Verwaltung des Schutzes der Client-Geräte

Einschränken des Hinzufügens von Lizenzschlüsseln zu Installationspaketen

Installationspakete werden im freigegebenen Ordner des Administrationsservers im Unterordner "Pakete" gespeichert. Wenn Sie einem Installationspaket einen Lizenzschlüssel hinzufügen, kann der Lizenzschlüssel kompromittiert werden, da für die Datenverwaltung mit den Installationspaketen gemeinsame Leseberechtigungen aktiviert sind.

Um eine Gefährdung des Lizenzschlüssels zu vermeiden, raten wir davon ab, Lizenzschlüssel zu den Installationspaketen hinzuzufügen.

Wir empfehlen für die Bereitstellung die Verwendung der automatischen Verteilung von Lizenzschlüsseln an verwaltete Geräte mithilfe der Aufgabe "Hinzufügen eines Lizenzschlüssels für ein verwaltetes Programm" und manuelles Hinzufügen eines Aktivierungscodes oder einer Schlüsseldatei zu den Geräten.

Automatische Regeln für das Verschieben von Geräten zwischen Administrationsgruppen

Wir empfehlen, die Verwendung automatischer Regeln für das Verschieben von Geräten zwischen Administrationsgruppen einzuschränken.

Wenn Sie automatische Regeln zum Verschieben von Geräten verwenden, kann dies zur Verbreitung von Richtlinien führen, die dem verschobenen Gerät mehr Berechtigungen gewähren, als das Gerät vor dem Verschieben besaß.

Darüber hinaus kann das Verschieben eines Client-Geräts in eine andere Administrationsgruppe zur Verbreitung von Richtlinieneinstellungen führen. Die Verteilung dieser Richtlinien an Gastgeräte und nicht vertrauenswürdige Geräte kann unerwünscht sein.

Diese Empfehlung gilt nicht für die einmalige erstmalige Zuordnung von Geräten zu Administrationsgruppen.

Sicherheitsanforderungen an Verteilungspunkte und Verbindungs-Gateways

Geräte mit installiertem Administrationsagenten können als Verteilungspunkt fungieren und die folgenden Funktionen ausführen:

• Vom Administrationsserver empfangene Updates und Installationspakete an die Client-Geräte innerhalb der Gruppe verteilen.
• Durchführen von Remote-Installationen von Drittanbieter-Software und Kaspersky-Programmen auf den Client-Geräten.
• Abfragen des Netzwerks, um neue Geräte und aktualisierte Informationen über die bereits bekannten Geräte zu finden. Der Verteilungspunkt kann dieselben Methoden zur Geräteerkennung verwenden wie der Administrationsserver.

Das Platzieren von Verteilungspunkten im Netzwerk der Organisation kann für Folgendes verwendet werden:

• Entlastung des Administrationsservers
• Optimierung des Datenverkehrs
• Gewähren von Zugriff für den Administrationsserver auf Geräte, die sich an schwer erreichbaren Standorten des Unternehmensnetzwerks befinden

Unter Berücksichtigung der verfügbaren Funktionen empfehlen wir, alle Geräte, die als Verteilungspunkte fungieren, vor jeglicher Art von unbefugtem Zugriff (einschließlich physischem) zu schützen.

Einschränken der automatischen Zuweisung von Verteilungspunkten

Um die Administration zu vereinfachen und die Funktionsfähigkeit des Netzwerks zu erhalten, empfehlen wir die automatische Zuweisung von Verteilungspunkten. Für industrielle Netzwerke und kleine Netzwerke empfehlen wir jedoch, die automatische Zuweisung von Verteilungspunkten zu vermeiden. Das liegt darin begründet, da beispielsweise die privaten Informationen der Konten, die zum Anstoßen von Remote-Installationsaufgaben verwendet werden, mithilfe von Betriebssystem-Ressourcen an Verteilungspunkte übertragen werden können.

Für industrielle Netzwerke und kleine Netzwerke ist es möglich Geräten manuell die Rolle als Verteilungspunkt zuweisen.

Sie können auch den Bericht über die Aktivität der Verteilungspunkte anzeigen.