Este servidor só deverá ficar acessível quando o usuário entrar em um ambiente de rede controlado, para garantir que ele esteja realmente no ambiente identificado pelo ZENworks® Security Client. Instruções sobre configurações de failover e redundâncias podem ser encontradas a seguir. Se desejar, você poderá optar por implantar o CLAS (Client Location Assurance Service) no mesmo servidor que hospeda a Instalação de Servidor Único ou a instalação do Serviço de Gerenciamento de vários servidores.
Instale o CLAS em um servidor que os pontos de extremidade só conseguirão detectar quando estiverem em um ambiente de rede que exija verificação criptográfica.
A implantação do CLAS em um PDC (Primary Domain Controller - Controlador de Domínio Primário) não é suportada por razões de segurança e funcionalidade.
NOTA:É recomendado que o Servidor SSI seja configurado (reforçado) para desativar todos os aplicativos, serviços, contas e outras opções desnecessárias para a funcionalidade destinada do servidor. As etapas envolvidas dependem das especificações do ambiente local e, portanto, não podem ser descritas antecipadamente. Os administradores são avisados para consultar a seção apropriada da página da Web de segurança Microsoft TechNet. Recomendações adicionais de controle de acesso são fornecidas no Guia de Administração do ZENworks Endpoint Security Management.
Para restringir o acesso a máquinas confiáveis, configure o diretório virtual e o IIS para ter ACLs. Consulte os artigos a seguir:
Por motivos de segurança, é altamente recomendável que as seguintes pastas padrão sejam removidas de qualquer instalação do IIS:
IISHelp
IISAdmin
Scripts
Impressoras
Também recomendamos o uso da ferramenta IIS Lockdown Tool 2.1 disponível em microsoft.com.
A versão 2.1 é orientada por gabaritos fornecidos para os principais produtos Microsoft dependentes do IIS. Selecione o gabarito que melhor corresponda à função deste servidor. Em caso de dúvida, o gabarito de servidor Web Dinâmico é recomendado.
Antes de iniciar a instalação, verifique se os seguintes pré-requisitos são atendidos:
Verifique a resolução de nome do servidor MS (Serviço de Gerenciamento) para DS (Serviço de Distribuição de Política): confirme se o computador de destino em que o MS está instalado pode realizar ping no nome do servidor DS (NETBIOS se o DS for configurado dentro do firewall de rede ou FQDN se for instalado fora, na DMZ).
Habilite ou instale o IIS (Serviços de Informações da Internet) da Microsoft e verifique se o ASP.NET está habilitado.
IMPORTANTE:Não marque a caixa de seleção
na página Comunicações de Segurança. (No utilitário Gerenciamento do Computador da Microsoft, expanda > expanda > expanda > clique o botão direito do mouse em > clique em > clique na guia > clique no botão na caixa de grupo Comunicações de segurança.) A habilitação dessa opção interrompe a comunicação entre o servidor e o cliente ZENworks Endpoint Security Management no ponto de extremidade.Clique em
no menu da interface de Instalação. A instalação do CLAS é iniciada.Na inicialização, o programa de instalação verifica se todos os softwares necessários estão presentes no servidor. Se algum software estiver ausente, ele será instalado automaticamente antes que a instalação prossiga para a tela de boas-vindas (talvez seja necessário aceitar os contratos de licença dos softwares adicionais). Se o MDAC (Microsoft Data Access Components) 2.8 não estiver instalado, o servidor deverá ser reinicializado após instalação desse recurso e antes da conclusão da instalação do ZENworks Endpoint Security Management. Se você estiver usando o Windows 2003 Server, o ASP.NET 2.0 será configurado para ser executado pelo programa de instalação.