O Kaspersky Security Center Linux permite que você atribua dispositivos manualmente para agirem como pontos de distribuição.
Recomendamos que você atribua pontos de distribuição automaticamente. Neste caso, o Kaspersky Security Center Linux selecionará por si só quais dispositivos devem ser pontos de distribuição atribuídos. No entanto, se você tiver de optar por não atribuir pontos de distribuição automaticamente por algum motivo (por exemplo, se você quiser usar servidores exclusivamente atribuídos), poderá atribuir manualmente os pontos de distribuição após calcular seu número e configuração.
Os dispositivos que funcionam como pontos de distribuição devem ser protegidos contra violação da integridade física e de qualquer acesso não autorizado.
Para atribuir manualmente os dispositivos para agir como ponto de distribuição:
No menu principal, clique no ícone de configurações () ao lado do nome do Servidor de Administração necessário.
A janela Propriedades do Servidor de Administração é aberta.
Na guia Geral, selecione a seção Pontos de distribuição.
Selecione a opção Atribuir manualmente os pontos de distribuição.
Clique no botão Atribuir.
Selecione o dispositivo que você quer atribuir como ponto de distribuição.
Ao selecionar um dispositivo, tenha em mente os recursos da operação de pontos de distribuição e os requisitos definidos para o dispositivo que age como ponto de distribuição.
Selecione o grupo de administração que você quer incluir no escopo do ponto de distribuição selecionado.
Clique no botão OK.
O pontos de distribuição que você adicionou será exibido na lista de pontos de distribuição na seção Pontos de distribuição.
Clique no ponto de distribuição recém-adicionado na lista para abrir sua janela de propriedades.
Configure o ponto de distribuição na janela de propriedades:
A seção Geral contém as configurações de interação entre o ponto de distribuição e os dispositivos cliente.
Se esta opção estiver ativada, o IP multicasting será usado para distribuição automática de pacotes de instalação para dispositivos cliente dentro do grupo.
O multicast de IP diminui o tempo necessário para instalar um aplicativo de um pacote de instalação em um grupo de dispositivos cliente, mas aumenta o tempo de instalação quando você instala um aplicativo em um único dispositivo cliente.
Por padrão, o número de porta é 15001. Se o dispositivo com o Servidor de Administração instalado for especificado como o ponto de distribuição, por padrão a porta 13001 é usada para conexão SSL.
As atualizações são distribuídas para dispositivos gerenciados a partir das seguintes fontes:
Este ponto de distribuição, caso esta opção esteja ativada.
Outros pontos de distribuição, o Servidor de Administração ou os servidores de atualização da Kaspersky, caso esta opção esteja desativada.
Caso utilize os pontos de distribuição para implantar atualizações, será possível economizar tráfego, pois o número de downloads será reduzido. Além disso, é possível aliviar a carga no Servidor de Administração e realocar a carga entre os pontos de distribuição. É possível calcular o número de pontos de distribuição para a rede e otimizar o tráfego e a carga.
Caso essa opção seja desativada, o número de downloads de atualização e a carga no Servidor de Administração podem aumentar. Por padrão, esta opção está ativada.
Os pacotes de instalação são distribuídos para dispositivos gerenciados a partir das seguintes fontes:
Este ponto de distribuição, caso esta opção esteja ativada.
Outros pontos de distribuição, o Servidor de Administração ou os servidores de atualização da Kaspersky, caso esta opção esteja desativada.
Se você usar pontos de distribuição para implementar pacotes de instalação, poderá economizar tráfego porque reduz o número de downloads. Além disso, é possível aliviar a carga no Servidor de Administração e realocar a carga entre os pontos de distribuição. É possível calcular o número de pontos de distribuição para a rede e otimizar o tráfego e a carga.
Caso essa opção seja desativada, o número de downloads de pacotes de instalação e a carga no Servidor de Administração podem aumentar. Por padrão, esta opção está ativada.
No Kaspersky Security Center Linux, um ponto de distribuição pode funcionar como um servidor push para os dispositivos gerenciados por meio do protocolo móvel e para os dispositivos gerenciados pelo Agente de Rede. Por exemplo, um servidor push deve ser ativado se você quiser forçar a sincronização dos dispositivos KasperskyOS com o Servidor de Administração. Um servidor push tem o mesmo escopo de dispositivos gerenciados que o ponto de distribuição no qual o servidor push está ativado. Se você tiver vários pontos de distribuição atribuídos ao mesmo grupo de administração, poderá ativar o servidor push em cada um dos pontos de distribuição. Nesse caso, o Servidor de Administração equilibra a carga entre os pontos de distribuição.
Selecione uma fonte de atualizações para o ponto de distribuição:
Para permitir que o ponto de distribuição receba atualizações do Servidor de Administração, selecione Obter do Servidor de Administração.
Para permitir que o ponto de distribuição receba atualizações usando uma tarefa, selecione Usar tarefa de download de atualizações e, em seguida, especifique a tarefa Baixar atualizações para os repositórios de pontos de distribuição:
Se essa tarefa já existir no dispositivo, selecione a tarefa na lista.
Se ainda não existir tal tarefa no dispositivo, clique no link Criar tarefa para criar uma tarefa. O Assistente para novas tarefas inicia. Siga as instruções do Assistente.
Senha da conta sob a qual a tarefa será executada.
Na seção Proxy da KSN, você pode configurar o aplicativo para usar o ponto de distribuição para encaminhar solicitações do KSN a partir dos dispositivos gerenciados:
O serviço Proxy da KSN é executado no dispositivo que é usado como um ponto de distribuição. Use este recurso para redistribuir e otimizar o tráfego na rede.
O ponto de distribuição envia as estatísticas da KSN, que são listadas na Declaração sobre coleta de dados do KSN, à Kaspersky.
Por padrão, esta opção está desativada. A ativação desta opção somente terá efeito caso as opções Usar Servidor de Administração como um servidor proxy e Concordo em usar a Kaspersky Security Network estejam ativadas na janela de propriedades do Servidor de Administração.
É possível atribuir um nó de um cluster ativo-passivo a um ponto de distribuição e habilitar o servidor proxy da KSN nesse nó.
O ponto de distribuição encaminha solicitações da KSN de dispositivos gerenciados para a KSN Cloud ou KPSN. As solicitações da KSN geradas no próprio ponto de distribuição também são enviadas diretamente para a KSN Cloud ou para a KPSN.
Ative esta opção, caso tenha as configurações do servidor proxy definidas nas propriedades do ponto de distribuição ou na política do Agente de Rede, mas a sua arquitetura de rede requer que você use KPSN diretamente. Caso contrário, as solicitações dos aplicativos gerenciados não chegarão à KPSN.
Esta alternativa estará disponível caso a opção Acessar a KSN Cloud/KPSN diretamente pela Internet seja selecionada.
Se você desejar que os dispositivos gerenciados sejam conectados ao proxy da KSN através de uma porta UDP, ative a opção Usar porta UDP e especifique um número de Porta UDP. Por padrão, esta opção está ativada.
O número da porta UDP que os dispositivos gerenciados utilizarão para conectarem-se ao servidor proxy KSN. A porta UDP padrão para se conectar ao servidor proxy KSN é 15111.
Na seção Gateway de conexão, é possível configurar o ponto de distribuição para atuar como um gateway para conexão entre as instâncias do Agente de Rede e o Servidor de Administração:
Caso uma conexão direta entre o Servidor de Administração e os Agentes de Rede não possa ser estabelecida em função da organização de sua rede, será possível usar o ponto de distribuição para atuar como o gateway de conexão entre o Servidor de Administração e os Agentes de Rede.
Ative essa opção caso você precise que o ponto de distribuição atue como um gateway de conexão entre os Agentes de Rede e o Servidor de Administração. Por padrão, esta opção está desativada.
Caso o Servidor de Administração esteja localizado fora da zona desmilitarizada (DMZ), na rede local, os Agentes de Rede instalados em dispositivos remotos não poderão se conectar com o Servidor de Administração. É possível usar um ponto de distribuição como o gateway de conexão com conectividade reversa (o Servidor de Administração estabelece uma conexão com o ponto de distribuição).
Ative essa opção caso seja necessário conectar o Servidor de Administração ao gateway de conexão na DMZ.
Ative essa opção caso seja necessário que o gateway de conexão na DMZ abra uma porta para o Web Console que esteja na DMZ ou na Internet. Especifique o número da porta que será usada para conexão do Web Console com o ponto de distribuição. O número da porta padrão é 13299.
Essa opção estará disponível caso a opção Estabelecer conexão com o gateway a partir do Servidor de Administração (se o gateway estiver na DMZ) seja ativada.
Ao conectar os dispositivos móveis com o Servidor de Administração por meio do ponto de distribuição que atua como gateway de conexão, é possível ativar as seguintes opções:
Ative essa opção caso seja necessário que o gateway de conexão abra uma porta para dispositivos móveis e especifique o número da porta que os dispositivos móveis usarão para estabelecer conexão com o ponto de distribuição. O número da porta padrão é 13292. O dispositivo móvel verificará o certificado do Servidor de Administração. Ao estabelecer a conexão, somente o Servidor de Administração será autenticado.
Ative essa opção caso seja necessário que o gateway de conexão abra uma porta que será usada para autenticação bidirecional do Servidor de Administração e dispositivos móveis. O dispositivo móvel verificará o certificado do Servidor de Administração e o Servidor de Administração verificará o certificado de dispositivos móveis. Especifique os seguintes parâmetros:
Número da porta que os dispositivos móveis usarão para conexão com o ponto de distribuição. O número da porta padrão é 13293.
Nomes de domínio DNS do gateway de conexão que serão usados por dispositivos móveis. Separe os nomes de domínio com vírgulas. Os nomes de domínio especificados serão incluídos no certificado do ponto de distribuição. Caso os nomes de domínio usados pelos dispositivos móveis não correspondam ao nome comum no certificado do ponto de distribuição, os dispositivos móveis não se conectarão com ponto de distribuição.
O nome de domínio DNS padrão é o nome FQDN do gateway de conexão.
Em ambos os casos, os certificados serão verificados durante o estabelecimento da sessão TLS somente no ponto de distribuição. Os certificados não são encaminhados para serem verificados pelo Servidor de Administração. Depois que uma sessão TLS é estabelecida com o dispositivo móvel, o ponto de distribuição usa o certificado do Servidor de Administração para criar um túnel para sincronização entre o dispositivo móvel e o Servidor de Administração. Caso a porta para autenticação SSL bidirecional seja aberta, a única maneira de distribuir o certificado de dispositivos móveis é por meio de um pacote de instalação.
Configure a sondagem do controlador de domínio pelo ponto de distribuição.
É possível ativar a descoberta de dispositivos para controladores de domínio.
Caso marque a caixa de seleção Ativar sondagem do controlador de domínio, será possível selecionar os controladores de domínios para sondagem e também especificar o agendamento de sondagem para eles.
Caso queira usar um ponto de distribuição do Linux, na seção Sondar domínios especificados, clique em Adicionar e especifique o endereço e as credenciais de usuário do controlador de domínio.
Se você usar um ponto de distribuição do Windows, poderá selecionar uma das seguintes opções:
Sondar domínio atual
Sondar toda a floresta de domínios
Sondar domínios especificados
Configure a pesquisa de intervalos de IP por ponto de distribuição.
Você pode ativar a descoberta de dispositivos para conjuntos IPv4 e redes IPv6.
Ao ativar a opção Ativar sondagem de conjuntos, você poderá adicionar conjuntos verificados e definir seu agendamento. Você pode adicionar conjuntos de IPs à lista de conjuntos verificados.
Ao ativar a opção Usar Zeroconf para sondar redes IPv6, o ponto de distribuição sonda automaticamente a rede IPv6 usando rede zero configuração (também referida como Zeroconf). Nesse caso, os conjuntos IP especificados são ignorados, pois o ponto de distribuição sonda toda a rede. A opção Usar Zeroconf para sondar redes IPv6 estará disponível caso o ponto de distribuição execute Linux. Para usar a sondagem do Zeroconf IPv6, é necessário instalar o utilitário avahi-browse no ponto de distribuição.
Na seção Avançado, especifique a pasta que o ponto de distribuição deve usar para armazenar os dados distribuídos.
Se selecionar esta opção, você pode, no campo abaixo, especificar o caminho até a pasta. Pode ser uma pasta local no ponto de distribuição ou pode ser uma pasta em qualquer dispositivo na rede corporativa.
A conta do usuário usada no ponto de distribuição para executar o Agente de Rede deve ter acesso de leitura/gravação à pasta especificada.
Clique no botão OK.
Os dispositivos selecionados agirão como pontos de distribuição.
) ao lado do nome do Servidor de Administração necessário.