Gli utenti dovrebbero poter accedere a questo server solo quando entrano in un ambiente di rete controllato, per avere la certezza di trovarsi effettivamente nell'ambiente identificato da ZENworks® Security Client. Di seguito sono riportate istruzioni sulle configurazioni per failover e ridondanze. Se lo si desidera, è possibile distribuire il servizio garanzia ubicazioni client (CLAS) nello stesso server che ospita l'installazione del servizio di gestione su server singolo o su più server.
Installare il servizio CLAS su un server rilevabile dai punti finali solo in un ambiente di rete che richieda verifica crittografica.
La distribuzione del servizio CLAS su un PDC (controller di dominio primario) non è supportata sia per motivi di sicurezza che di funzionalità.
NOTA:È consigliabile che il server SSI venga configurato (consolidato) in modo da disattivare tutte le applicazioni, i servizi, gli account e le altre opzioni non necessarie alla funzionalità designata del server. La procedura utilizzata dipende dalle specifiche dell'ambiente locale, pertanto non è possibile descriverla in anticipo. Si consiglia agli amministratori di consultare la sezione appropriata della pagina Web sulla sicurezza di Microsoft Technet. Ulteriori raccomandazioni relative al controllo dell'accesso sono disponibili nella Guida dell'amministratore di ZENworks Endpoint Security Management.
Per garantire un accesso protetto esclusivamente a computer attendibili, è possibile impostare la directory virtuale e IIS in modo da includere elenchi ACL. Fare riferimento agli articoli riportati di seguito:
Per motivi di sicurezza, si raccomanda di rimuovere da qualsiasi installazione IIS le seguenti cartelle di default:
IISHelp
IISAdmin
Script
Stampanti
Si consiglia inoltre di utilizzare IIS Lockdown Tool 2.1, disponibile sul sito microsoft.com.
La versione 2.1 è controllata da modelli forniti per i principali prodotti Microsoft dipendenti da IIS. Selezionare il modello maggiormente corrispondente al ruolo di questo server. In caso di dubbi, si consiglia il modello di server Web dinamico.
Prima di iniziare l'installazione, accertarsi che esistano i seguenti prerequisiti:
Garantire la risoluzione dei nomi server dal servizio di gestione (MS) al servizio di distribuzione norme (DS): accertarsi che il computer di destinazione in cui viene installato MS sia in grado di eseguire il "ping" del nome server DS (NETBIOS se il servizio di distribuzione è configurato nel firewall di rete, FQDN se invece è installato all'esterno, nella DMZ).
Abilitare o installare i servizi Microsoft IIS (Internet Information Services) ed accertarsi che ASP.NET sia attivo.
IMPORTANTE:Non selezionare la casella di controllo
nella pagina Comunicazioni protette (nell'utility Gestione computer di Microsoft espandere > espandere > espandere > fare clic con il pulsante destro del mouse su > fare clic su > fare clic sulla scheda > fare clic sul pulsante nella casella di gruppo Comunicazioni protette). La selezione di questa opzione interrompe la comunicazione tra il server e il client ZENworks Endpoint Security Management sull'endpoint.Fare clic su
dal menu Interfaccia di installazione. Ha inizio l'installazione del servizio CLAS.All'avvio, il programma di installazione verifica che tutto il software necessario sia presente sul server. Eventuali componenti mancanti vengono installati automaticamente prima che l'installazione prosegua fino alla schermata iniziale (potrebbe essere necessario accettare contratti di licenza per software aggiuntivo). Se i componenti MDAC (Microsoft Data Access Components) 2.8 non sono installati, sarà necessario installarli e riavviare il server prima di proseguire con l'installazione di ZENworks Endpoint Security Management. Se si utilizza Windows 2003 Server, ASP.NET 2.0 verrà configurato per essere eseguito dal programma di installazione.