Erzwungene Bereitstellung mithilfe der Aufgabe zur Remote-Installation der Apps von Kaspersky Security Center

Um die erstmalige Bereitstellung des Administrationsagenten oder von anderen Anwendungen durchzuführen, können Sie die Installation der ausgewählten Installationspakete mithilfe der Aufgabe zur Remote-Installation von Kaspersky Security Center erzwingen. Voraussetzung dafür ist jedoch, das jedes Gerät über mindestens ein Benutzerkonto mit lokalen Administratorrechten verfügt.

Die erzwungene Installation kann auch verwendet werden, falls die Geräte nicht unmittelbar für den Administrationsserver verfügbar sind: wenn sich die Geräte beispielsweise in isolierten Netzwerken befinden oder wenn sich die Geräte im lokalen Netzwerk befinden und der Administrationsserver in der demilitarisierten Zone befindet.

Im Falle einer erstmaligen Bereitstellung ist noch kein Administrationsagent installiert. Daher können Sie in den Einstellungen der Aufgabe zur Remote-Installation nicht die Option auswählen, die zur Installation der Anwendung benötigten Dateien mithilfe des Administrationsagent zu verteilen. Sie können die Dateien lediglich unter Verwendung der Betriebssystemressourcen durch den Administrationsserver und die Verteilungspunkte verteilen.

Auf den Zielgeräten muss der Dienst des Administrationsservers unter einem Benutzerkonto mit Administratorrechten ausgeführt werden. Alternativ können Sie in den Einstellungen der Aufgabe zur Remote-Installation ein Benutzerkonto angeben, das Zugriff auf die Freigabe "admin$" hat.

Standardmäßig verwendet die Aufgabe zur Remote-Installation zur Verbindungsherstellung mit den Geräten die Anmeldedaten des Benutzerkontos, unter dem der Administrationsserver ausgeführt wird. Es ist wichtig, zu beachten, dass es sich dabei um das Konto mit dem Zugriff auf die Freigabe "admin$" handelt, und nicht um das Konto, unter dem die Aufgabe zur Remote-Installation ausgeführt wird. Die Installation wird unter dem Benutzerkonto "LocalSystem" ausgeführt.

Angeben können Sie die Geräte entweder explizit (mittels Liste), indem Sie die Administrationsgruppe von Kaspersky Security Center auswählen, in der die Geräte enthalten sind, oder durch das Erstellen einer Geräteauswahl nach bestimmten Bedingungen. Der Startzeitpunkt der Installation wird durch den Zeitplan der Aufgabe bestimmt. Wenn in den Eigenschaften der Aufgabe die Einstellung Übersprungene Aufgaben starten aktiviert ist, kann die Aufgabe sofort bei der Aktivierung der Geräte oder bei ihrer Übertragung in die Ziel-Administrationsgruppe ausgeführt werden.

Die erzwungene Installation erfolgt mittels Übertragung der Installationspakete an die Zielgeräte, dem anschließenden Kopieren der Dateien in die admin$-Ressource der jeweiligen Geräte und der Remote-Anmeldung der Hilfsdienste auf diesen Geräten. Die Übertragung der Installationspakete an die Zielgeräte wird mithilfe der für die Netzwerkinteraktion verantwortlichen Funktion von Kaspersky Security Center ausgeführt. Dabei müssen die folgenden Bedingungen erfüllt werden:

• Die Zielgeräte können sowohl vom Administrationsserver als auch von den Verteilungspunkten erreicht werden.
• Die Namensauflösung für die Zielgeräte funktioniert im Netzwerk fehlerfrei.
• Die freigegebenen Administratorressourcen (admin$) verbleiben auf den Zielgeräten aktiviert.
• Die folgenden Systemdienste werden auf Zielgeräten ausgeführt:
  • Server (LanmanServer)

    Dieser Dienst wird standardmäßig ausgeführt.

  • DCOM Server Process Launcher (DcomLaunch)
  • RPC Endpoint Mapper (RpcEptMapper)
  • Remote Procedure Call (RpcSs)
• Der TCP-Port 445 ist auf den Zielgeräten geöffnet, um Remote-Zugriff mittels Windows-Tools zu ermöglichen.

  TCP 139, UDP 137 und UDP 138 werden von älteren Protokollen verwendet und sind für aktuelle Anwendungen nicht mehr erforderlich.

  Um den Administrationsserver und die Verteilungspunkte mit den Zielgeräten zu verbinden, müssen in der Firewall dynamische Zugriffsports für ausgehende Daten erlaubt sein.

• Die Sicherheitseinstellungen der Active Directory-Domänenrichtlinie erlauben die Verwendung des NTLM-Protokolls während der Bereitstellung des Administrationsagenten.
• Auf Zielgeräten mit Microsoft Windows XP ist die einfache Dateifreigabe deaktiviert.
• Auf den Zielgeräten ist das Zugriffs- und Sicherheitsmodell auf den Wert Klassisch – lokale Benutzer authentifizieren sich selbst eingestellt. Der Wert Nur Gäste – lokale Benutzer authentifizieren sich als Gast ist nicht zulässig.
• Die Geräte sind Mitglieder der Domäne oder auf den Geräten wurden bereits einheitliche Benutzerkonten mit Administratorrechten erstellt.

Für die erfolgreiche Bereitstellung des Administrationsagenten oder einer anderen Anwendungen auf einem Gerät, das keiner Active Directory-Domäne von Windows Server 2003 oder höher gehört, müssen Sie die Remote-UAC auf diesem Gerät deaktivieren. Unter anderem aufgrund von Remote-UAC ist es lokalen Administratorkonten nicht möglich, auf admin$ zuzugreifen. Für die erzwungene Bereitstellung des Administrationsagenten oder anderer Anwendungen ist dieser Zugriff ist jedoch erforderlich. Das Deaktivieren von Remote-UAC hat keine Auswirkungen auf die lokale UAC.

Bei der Installation auf neuen Geräten, die noch nicht in die Administrationsgruppen von Kaspersky Security Center verschoben wurden, kann in den Eigenschaften der Aufgabe zur Remote-Installation die Administrationsgruppe festgelegt werden, in welche die Geräte verschoben werden, nachdem die Installation des Administrationsagenten auf ihnen abgeschlossen wurde.

Beim Erstellen der Gruppenaufgabe muss berücksichtigt werden, dass die Gruppenaufgabe für die Geräte aller angelegten Untergruppen der ausgewählten Gruppe gilt. Deshalb sollten doppelte Installationsaufgaben in den Untergruppen vermieden werden.

Eine vereinfachte Methode zur Erstellung von Aufgaben für eine erzwungene Installation von Anwendungen ist die automatische Installation. Dazu müssen Sie in den Eigenschaften der Administrationsgruppe in der Liste der Installationspakete jene Pakete auswählen, die auf den Geräten dieser Gruppe installiert werden sollen. Daraufhin werden auf allen Geräten dieser Gruppe und ihrer Untergruppen die ausgewählten Installationspakete automatisch installiert. Der Zeitraum, während dem die Pakete installiert werden, hängt von der Netzwerkfähigkeit und der Gesamtmenge der Geräte im Netzwerk ab.

Um die Belastung des Administrationsservers während der Übertragung der Installationspaketen an die Zielgeräte zu reduzieren, können Sie in der Installationsaufgabe die Installationsmethode über Verteilungspunkte auswählen. Beachten Sie dabei, dass diese Installationsmethode eine höhere Belastung für jene Geräte bedeutet, die als Verteilungspunkte agieren. Es wird daher empfohlen, Geräte auszuwählen, die den Voraussetzungen für Verteilungspunkte entsprechen. Sie müssen bei der Verwendung von Verteilungspunkten sicherstellen, dass diese sich in all jenen isolierten Subnetzen befinden, in denen Zielgeräte gehostet werden.

Die Nutzung der Verteilungspunkte als lokale Installationszentren kann auch für die Installation auf Geräten in Subnetzen bequem sein, die mit dem Administrationsserver über einen engen Verbindungskanal verbunden sind, während zwischen den Geräten innerhalb des Subnetzes ein breiter Verbindungskanal verfügbar ist.

Die Größe des freien Speicherplatzes auf der Partition, in der sich der Ordner %ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit befindet, muss den Gesamtumfang der Programmpakete der zu installierenden Anwendungen um ein Vielfaches übertreffen.

Nach oben