Il servizio di gestione deve essere installato su un server protetto dietro un firewall e non può condividere lo stesso server del servizio di distribuzione norme (fatta eccezione per l'installazione su server singolo, vedere Sezione 3.0, Installazione su server singolo). Per motivi di sicurezza, il servizio di gestione non deve essere installato all'esterno del firewall di rete. Dopo aver selezionato il server, annotarne il nome, ovvero i nomi NETBIOS e FQDN (Nome di dominio completo). La distribuzione del servizio di gestione su un PDC (controller di dominio primario) non è supportata sia per motivi di sicurezza che di funzionalità.
NOTA:È consigliabile che il server SSI venga configurato (consolidato) in modo da disattivare tutte le applicazioni, i servizi, gli account e le altre opzioni non necessarie alla funzionalità designata del server. La procedura utilizzata dipende dalle specifiche dell'ambiente locale, pertanto non è possibile descriverla in anticipo. Si consiglia agli amministratori di consultare la sezione appropriata della pagina Web sulla sicurezza di Microsoft Technet. Ulteriori raccomandazioni relative al controllo dell'accesso sono disponibili nella Guida dell'amministratore di ZENworks Endpoint Security Management.
Per garantire un accesso protetto esclusivamente a computer attendibili, è possibile impostare la directory virtuale e IIS in modo da includere elenchi ACL. Fare riferimento agli articoli riportati di seguito:
Per motivi di sicurezza, si raccomanda di rimuovere da qualsiasi installazione IIS le seguenti cartelle di default:
IISHelp
IISAdmin
Script
Stampanti
Si consiglia inoltre di utilizzare IIS Lockdown Tool 2.1, disponibile sul sito microsoft.com.
La versione 2.1 è controllata da modelli forniti per i principali prodotti Microsoft dipendenti da IIS. Selezionare il modello maggiormente corrispondente al ruolo di questo server. In caso di dubbi, si consiglia il modello di server Web dinamico.
Prima di iniziare l'installazione verificare la conformità ai seguenti prerequisiti:
Garantire l'accesso a un servizio di directory supportato (eDirectory, Active Directory o domini di NT*). *= Supportato solo quando il servizio di gestione è installato su Microsoft Windows 2000 Advanced Server (SP4).
Se la distribuzione viene eseguita con un servizio eDirectory™, accertarsi che Novell Client™ sia installato sul server e sia in grado di eseguire l'autenticazione in modo corretto in eDirectory. Creare una password dell'account non modificabile da utilizzare per l'autenticazione della console di gestione (vedere Sezione 7.2.1, Aggiunta dei servizi eDirectory).
Assicurarsi che avvenga la risoluzione di nomi server da Endpoint Security Client a MS: verificare che i computer di destinazione (in cui è installato Endpoint Security Client) siano in grado di eseguire il ping del nome server MS. Se l'operazione riesce, questo è il valore immesso durante l'installazione. Se l'operazione non riesce, sarà necessario risolvere il problema prima di proseguire con l'installazione
Abilitare o installare IIS (Microsoft Internet Information Services), assicurarsi che ASP.NET sia abilitato e configurarlo per accettare i certificati SSL (Secure Socket Layer).
IMPORTANTE:Non selezionare la casella di controllo nella pagina Comunicazioni protette (nell'utility Gestione computer di Microsoft espandere > espandere > espandere > fare clic con il pulsante destro del mouse su > fare clic su > fare clic sulla scheda > fare clic sul pulsante nella casella di gruppo Comunicazioni protette). La selezione di questa opzione interrompe la comunicazione tra il server e il client ZENworks Endpoint Security Management sull'endpoint.
Se si utilizzano certificati SSL propri, accertarsi che la CA radice sia caricata sul computer e che il nome server convalidato nella procedura precedente (NETBIOS o FQDN) corrisponda al valore relativo al certificato configurato in IIS.
Se si utilizzano certificati propri o se è già stato installato il certificato firmato da se stessi di Novell, è anche possibile convalidare l'SSL verificando il seguente URL da un computer in cui è installato Endpoint Security Client: https://NOME_SERVER_MS/AuthenticationServer/UserService.asmx (dove NOME_SERVER_MS è il nome server). Dovrebbe restituire dati validi (una pagina html) e non avvisi di certificato. Prima dell'installazione devono essere risolti tutti gli avvisi di certificato.
Assicurare l'accesso a un RDBMS supportato (Microsoft SQL Server 2000 SP4, SQL Server Standard, SQL Server Enterprise, SQL 2005). Impostare il database sulla modalità mista.
Copiare la directory File di installazione ESM, contenente l'ID di installazione del servizio di distribuzione norme e il certificato SSL radice per tale servizio, all'interno della directory di installazione di questo server.