Erzwungene Bereitstellung mithilfe der Aufgabe zur Remote-Installation der Apps von Kaspersky Security Center

Falls es erforderlich ist, die Bereitstellung der Administrationsagenten oder anderer erforderlicher Apps sofort, ohne Abwarten der nächsten Anmeldung der Geräte in der Domäne zu starten, oder wenn Geräte vorhanden sind, die nicht Mitglieder der Domäne Active Directory sind, kann eine zwangsweise (erzwungene) Installation der ausgewählten Installationspakete mithilfe der Aufgabe zur Remote-Installation der Apps von Kaspersky Security Center verwendet werden.

Bei der erstmaligen Bereitstellung wird der Administrationsagent nicht installiert. Aus diesem Grund ist die Option Verwendung des Administrationsagenten nicht anwendbar und Sie müssen zwischen den folgenden Optionen wählen:

• Unter Nutzung von Betriebssystemressourcen durch den Administrationsserver.
• Unter Nutzung von Betriebssystemressourcen durch Verteilungspunkte.

Der Dienst des Administrationsservers muss unter einem Benutzerkonto ausgeführt werden, das über Administratorrechte auf den Zielgeräten verfügt.

Alternativ können Sie in den Allgemeinen Einstellungen der Aufgabe zur Remote-Installation ein Benutzerkonto angeben, das Zugriff auf die Freigabe admin$ hat.

Beachten Sie, dass die Aufgabe zur Remote-Installation standardmäßig die Verbindung zu Geräten mit den Anmeldedaten des Benutzerkontos herstellt, unter dem der Administrationsserver ausgeführt wird. Es ist wichtig, klarzustellen, dass dies das Konto ist, das für den Zugriff auf die Freigabe admin$ verwendet wird, und nicht das Konto, unter dem die Aufgabe zur Remote-Installation ausgeführt wird. Die Installation wird unter dem Benutzerkonto LocalSystem ausgeführt.

Die Geräte können dabei offen (über eine Liste) entweder durch Auswahl der Administrationsgruppe Kaspersky Security Center, zu der sie gehören oder durch Erstellen einer Geräteauswahl nach einer bestimmten Bedingung angegeben werden. Der Startzeitpunkt der Installation wird durch den Zeitplan der Aufgabe bestimmt. Wenn in den Eigenschaften der Aufgabe die Einstellung Übersprungene Aufgaben starten aktiviert ist, kann die Aufgabe sofort bei der Aktivierung der Geräte oder bei ihrer Übertragung in die Ziel-Administrationsgruppe ausgeführt werden. Weitere Informationen zu den Einstellungen der Aufgabe zur Remote-Installation finden Sie in Schritt 5 des Assistenten für die Bereitstellung des Schutzes .

Diese Installationsmethode wird mittels Kopieren der Dateien auf die Administratorressource (admin$) der jeweiligen Geräte und der Remote-Anmeldung der Hilfsdienste auf ihnen ausgeführt. Dabei müssen die folgenden Bedingungen erfüllt werden:

• Die Zielgeräte können sowohl vom Administrationsserver als auch von Verteilungspunkten erreicht werden.
• Die Namensauflösung für die Zielgeräte funktioniert im Netzwerk fehlerfrei.
• Die freigegebenen Administratorressourcen (admin$) verbleiben auf den Zielgeräten aktiviert.
• Die folgenden Systemdienste werden auf Zielgeräten ausgeführt:
  • Server (LanmanServer).

    Dieser Dienst wird standardmäßig ausgeführt.

  • Starter für den DCOM-Serverprozess (DcomLaunch).
  • RPC-Endpunkt-Mapper (RpcEptMapper).
  • Remoteprozeduraufruf (RpcSs).
• Port TCP 445 ist auf den Zielgeräten geöffnet, um den Remote-Zugriff über Windows-Tools zu ermöglichen.

  TCP 139, UDP 137 und UDP 138 werden von älteren Protokollen verwendet und sind für aktuelle Anwendungen nicht mehr erforderlich.

  Für Verbindungen vom Administrationsserver und von Verteilungspunkten zu Zielgeräten muss in der Firewall dynamische Zugriffsports für ausgehende Daten erlaubt sein.

• Die Sicherheitseinstellungen der Active Directory-Domänenrichtlinie können den Betrieb des NTLM-Protokolls gewährleisten während der Bereitstellung des Administrationsagenten.
• Auf Zielgeräten mit Microsoft Windows XP ist die einfache Dateifreigabe deaktiviert.
• Auf den Zielgeräten befindet sich das "Modell für gemeinsame Nutzung und Sicherheitsmodell für lokale Konten" im Status Klassisch – Lokale Benutzer authentifizieren sich als sich selbst und keinesfalls im Status Nur Gast – Lokale Benutzer authentifizieren sich als Gast.
• Die Geräte sind Mitglieder der Domäne oder auf den Geräten wurden bereits einheitliche Benutzerkonten mit Administratorrechten erstellt.

Geräte, die sich in den Arbeitsgruppen befinden, können bei Erfüllung der obigen Anforderungen mithilfe des Tools riprep.exe angegeben werden, das auf der Website des Technischen Supports von Kaspersky beschrieben ist. Beachten Sie jedoch, dass das Dienstprogramm riprep.exe nicht für die Verwendung unter Windows-Versionen höher als Windows XP und Windows Server 2003 R2 empfohlen wird.

Für die erfolgreiche Bereitstellung des Administrationsagenten oder einer andere Anwendungen auf einem Gerät, das keiner Active Directory-Domäne von Windows Server 2003 oder höher gehört, müssen Sie die UAC auf diesem Gerät deaktivieren. Unter anderem aufgrund der UAC ist es lokalen Administratorkonten nicht möglich, auf admin$ zuzugreifen. Dieser Zugriff ist aber für die erzwungene Bereitstellung des Administrationsagenten oder anderer Anwendungen erforderlich. Das Deaktivieren der Remote-UAC hat keine Auswirkungen auf die lokale UAC.

Bei der Installation auf neuen Geräten, die noch nicht in die Administrationsgruppen von Kaspersky Security Center verschoben wurden, kann in den Eigenschaften der Aufgabe zur Remote-Installation die Administrationsgruppe festgelegt werden, in welche die Geräte verschoben werden, nachdem die Installation des Administrationsagenten auf ihnen abgeschlossen wurde.

Beim Erstellen der Gruppenaufgabe muss berücksichtigt werden, dass die Gruppenaufgabe für die Geräte aller angelegten Untergruppen der ausgewählten Gruppe gilt. Deshalb sollten doppelte Installationsaufgaben in den Untergruppen vermieden werden.

Es besteht die Möglichkeit, eine vereinfachte Methode zum Erstellen der Aufgaben zur erzwungenen Installation der Apps zu verwenden, nämlich die automatische Installation. Dazu müssen in den Eigenschaften der Administrationsgruppe in der Liste der Installationspakete jene Pakete ausgewählt werden, die auf den Geräten dieser Gruppe installiert werden sollen. Daraufhin werden auf allen Geräten dieser Gruppe und ihrer Untergruppen die ausgewählten Installationspakete automatisch installiert. Der Zeitraum, während dem die Pakete installiert werden, hängt von der Netzwerkfähigkeit und der Gesamtmenge der Geräte im Netzwerk ab.

Die erzwungene Installation kann auch verwendet werden, falls die Geräte nicht unmittelbar für den Administrationsserver verfügbar sind: wenn sich die Geräte beispielsweise in isolierten Netzwerken befinden oder wenn sich die Geräte im lokalen Netzwerk befinden und der Administrationsserver in der demilitarisierten Zone befindet.

Um die Belastung des Administrationsservers während der Übertragung der Installationspaketen an die Zielgeräte zu reduzieren, können Sie in der Installationsaufgabe die Installationsmethode über Verteilungspunkte auswählen. Beachten Sie dabei, dass diese Installationsmethode eine höhere Belastung für jene Geräte bedeutet, die als Verteilungspunkte agieren. Es wird daher empfohlen, Geräte auszuwählen, die den Voraussetzungen für Verteilungspunkte gerecht werden. Stellen Sie bei der Verwendung von Verteilungspunkte sicher, dass diese sich in all jenen isolierten Subnetzen befinden, in denen Zielgeräte gehostet werden.

Die Nutzung der Verteilungspunkte als lokale Installationszentren kann auch für die Installation auf Geräten in Subnetzen bequem sein, die mit dem Administrationsserver über einen engen Verbindungskanal verbunden sind, während zwischen den Geräten innerhalb des Subnetzes ein breiter Verbindungskanal verfügbar ist.

Die Größe des freien Speicherplatzes auf der Partition, in der sich der Ordner %ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit befindet, muss den Gesamtumfang der Programmpakete der zu installierenden Anwendungen um ein Vielfaches übertreffen.

Nach oben