Comptes et authentification
Utilisation de la vérification en deux étapes avec le Serveur d'administration
Kaspersky Security Center Linux propose une vérification en deux étapes pour les utilisateurs de Kaspersky Security Center Web Console sur la base de la norme RFC 6238 (TOTP : Time-Based One-Time Password algorithm).
Lorsque la vérification en deux étapes est activée pour votre propre compte, chaque fois que vous vous connectez à Kaspersky Security Center Web Console, vous entrez votre nom d'utilisateur, votre mot de passe et un code de sécurité à usage unique supplémentaire. Pour recevoir un code de sécurité à usage unique, vous devez installer une application d'authentification sur votre ordinateur ou sur votre appareil mobile.
Il existe des authentificateurs logiciels et matériels (tokens) qui prennent en charge la norme RFC 6238. Par exemple, les authentificateurs logiciels incluent Google Authenticator, Microsoft Authenticator, FreeOTP.
Il est fortement déconseillé d'installer l'application d'authentification sur l'appareil à partir duquel la connexion au Serveur d'administration est établie. Vous pouvez installer une application d'authentification sur votre appareil mobile.
Utilisation de l'authentification à deux facteurs pour un système d'exploitation
Nous vous recommandons d'utiliser l'authentification multifacteur (MFA) pour l'authentification sur l'appareil du Serveur d'administration à l'aide d'un token, d'une carte à puce ou d'une autre méthode (si possible).
Interdiction d'enregistrer le mot de passe administrateur
Si vous utilisez Kaspersky Security Center Web Console, il est déconseillé d'enregistrer le mot de passe administrateur dans le navigateur installé sur la machine de l'utilisateur.
Authentification d'un compte utilisateur interne
Par défaut, le mot de passe d'un compte utilisateur interne du Serveur d'administration doit respecter les règles suivantes :
-
Le mot de passe doit compter entre 8 et 16 caractères.
-
Le mot de passe doit compter des caractères d'au moins trois des groupes ci-dessous :
-
Lettres majuscules (A-Z)
-
Lettre minuscules (a-z)
-
Chiffres (0-9)
-
Caractères spéciaux (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;)
-
-
Le mot de passe ne peut pas contenir d'espaces, de caractères Unicode ou de la combinaison « . » et « @ » lorsque « . » est placé devant « @ ».
Par défaut, le nombre maximal de tentatives autorisées est de 10. Vous pouvez modifier le nombre de tentatives autorisées de saisie du mot de passe.
L'utilisateur de Kaspersky Security Center Linux a droit à un nombre limité d'erreur lors de la saisie du mot de passe. Une fois cette limite atteinte, le compte utilisateur est bloqué pendant une heure.
Groupe d'administration dédié au Serveur d'administration
Nous vous recommandons de créer un groupe d'administration dédié pour le Serveur d'administration. Accordez à ce groupe des droits d'accès spéciaux et créez une stratégie de sécurité spéciale pour lui.
Pour éviter d'abaisser intentionnellement le niveau de sécurité du Serveur d'administration, nous vous recommandons de restreindre la liste des comptes qui peuvent gérer le groupe d'administration dédié.
Restrictions de l'attribution du rôle Administrateur primaire
L'utilisateur créé par l'utilitaire kladduser se voit attribuer le rôle Administrateur primaire dans la liste de contrôle d'accès (ACL) du Serveur d'administration. Nous vous recommandons d'éviter l'attribution du rôle Administrateur primaire à un grand nombre d'utilisateurs.
Configuration des droits d'accès aux fonctionnalités de l'application.
Nous vous recommandons d'utiliser une configuration flexible des droits d'accès aux fonctionnalités de Kaspersky Security Center Linux pour chaque utilisateur ou groupe d'utilisateurs.
Le contrôle d'accès basé sur les rôles permet de créer des rôles d'utilisateurs standard avec un ensemble prédéfini de droits et d'attribuer ces rôles aux utilisateurs en fonction de l'étendue de leurs tâches.
Les principaux avantages du modèle de contrôle d'accès basé sur les rôles :
- Facilité d'administration
- Hiérarchie des rôles
- Approche du moindre privilège
- Séparation des tâches
Vous pouvez attribuer des rôles prédéfinis à certains employés en fonction de leur poste ou créer des rôles entièrement nouveaux.
Lors de la configuration des rôles, tenez compte des privilèges liés à la modification de l'état de protection de l'appareil doté du Serveur d'administration et à l'installation à distance de logiciels tiers :
- Administration des groupes d'administration.
- Opérations avec le Serveur d'administration.
- Installation à distance.
- Modification des paramètres de stockage des événements et d'envoi des notifications.
Ce privilège vous permet de définir des notifications qui exécutent un script ou un module exécutable sur l'appareil du Serveur d'administration lorsqu'un événement se produit.
Compte séparé pour l'installation à distance des applications
En plus de la différenciation de base des droits d'accès, nous recommandons de restreindre l'installation à distance des applications pour tous les comptes (à l'exception de l'administrateur principal ou d'un autre compte spécialisé).
Nous vous recommandons d'utiliser un compte distinct pour l'installation à distance des applications. Vous pouvez attribuer un rôle ou des autorisations à un compte distinct.
Audit régulier de tous les utilisateurs
Nous vous recommandons d'effectuer un audit régulier de tous les utilisateurs sur l'appareil du Serveur d'administration. Cela vous permet de réagir à certains types de menaces pour la sécurité associées à une éventuelle compromission de l'appareil.