O Kaspersky Security Center permite que você atribua dispositivos manualmente para agirem como pontos de distribuição.
Recomendamos que você atribua pontos de distribuição automaticamente. Neste caso, o Kaspersky Security Center selecionará por si só quais dispositivos devem ser pontos de distribuição atribuídos. No entanto, se você tiver de optar por não atribuir pontos de distribuição automaticamente por algum motivo (por exemplo, se você quiser usar servidores exclusivamente atribuídos), poderá atribuir manualmente os pontos de distribuição após calcular seu número e configuração.
Os dispositivos que funcionam como pontos de distribuição devem ser protegidos contra violação da integridade física e de qualquer acesso não autorizado.
Para atribuir manualmente os dispositivos para agir como ponto de distribuição:
No menu principal, clique no ícone de configurações () ao lado do nome do Servidor de Administração necessário.
A janela Propriedades do Servidor de Administração é aberta.
Na guia Geral, selecione a seção Pontos de distribuição.
Selecione a opção Atribuir manualmente os pontos de distribuição.
Clique no botão Atribuir.
Selecione o dispositivo que você quer atribuir como ponto de distribuição.
Ao selecionar um dispositivo, tenha em mente os recursos da operação de pontos de distribuição e os requisitos definidos para o dispositivo que age como ponto de distribuição.
Selecione o grupo de administração que você quer incluir no escopo do ponto de distribuição selecionado.
Clique no botão OK.
O pontos de distribuição que você adicionou será exibido na lista de pontos de distribuição na seção Pontos de distribuição.
Clique no ponto de distribuição recém-adicionado na lista para abrir sua janela de propriedades.
Configure o ponto de distribuição na janela de propriedades:
A seção Geral contém a configuração de interação entre o ponto de distribuição e os dispositivos clientes:
Se esta opção estiver ativada, o IP multicasting será usado para distribuição automática de pacotes de instalação para dispositivos cliente dentro do grupo.
O multicast de IP diminui o tempo necessário para instalar um aplicativo de um pacote de instalação em um grupo de dispositivos cliente, mas aumenta o tempo de instalação quando você instala um aplicativo em um único dispositivo cliente.
Por padrão, o número de porta é 15001. Se o dispositivo com o Servidor de Administração instalado for especificado como o ponto de distribuição, por padrão a porta 13001 é usada para conexão SSL.
As atualizações são distribuídas para dispositivos gerenciados a partir das seguintes fontes:
Este ponto de distribuição, caso esta opção esteja ativada.
Outros pontos de distribuição, o Servidor de Administração ou os servidores de atualização da Kaspersky, caso esta opção esteja desativada.
Caso utilize os pontos de distribuição para implantar atualizações, será possível economizar tráfego, pois o número de downloads será reduzido. Além disso, é possível aliviar a carga no Servidor de Administração e realocar a carga entre os pontos de distribuição. É possível calcular o número de pontos de distribuição para a rede e otimizar o tráfego e a carga.
Caso essa opção seja desativada, o número de downloads de atualização e a carga no Servidor de Administração podem aumentar. Por padrão, esta opção está ativada.
Os pacotes de instalação são distribuídos para dispositivos gerenciados a partir das seguintes fontes:
Este ponto de distribuição, caso esta opção esteja ativada.
Outros pontos de distribuição, o Servidor de Administração ou os servidores de atualização da Kaspersky, caso esta opção esteja desativada.
Se você usar pontos de distribuição para implementar pacotes de instalação, poderá economizar tráfego porque reduz o número de downloads. Além disso, é possível aliviar a carga no Servidor de Administração e realocar a carga entre os pontos de distribuição. É possível calcular o número de pontos de distribuição para a rede e otimizar o tráfego e a carga.
Caso essa opção seja desativada, o número de downloads de pacotes de instalação e a carga no Servidor de Administração podem aumentar. Por padrão, esta opção está ativada.
No Kaspersky Security Center, um ponto de distribuição pode funcionar como um servidor push para os dispositivos gerenciados por meio do protocolo móvel e para os dispositivos gerenciados pelo Agente de Rede. Por exemplo, um servidor push deve ser ativado se você quiser forçar a sincronização dos dispositivos KasperskyOS com o Servidor de Administração. Um servidor push tem o mesmo escopo de dispositivos gerenciados que o ponto de distribuição no qual o servidor push está ativado. Se você tiver vários pontos de distribuição atribuídos ao mesmo grupo de administração, poderá ativar o servidor push em cada um dos pontos de distribuição. Nesse caso, o Servidor de Administração equilibra a carga entre os pontos de distribuição.
O número da porta para o servidor push. É possível especificar o número de qualquer porta livre.
Na seção Escopo, especifique o escopo ao qual o ponto de distribuição distribuirá as atualizações (grupos de administração e/ou um local de rede).
Somente os dispositivos sendo executados no sistema operacional Windows podem determinar a sua localização na rede. A localização da rede não pode ser determinada para dispositivos que executam outros sistemas operacionais.
Caso o ponto de distribuição funcione em uma máquina diferente do Servidor de Administração, na seção Fonte de atualizações, é possível selecionar uma fonte de atualizações para o ponto de distribuição:
Selecione uma fonte de atualizações para o ponto de distribuição:
Para permitir que o ponto de distribuição receba atualizações do Servidor de Administração, selecione Obter do Servidor de Administração.
Para permitir que o ponto de distribuição receba atualizações usando uma tarefa, selecione Usar tarefa de download de atualizações e, em seguida, especifique a tarefa Baixar atualizações para os repositórios de pontos de distribuição:
Se essa tarefa já existir no dispositivo, selecione a tarefa na lista.
Se ainda não existir tal tarefa no dispositivo, clique no link Criar tarefa para criar uma tarefa. O Assistente para novas tarefas inicia. Siga as instruções do Assistente.
Senha da conta sob a qual a tarefa será executada.
Na seção Proxy da KSN, você pode configurar o aplicativo para usar o ponto de distribuição para encaminhar solicitações do KSN a partir dos dispositivos gerenciados:
O serviço Proxy da KSN é executado no dispositivo que é usado como um ponto de distribuição. Use este recurso para redistribuir e otimizar o tráfego na rede.
O ponto de distribuição envia as estatísticas da KSN, que são listadas na Declaração da Kaspersky Security Network, à Kaspersky. Por padrão, a Declaração da KSN está localizada em %ProgramFiles%\Kaspersky Lab\Kaspersky Security Center\ksneula.
Por padrão, esta opção está desativada. A ativação desta opção somente terá efeito se as opções Usar Servidor de Administração como um servidor proxy e Concordo em usar a Kaspersky Security Network estiverem ativadas na janela de propriedades do Servidor de Administração.
É possível atribuir um nó de um cluster ativo-passivo a um ponto de distribuição e habilitar o servidor proxy da KSN nesse nó.
O ponto de distribuição encaminha solicitações da KSN de dispositivos gerenciados para a KSN Cloud ou KPSN. As solicitações da KSN geradas no próprio ponto de distribuição também são enviadas diretamente para a KSN Cloud ou para a KPSN.
Os pontos de distribuição que têm o Agente de Rede versão 11 (ou anterior) instalado não podem acessar a KPSN diretamente. Caso deseje reconfigurar os pontos de distribuição para enviar solicitações da KSN à KPSN, ative a opção Encaminhar solicitações da KSN para o Servidor de Administração para cada ponto de distribuição.
Os pontos de distribuição que têm o Agente de Rede versão 12 (ou posterior) instalado podem acessar a KPSN diretamente.
Ative esta opção, caso tenha as configurações do servidor proxy definidas nas propriedades do ponto de distribuição ou na política do Agente de Rede, mas a sua arquitetura de rede requer que você use KPSN diretamente. Caso contrário, as solicitações dos aplicativos gerenciados não chegarão à KPSN.
Esta alternativa estará disponível caso a opção Acessar a KSN Cloud/KPSN diretamente pela Internet seja selecionada.
Se você desejar que os dispositivos gerenciados sejam conectados ao proxy da KSN através de uma porta UDP, ative a opção Usar porta UDP e especifique um número de Porta UDP. Por padrão, esta opção está ativada.
O número da porta UDP que os dispositivos gerenciados utilizarão para conectarem-se ao servidor proxy KSN. A porta UDP padrão para se conectar ao servidor proxy KSN é 15111.
Caso o ponto de distribuição funcione em uma máquina diferente do Servidor de Administração, na seção Gateway de conexão, será possível configurar o ponto de distribuição para atuar como um gateway para conexão entre as instâncias do Agente de Rede e o Servidor de Administração:
Caso uma conexão direta entre o Servidor de Administração e os Agentes de Rede não possa ser estabelecida em função da organização de sua rede, será possível usar o ponto de distribuição para atuar como o gateway de conexão entre o Servidor de Administração e os Agentes de Rede.
Ative essa opção caso você precise que o ponto de distribuição atue como um gateway de conexão entre os Agentes de Rede e o Servidor de Administração. Por padrão, esta opção está desativada.
Caso o Servidor de Administração esteja localizado fora da zona desmilitarizada (DMZ), na rede local, os Agentes de Rede instalados em dispositivos remotos não poderão se conectar com o Servidor de Administração. É possível usar um ponto de distribuição como o gateway de conexão com conectividade reversa (o Servidor de Administração estabelece uma conexão com o ponto de distribuição).
Ative essa opção caso seja necessário conectar o Servidor de Administração ao gateway de conexão na DMZ.
Ative essa opção caso seja necessário que o gateway de conexão na DMZ abra uma porta para o Web Console que esteja na DMZ ou na Internet. Especifique o número da porta que será usada para conexão do Web Console com o ponto de distribuição. O número da porta padrão é 13299.
Essa opção estará disponível caso a opção Estabelecer conexão com o gateway a partir do Servidor de Administração (se o gateway estiver na DMZ) seja ativada.
Ao conectar os dispositivos móveis com o Servidor de Administração por meio do ponto de distribuição que atua como gateway de conexão, é possível ativar as seguintes opções:
Ative essa opção caso seja necessário que o gateway de conexão abra uma porta para dispositivos móveis e especifique o número da porta que os dispositivos móveis usarão para estabelecer conexão com o ponto de distribuição. O número da porta padrão é 13292. O dispositivo móvel verificará o certificado do Servidor de Administração. Ao estabelecer a conexão, somente o Servidor de Administração será autenticado.
Ative essa opção caso seja necessário que o gateway de conexão abra uma porta que será usada para autenticação bidirecional do Servidor de Administração e dispositivos móveis. O dispositivo móvel verificará o certificado do Servidor de Administração e o Servidor de Administração verificará o certificado de dispositivos móveis. Especifique os seguintes parâmetros:
Número da porta que os dispositivos móveis usarão para conexão com o ponto de distribuição. O número da porta padrão é 13293.
Nomes de domínio DNS do gateway de conexão que serão usados por dispositivos móveis. Separe os nomes de domínio com vírgulas. Os nomes de domínio especificados serão incluídos no certificado do ponto de distribuição. Caso os nomes de domínio usados pelos dispositivos móveis não correspondam ao nome comum no certificado do ponto de distribuição, os dispositivos móveis não se conectarão com ponto de distribuição.
O nome de domínio DNS padrão é o nome FQDN do gateway de conexão.
Em ambos os casos, os certificados são verificados enquanto a sessão TLS está sendo estabelecida apenas no ponto de distribuição. Os certificados não são encaminhados para serem verificados pelo Servidor de Administração. Depois que uma sessão TLS é estabelecida com o dispositivo móvel, o ponto de distribuição usa o certificado do Servidor de Administração para criar um túnel para sincronização entre o dispositivo móvel e o Servidor de Administração. Caso a porta para autenticação SSL bidirecional seja aberta, a única maneira de distribuir o certificado de dispositivos móveis é por meio de um pacote de instalação.
Configure a amostragem de domínios do Windows, Active Directory e faixas IP pelo ponto de distribuição:
Você pode ativar a sondagem da rede para o Active Directory e definir o agendamento da sondagem.
Se você usar um ponto de distribuição do Windows, poderá selecionar uma das seguintes opções:
Sondar o domínio atual do Active Directory.
Sondar a floresta de domínios do Active Directory.
Criar sondagem apenas de domínios selecionados do Active Directory. Se você selecionar esta opção, adicione um ou mais domínios do Active Directory à lista.
Se você usar um ponto de distribuição do Linux com o Agente de Rede versão 15 instalado, poderá sondar somente domínios do Active Directory para os quais o endereço e as credenciais do usuário foram especificados. A sondagem do domínio atual do Active Directory e da floresta de domínios do Active Directory não está disponível.
É possível ativar a descoberta de dispositivos para controladores de domínio.
Caso marque a caixa de seleção Ativar sondagem do controlador de domínio, será possível selecionar os controladores de domínios para sondagem e também especificar o agendamento de sondagem para eles.
Caso queira usar um ponto de distribuição do Linux, na seção Sondar domínios especificados, clique em Adicionar e especifique o endereço e as credenciais de usuário do controlador de domínio.
Se você usar um ponto de distribuição do Windows, poderá selecionar uma das seguintes opções:
Ao ativar a opção Usar Zeroconf para sondar redes IPv6, o ponto de distribuição sonda automaticamente a rede IPv6 usando rede zero configuração (também referida como Zeroconf). Nesse caso, os conjuntos IP especificados são ignorados, pois o ponto de distribuição sonda toda a rede. A opção Usar Zeroconf para sondar redes IPv6 estará disponível caso o ponto de distribuição execute Linux. Para usar a sondagem do Zeroconf IPv6, é necessário instalar o utilitário avahi-browse no ponto de distribuição.
Na seção Avançado, especifique a pasta que o ponto de distribuição deverá usar para armazenar dados distribuídos:
Se selecionar esta opção, você pode, no campo abaixo, especificar o caminho até a pasta. Pode ser uma pasta local no ponto de distribuição ou pode ser uma pasta em qualquer dispositivo na rede corporativa.
A conta do usuário usada no ponto de distribuição para executar o Agente de Rede deve ter acesso de leitura/gravação à pasta especificada.
Clique no botão OK.
Os dispositivos selecionados agirão como pontos de distribuição.