L'installazione su server singolo (SSI) di ZENworks® Endpoint Security Management consente la coesistenza sullo stesso server del servizio di distribuzione norme e del servizio di gestione (impossibile se non si utilizza questa opzione di installazione). Questo server deve essere distribuito all'interno del firewall per motivi di sicurezza e prevede che gli utenti ricevano gli aggiornamenti delle norme solo quando si trovano all'interno dell'infrastruttura aziendale oppure sono connessi mediante VPN.
La distribuzione dell'installazione su server singolo in un PDC (Controller di dominio primario) non è supportata sia per motivi di sicurezza che di funzionalità.
NOTA:È consigliabile che il server SSI venga configurato (consolidato) in modo da disattivare tutte le applicazioni, i servizi, gli account e le altre opzioni non necessarie alla funzionalità designata del server. La procedura utilizzata dipende dalle specifiche dell'ambiente locale, pertanto non è possibile descriverla in anticipo. Si consiglia agli amministratori di consultare la sezione appropriata della pagina Web sulla sicurezza di Microsoft Technet. Ulteriori raccomandazioni relative al controllo dell'accesso sono disponibili nella Guida dell'amministratore di ZENworks Endpoint Security Management.
Per garantire un accesso protetto esclusivamente a computer attendibili, è possibile impostare la directory virtuale e IIS in modo da includere elenchi ACL. Fare riferimento agli articoli riportati di seguito:
Per motivi di sicurezza, si raccomanda di rimuovere da qualsiasi installazione IIS le seguenti cartelle di default:
IISHelp
IISAdmin
Script
Stampanti
Si consiglia inoltre di utilizzare IIS Lockdown Tool 2.1, disponibile sul sito microsoft.com.
La versione 2.1 è controllata da modelli forniti per i principali prodotti Microsoft dipendenti da IIS. Selezionare il modello maggiormente corrispondente al ruolo di questo server. In caso di dubbi, si consiglia il modello di server Web dinamico.
Prima di iniziare l'installazione verificare la conformità ai seguenti prerequisiti:
Garantire l'accesso a un servizio di directory supportato (eDirectory™, Active Directory o domini di NT*). I domini di NT vengono supportati solo quando il servizio server singolo è installato su Microsoft Windows 2000 Advanced Server (SP4).
Se la distribuzione viene eseguita con un servizio eDirectory, accertarsi che Novell Client™ sia installato sul server e sia in grado di eseguire l'autenticazione in modo corretto in eDirectory. Creare una password dell'account non modificabile da utilizzare per l'autenticazione della console di gestione (vedere Sezione 7.2.1, Aggiunta dei servizi eDirectory).
Per la risoluzione di nomi server da Endpoint Security Client a server singolo, verificare che i computer di destinazione in cui viene installato Endpoint Security Client siano in grado di eseguire il ping del nome server SSI. Se l'operazione non riesce, sarà necessario risolvere il problema prima di proseguire con l'installazione (cambiare il nome del server SSI in FQDN/NETBIOS, cambiare AD per utilizzare FQDN/NETBIOS, cambiare le configurazioni DNS, modificando il file host locale sui computer di destinazione per includere le informazioni MS corrette e così via.).
Abilitare o installare i servizi IIS (Internet Information Services) di Microsoft ed eseguire la configurazione per accettare i certificati SSL (Secure Socket Layer).
IMPORTANTE:Non selezionare la casella di controllo
nella pagina Comunicazioni protette (nell'utility Gestione computer di Microsoft espandere > espandere > espandere > fare clic con il pulsante destro del mouse su > fare clic su > fare clic sulla scheda > fare clic sul pulsante nella casella di gruppo Comunicazioni protette). La selezione di questa opzione interrompe la comunicazione tra il server e il client ZENworks Endpoint Security Management sull'endpoint.Se si utilizzano certificati SSL propri, accertarsi che il certificato del servizio Web e la CA radice siano caricati sul computer e che il nome server convalidato nella procedura precedente (NETBIOS o FQDN) corrisponda al valore
relativo al certificato configurato in IIS.Se si utilizzano certificati propri o se è già stato installato il certificato firmato da se stessi di Novell, è anche possibile convalidare l'SSL verificando il seguente URL da un computer in cui è installato Endpoint Security Client: https://NOME_SERVER_SSI/AuthenticationServer/UserService.asmx (dove NOME_SERVER_SSI è il nome server). Dovrebbe restituire dati validi (una pagina html) e non avvisi di certificato. Tutti gli avvisi di certificato devono essere risolti prima dell'installazione, a meno che non si decida di utilizzare i certificati Novell firmati da se stessi.
Assicurare l'accesso a un RDBMS supportato (Microsoft SQL Server 2000 SP4, SQL Server Standard, SQL Server Enterprise). Impostare il database sulla modalità mista.