Déploiement forcé à l'aide d'une tâche d'installation à distance des applications de Kaspersky Security Center
Pour réaliser le déploiement initial de l'Agent d'administration ou d'autres applications, vous pouvez forcer l'installation des paquets d'installation sélectionnés à l'aide de la tâche d'installation à distance de Kaspersky Security Center, à condition que chaque appareil dispose d'un ou plusieurs comptes utilisateurs avec des droits d'administrateur local.
L'installation forcée peut être utilisée notamment dans le cas où le Serveur d'administration n'a pas d'accès direct aux appareils : par exemple, les appareils se trouvent sur des réseaux isolés ou bien ils se trouvent sur un réseau local, mais le Serveur d'administration se trouve dans la zone démilitarisée.
Lors du déploiement initial, l'Agent d'administration n'est pas installé. Par conséquent, dans les paramètres de la tâche d'installation à distance, il n'est pas possible de sélectionner la distribution des fichiers nécessaires à l'installation de l'application à l'aide de l'Agent d'administration. Vous pouvez uniquement choisir de distribuer des fichiers en utilisant les ressources du système d'exploitation par l'intermédiaire du Serveur d'administration ou des points de distribution.
Le service du Serveur d'administration doit être exécuté sous un compte disposant de privilèges d'administrateur sur les appareils cibles. Vous pouvez également désigner un compte ayant accès au partage admin$ dans les paramètres de la tâche d'installation à distance.
Par défaut, la tâche d'installation à distance se connecte aux appareils à l'aide des identifiants du compte sous lequel le Serveur d'administration est exécuté. Il est important de préciser qu'il s'agit du compte utilisé pour accéder au partage admin$, et non du compte sous lequel s'exécute la tâche d'installation à distance. L'installation s'effectue sous le compte LocalSystem.
Les appareils peuvent être désignés explicitement (via une liste) soit via la sélection du groupe d'administration de Kaspersky Security Center auquel ils appartiennent, soit via la création d'une sélection d'appareils selon une condition définie. Le début de l'installation est défini par la programmation de la tâche. Si le paramètre Lancer les tâches non exécutées est activé dans les propriétés de la tâche, la tâche peut être exécutée directement après l'activation des appareils ou lors de leur transfert dans le groupe d'administration cible.
L'installation forcée implique la remise des paquets d'installation aux appareils cibles, suivie de la copie des fichiers sur la ressource d'administration admin$ de chacun des appareils et l'enregistrement à distance sur ceux-ci des services auxiliaires. La remise des paquets d'installation sur les appareils cibles s'opère à l'aide de la fonction de Kaspersky Security Center chargée de l'interaction sur le réseau. Les conditions suivantes doivent être remplies :
- Les appareils cibles sont accessibles du côté du Serveur d'administration ou du point de distribution.
- La résolution des noms pour les appareils fonctionne correctement sur le réseau.
- Les ressources d'administration partagées admin$ ne sont pas désactivées sur les appareils administrés.
- Les services système suivants sont exécutés sur les appareils cibles :
- Server (LanmanServer)
Par défaut, ce service est exécuté.
- DCOM Server Process Launcher (DcomLaunch)
- RPC Endpoint Mapper (RpcEptMapper)
- Remote Procedure Call (RpcSs)
- Server (LanmanServer)
- Le port TCP 445 est ouvert sur les appareils cibles pour permettre l'accès à distance via les outils Windows.
Les protocoles TCP 139, UDP 137 et UDP 138 sont utilisés par des protocoles plus anciens et ne sont plus nécessaires pour les applications actuelles.
Les ports d'accès dynamiques sortants doivent être autorisés sur le pare-feu pour les connexions du Serveur d'administration et des points de distribution vers les appareils cibles.
- Les paramètres de sécurité de la stratégie de domaine Active Directory sont autorisés à assurer le fonctionnement du protocole NTLM lors du déploiement de l'Agent d'administration.
- Sur les appareils cibles exécutant Microsoft Windows XP, le mode Simple File Sharing est désactivé.
- Sur les appareils cibles, le modèle d'accès partagé et de sécurité est défini sur Habituel – les utilisateurs locaux s'authentifient comme eux-mêmes. Il ne peut en aucun cas être défini sur Invité – les utilisateurs locaux s'authentifient en tant qu'invité.
- Les appareils appartiennent au domaine ou des comptes utilisateurs unifiés avec privilèges d'administration sont créés au préalable sur les appareils.
Pour réussir le déploiement de l'Agent d'administration ou d'autres applications sur un appareil qui n'est pas joint à un domaine Active Directory Windows Server 2003 ou une version ultérieure, vous devez désactiver le contrôle de compte d'utilisateur à distance sur cet appareil. Le contrôle de compte d'utilisateur à distance est l'une des raisons qui empêche les comptes d'administration locaux d'accéder à admin$, ce qui est nécessaire pour le déploiement forcé de l'Agent d'administration ou d'autres applications. La désactivation du contrôle de compte d'utilisateur à distance n'affecte pas le contrôle de compte d'utilisateur local.
Lors de l'installation sur de nouveaux appareils qui ne figurent pas encore dans les groupe d'administration de Kaspersky Security Center, il est possible de définir dans les propriétés de la tâche d'installation à distance le groupe d'administration dans lequel les appareils vont être placés à l'issue de l'installation de l'Agent d'administration sur ces appareils.
Lors de la création de la tâche de groupe, il ne faut pas oublier que la tâche de groupe agit sur les appareils de tous les sous-groupes du groupe sélectionné. C'est la raison pour laquelle il n'est pas nécessaire de duplique les tâches d'installation dans les sous-groupes.
L'installation automatique est un moyen simplifié de créer des tâches pour l'installation forcée d'applications. Pour cela, il faut sélectionner dans la liste des paquets d'installation des propriétés du groupe d'administration les paquets à installer sur les appareils de ce groupe. Au final, les paquets d'installation sélectionnés sont installés automatiquement sur tous les appareils de ce groupe et de ses sous-groupes. La période pendant laquelle les paquets sont installés dépend de la bande passe du réseau et du total d'appareils dans le réseau.
Pour réduire la charge sur le Serveur d'administration lors de la propagation des paquets d'installation sur les appareils, vous pouvez sélectionner l'installation via les points de distribution dans la tâche d'installation. Il ne faut pas oublier que ce mode d'installation génère une charge sensible sur les appareils désignés comme points de distribution. C'est la raison pour laquelle il est recommandé de sélectionner des appareils conformes aux exigences des points de distribution. Si vous utilisez des points de distribution, vous devez vous assurer qu'ils sont présents dans chacun des sous-réseaux isolés hébergeant des appareils cibles.
L'utilisation de points de distribution en guise de centres locaux d'installation peut être pratique notamment pour les installations sur des appareils dans des sous-réseaux connectés au Serveur d'administration via un canal de communication étroit alors qu'il existe un canal large entre les appareils au sein du sous-réseau.
Il faut que l'espace disponible dans la section contenant le dossier %ALLUSERSPROFILE %\Application Data\KasperskyLab\adminkit soit plusieurs fois supérieur au volume total des paquets de distribution des applications à installer.