Scénario de déploiement principal et autres scénarios de déploiement

Cette section décrit le scénario principal de déploiement de Kaspersky Security Center et des liens vers d'autres scénarios de déploiement sont indiqués. Le scénario principal permet de déployer le Serveur d'administration ainsi que d'installer l'Agent d'administration et les programmes de protection sur les appareils du réseau. Vous pouvez utiliser ce scénario pour découvrir l'application et pour l'installer en vue d'une utilisation ultérieure.

Le déploiement de Kaspersky Security Center suppose la planification des ressources l'installation du Serveur d'administration. l'installation de l'Agent d'administration et les programmes de protection sur les appareils client le rassemblement d'appareils au sein de groupes d'administration.

Le déploiement de Kaspersky Security Center dans le cloud et le déploiement de Kaspersky Security Center pour les prestataires de services sont décrits dans les sections correspondantes de l'aide.

Dans ce scénario, nous vous recommandons de consacrer au moins une heure à l'installation du Serveur d'administration et au moins une journée de travail à l'exécution du scénario.

Le déploiement de Kaspersky Security Center se déroule par étapes :

  1. Sélection de la structure de protection d'une organisation

    Prenez connaissance des composants de Kaspersky Security Center. Choisissez la structure de la protection et la configuration du réseau les mieux adaptées à votre organisation. En fonction de la configuration du réseau et de la bande passante des canaux de communication, définissez le nombre de Serveurs d'administration à utiliser et leur répartition entre les bureaux, (si vous utilisez un réseau distribué).

    Pour atteindre et conserver les performances optimales dans les conditions d'utilisation les plus diverses, tenez compte du nombre d'appareils protégés dans le réseau, de la topologie du réseau et des fonctions de Kaspersky Security Center dont vous avez besoin (pour en savoir plus, consultez le Guide de dimensionnement de Kaspersky Security Center).

    Déterminez si votre organisation va utiliser une hiérarchie des Serveurs d'administration. Pour cela, il faut savoir s'il est possible et utile de couvrir tous les appareils client à l'aide d'un Serveur d'administration ou s'il faut élaborer une hiérarchie des Serveurs d'administration. Il faudra peut-être aussi organiser une hiérarchie des Serveurs d'administration conforme à la structure organisationnelle de l'organisation dont vous souhaitez protéger le réseau.

    Si vous devez garantir la protection des appareils mobiles, exécutez les actions préalables de configuration du Serveur des appareils mobiles Exchange ActiveSync et du Serveur MDM iOS.

    Confirmez que les appareils que vous avez sélectionnés en vue d'une utilisation en tant que Serveurs d'administration et pour l'installation de la Console d'administration répondent à la configuration matérielle et logicielle.

  2. Préparation de la licence de Kaspersky Security Center

    Si vous envisagez d'utiliser une version de Kaspersky Security Center avec administration des appareils mobiles, intégration aux systèmes SIEM et/ou prise en charge de la fonction de Gestion des vulnérabilités et des correctifs, confirmez que vous possédez un fichier clé ou un code d'activation pour la licence de l'application.

  3. Préparation de la licence des applications de sécurité administrées

    Pendant le déploiement de la protection il est nécessaire de fournir à Kaspersky Lab les clés actives des applications que vous envisagez d'administrer à l'aide de Kaspersky Security Center (voir la liste des programmes de protection pouvant être administrées). Pour plus d'informations sur l'obtention d'une licence pour chacune des programmes de protection, lisez l'aide de ces applications.

  4. Sélection de la configuration matérielle du Serveur d'administration et du SGBD

    Prévoyez la configuration matérielle pour le SGBD et le Serveur d'administration en tenant compte du nombre d'appareils dans votre réseau.

  5. Choix d'un SGBD

    Au moment de choisir le SGBD, tenez compte du nombre d'appareils administrés qui seront couverts par le Serveur d'administration. Si votre réseau compte moins de 10 , 000 appareils et que vous n'envisagez pas d'augmenter ce nombre, vous pouvez utiliser un SGBD gratuit comme SQL Express ou MySQL et l'installer sur un appareil doté du Serveur d'administration. Si votre réseau compte plus de 10 000 appareils (ou si vous avez l'intention d'élargir votre réseau jusqu'à atteindre une telle quantité), il est conseillé d'utiliser une version payante du SGBD SQL et de l'installer sur un appareil distinct. Un SGBD payant peut fonctionner avec plusieurs Serveurs d'administration, tandis qu'un SGBD gratuit ne fonctionne qu'avec un seul serveur.

  6. Installation du SGBD et création d'une base de données

    Renseignez-vous sur les comptes pour le travail avec le SGBD et installez votre SGBD. Notez et conservez les paramètres du SGBD car vous en aurez besoin lors de l'installation du Serveur d'administration. Ces paramètres reprennent le nom du serveur SQL, le numéro de port pour la connexion au serveur SQL, le nom du compte et le mot de passe d'accès au serveur SQL.

    Par défaut, le programme d'installation de Kaspersky Security Center crée la base de données pour le placement des informations du Serveur d'administration, mais vous pouvez refuser sa création et utiliser une autre base de données. Dans ce cas, assurez-vous que la base de données a été créée, que vous connaissez son nom, et que le compte sous lequel le Serveur d'administration accédera à cette base de données a le rôle db_owner correspondant.

    En cas de nécessité, contactez l'administrateur SGBD pour plus d'informations.

  7. Configuration des ports

    Assurez-vous que, pour l'interaction des composants selon la structure de protection choisie par vous, les ports nécessaires sont ouverts.

    S'il faut accorder l'accès au Serveur d'administration depuis Internet, configurez les ports et les paramètres de connexion, en fonction de la configuration du réseau.

  8. Contrôle des comptes utilisateurs

    Vérifiez que vous disposez des droits d'administrateur local pour une installation réussie du Serveur d'administration de Kaspersky Security Center et le déploiement de la protection sur les appareils. Les droits d'administrateur local sur les appareils client sont nécessaires uniquement pour l'installation de l'Agent d'administration sur ces appareils. Après l'installation de l'Agent d'administration, vous pourrez l'utiliser afin d'installer à distance les applications sur les appareils, sans passer par le compte utilisateur disposant des droits d'administrateur de ces appareils.

    Par défaut, le programme d'installation de Kaspersky Security Center crée sur l'appareil sélectionné pour l'installation du Serveur d'administration, trois comptes utilisateur locaux, sous lesquels seront lancés le Serveur d'administration et les services de Kaspersky Security Center :

    KL-AK-* : compte utilisateur du service du Serveur d'administration.

    KlScSvc : compte utilisateur pour les autres services compris dans le Serveur d'administration.

    KlPxeUser : compte utilisateur pour le déploiement des systèmes d'exploitation.

    Vous pouvez ne pas créer de compte pour les services du Serveur d'administration et les autres services. Utilisez vos comptes existants à la place, par exemple les comptes de domaine si vous prévoyez d'installer le Serveur d'administration sur un cluster haute disponibilité ou d'utiliser des comptes de domaine au lieu de comptes locaux pour toute autre raison. Dans ce cas, assurez-vous que les comptes utilisateur pour le lancement du Serveur d'administration et des services de Kaspersky Security Center sont créés, ne sont pas des comptes privilégiés et possèdent les droits nécessaires à l'accès au SGBD. (Si vous envisagez par la suite de déployer les systèmes d'exploitation sur des appareils Kaspersky Security Center, ne refusez pas la création de comptes utilisateur.)

  9. Installation du Serveur d'administration, de la Console d'administration, de Kaspersky Security Center 11 Web Console et des plug-ins d'administration pour les programmes de protection

    Installez le Serveur d'administration sur l'appareil sélectionné (ou les appareils, s'il vous est nécessaire d'utiliser plusieurs Serveurs d'administration). Vous avez le choix entre une installation standard ou une installation personnalisée du Serveur d'administration. La Console d'administration est installée avec le Serveur d'administration.

    L'installation standard est recommandée si vous voulez découvrir l'application Kaspersky Security Center, par exemple, tester son fonctionnement sur un petit segment de votre réseau. Dans le cadre de l'installation standard, vous configurez uniquement les paramètres de la base de données. Vous pouvez également installer uniquement l'ensemble par défaut de plug-ins d'administration des applications de Kaspersky Lab. Vous pouvez aussi vous servir de l'installation standard si vous avez déjà l'habitude d'utiliser Kaspersky Security Center et pouvez spécifier tous les paramètres nécessaires après l'installation standard.

    L'installation personnalisée est recommandée si vous envisagez de modifier les paramètres de Kaspersky Security Center, comme un chemin vers le dossier partager, les comptes utilisateurs et les ports de connexion au Serveur d'administration, ainsi que les paramètres de la base de données. L'installation personnalisée vous permet de désigner les plug-ins d'administration des applications de Kaspersky Lab à installer. En cas de nécessité, vous pouvez lancer l'installation personnalisée en mode non interactif.

    La Console d'administration et la version serveur de l'Agent d'administration sont également installées avec le Serveur d'administration. Vous pouvez aussi choisir d' Installer la console Web de Kaspersky Security Center 11 lors de l'installation.

    En cas de besoin, installez la Console d'administration et/ou la console Web séparément sur le poste de travail de l'administrateur pour gérer le Serveur d'administration par le réseau.

  10. Configuration initiale et licence

    Après l'achèvement de l'installation du Serveur d'administration lors de la première connexion au Serveur d'administration, l'Assistant de configuration initiale est automatiquement lancé. Exécutez la configuration initiale du Serveur d'administration conformément à vos exigences. Lors de la configuration initiale, l'assistant crée les stratégies indispensables au déploiement de la protection et les tâches selon les paramètres par défaut. Il se peut que ces paramètres ne soient pas parfaits pour les besoins de votre entreprise. Si nécessaire, vous pouvez modifier les paramètres des stratégies et des tâches (Configuration de la protection dans le réseau d’une organisation cliente, Scénario de configuration de la protection réseau).

    Si vous envisagez d'utiliser les fonctions situées hors de la fonctionnalité de base, mettez l'application sous licence. Pour cela, vous pouvez effectuer une des étapes de l'Assistant de configuration initiale.

  11. Recherche d'appareils en réseau

    Cette étape se trouve dans l'Assistant de configuration initiale. Vous pouvez aussi commencer la Recherche d'appareils manuellement. Suite à cela, le administration de Kaspersky Security Center obtient les adresses et les noms de tous les appareils enregistrés sur le réseau. Ensuite, vous pouvez installer à l'aide de Kaspersky Security Center des applications de Kaspersky Lab et d'autres éditeurs sur les appareils détectées. Kaspersky Security Center lance la recherche d’appareil régulièrement. Par conséquent, si de nouveaux appareils apparaissent sur le réseau, ils seront détectés automatiquement.

  12. Analyse du succès de l'installation du Serveur d'administration

    Après l'exécution fructueuse des étapes précédentes, le Serveur d'administration est installé et prêt pour une utilisation ultérieure.

    Assurez-vous que la Console d'administration fonctionne et que vous pouvez vous connecter via la Console au Serveur d'administration. Assurez-vous aussi que sur le Serveur d'administration, il y a la tâche Téléchargement des mises à jour dans le stockage du Serveur d'administration (dans le dossier Tâches de l'arborescence de la console) et une stratégie pour Kaspersky Endpoint Security (dans le dossier Stratégies de l'arborescence de la console).

    Une fois la vérification terminée, suivez les étapes ci-après.

  13. Installation de l'Agent d'administration et des programmes de protection sur les appareils du réseau

    Le déploiement de la protection (Configuration de la protection sur un réseau d’organisation client, Scénario de configuration de la protection réseau) sur le réseau d’une organisation suppose l’installation de l’Agent d’administration et des programmes de protection (par exemple, Kaspersky Endpoint Security) sur les appareils qui ont été détectés par le Serveur d’administration lors de la recherche d’appareil.

    Les programmes de protection protègent les appareils contre les virus et / ou d'autres applications présentant la menace. L'Agent d'administration assure le lien entre l'appareil et le Serveur d'administration. Les paramètres de l'Agent d'administration sont automatiquement configurés par défaut.

    Avant d'installer l'Agent d'administration et les programmes de protection sur les appareils du réseau, confirmez la disponibilité de ces appareils (ils sont activés).

    Il est possible d'installer une application de protection et l'Agent d'administration à distance ou localement.

    Installation à distance : l'Assistant de déploiement de la protection permet d'installer à distance une application de sécurité (par exemple, Kaspersky Endpoint Security for Windows) et l'Agent d'administration sur les appareils dotés d'un Serveur d'administration détectés dans le réseau de l'organisation. En temps normal, la tâche d'installation à distance déploie la protection sur la majorité des appareils en réseau. Toutefois, elle peut recevoir une erreur de certains appareils si, par exemple, un appareil est éteint u n'est pas accessible pour une raison quelconque. Dans ce cas, il est recommandé de se connecter manuellement à l'appareil et utiliser l'installation locale.

    Installation locale : utilisée sur les appareils du réseau où le déploiement de la protection via une tâche d'installation à distance a échoué. Pour installer la protection sur de tels appareils, créez le paquet d'installation autonome à lancer sur ces appareils localement.

    L'installation de l'Agent d'administration sur des appareils fonctionnant sous Linux et MacOS est décrite dans la documentation de Kaspersky Endpoint Security for Linux et Kaspersky Endpoint Security for Mac, respectivement. (Malgré le fait que les appareils sous les systèmes d'exploitation Linux et MacOS soient considérés comme moins vulnérables que les appareils sous Windows, il est également recommandé d'installer des programmes de protection sur ces appareils.)

    Après l'installation, assurez-vous que l'application de protection est installée sur les appareils administrés. Lancez pour cela le Rapport sur les versions des applications de Kaspersky Lab et prenez connaissance de ses résultats.

  14. Diffusion des clés de licence sur les appareils clients

    Diffusez les clés de licence sur les appareils client pour activer les programmes de protection administrées sur ces appareils.

  15. Configuration de la protection des appareils mobiles

    Cette étape se trouve dans l'Assistant de configuration initiale.

    Si vous souhaitez gérer des appareils mobiles d'entreprise, déployez Administration des appareils mobiles.

  16. Création de la structure des groupes d'administration

    Dans certains cas, pour garantir le déploiement optimal de la protection sur les appareils du réseau, il faut répartir les appareils en groupes d'administration en tenant compte de la structure organisationnelle de la société. Vous pouvez créer des règles de déplacement pour la répartition des appareils par groupes ou répartir manuellement les appareils. Il est possible d'assigner des tâches de groupe aux groupes d'administration, de définir la zone d'action des stratégies et d'assigner les points de distribution.

    Assurez-vous que tous les appareils administrés sont correctement répartis entre les groupes d'administration correspondants et que tous les appareils ont bien été définis.

  17. Assignation des points de distribution

    Les points de distribution pour les groupes d’administration sont assignés automatiquement mais, en cas de nécessité, vous pouvez les assigner manuellement. Il est recommandé d'utiliser les points de distribution dans les grands réseaux afin de réduire la charge sur le Serveur d'administration, ainsi que dans les réseaux à structure distribuée afin d'octroyer au Serveur d'administration un accès aux appareils ou aux groupes d'appareils reliés par des canaux à faible bande passante.

Résultats

Une fois le scénario terminé, la protection est déployée dans le réseau de l'entreprise :

Voir également :

Ports utilisés par Kaspersky Security Center

Schémas d'interaction des composants de Kaspersky Security Center et des applications de sécurité : plus d'informations

Notions principales

Architecture

Haut de page