Una delle principali funzionalità offerte da Bitdefender Endpoint Security Tools è la possibilità di installarlo da remoto sugli endpoint, una procedura chiamata distribuzione.

Per completare correttamente l'attività di distribuzione di Bitdefender Endpoint Security Tools sui sistemi di destinazione, devi soddisfare i seguenti pre-requisiti di configurazione:

1. Requisiti del SO
   • Verifica che gli endpoint di destinazione soddisfino i requisiti minimi di sistema specificati nella Guida di installazione di GravityZone. Per alcuni endpoint, potresti dover installare l'ultimo pacchetto di servizio del sistema operativo disponibile oppure liberare spazio sul disco rigido. Compila un elenco di endpoint che non soddisfano i requisiti necessari in modo da escluderli dalla gestione.
   • Impiegando un agente tramite un relay Linux, devono essere soddisfatte le seguenti condizioni aggiuntive:
     • L'endpoint relay deve aver installato il pacchetto Samba (smbclient) in versione 4.1.0 o superiore, e il comando net binario per impiegare gli agenti Windows.

       Nota: Il comando/binario net viene generalmente consegnato con i pacchetti samba-client e / o samba-common. In alcune distribuzioni Linux (come CentOS 7.4), il comando net viene installato unicamente quando si installa la suite completa di Samba (Common + Client + Server). Assicurati che il tuo endpoint relay abbia il comando net disponibile.

     • Gli endpoint Windows di destinazione devono avere le opzioni Condivisione amministrativa e Condivisione rete attivate.
     • Gli endpoint Linux e Mac bersaglio devono avere SSH attivate e il firewall disattivato.
2. Privilegi di amministratore

   L'installazione richiede privilegi di amministratore. Assicurati di avere a portata di mano le credenziali necessarie per tutti i computer.
   
   Devi anche definire le impostazioni del Controllo dell'account utente in base alla configurazione dell'endpoint di destinazione:

   • Per sistemi Windows 8.1 e 10, hai bisogno dei privilegi di amministratore (le credenziali dell'account amministratore predefinito o un account utente di dominio). Per maggiori informazioni su come distribuire correttamente Bitdefender Endpoint Security Tools su workstation Windows 8.1 e 10, fai riferimento al seguente articolo della KB.
   • Per sistemi di destinazione che fanno parte di un Gruppo di lavoro, devi disattivare il Controllo dell'account utente solo se stai usando credenziali con privilegi di amministratori diverse da quelle dell'account amministratore predefinito durante la configurazione dell'attività di distribuzione. Se per l'attività di distribuzione è configurata l'autenticazione tramite l'account amministratore di dominio predefinito (e le impostazioni predefinite del Controllo dell'account utente per l'account non sono state modificate dalla policy del gruppo), l'attività viene eseguita senza che sia necessario modificare le impostazioni del Controllo account utente.
   • Per sistemi di destinazione che fanno parte di un Active Directory Domain, oltre alle raccomandazioni già riportate, se l'amministratore vuole configurare l'attività e fornire credenziali per la distribuzione a utenti che appartengono al gruppo di sicurezza degli amministratori di dominio, è possibile configurare un Oggetto criteri di gruppo per applicare le seguenti impostazioni a questo gruppo di sicurezza:

     [Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options]

     Policy	Setting
     User Access Control: Behavior of the elevation prompt for administrators in Admin Approval Mode	Elevate without prompting
     User Access Control: Detect application installations and prompt for elevation	Disable
     User Access Control: Run all administrators in Admin Approval Mode	Enable

      
     
      

     Nota Come best practice di sicurezza, una volta completato il ciclo di distribuzione, ripristina le impostazioni predefinite. Per le configurazioni predefinite del Controllo dell'account utente, fai riferimento a questo articolo di Microsoft.

   • Per sistemi Windows 7, 8 e 10, devi disattivare il Controllo dell'account utente nel seguente modo:
     1. Vai su Start> Pannello di controllo> Account utente
     2. Clicca su Modifica impostazioni di Controllo dell'account utente
     3. Imposta il Controllo dell'account utente su Non notificare mai e clicca su OK
        
        
3. Requisiti di connettività

   Su tutti i server e le workstation che vuoi gestire (e che devono essere connessi tramite rete all'appliance di GravityZone), devi configurare il firewall in modo da autorizzare le seguenti porte di comunicazione usate dai componenti di sicurezza:

   • 8443: la porta di comunicazione tra la console di GravityZone e Bitdefender Endpoint Security Tools. Questa porta deve essere autorizzata su tutti i computer della rete
   • 7074: la porta di comunicazione usata per la distribuzione e l'aggiornamento tramite Relay.

     Nota: queste porte non devono essere usate da nessun'altra applicazione installata sulla rete.

   Si consiglia di usare un indirizzo IP statico per il server relay. Se non imposti un IP statico, utilizza l'hostname della macchina.

   Configura ciascuna workstation in modo che non usi la configurazione guidata, come segue:

   In Windows 7:

   1. Vai su Start > Computer > Organizza > Layout e seleziona Barra dei menu.
   2. Clicca su Strumenti e vai su Opzioni cartella... > Visualizzazione.
   3. Deseleziona la casella di spunta Usa Configurazione guidata nell'elenco delle impostazioni avanzate.
   4. Clicca su OK.

   In Windows 8 e 8.1:

   1. Vai su Start > Computer > Visualizza > Opzioni.
   2. Nella finestra Opzioni cartella clicca sulla scheda Visualizzazione.
   3. Deseleziona la casella di spunta Usa Configurazione guidata nell'elenco delle impostazioni avanzate.
   4. Clicca su OK.

   In Windows 10:

   1. Go to Questo PC > Visualizza > Opzioni.
   2. Clicca sulla scheda Visualizzazione.
   3. Deseleziona la casella di spunta Usa Configurazione guidata nell'elenco delle impostazioni avanzate.
   4. Clicca su OK.
      
      
   • Verifica che il protocollo Condivisione file e stampanti sia attivo. Questo servizio utilizza le porte TCP 139, 445 e le porte UDP 137, 138. Per verificare che il protocollo Condivisione file e stampanti sia attivo:
     1. Vai su Start > Pannello di controllo > Centro connessioni di rete e condivisione.
     2. Individua la connessione di rete attiva e clicca su di essa.
     3. Clicca su Proprietà.
        
        

     Nota Per stabilire correttamente la connessione: Disattiva Windows Firewall o configuralo per consentire il traffico tramite il protocollo di condivisione di file e stampanti. Per disattivare Windows Firewall, apri Pannello di controllo > Windows Firewall e clicca su Disattivato. Autorizza il traffico ICMP (in modo da eseguire il PING della workstation). Per verificare che le postazioni di rete siano configurate correttamente: Esegui il ping della rispettiva postazione di rete. Prova a effettuare l'accesso alla condivisione amministrativa.

4. Rimozione di software di sicurezza di terze parti

Disinstalla (non solo disattiva) ogni antimalware, firewall o software di sicurezza Internet esistente dai computer. Eseguire l'agente di sicurezza in contemporanea con un altro software di sicurezza su un endpoint potrebbe influenzare il suo funzionamento e causare parecchi problemi al sistema.

Molti programmi di sicurezza incompatibili vengono rilevati e rimossi automaticamente al momento dell'installazione.

Per maggiori informazioni e per verificare l'elenco dei software di sicurezza rilevati da Bitdefender Endpoint Security Tools per gli attuali sistemi operativi Windows (Windows 7 / Windows Server 2008 R2 e versioni successive), fai riferimento a questo articolo della KB.

Se vuoi impiegare l'agente di sicurezza su un computer con Bitdefender Antivirus for Mac 5.X, devi prima rimuovere quest'ultimo manualmente. Per istruzioni su come procedere, consulta questo articolo della KB.

• Porte di comunicazione di GravityZone