帳戶和身分驗證

通過管理伺服器使用雙步驟驗證

Kaspersky Security Center Linux 為卡巴斯基安全管理中心網頁主控台的使用者提供雙步驟驗證，基於 RFC 6238 標準（TOTP：基於時間的一次性密碼演算法）。

為帳戶啟用兩步驟驗證後，每次登入到卡巴斯基安全管理中心 網頁主控台時，都將輸入使用者名稱、密碼和其他一次性安全碼。若要接收一次性使用的安全碼，您必須在電腦或行動裝置上安裝驗證應用程式。

有支援 RFC 6238 標準的軟體和硬體驗證器（權杖）。例如，軟體驗證器包括 Google Authenticator、Microsoft Authenticator、FreeOTP。

我們強烈建議不要在與管理伺服器建立連線的同一台裝置上安裝驗證器應用程式。您可以在行動裝置上安裝驗證器應用程式。

對作業系統使用雙重身分驗證

我們建議使用權杖、智慧卡或其他方法（如果可能）在管理伺服器裝置上用多重要素身分驗證 (MFA) 進行身分驗證。

禁止儲存管理員密碼

如果您使用卡巴斯基安全管理中心網頁主控台，我們不建議在使用者裝置上安裝的瀏覽器中儲存管理員密碼。

內部使用者帳戶的身分驗證

預設情況下，管理伺服器內部使用者帳戶的密碼必須遵守以下規則：

• 密碼必須是 8 到 16 位字元長度。

• 密碼必須包含以下組中三組的字元：

  • 大寫字母 (A-Z)

  • 小寫字母 (a-z)

  • 數字 (0-9)

  • 特殊字元 (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;)

• 密碼不可以包含任何空白、Unicode 字元或 “.” 和「@」的組合，並且「@」前不可有「.」。

依預設，可輸入密碼的嘗試次數上限為 10 次。您可以變更允許的密碼輸入嘗試次數。

Kaspersky Security Center Linux 使用者可以輸入無效的密碼有限次數。達到限制後，使用者帳戶被鎖定一小時。

管理伺服器的專用管理群組

我們建議為管理伺服器建立一個專門的管理群組。授予該群組特殊存取權限並為其建立特殊安全政策。

為避免故意降低管理伺服器的安全級別，我們建議限制可以管理專用管理群組的帳戶清單。

限制主管理員角色的分配

由 kladduser 實用程式建立的使用者在管理伺服器的存取控制清單 (ACL) 中被指派為主管理員角色。我們建議避免將主管理員角色分配給大量使用者。

設定應用程式功能的存取權限

我們建議為每個使用者或群組靈活配置對 Kaspersky Security Center Linux 的功能的存取權限。

基於角色的存取控制可讓您使用一群組預先定義的權限建立標準使用者角色並根據使用者的職責範圍將這些角色分配給使用者。

基於角色的存取控制模型的主要優點：

• 易於管理
• 角色階層
• 最少特權方法
• 職責分離

您可以根據職位為某些員工分配內建角色，或建立全新的角色。

在配置角色時，需要注意與變更管理伺服器裝置防護狀態和遠端安裝協力廠商軟體相關的權限：

• 對管理群組進行管理。
• 管理伺服器操作。
• 遠端安裝。
• 變更用於儲存事件和傳送通知的參數。

  此權限允許您設定當事件發生時在管理伺服器裝置上執行指令碼或可執行模組的通知。

為遠端安裝應用程式使用單獨的帳戶

除了存取權限的基本區分外，我們建議限制所有帳戶（主要管理員或其他專用帳戶除外）的應用程式遠端安裝。

我們建議為遠端安裝應用程式使用單獨的帳戶。你可以分配角色或者權限給單獨帳戶。

定期稽核所有使用者

我們建議對管理伺服器裝置上的所有使用者進行定期稽核。這使您能夠應對與裝置可能受到危害相關的某些類型的安全威脅。