Despliegue forzado con la tarea de instalación remota de Kaspersky Security Center

9 de octubre de 2024

ID 155187

Para realizar el despliegue inicial del Agente de red u otras aplicaciones, puede forzar la instalación de los paquetes seleccionados mediante la tarea de instalación remota de Kaspersky Security Center, siempre que cada dispositivo tenga una cuenta de usuario con derechos de administrador local.

La instalación forzada también se puede aplicar si no es posible acceder directamente a los dispositivos mediante el Servidor de administración: por ejemplo, los dispositivos están en redes aisladas o están en una red local mientras que el elemento del Servidor de administración está en la DMZ.

En el caso del despliegue inicial, el Agente de red no está instalado. Por lo tanto, en la configuración de la tarea de instalación remota, no se puede seleccionar la distribución de los archivos necesarios para la instalación de la aplicación mediante el Agente de red. Solo puede elegir distribuir archivos utilizando recursos del sistema operativo a través del Servidor de administración o puntos de distribución.

El servicio del Servidor de administración debe ejecutarse en una cuenta que tenga privilegios administrativos en los dispositivos de destino. También puede especificar una cuenta que tenga acceso al recurso compartido admin$ en la configuración de la tarea de instalación remota.

De forma predeterminada, la tarea de instalación remota se conecta a los dispositivos utilizando las credenciales de la cuenta con la cual se ejecuta el Servidor de administración. Es importante aclarar que es la cuenta que se utiliza para acceder al recurso compartido admin$, en lugar de la cuenta con la cual se ejecuta la tarea de instalación remota. La instalación se realiza con la cuenta LocalSystem.

Puede especificar dispositivos de destino explícitamente (con una lista), seleccionando el grupo de administración de Kaspersky Security Center al cual pertenecen o creando una selección de dispositivos basados en un criterio específico. La hora de inicio de instalación es definida por la programación de la tarea. Si la configuración Ejecutar tareas no realizadas se activa en las propiedades de la tarea, la tarea se puede ejecutar inmediatamente después de que los dispositivos de destino se activen o cuando se muevan al grupo de administración de destino.

La instalación forzada consiste en la entrega de paquetes de instalación a dispositivos de destino, la copia posterior de archivos en el recurso admin$ en cada uno de los dispositivos de destino y el registro remoto de los servicios de compatibilidad en esos dispositivos. La entrega de paquetes de instalación a dispositivos de destino se realiza mediante una función de Kaspersky Security Center que garantiza la interacción de la red. Las condiciones siguientes se deben cumplir en este caso:

  • Se puede acceder a los dispositivos de destino desde el Servidor de administración o desde el punto de distribución.
  • La resolución del nombre para los dispositivos de destino funciona correctamente en la red.
  • Los usos compartidos administrativos (admin$) permanecen activados en los dispositivos de destino.
  • Los siguientes servicios del sistema se están ejecutando en los dispositivos de destino:
    • Servidor (LanmanServer)

      De forma predeterminada, este servicio se está ejecutando.

    • Iniciador de procesos del servidor DCOM (DcomLaunch)
    • Asignador de endpoints de RPC (RpcEptMapper)
    • Llamada a procedimiento remoto (RpcSs)
  • El puerto TCP 445 está abierto en los dispositivos de destino para permitir el acceso remoto a través de herramientas de Windows.

    Los puertos TCP 139, UDP 137 y UDP 138 son utilizados por protocolos más antiguos y ya no son necesarios para las aplicaciones actuales.

    Se deben permitir puertos dinámicos de acceso saliente en el firewall para las conexiones desde el servidor de administración y los puntos de distribución a los dispositivos de destino.

  • La configuración de seguridad de la directiva del dominio de Active Directory puede permitir el funcionamiento del protocolo NTLM durante el despliegue del Agente de Red.
  • En los dispositivos de destino que ejecutan Microsoft Windows XP, el modo de uso compartido simple de archivos está deshabilitado.
  • En los dispositivos de destino, el modelo de seguridad y uso compartido de acceso se configura como Clásico: los usuarios locales se autentican como ellos mismos. De ninguna manera puede ser Solo invitados: los usuarios locales se autentican como invitados.
  • Los dispositivos de destino son miembros del dominio, o bien se crean cuentas uniformes con derechos de administrador en los dispositivos de destino de antemano.

Para desplegar correctamente el Agente de red u otras aplicaciones en un dispositivo que no está unido a un dominio de Active Directory de Windows Server 2003 o posterior, debe desactivar UAC remoto en ese dispositivo. UAC remoto es una de las razones que impide que las cuentas administrativas locales accedan a admin$, que es necesario para el despliegue forzado del Agente de red u otras aplicaciones. La desactivación del UAC remoto no afecta al UAC local.

Durante la instalación en dispositivos nuevos que todavía no se han asignado a ninguno de los grupos de administración de Kaspersky Security Center, puede abrir las propiedades de la tarea de instalación remota y especificar el grupo de administración al cual los dispositivos se moverán después de la instalación del Agente de red.

Al crear una tarea de grupo, tenga en cuenta que cada tarea de grupo afecta a todos los dispositivos en todos los grupos anidados dentro de un grupo seleccionado. Por lo tanto, debe evitar duplicar las tareas de instalación en los subgrupos.

Una manera sencilla de crear tareas para la instalación forzada de aplicaciones es la instalación automática. Para hacer esto, debe abrir las propiedades del grupo de administración, abrir la lista de paquetes de instalación y seleccionar los que se deben instalar en dispositivos de este grupo. Como resultado, los paquetes de instalación seleccionados se instalarán automáticamente en todos los dispositivos de este grupo y todos sus subgrupos. El intervalo de tiempo durante el cual los paquetes se instalarán depende del rendimiento de la red y el número total de dispositivos conectados a una red.

Para reducir la carga en el Servidor de administración durante la entrega de paquetes de instalación a los dispositivos de destino, puede seleccionar la instalación a través de puntos de distribución en la tarea de instalación. Tenga en cuenta que este método de instalación aplica una carga significativa a dispositivos que actúan como puntos de distribución. Por lo tanto, se recomienda que seleccione dispositivos que cumplan con los requisitos para puntos de distribución. Si usa puntos de distribución, debe asegurarse de que estén presentes en cada una de las subredes aisladas que alojan los dispositivos de destino.

El uso de puntos de distribución como centros de instalación locales también puede ser útil al realizar la instalación en dispositivos en subredes comunicadas con el Servidor de administración mediante un canal de capacidad reducida, mientras que un canal más amplio está disponible entre dispositivos en la misma subred.

El espacio libre del disco en la partición con la carpeta %ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit debe superar, en gran cantidad, el tamaño total de los paquetes de distribución de aplicaciones instaladas.

¿Le ha resultado útil este artículo?
¿Qué podemos mejorar?
¡Gracias por darnos su opinión! Nos está ayudando a mejorar.
¡Gracias por darnos su opinión! Nos está ayudando a mejorar.