation de cette option prend effet uniquement si les options Utiliser le Serveur d'administration comme serveur proxy et J'accepte les termes du Kaspersky Security Network sont activées dans la fenêtre Propriétés du Serveur d'administration.
Vous pouvez affecter un nœud d'un cluster actif-passif à un point de distribution et activer le serveur proxy KSN sur ce nœud.
Le point de distribution transfère les requêtes KSN depuis les appareils administrés vers le Cloud KSN ou KPSN. Les requêtes KSN générées sur le point de distribution lui-même sont également envoyées directement à KSN Cloud ou à KPSN.
Les points de distribution sur lesquels l'Agent d'administration version 11 (ou antérieure) est installé ne peuvent pas accéder directement à KPSN. Si vous souhaitez reconfigurer les points de distribution pour envoyer des demandes KSN à KPSN, activez l'option &Transférer les demandes KSN au Serveur d'administration pour chaque point de distribution.
Les points de distribution sur lesquels l'Agent d'administration version 12 (ou version ultérieure) est installé peuvent accéder directement à KPSN.
Activez cette option, si les paramètres du serveur proxy sont configurés dans les propriétés du point de distribution ou dans la stratégie de l'Agent d'administration, mais que votre architecture réseau exige que vous utilisiez directement un KPSN. Dans le cas contraire, les requêtes des applications administrées ne peuvent pas atteindre le KPSN.
Cette option est disponible si vous sélectionnez l'option Accéder à KSN Cloud/KPSN directement via Internet.
Si vous avez besoin que les appareils administrés se connectent au serveur proxy KSN via un port UDP, activez l'option Utiliser le port UDP et indiquez le Numéro de port UDP. Cette option est activée par défaut.
Le numéro du port UDP que les appareils administrés utilisent pour se connecter au serveur proxy KSN. Par défaut, la connexion au serveur proxy KSN est exécutée via le port UDP 15111.
Si le point de distribution fonctionne sur une machine autre que le Serveur d'administration, dans la section Passerelle de connexion, vous pouvez configurer le point de distribution pour qu'il agisse comme une passerelle pour la connexion entre les instances de l'Agent d'administration et le Serveur d'administration :
Si une connexion directe entre le Serveur d'administration et les Agents d'administration ne peut pas être établie en raison de l'organisation de votre réseau, vous pouvez utiliser le point de distribution comme passerelle de connexion entre le Serveur d'administration et les Agents d'administration.
Activez cette option si vous avez besoin que le point de distribution agisse comme une passerelle de connexion entre les Agents d'administration et le Serveur d'administration. Cette option est Inactif par défaut.
Si le Serveur d'administration se trouve en dehors de la zone démilitarisée (DMZ), sur le réseau local, les Agents d'administration installés sur les appareils distants ne peuvent pas se connecter au Serveur d'administration. Vous pouvez utiliser un point de distribution comme passerelle de connexion avec une connectivité inversée (le Serveur d'administration établit une connexion au point de distribution).
Activez cette option si vous devez connecter le Serveur d'administration à la passerelle de connexion dans la DMZ.
Activez cette option si vous avez besoin de la passerelle de connexion en DMZ pour ouvrir un port pour Web Console qui se trouve en DMZ ou sur Internet. Indiquez le numéro de port qui sera utilisé pour la connexion de Web Console au point de distribution. Le numéro de port par défaut est 13299.
Cette option est disponible si vous activez l'option Établir la connexion avec la passerelle depuis le Serveur d'administration (si la passerelle est placée dans la zone démilitarisée).
Lors de la connexion des appareils mobiles au Serveur d'administration via le point de distribution agissant comme passerelle de connexion, vous pouvez activer les options suivantes :
Activez cette option si vous avez besoin que la passerelle de connexion ouvre un port pour les appareils mobiles et indiquez le numéro de port que les appareils mobiles utiliseront pour la connexion au point de distribution. Le numéro de port par défaut est 13292. L'appareil mobile vérifie le certificat du Serveur d'administration. Lors de l'établissement de la connexion, seul le Serveur d'administration est authentifié.
Activez cette option si vous avez besoin d'une passerelle de connexion pour ouvrir un port qui sera utilisé pour l'authentification bidirectionnelle du Serveur d'administration et des appareils mobiles. L'appareil mobile vérifiera le certificat du Serveur d'administration, et le Serveur d'administration vérifiera le certificat de l'appareil mobile. Définissez les paramètres suivants :
Numéro de port que les appareils mobiles utiliseront pour se connecter au point de distribution. Le numéro de port par défaut est 13293.
Noms de domaine DNS de la passerelle de connexion qui seront utilisés par les appareils mobiles. Séparez les noms de domaine par des virgules. Les noms de domaine indiqués seront inclus dans le certificat du point de distribution. Si les noms de domaine utilisés par les appareils mobiles ne correspondent pas au nom usuel dans le certificat du point de distribution, les appareils mobiles ne se connectent pas au point de distribution.
Le nom de domaine DNS par défaut est le nom de domaine complet de la passerelle de connexion.
Dans les deux cas, la vérification des certificats est effectuée lors de l'établissement d'une session TLS sur le point de distribution uniquement. Les certificats ne sont pas transmis pour être vérifiés par le Serveur d'administration. Après l'établissement d'une session TLS avec l'appareil mobile, le point de distribution utilise le certificat du Serveur d'administration pour créer un tunnel de synchronisation entre l'appareil mobile et le Serveur d'administration. Si vous ouvrez le port pour l'authentification SSL bidirectionnelle, le seul moyen de distribuer le certificat d'appareil mobile est d'utiliser un paquet d'installation.
Configurez les paramètres de sondage par le point de distribution des domaines Windows, Active Directory et des plages IP :
Vous pouvez autoriser le sondage du réseau pour Active Directory et programmer le sondage.
Si vous utilisez un point de distribution Windows, vous pouvez sélectionner une des options suivantes :
Sonder le domaine actuel Active Directory.
Sonder la forêt de domaines Active Directory.
Sonder les domaines indiqués Active Directory. Si vous choisissez cette option, ajoutez un ou plusieurs domaines Active Directory à la liste.
Si vous utilisez un point de distribution Linux avec l'Agent d'administration version 15 installé, vous ne pouvez interroger que les domaines Active Directory dont vous spécifiez l'adresse et les informations d'identification de l'utilisateur. Les sondages du domaine Active Directory actuel et de la forêt de domaines Active Directory ne sont pas disponibles.
Vous pouvez activer la découverte d'appareils pour les contrôleurs de domaine.
Si vous sélectionnez l'option Activer le sondage du contrôleur de domaine, vous pouvez sélectionner des contrôleurs de domaine pour le sondage et également spécifier le calendrier de sondage pour eux.
Si vous utilisez un point de distribution Linux, dans la section Sonder les domaines indiqués, cliquez sur Ajouter, puis spécifiez l'adresse et les informations d'identification de l'utilisateur du contrôleur de domaine.
Si vous utilisez un point de distribution Windows, vous pouvez sélectionner une des options suivantes :
Vous pouvez activer la recherche d'appareils pour les plages IPv4 et les réseaux IPv6.
Si vous activez l'option Autoriser le sondage de la plage, vous pouvez ajouter des plages d'analyse et définir les programmations pour celles-ci. Vous pouvez ajouter des plages IP à la liste des plages analysées.
Si vous activez l'option Utiliser Zeroconf pour sonder les réseaux IPv6, le point de distribution sonde automatiquement le réseau IPv6 en utilisant la mise en réseau sans configuration (également appelée Zeroconf). Dans ce cas, les plages IP spécifiées sont ignorées car le point de distribution sonde l'ensemble du réseau. L'option Utiliser Zeroconf pour sonder les réseaux IPv6 est disponible si le point de distribution fonctionne sous Linux. Pour utiliser le sondage Zeroconf IPv6, vous devez installer l'utilitaire avahi-browse sur le point de distribution.
Dans la section Avancé, indiquez le dossier que le point de distribution doit utiliser pour l'enregistrement des données diffusées :
Lors du choix de cette option, le dossier avec l'Agent d'administration installé sur le point de distribution sera utilisé pour enregistrer les données.
Lors du choix de cette option, il est possible d'indiquer dans le champ situé ci-dessous le chemin d'accès au dossier. Le dossier peut être local sur le point de distribution ou distant, sur n'importe lequel des appareils faisant partie du réseau de l'entreprise.
Le compte utilisateur, sous lequel l'Agent d'administration est lancé sur le point de distribution, doit posséder l'accès au dossier indiqué pour lecture et écriture.
Cliquez sur le bouton OK.
Les appareils sélectionnés sont comme des points de distribution.