Protezione della connessione ad Administration Server
La connessione del computer ad Administration Server viene effettuata utilizzando il componente Network Agent di Kaspersky Security Center. Se un intruso dispone di diritti sufficienti per modificare le impostazioni di connessione del server, esiste il rischio che il computer venga connesso a un server non attendibile. In questo modo, si consente all'intruso di applicare i propri criteri di gruppo e, ad esempio, disabilitare l'autodifesa dell'applicazione. Kaspersky Endpoint Security può impedire la riconnessione non autorizzata di un computer a un server diverso. Per proteggere la connessione al server, l'applicazione suggerisce di impostare una password e di utilizzare la funzione PBKDF2 (Password-Based Key Derivation Function). Di conseguenza, l'accesso all'applicazione senza password è impossibile.
Per garantire la protezione completa di Kaspersky Endpoint Security e Network Agent da accessi non autorizzati, si consiglia di abilitare una protezione aggiuntiva. Per Kaspersky Endpoint Security, si consiglia di abilitare Protezione tramite password. Per proteggere Network Agent, si consiglia di impostare una password di disinstallazione. Per informazioni sulla protezione di Network Agent dalla rimozione, consultare la Guida di Kaspersky Security Center.
La gestione della connessione del computer ad Administration Server viene effettuata utilizzando l'attività Protezione della connessione ad Administration Server. L'attività consente di eseguire le seguenti azioni:
- Impostare una password per proteggere la connessione al server.
- Modificare la password.
- Riconnettere il computer a un server diverso.
- Disabilitare la protezione della connessione al server.
Autenticazione del computer durante la connessione ad Administration Server
Dopo aver impostato una password, l'applicazione crea un array di dati utilizzando la trasformazione PBKDF2 della password. L'applicazione cripta quindi questo array di dati utilizzando la chiave di Network Agent. L'applicazione utilizza l'array di dati criptati per verificare i diritti e i privilegi di Administration Server per le connessioni successive.
Successivamente, ogni volta che si tenta di riconnettere il computer ad Administration Server, l'applicazione decripta l'array di dati con la chiave di Network Agent e lo confronta con la copia locale. Se non corrispondono, l'accesso all'applicazione è limitato.
Protezione della connessione ad Administration Server
Come impostare una password per la protezione della connessione al server in Administration Console (MMC)
- Aprire Kaspersky Security Center Administration Console.
- Nella struttura della console, selezionare Attività.
Viene aperto l'elenco delle attività.
- Fare clic su Nuova attività.
Verrà avviata la Creazione guidata attività. Attenersi alle istruzioni della procedura guidata.
Passaggio 1. Selezione del tipo di attività
Selezionare Kaspersky Endpoint Security for Windows (12.4) → Protezione della connessione ad Administration Server.
Passaggio 2. Protezione della connessione ad Administration Server
Impostare una password per proteggere la connessione ad Administration Server:
- In Protezione della connessione ad Administration Server, selezionare Proteggi con una password.
- Nell'elenco a discesa Administration Server, selezionare Nuovo server.
- Nel campo Password per la connessione ad Administration Server, impostare una password per la connessione ad Administration Server e confermarla.
Se si dimentica la password, è possibile modificarla utilizzando un'attività.
Passaggio 3. Selezione dell'account per eseguire l'attività
Selezionare Account predefinito. Per impostazione predefinita, Kaspersky Endpoint Security avvia l'attività come account utente di sistema (SYSTEM).
Passaggio 4. Configurazione di una pianificazione di avvio dell'attività
In Avvio pianificato, selezionare Manualmente.
Passaggio 5. Definizione del nome dell'attività
Immettere un nome per l'attività, ad esempio Password di connessione al server principale.
Passaggio 6. Completamento della creazione dell'attività
Chiusura della procedura guidata. Selezionare la casella di controllo Esegui l'attività al termine della procedura guidata o eseguire l'attività manualmente. È possibile monitorare lo stato di avanzamento dell'attività nelle proprietà dell'attività.
Come impostare una password per la protezione della connessione al server in Web Console e Cloud Console
- Nella finestra principale di Web Console, selezionare Dispositivi → Attività.
Viene aperto l'elenco delle attività.
- Fare clic su Aggiungi.
Verrà avviata la Creazione guidata attività.
- Configurare le impostazioni dell'attività:
- Nell'elenco a discesa Applicazione, selezionare Kaspersky Endpoint Security for Windows (12.4).
- Nell'elenco a discesa Tipo di attività selezionare Protezione della connessione ad Administration Server.
- Nel campo Nome attività, immettere una breve descrizione, ad esempio Password di connessione al server principale.
- Nel blocco Selezionare i dispositivi a cui assegnare l'attività, selezionare l'ambito dell'attività.
- Selezionare i dispositivi in base all'opzione dell'ambito dell'attività selezionata. Procedere con il passaggio successivo.
- Selezionare un account utente predefinito. Per impostazione predefinita, Kaspersky Endpoint Security avvia l'attività come account utente di sistema (SYSTEM).
- Chiusura della procedura guidata.
Verrà visualizzata una nuova attività nell'elenco delle attività.
- Fare clic sull'attività Protezione della connessione ad Administration Server di Kaspersky Endpoint Security.
Verrà visualizzata la finestra delle proprietà dell'attività.
- Selezionare la scheda Impostazioni applicazione.
- In Protezione della connessione ad Administration Server, selezionare Proteggi con una password.
- Nell'elenco a discesa Connessione al'Administration Server, selezionare Nuova password.
- Nel campo Password, impostare una password per la connessione ad Administration Server e confermarla.
Se si dimentica la password, è possibile modificarla utilizzando un'attività.
- Salvare le modifiche.
- Selezionare la casella di controllo accanto all'attività.
- Fare clic sul pulsante Esegui.
È possibile monitorare lo stato dell'attività e il numero di dispositivi in cui l'attività è stata completata o è stata completata con un errore.
Riconnessione del computer a un Administration Server diverso
La riconnessione del computer a un Administration Server diverso prevede i seguenti passaggi:
- Nella console del server
[KSC1]
corrente, eseguire l'attività Cambia Administration Server per Network Agent. Dopo aver eseguito l'attività, il computer viene ricollegato al nuovo server [KSC2]
.
La console mostra il computer con lo stato Critico . È impossibile configurare l'applicazione utilizzando criteri o eseguendo attività da remoto sul computer.
- Nella console del nuovo server
[KSC2]
, creare una nuova attività Protezione della connessione ad Administration Server per Kaspersky Endpoint Security. Nelle proprietà dell'attività, immettere la password del server precedente e impostare una password per il nuovo server.Come impostare una nuova password per riconnettersi a un nuovo server in Administration Console (MMC)
- Aprire Kaspersky Security Center Administration Console.
- Nella struttura della console, selezionare Attività.
Viene aperto l'elenco delle attività.
- Fare clic su Nuova attività.
Verrà avviata la Creazione guidata attività. Attenersi alle istruzioni della procedura guidata.
Passaggio 1. Selezione del tipo di attività
Selezionare Kaspersky Endpoint Security for Windows (12.4) → Protezione della connessione ad Administration Server.
Passaggio 2. Protezione della connessione ad Administration Server
Impostare una password per proteggere la connessione al nuovo Administration Server:
- In Protezione della connessione ad Administration Server, selezionare Proteggi con una password.
- Nell'elenco a discesa Administration Server, selezionare Riconnetti da un altro server.
- Nel campo Password corrente, immettere la password impostata per la connessione al server attendibile utilizzato in precedenza.
- Nel campo Nuova password, impostare una password per la connessione al nuovo Administration Server e confermarla.
Se si dimentica la password, è possibile modificarla utilizzando un'attività.
Passaggio 3. Selezione dell'account per eseguire l'attività
Selezionare Account predefinito. Per impostazione predefinita, Kaspersky Endpoint Security avvia l'attività come account utente di sistema (SYSTEM).
Passaggio 4. Configurazione di una pianificazione di avvio dell'attività
In Avvio pianificato, selezionare Manualmente.
Passaggio 5. Definizione del nome dell'attività
Immettere un nome per l'attività, ad esempio Password di connessione al server principale.
Passaggio 6. Completamento della creazione dell'attività
Chiusura della procedura guidata. Selezionare la casella di controllo Esegui l'attività al termine della procedura guidata o eseguire l'attività manualmente. È possibile monitorare lo stato di avanzamento dell'attività nelle proprietà dell'attività.
Come impostare una nuova password per riconnettersi a un nuovo server in Web Console e Cloud Console
- Nella finestra principale di Web Console, selezionare Dispositivi → Attività.
Viene aperto l'elenco delle attività.
- Fare clic su Aggiungi.
Verrà avviata la Creazione guidata attività.
- Configurare le impostazioni dell'attività:
- Nell'elenco a discesa Applicazione, selezionare Kaspersky Endpoint Security for Windows (12.4).
- Nell'elenco a discesa Tipo di attività selezionare Protezione della connessione ad Administration Server.
- Nel campo Nome attività, immettere una breve descrizione, ad esempio Password di connessione al server principale.
- Nel blocco Selezionare i dispositivi a cui assegnare l'attività, selezionare l'ambito dell'attività.
- Selezionare i dispositivi in base all'opzione dell'ambito dell'attività selezionata. Procedere con il passaggio successivo.
- Selezionare un account utente predefinito. Per impostazione predefinita, Kaspersky Endpoint Security avvia l'attività come account utente di sistema (SYSTEM).
- Chiusura della procedura guidata.
Verrà visualizzata una nuova attività nell'elenco delle attività.
- Fare clic sull'attività Protezione della connessione ad Administration Server di Kaspersky Endpoint Security.
Verrà visualizzata la finestra delle proprietà dell'attività.
- Selezionare la scheda Impostazioni applicazione.
- In Protezione della connessione ad Administration Server, selezionare Proteggi con una password.
- Nell'elenco a discesa Connessione al'Administration Server, selezionare Riconnetti da un altro server.
- Nel server Password corrente, immettere la password impostata per la connessione al server attendibile utilizzato in precedenza.
- Nel campo Nuova password, impostare una password per la connessione al nuovo Administration Server e confermarla.
Se si dimentica la password, è possibile modificarla utilizzando un'attività.
- Salvare le modifiche.
- Selezionare la casella di controllo accanto all'attività.
- Fare clic sul pulsante Esegui.
È possibile monitorare lo stato dell'attività e il numero di dispositivi in cui l'attività è stata completata o è stata completata con un errore.
Dopo aver completato l'attività, assicurarsi che nella console del nuovo server [KSC2]
al computer sia associato lo stato OK . Verificare se è possibile eseguire attività da remoto e configurare l'applicazione utilizzando i criteri.
Reimpostazione della password di connessione di Administration Server
Se si dimentica la password di connessione di Administration Server o la password è compromessa, è possibile reimpostarla nelle proprietà dell'attività. È inoltre possibile reimpostare la password e impostarne una nuova per un gruppo di computer con stati di protezione della connessione di Administration Server diversi. In altre parole, se su alcuni computer la protezione è abilitata e su altri è disabilitata, l'attività imposta una password per tutti i computer.
È possibile reimpostare la password di connessione di Administration Server solo nella console del server a cui è connesso il computer.
Come reimpostare la password della connessione di Administration Server utilizzando Administration Console (MMC)
- Aprire Kaspersky Security Center Administration Console.
- Nella struttura della console, selezionare Attività.
- Selezionare l'attività Protezione della connessione ad Administration Server e fare doppio clic per aprire le proprietà dell'attività.
- Nella finestra delle proprietà dell'attività, selezionare la sezione Impostazioni.
- In Protezione della connessione ad Administration Server, selezionare Proteggi e cambia password.
- Nel campo Password per la connessione ad Administration Server, impostare una nuova password per la connessione al server attendibile corrente e confermarla.
- Salvare le modifiche.
- Eseguire l'attività.
Come reimpostare la password della connessione di Administration Server in Web Console e Cloud Console
- Nella finestra principale di Web Console, selezionare Dispositivi → Attività.
Viene aperto l'elenco delle attività.
- Fare clic sull'attività Protezione della connessione ad Administration Server di Kaspersky Endpoint Security.
Verrà visualizzata la finestra delle proprietà dell'attività.
- Selezionare la scheda Impostazioni applicazione.
- In Protezione della connessione ad Administration Server, selezionare Proteggi e cambia password.
- Nel campo Password, impostare una nuova password per la connessione al server attendibile corrente e confermarla.
- Salvare le modifiche.
- Selezionare la casella di controllo accanto all'attività.
- Fare clic sul pulsante Esegui.
Di conseguenza, la password di connessione di Administration Server viene reimpostata al termine dell'attività.
Disabilitazione della protezione della connessione ad Administration Server
È possibile disabilitare la protezione della connessione di Administration Server da remoto solo nella console del server a cui è connesso il computer. È inoltre possibile disabilitare la protezione in locale tramite la riga di comando.
Come disabilitare la protezione della connessione al server in Administration Console (MMC)
- Aprire Kaspersky Security Center Administration Console.
- Nella struttura della console, selezionare Attività.
- Selezionare l'attività Protezione della connessione ad Administration Server e fare doppio clic per aprire le proprietà dell'attività.
- Nella finestra delle proprietà dell'attività, selezionare la sezione Impostazioni.
- In Protezione della connessione ad Administration Server, selezionare Non proteggere.
- Salvare le modifiche.
- Eseguire l'attività.
È possibile monitorare lo stato dell'attività e il numero di dispositivi in cui l'attività è stata completata o è stata completata con un errore.
Come disabilitare la protezione della connessione al server in Web Console e Cloud Console
- Nella finestra principale di Web Console, selezionare Dispositivi → Attività.
Viene aperto l'elenco delle attività.
- Fare clic sull'attività Protezione della connessione ad Administration Server di Kaspersky Endpoint Security.
Verrà visualizzata la finestra delle proprietà dell'attività.
- Selezionare la scheda Impostazioni applicazione.
- In Protezione della connessione ad Administration Server, selezionare Non proteggere.
- Salvare le modifiche.
- Selezionare la casella di controllo accanto all'attività.
- Fare clic sul pulsante Esegui.
È possibile monitorare lo stato dell'attività e il numero di dispositivi in cui l'attività è stata completata o è stata completata con un errore.
Come disabilitare la protezione della connessione al server tramite la riga di comando
- Eseguire l'interprete della riga di comando (cmd.exe) come amministratore.
- Passare alla cartella in cui si trova il file eseguibile di Kaspersky Endpoint Security.
- Eseguire il seguente comando:
avp.com SERVERBINDINGDISABLE [/password=<password>]
dove <password>
è la password dell'account utente di KLAdmin o la password dall'attività Protezione della connessione ad Administration Server. Se il parametro non è specificato, Kaspersky Endpoint Security richiede di immettere una password nella riga successiva.
Per eseguire questo comando, Protezione tramite password deve essere abilitato.
Esempio:
avp.com SERVERBINDINGDISABLE /password=!Password1
|
Inizio pagina