Scenario di installazione principale

In base a questo scenario è possibile distribuire Administration Server, nonché installare Network Agent e le applicazioni di protezione nei dispositivi della rete. È possibile utilizzare questo scenario sia per un approfondimento sull'applicazione sia per l'installazione dell'applicazione per un ulteriore utilizzo.

L'installazione di Kaspersky Security Center consistono nei seguenti passaggi:

  1. Operazioni preliminari
  2. Installazione di Kaspersky Security Center e di un'applicazione di protezione Kaspersky nel dispositivo di Administration Server
  3. Distribuzione centralizzata delle applicazioni di protezione Kaspersky nei dispositivi client

La distribuzione di Kaspersky Security Center negli ambienti cloud e la distribuzione di Kaspersky Security Center per i provider di servizi sono descritte in altre sezioni della Guida.

È consigliabile assegnare almeno un'ora per l'installazione di Administration Server e un minimo di un giorno lavorativo per il completamento dello scenario. È inoltre consigliabile installare un'applicazione di protezione, ad esempio Kaspersky Security for Windows Server o Kaspersky Endpoint Security, nel computer che opererà come Kaspersky Security Center Administration Server.

Al completamento dello scenario, la protezione verrà distribuita nella rete dell'organizzazione nel seguente modo:

L'installazione di Kaspersky Security Center comprende le seguenti fasi:

Operazioni preliminari

  1. Acquisizione dei file necessari

    Assicurarsi di disporre di una chiave di licenza (codice di attivazione) per Kaspersky Security Center o di chiavi di licenza (codici di attivazione) per le applicazioni di protezione Kaspersky.

    Decomprimere l'archivio ricevuto dal produttore. Questo archivio contiene le chiavi di licenza (file chiave), i codici di attivazione e l'elenco delle applicazioni Kaspersky che possono essere attivate da ciascuna chiave di licenza.

    Se si desidera provare prima Kaspersky Security Center è possibile ottenere una prova gratuita di 30 giorni nel sito Web di Kaspersky.

    Per informazioni dettagliate sulle licenze delle applicazioni di protezione Kaspersky che non sono incluse in Kaspersky Security Center, fare riferimento alla documentazione di tali applicazioni.

  2. Selezione di una struttura per la protezione di un'organizzazione

    Ulteriori informazioni sui componenti di Kaspersky Security Center. Selezionare la struttura di protezione e la configurazione di rete più adatte all'organizzazione. In base alla configurazione di rete e al throughput dei canali di comunicazione, definire il numero di Administration Server da utilizzare e come devono essere distribuiti tra le varie sedi (se si esegue una rete distribuita).

    Per ottenere e mantenere prestazioni ottimali in diverse condizioni operative, tenere conto del numero di dispositivi in rete, della topologia della rete e del set di funzionalità di Kaspersky Security Center richiesto (per informazioni dettagliate, consultare la Sizing Guide di Kaspersky Security Center).

    Definire se utilizzare o meno una gerarchia di Administration Server nell'organizzazione. A tale scopo, è necessario valutare se è possibile e conveniente coprire tutti i dispositivi client con un singolo Administration Server o se è necessario creare una gerarchia di Administration Server. Può inoltre essere necessario creare una gerarchia di Administration Server che corrisponda perfettamente alla struttura organizzativa dell'organizzazione per cui si desidera proteggere la rete.

    Se è necessario garantire la protezione dei dispositivi mobili, eseguire tutte le azioni preliminari necessarie per la configurazione di un server per dispositivi mobili Exchange e di un server per dispositivi mobili MDM iOS.

    Verificare che i dispositivi selezionati come Administration server, nonché quelli per l'installazione di Administration Console, soddisfino tutti i requisiti hardware e software.

  3. Preparazione per l'utilizzo dei certificati personalizzati

    Se l'infrastruttura a chiave pubblica (PKI) dell'organizzazione richiede l'utilizzo di certificati personalizzati emessi da un'autorità di certificazione specifica, preparare tali certificati e assicurarsi che soddisfino tutti i requisiti.

  4. Preparazione per la gestione delle licenze di Kaspersky Security Center

    Se si prevede di utilizzare una versione di Kaspersky Security Center con il supporto per Mobile Device Management, Integrazione con i sistemi SIEM e/o Vulnerability e patch management, assicurarsi di disporre di un file chiave o di un codice di attivazione per la gestione delle licenze dell'applicazione.

  5. Preparazione per la gestione delle licenze delle applicazioni di protezione gestite

    Durante la distribuzione della protezione è necessario fornire a Kaspersky le chiavi di licenza attive per le applicazioni da gestire tramite Kaspersky Security Center (visualizzare l'elenco delle applicazioni di protezione gestibili). Per informazioni dettagliate sulla gestione delle licenze di una qualsiasi applicazione di protezione, è possibile fare riferimento alla documentazione di questa applicazione.

  6. Selezione della configurazione hardware dell'Administration Server e del DBMS

    Pianificare la configurazione hardware per il DBMS e Administration Server, tenendo conto del numero di dispositivi della rete.

  7. Selezione di un DBMS

    Durante la selezione di un DBMS, tenere conto del numero di dispositivi gestiti da coprire con questo Administration Server. Se la rete include meno di 10.000 dispositivi e non si prevede di incrementare questo numero, è possibile scegliere un DBMS gratuito, come SQL Express o MySQL, e installarlo nello stesso dispositivo di Administration Server. In alternativa, è possibile scegliere il DBMS MariaDB che consente di gestire fino a 20.000 dispositivi. Se la rete include più di 10.000 dispositivi (o se si prevede di espandere la rete fino a oltrepassare questo numero di dispositivi), è consigliabile scegliere un DBMS SQL a pagamento e installarlo in un dispositivo dedicato. Un DBMS a pagamento può essere utilizzato con più Administration Server, mentre un DBMS gratuito può supportarne uno solo.

    Se si seleziona SQL Server DBMS, tenere presente che è possibile migrare i dati archiviati nel database nel DBMS di MySQL, MariaDB o Azure SQL. Per eseguire la migrazione, eseguire il backup dei dati e ripristinarli nel nuovo DBMS.

  8. Installazione del DBMS e creazione del database

    È possibile ottenere ulteriori informazioni sugli account per l'utilizzo con il DBMS e installare il DBMS.

    Prima dell'installazione, scegliere un DBMS supportato. È possibile selezionare, ad esempio, PostgreSQL, Postgres Pro, Microsoft SQL Server, MySQL o MariaDB.

    Per informazioni su come installare il DBMS selezionato, consultare la relativa documentazione.

    Se si decide di installare il DBMS di PostgreSQL o Postgres Pro, assicurarsi di aver specificato una password per il l'utente con privilegi avanzati. Se la password non viene specificata, Administration Server potrebbe non essere in grado di connettersi al database.

    Se si installa MariaDB, MySQL, PostgreSQL o PostgresPro, utilizzare le impostazioni consigliate per garantire il corretto funzionamento del DBMS.

    Annotare e salvare le impostazioni del DBMS poiché saranno necessarie durante l'installazione di Administration Server. Queste impostazioni includono il nome SQL Server, il numero della porta utilizzata per la connessione a SQL Server, il nome dell'account e la password per l'accesso a SQL Server.

    Per impostazione predefinita, il programma di installazione di Kaspersky Security Center crea il database per l'archiviazione delle informazioni di Administration Server, ma è possibile scegliere di non creare il database e utilizzare un database diverso. In questo caso verificare che il database sia stato creato, di conoscere il relativo nome e che l'account con cui Administration Server otterrà l'accesso a questo database disponga del ruolo db_owner attinente.

    Se necessario, contattare l'amministratore del DBMS per ulteriori informazioni.

  9. Configurazione delle porte

    Verificare che tutte le porte necessarie siano aperte per l'interazione tra i componenti in base della struttura di protezione selezionata.

    Se è necessario concedere ad Administration Server l'accesso a Internet, configurare le porte e specificare le impostazioni di connessione, a seconda della configurazione di rete.

  10. Controllo degli account

    Verificare di disporre di tutti i diritti di amministratore locale richiesti per l'installazione di Kaspersky Security Center Administration Server e per la conseguente distribuzione della protezione nei dispositivi. I diritti di amministratore locale nei dispositivi client sono richiesti per l'installazione di Network Agent in tali dispositivi. Dopo l'installazione di Network Agent, è possibile utilizzarlo per installare le applicazioni nei dispositivi in remoto, senza utilizzare l'account con i diritti di amministratore del dispositivo.

    Per impostazione predefinita, nel dispositivo selezionato per l'installazione di Administration Server, il programma di installazione di Kaspersky Security Center crea tre account locali con cui verranno eseguiti Administration Server e i servizi di Administration Server:

    • KL-AK-*: account del servizio di Administration Server
    • NT Service/KSC*: account per altri servizi del pool di Administration Server
    • KlPxeUser: account per la distribuzione dei sistemi operativi

    È possibile scegliere di non creare account per i servizi di Administration Server e altri servizi. È possibile utilizzare gli account esistenti, ad esempio account di dominio, se si intende installare Administration Server in un cluster di failover o se per qualche motivo si intende utilizzare gli account di dominio anziché gli account locali. In questo caso, assicurarsi che gli account destinati all'esecuzione di Administration Server e dei servizi di Kaspersky Security Center siano stati creati, siano privi di privilegi e dispongano di tutte le autorizzazioni necessarie per l'accesso al DBMS. Se si pianifica una distribuzione successiva dei sistemi operativi nei dispositivi tramite Kaspersky Security Center, non rinunciare alla creazione degli account.

Installazione di Kaspersky Security Center e di un'applicazione di protezione Kaspersky nel dispositivo di Administration Server

  1. Installazione di Administration Server, Administration Console, Kaspersky Security Center Web Console e plug-in di gestione per le applicazioni di protezione

    Scaricare Kaspersky Security Center dal sito Web Kaspersky. È possibile scaricare il pacchetto completo, solo Web Console o solo Administration Console.

    Installare Administration Server nel dispositivo selezionato (o più dispositivi se è necessario utilizzare più Administration Server). È possibile selezionare l'installazione standard o personalizzata di Administration Server. Administration Console verrà installato insieme ad Administration Server. È consigliabile installare Administration Server in un server dedicato anziché in un controller di dominio.

    L'installazione standard è consigliabile se si desidera provare a utilizzare Kaspersky Security Center, ad esempio verificandone il funzionamento in un'area delimitata all'interno della rete. Durante l'installazione standard, è possibile esclusivamente configurare il database. È inoltre possibile installare solo il set predefinito di plug-in di gestione delle applicazioni Kaspersky. È inoltre possibile utilizzare l'installazione standard se si dispone già di una certa esperienza nell'utilizzo di Kaspersky Security Center in modo da poter specificare tutte le impostazioni pertinenti dopo l'installazione standard.

    L'installazione personalizzata è consigliabile se si intende modificare le impostazioni di Kaspersky Security Center, ad esempio il percorso della cartella condivisa, gli account e le porte per la connessione ad Administration Server, nonché le impostazioni del database. L'installazione personalizzata consente di specificare quali plug-in di gestione di Kaspersky installare. Se necessario, è possibile avviare l'installazione personalizzata in modalità automatica.

    Administration Console e la versione del server di Network Agent vengono installate insieme ad Administration Server. È anche possibile scegliere di installare Kaspersky Security Center Web Console durante l'installazione.

    Se si desidera, è possibile installare Administration Console e/o Kaspersky Security Center Web Console nella workstation dell'amministratore separatamente per gestire Administration Server dalla rete.

  2. Configurazione iniziale e licensing

    Quando l'installazione di Administration Server è completa, alla prima connessione ad Administration Server viene avviato automaticamente l'Avvio rapido guidato. Eseguire la configurazione iniziale di Administration Server in base ai requisiti esistenti. Durante la fase di configurazione iniziale, la procedura guidata utilizza le impostazioni predefinite per creare i criteri e le attività necessari per la distribuzione della protezione. Le impostazioni predefinite potrebbero tuttavia non essere ottimali per le esigenze dell'organizzazione. Se necessario, è possibile modificare le impostazioni di criteri e attività (Scenario: configurazione della protezione di rete, Configurazione della protezione nella rete di un'organizzazione client).

    Se si prevede di utilizzare funzionalità esterne alla funzionalità di base, concedere la licenza all'applicazione. È possibile eseguire questa operazione in uno dei passaggi dell'Avvio rapido guidato.

  3. Controllo della corretta installazione di Administration Server

    Quando tutti i passaggi precedenti sono completi, Administration Server viene installato ed è pronto all'uso.

    Accertarsi che Administration Console funzioni e che sia possibile connettersi ad Administration Server tramite Administration Console. Verificare inoltre che in Administration Server sia disponibile l'attività Scarica gli aggiornamenti nell'archivio dell'Administration Server (nella cartella Attività della struttura della console), nonché il criterio per Kaspersky Endpoint Security (nella cartella Criteri della struttura della console).

    Dopo aver completato la verifica, procedere come segue.

Distribuzione centralizzata delle applicazioni di protezione Kaspersky nei dispositivi client

  1. Individuazione dei dispositivi nella rete

    Questo passaggio fa parte dell'Avvio rapido guidato. È inoltre possibile avviare manualmente la device discovery. Kaspersky Security Center riceve gli indirizzi e i nomi di tutti i dispositivi rilevati nella rete. È quindi possibile utilizzare Kaspersky Security Center per installare le applicazioni Kaspersky e software di altri produttori nei dispositivi rilevati. Kaspersky Security Center avvia periodicamente l'individuazione dispositivi, pertanto eventuali nuove istanze che compaiono nella rete verranno rilevate automaticamente.

  2. Installazione di Network Agent e di applicazioni di protezione nei dispositivi in rete

    La distribuzione della protezione (Scenario: Configurazione della protezione di rete, Configurazione della protezione nella rete di un'organizzazione client) della rete di un'organizzazione implica l'installazione di Network Agent e delle applicazioni di protezione (ad esempio Kaspersky Endpoint Security) nei dispositivi rilevati da Administration Server durante l'individuazione dispositivi.

    Le applicazioni di protezione proteggono i dispositivi da virus e/o da altri programmi che costituiscono una minaccia. Network Agent garantisce la comunicazione tra il dispositivo e Administration Server. Le impostazioni di Network Agent vengono configurate automaticamente per impostazione predefinita.

    È possibile installare Network Agent in modalità automatica con un file di risposta o senza un file di risposta.

    Prima di iniziare a installare Network Agent e le applicazioni di protezione nei dispositivi nella rete, verificare che questi dispositivi siano accessibili (e quindi attivati). È possibile installare Network Agent in macchine virtuali e in dispositivi fisici.

    Le applicazioni di protezione e Network Agent possono essere installati in locale o in remoto.

    Installazione remota: utilizzando la Distribuzione guidata della protezione, è possibile installare in remoto l'applicazione di protezione (ad esempio Kaspersky Endpoint Security for Windows) e Network Agent nei dispositivi rilevati da Administration Server nella rete dell'organizzazione. In genere, l'attività Installazione remota distribuisce correttamente la protezione nella maggior parte dei dispositivi in rete. Tuttavia, l'attività può restituire un errore in alcuni dispositivi se, ad esempio, un dispositivo è spento o non è accessibile per qualche motivo. In tal caso, è consigliabile connettersi al dispositivo manualmente e utilizzare l'installazione locale.

    L'installazione locale—Viene utilizzata nei dispositivi di rete in cui non è stato possibile distribuire la protezione tramite un'attività di installazione remota. Per installare la protezione in tali dispositivi, creare un pacchetto di installazione indipendente da eseguire localmente in tali dispositivi.

    L'installazione di Network Agent nei dispositivi che eseguono sistemi operativi Linux e macOS è descritta nella documentazione per Kaspersky Endpoint Security for Linux e Kaspersky Endpoint Security for Mac, rispettivamente. Sebbene i dispositivi con sistemi operativi Linux e macOS siano considerati meno vulnerabili rispetto ai dispositivi che eseguono Windows, è comunque consigliabile installare applicazioni di protezione in tali dispositivi.

    Dopo l'installazione, accertarsi che l'applicazione di protezione sia installata nei dispositivi gestiti. Eseguire un rapporto sulla versione del software Kaspersky e visualizzarne i risultati.

  3. Distribuzione delle chiavi di licenza ai dispositivi client

    Distribuire le chiavi di licenza ai dispositivi client per attivare applicazioni di protezione gestite in tali dispositivi.

  4. Configurazione della protezione dei dispositivi mobili

    Questo passaggio fa parte dell'Avvio rapido guidato.

    Se si desidera gestire i dispositivi mobili aziendali, eseguire i passaggi necessari per la preparazione e la distribuzione di Mobile Device Management.

  5. Creazione di una struttura di gruppi di amministrazione

    In alcuni casi, la distribuzione della protezione nei dispositivi della rete nel modo più immediato può richiedere la suddivisione dell'intero pool di dispositivi in gruppi di amministrazione, tenendo conto della struttura dell'organizzazione. È possibile creare regole di spostamento al fine di distribuire i dispositivi tra i gruppi oppure distribuire manualmente i dispositivi. È possibile assegnare attività di gruppo per i gruppi di amministrazione, definire l'ambito dei criteri e assegnare i punti di distribuzione.

    Verificare che tutti i dispositivi gestiti siano stati assegnati correttamente ai gruppi di amministrazione appropriati e che non siano più presenti dispositivi non assegnati nella rete.

  6. Assegnazione dei punti di distribuzione

    Kaspersky Security Center assegna automaticamente i punti di distribuzione ai gruppi di amministrazione ma è possibile assegnarli manualmente, se necessario. È consigliabile utilizzare i punti di distribuzione nelle reti su vasta scala per ridurre il carico su Administration Server e nelle reti con una struttura distribuita per consentire ad Administration Server di accedere ai dispositivi (o ai gruppi di dispositivi) tramite canali a basso throughput. È possibile utilizzare dispositivi che eseguono Linux come punti di distribuzione, nonché dispositivi che eseguono Windows.

Vedere anche:

Concetti di base

Porte utilizzate da Kaspersky Security Center

Schemi per traffico dati e utilizzo delle porte

Interazione dei componenti di Kaspersky Security Center e delle applicazioni di protezione: ulteriori informazioni

Architettura

Scenario: Distribuzione per l'ambiente cloud

Concessione dell'accesso via Internet all'Administration Server

Diritti richiesti per la distribuzione di un server per dispositivi mobili Exchange

Come distribuire un server per dispositivi mobili Exchange

Account per il servizio Exchange ActiveSync

Server per dispositivi mobili MDM iOS

Scenario: monitoraggio e generazione di rapporti

Scenario: Configurazione della protezione di rete

Stabilire una connessione in background

Inizio pagina