In Kaspersky Security Center Linux haben Sie die Möglichkeit, Geräte manuell zu Verteilungspunkten zu bestimmen.
Es wird empfohlen, die Verteilungspunkte automatisch zu bestimmen. In diesem Fall wählt Kaspersky Security Center Linux die Geräte, die zu Verteilungspunkten bestimmt werden, selbständig aus. Wenn Sie jedoch aus bestimmten Gründen auf die automatische Bestimmung der Verteilungspunkte verzichten möchten (beispielsweise wenn Sie speziell ausgewählte Server verwenden wollen), können Sie die Verteilungspunkte manuell bestimmen, nachdem Sie deren Anzahl und Konfiguration berechnet haben.
Geräte, die als Verteilungspunkte fungieren, müssen vor unberechtigtem Zugriff (auch physischer Natur) geschützt werden.
Um ein Gerät manuell zum Verteilungspunkt zu bestimmen, gehen Sie wie folgt vor:
Klicken Sie im Hauptmenü auf den Namen des Administrationsservers.
Das Eigenschaftenfenster des Administrationsservers wird geöffnet.
Wählen Sie auf der Registerkarte General den Abschnitt Distribution points aus.
Wählen Sie die Option Manually assign distribution points aus.
Klicken Sie auf die Schaltfläche Assign.
Wählen Sie das Gerät aus, das Sie zu einem Verteilungspunkt machen möchten.
Berücksichtigen Sie bei der Auswahl des Geräts die Besonderheiten des Verteilungspunkts und die Anforderungen an das Gerät, das die Rolle des Verteilungspunkts übernehmen soll.
Wählen Sie die Administrationsgruppe aus, die zum Gültigkeitsbereich des ausgewählten Verteilungspunkts gehören soll.
Klicken Sie auf die Schaltfläche OK.
Der hinzugefügte Verteilungspunkt wird in der Liste der Verteilungspunkte im Abschnitt Distribution points angezeigt.
Klicken Sie den hinzugefügten Verteilungspunkt in der Liste an, um sein Eigenschaftenfenster zu öffnen.
Passen Sie im Eigenschaftenfenster die Einstellungen des Verteilungspunkts an:
Der Abschnitt Allgemein enthält die Einstellungen für die Interaktion des Verteilungspunkts mit den Client-Geräten.
Wenn diese Option aktiviert ist, werden die Installationspakete automatisch mithilfe von IP-Multicasting an die Client-Geräte innerhalb einer Gruppe verteilt.
IP-Multicasting erhöht die Dauer für die Installation einer Anwendung aus einem Installationspaket in eine Gruppe von Client-Geräten. Dagegen reduziert es die Installationsdauer, wenn Sie eine Anwendung auf einem einzelnen Client-Gerät installieren.
Standardmäßig wird Port 15001 verwendet. Wenn als Verteilungspunkt ein Gerät angegeben wurde, auf dem der Administrationsserver installiert ist, wird für die Verbindung mit dem SSL-Protokoll standardmäßig Port 13001 verwendet.
Aus den folgenden Quellen werden Updates an verwaltete Geräte verteilt:
Von diesen Verteilungspunkt, wenn diese Option aktiviert ist.
Von anderen Verteilungspunkten, dem Administrationsserver oder Kaspersky-Update-Servern, wenn diese Option deaktiviert ist.
Wenn Sie zur Bereitstellung von Updates Verteilungspunkte verwenden, können Sie Datenverkehr sparen, da Sie die Anzahl der Downloads reduzieren. Außerdem können Sie den Administrationsserver entlasten und die Last auf die Verteilungspunkten verlegen. Um den Datenverkehr und die Last zu optimieren, können Sie die Anzahl der Verteilungspunkte für Ihr Netzwerk berechnen.
Wenn Sie diese Option deaktivieren, kann sich die Anzahl der Update-Downloads und die Belastung des Administrationsservers erhöhen. Diese Option ist standardmäßig aktiviert.
Aus den folgenden Quellen werden Installationspakete an verwaltete Geräte verteilt:
Von diesen Verteilungspunkt, wenn diese Option aktiviert ist.
Von anderen Verteilungspunkten, dem Administrationsserver oder Kaspersky-Update-Servern, wenn diese Option deaktiviert ist.
Wenn Sie zur Bereitstellung von Installationspaketen Verteilungspunkte verwenden, können Sie Datenverkehr sparen, da Sie die Anzahl der Downloads reduzieren. Außerdem können Sie den Administrationsserver entlasten und die Last auf die Verteilungspunkten verlegen. Um den Datenverkehr und die Last zu optimieren, können Sie die Anzahl der Verteilungspunkte für Ihr Netzwerk berechnen.
Wenn Sie diese Option deaktivieren, kann sich die Anzahl der Downloads von Installationspaketen und die Belastung des Administrationsservers erhöhen. Diese Option ist standardmäßig aktiviert.
In Kaspersky Security Center Linux kann ein Verteilungspunkt als Push-Server für Geräte fungieren, die über das mobile Protokoll oder über den Administrationsagenten verwaltet werden. Ein Push-Server muss beispielsweise aktiviert sein, wenn Sie die erzwungene Synchronisierung von KasperskyOS-Geräten mit dem Administrationsserver verwenden möchten. Ein Push-Server besitzt denselben Umfang verwalteter Geräte wie der Verteilungspunkt, auf dem der Push-Server aktiviert ist. Wenn Sie mehrere Verteilungspunkte derselben Administrationsgruppe zugewiesen haben, können Sie den Push-Server auf jedem der Verteilungspunkte aktivieren. In diesem Fall verteilt der Administrationsserver die Last zwischen den Verteilungspunkten.
Wählen Sie eine Update-Quelle für den Verteilungspunkt aus:
Damit der Verteilungspunkt die Updates vom Administrationsserver erhält, wählen Sie Retrieve from Administration Server.
Damit Verteilungspunkte Updates anhand einer Aufgabe beziehen können, wählen Sie Use update download task aus und geben Sie anschließend eine Aufgabe vom Typ Download von Updates in die Datenverwaltung der Verteilungspunkte an:
Wenn eine solche Aufgabe bereits auf dem Gerät vorhanden ist, wählen Sie die Aufgabe in der Liste aus.
Wenn auf dem Gerät noch keine derartige Aufgabe vorhanden ist, klicken Sie auf den Link Create task, um eine Aufgabe zu erstellen. Der Assistent für das Erstellen einer Aufgabe wird gestartet. Folgen Sie den Anweisungen des Assistenten.
Wenn Ihre Verteilungspunkte für die Verbindung mit dem Internet einen Proxyserver verwenden, können Sie im Unterabschnitt Einstellungen für die Internetverbindung die folgenden Einstellungen festlegen:
Kennwort des Benutzerkontos, unter dessen Namen die Aufgabe gestartet wird.
Im Abschnitt KSN Proxy können Sie die Anwendung anpassen, um den Verteilungspunkt zum Weiterleiten von KSN-Anfragen von den verwalteten Geräten zu verwenden:
Der KSN Proxy-Service wird auf dem Gerät ausgeführt, das als Verteilungspunkt verwendet wird. Verwenden Sie diese Funktion, um Datenverkehr im Netzwerk neu zu verteilen und zu optimieren.
Der Verteilungspunkt sendet die KSN-Statistik, die in der Erklärung zu Kaspersky Security Network aufgeführt sind, an Kaspersky.
Diese Option ist standardmäßig deaktiviert. Die Aktivierung dieser Option wird erst wirksam, wenn im Fenster mit den Eigenschaften des Administrationsservers die Optionen Use Administration Server as a proxy server und I agree to use Kaspersky Security Network aktiviert sind.
Sie können dem Knoten eines aktiv-passiven Clusters die Rolle als Verteilungspunkt zuweisen und den KSN-Proxyserver auf diesem Knoten aktivieren.
Der Verteilungspunkt leitet KSN-Anfragen von den verwalteten Geräten an die KSN Cloud oder an KPSN weiter. KSN-Anfragen, die der Verteilungspunkt selbst generiert, werden ebenso direkt an KSN Cloud oder KPSN gesendet.
Aktivieren Sie diese Option, wenn Sie die Proxyserver-Einstellungen in den Eigenschaften des Verteilungspunkts oder in der Richtlinie des Administrationsagenten angepasst haben, aber Ihre Netzwerkarchitektur eine direkte Verwendung von KPSN erfordert. Andernfalls können Anfragen von den verwalteten Apps KPSN nicht erreichen.
Diese Option ist verfügbar, wenn Sie die Option Access KSN Cloud/KPSN directly over the internet auswählen.
Die Nummer des TCP-Ports, den die verwalteten Geräte verwenden werden, um eine Verbindung mit dem KSN-Proxyserver herzustellen. Standardmäßig wird Portnummer 13111 verwendet.
Wenn es erforderlich ist, dass sich die verwalteten Geräte über einen UDP-Port mit dem KSN-Proxyserver verbinden, aktivieren Sie die Option UDP-Port verwenden und geben Sie eine UDP-Portnummer an. Diese Option ist standardmäßig aktiviert.
Die Nummer des UDP-Ports, den die verwalteten Geräte verwenden werden, um eine Verbindung mit dem KSN-Proxyserver herzustellen. Der standardmäßige UDP-Port für die Verbindung zum KSN-Proxyserver ist 15111.
Wenn es erforderlich ist, dass sich die verwalteten Geräte über einen HTTPS-Port mit dem KSN-Proxyserver verbinden, aktivieren Sie die Option HTTPS-Port verwenden und geben Sie im Feld HTTPS über Port eine Nummer an. Der standardmäßige HTTPS-Port für die Verbindung zum KSN-Proxyserver ist 17111.
Die Nummer des HTTPS-Ports, den die verwalteten Geräte verwenden sollen, um eine Verbindung mit dem KSN-Proxyserver herzustellen. Der standardmäßige HTTPS-Port für die Verbindung zum KSN-Proxyserver ist 17111.
Im Abschnitt Verbindungs-Gateway können Sie den Verteilungspunkt so konfigurieren, dass er als Gateway für die Verbindung zwischen den Instanzen des Administrationsagenten und dem Administrationsserver fungieren soll:
Wenn aufgrund der Organisation Ihres Netzwerks keine direkte Verbindung zwischen dem Administrationsserver und den Administrationsagenten hergestellt werden kann, können Sie den Verteilungspunkt als Verbindungs-Gateway zwischen Administrationsserver und Administrationsagenten verwenden.
Aktivieren Sie diese Option, wenn der Verteilungspunkt als Verbindungs-Gateway zwischen den Administrationsagenten und dem Administrationsserver fungieren soll. Diese Option ist standardmäßig deaktiviert.
Wenn sich der Administrationsserver außerhalb der demilitarisierten Zone (DMZ) in einem lokalen Netzwerk befindet, können auf Remote-Geräten installierte Administrationsagenten keine Verbindung zum Administrationsserver herstellen. Sie können einen Verteilungspunkt als Verbindungs-Gateway mit Reverse Connectivity verwenden (der Administrationsserver stellt eine Verbindung zum Verteilungspunkt her).
Aktivieren Sie diese Option, wenn Sie den Administrationsserver mit dem Verbindungs-Gateway in der DMZ verbinden müssen.
Aktivieren Sie diese Option, wenn Sie das Verbindungs-Gateway in der DMZ benötigen, um einen Port für die Web Console zu öffnen, der sich in der DMZ oder im Internet befindet. Geben Sie die Portnummer an, die für die Verbindung von der Web Console zum Verteilungspunkt verwendet wird. Standardmäßig wird Portnummer 13299 verwendet.
Diese Option ist verfügbar, wenn Sie die Option Establish connection to gateway from Administration Server (if gateway is in DMZ) aktivieren.
Wenn Sie mobile Geräte über den Verteilungspunkt, der als Verbindungs-Gateway fungiert, mit dem Administrationsserver verbinden, können Sie die folgenden Optionen aktivieren:
Aktivieren Sie diese Option, wenn das Verbindungs-Gateway einen Port für mobile Geräte öffnen soll, und geben Sie die Portnummer an, die mobile Geräte für die Verbindung zum Verteilungspunkt verwenden. Standardmäßig wird Portnummer 13292 verwendet. Das mobile Gerät überprüft das Zertifikat des Administrationsservers. Beim Verbindungsaufbau wird nur der Administrationsserver authentifiziert.
Aktivieren Sie diese Option, wenn Sie ein Verbindungs-Gateway benötigen, um einen Port zu öffnen, der für die bidirektionale Authentifizierung des Administrationsservers und mobiler Geräte verwendet wird. Das mobile Gerät überprüft das Zertifikat des Administrationsservers und der Administrationsserver überprüft das Zertifikat des mobilen Geräts. Geben Sie die folgenden Parameter an:
Portnummer, die mobile Geräte für die Verbindung mit dem Verteilungspunkt verwenden. Standardmäßig wird Portnummer 13293 verwendet.
DNS-Domänennamen des Verbindungs-Gateways, die von mobilen Geräten verwendet werden. Trennen Sie Domänennamen durch Kommas. Die angegebenen Domänennamen werden in das Zertifikat des Verteilungspunkts aufgenommen. Wenn die von den mobilen Geräten verwendeten Domänennamen nicht mit dem allgemeinen Namen im Verteilungspunktzertifikat übereinstimmen, stellen die mobilen Geräte keine Verbindung zum Verteilungspunkt her.
Standardmäßig entspricht der DNS-Domänenname dem FQDN-Namen des Verbindungsgateways.
In beiden Fällen werden die Zertifikate nur während des Aufbaus der TLS-Sitzung auf dem Verteilungspunkt überprüft. Die Zertifikate werden nicht zur Prüfung durch den Administrationsserver weitergeleitet. Nachdem eine TLS-Sitzung mit dem mobilen Gerät hergestellt wurde, verwendet der Verteilungspunkt das Zertifikat des Administrationsservers, um einen Tunnel für die Synchronisierung zwischen dem mobilen Gerät und dem Administrationsserver herzustellen. Wenn Sie den Port für die bidirektionale SSL-Authentifizierung öffnen, kann das Zertifikat für mobile Geräte nur mithilfe eines Installationspakets verteilt werden.
Konfigurieren Sie die Abfrage des Domänencontrollers mittels eines Verteilungspunkts.
Sie können für Domänencontroller die Gerätesuche aktivieren.
Nachdem Sie im Feld Polling die Taste auf Enabled gewechselt haben, können Sie Domänencontroller für die Abfrage auswählen und den Abfragezeitplan für diese festlegen.
Wenn Sie einen Linux-Verteilungspunkt verwenden, klicken Sie im Abschnitt Poll specified domains auf Add und geben Sie anschließend die Adresse und die Anmeldeinformationen des Domänencontrollers an. Außerdem können Sie den Typ der abzufragenden Domäne angeben: Active Directory oder Samba, FreeIPA, ALD Pro.
Wenn Sie einen Windows-Verteilungspunkt verwenden, können Sie eine der folgenden Optionen auswählen:
Poll current domain
Poll entire domain forest
Poll specified domains
Konfigurieren Sie die Abfrage von IP-Bereichen durch den Verteilungspunkt.
Sie können die Gerätesuche für IPv4-Bereiche und IPv6-Netzwerke aktivieren.
Wenn Sie die Option Abfrage des Bereichs zulassen aktivieren, können Sie zu untersuchende Bereiche hinzufügen und den Zeitplan für sie festlegen. Sie können IP-Bereich zur Liste der untersuchten Bereiche hinzufügen.
Wenn Sie die Option Use Zeroconf to poll IPv6 networks aktiviert haben, fragt der Verteilungspunkt das IPv6-Netzwerk automatisch unter Verwendung von Zero-configuration Networking (auch als Zeroconf bezeichnet) ab. In diesem Fall werden angegebene IP-Bereiche ignoriert, da der Verteilungspunkt das gesamte Netzwerk abfragt. Für Verteilungspunkte mit Linux ist die Option Use Zeroconf to poll IPv6 networks verfügbar. Um die Zeroconf-IPv6-Abfrage verwenden zu können, müssen Sie das Tool "avahi-browse" auf dem Verteilungspunkt installieren.
Geben Sie im Abschnitt Erweitert den Ordner an, den der Verteilungspunkt zum Speichern der zu verteilenden Daten verwenden soll.
Bei Auswahl dieser Option können Sie im unteren Feld den Pfad zum Ordner angeben. Dabei können Sie einen lokalen Ordner des Verteilungspunkts oder einen Ordner auf einem beliebigen, sich im Unternehmensnetzwerk befindlichen Remote-Gerät angeben.
Das Benutzerkonto, unter dem der Administrationsagent auf dem Verteilungspunkt gestartet wird, muss über die Lese- und Schreibberechtigungen für den angegebenen Ordner verfügen.
Klicken Sie auf die Schaltfläche OK.
Daraufhin übernehmen die ausgewählten Geräte die Rolle des Verteilungspunkts.