سلامة الاتصال

استخدام بروتوكول TLS

نوصي بحظر الاتصالات غير الآمنة بخادم الإدارة. على سبيل المثال، يمكنك حظر الاتصالات التي تستخدم بروتوكول HTTP في إعدادات خادم الإدارة.

ويرجى ملاحظة أنه بشكل افتراضي، يتم إغلاق العديد من منافذ HTTP لخادم الإدارة. ويتم استخدام المنفذ المتبقي لخادم ويب خادم الإدارة (8060).‏ ويمكن تقييد هذا المنفذ من خلال إعدادات جدار الحماية لجهاز خادم الإدارة.

إعدادات TLS الصارمة

نوصي باستخدام بروتوكول TLS الإصدار 1.2 وأحدث، وتقييد أو حظر خوارزميات التشفير غير الآمن.

يمكنك تكوين بروتوكولات التشفير (TLS) التي يستخدمها خادم الإدارة. ويرجى ملاحظة أنه في وقت إصدار إصدار خادم الإدارة، تم تكوين إعدادات بروتوكول التشفير افتراضيًا لضمان النقل الآمن للبيانات.

حظر المصادقة عن بُعد باستخدام حسابات Windows

يمكنك استخدام العلامة LP_RestrictRemoteOsAuth لمنع اتصالات SSPI من العناوين البعيدة. وتسمح لك هذه العلامة بمنع المصادقة عن بُعد على خادم الإدارة باستخدام حسابات Windows المحلية أو المجال.

لتبديل العلامة LP_RestrictRemoteOsAuth إلى وضع حظر الاتصالات من العناوين البعيدة:

1. قم بتشغيل موجه الأوامر في Windows باستخدام حقوق المسؤول، ثم قم بتغيير الدليل الحالي إلى الدليل الذي يحتوي على الأداة المساعدة klscflag. توجد الأداة المساعدة klscflag في المجلد حيث تم تثبيت خادم الإدارة. مسار التثبيت الافتراضي هو <Disk>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.‏
2. نفذ الأمر التالي في سطر الأوامر لتحديد قيمة علامة LP_RestrictRemoteOsAuth:‏

   klscflag.exe -fset -pv .core/.independent -s KLLIM -n LP_RestrictRemoteOsAuth -t d -v 1

3. قم بإعادة تشغيل خدمة خادم الإدارة.

لا تعمل العلامة LP_RestrictRemoteOsAuth إذا تم إجراء المصادقة عن بُعد من خلال Kaspersky Security Center Web Console أو وحدة تحكم الإدارة المثبتة على جهاز خادم الإدارة.

تقييد الوصول إلى قاعدة بيانات خادم الإدارة

نوصي بتقييد الوصول إلى قاعدة بيانات خادم الإدارة. على سبيل المثال، امنح الوصول فقط من جهاز خادم الإدارة. ويقلل هذا من احتمالية اختراق قاعدة بيانات خادم الإدارة بسبب ثغرات أمنية معروفة.

ويمكنك تكوين المعلمات وفقًا لتعليمات التشغيل الخاصة بقاعدة البيانات المستخدمة، بالإضافة إلى توفير منافذ مغلقة على جدران الحماية.

مصادقة Microsoft SQL Server

إذا كان Kaspersky Security Center يستخدم Microsoft SQL Server كنظام لإدارة قاعدة البيانات، من الضروري حماية بيانات Kaspersky Security Center المنقولة إلى قاعدة البيانات والبيانات المخزنة في قاعدة البيانات أو منها من الوصول غير المصرح به. ولفعل ذلك، يجب عليك توفير اتصال آمن بين Kaspersky Security Center وSQL Server. الطريقة الأكثر موثوقية لتوفير اتصال آمن هي تثبيت Kaspersky Security Center و SQL Server على نفس الجهاز واستخدام آلية الذاكرة المشتركة لكلا التطبيقين. وفي جميع الحالات الأخرى، نوصي باستخدام شهادة SSL / TLS لمصادقة مثيل SQL Server.‏

بشكل عام، يستطيع خادم الإدارة معالجة SQL Server من خلال موفري الخدمة التاليين:

• SQLOLEDB باستخدام TCP/IP أو قنوات مسماة

  يتم تثبيت موفر الخدمة هذا في نظام التشغيل Windows ويتم استخدامه بشكل افتراضي.

• MSOLEDBSQL باستخدام TCP/IP أو القنوات المسماة أو الذاكرة المشتركة

  إذا كنت تريد استخدام موفر الخدمة هذا، فيجب عليك تثبيت‏ على الجهاز المزود بخادم الإدارة، ثم تعيين القيمة ‏1 إلى متغير البيئة العام KLDBADO_UseMSOLEDBSQL.

• MSOLEDBSQL19 باستخدام TCP/IP أو القنوات المسماة أو الذاكرة المشتركة

  إذا كنت تريد استخدام موفر الخدمة هذا، فيجب عليك تثبيت ‏ على الجهاز المزود بخادم الإدارة، ثم تعيين القيمة ‏1 على متغير البيئة العام KLDBADO_UseMSOLEDBSQL، والقيمة MSOLEDBSQL19 إلى متغير البيئة العام KLDBADO_ProviderName.‏

أيضًا، قبل استخدام TCP/IP أو القنوات المسماة أو الذاكرة المشتركة، تأكد من تمكين البروتوكول المطلوب.

التفاعل الأمني مع نظام إدارة قواعد البيانات الخارجي

في حالة تثبيت نظام إدارة قواعد البيانات على جهاز منفصل أثناء تثبيت خادم الإدارة (نظام إدارة قواعد البيانات الخارجي)، فنحن نوصي بتكوين المعلمات للتفاعل الآمن والمصادقة مع نظام إدارة قواعد البيانات هذا. وللمزيد من المعلومات عن تكوين مصادقة SSL، راجع مصادقة خادم PostgreSQL والسيناريو: مصادقة خادم MySQL.‏

تكوين قائمة السماح بعناوين IP للاتصال بخادم الإدارة

بشكل افتراضي، يمكن لمستخدمي Kaspersky Security Center تسجيل الدخول إلى Kaspersky Security Center من أي جهاز تم تثبيت وحدة تحكم الإدارة المستندة إلى MMC أو Kaspersky Security Center Web Console أو تطبيقات OpenAPI عليه. ويمكنك تكوين خادم الإدارة بحيث يمكن للمستخدمين الاتصال به فقط من الأجهزة ذات عناوين IP المسموح بها. على سبيل المثال، إذا حاول أحد المتطفلين الاتصال بتطبيق Kaspersky Security Center عبر Kaspersky Security Center Web Console Server المثبت على جهاز غير مدرج في القائمة المسموح بها، فلن يتمكن من تسجيل الدخول إلى Kaspersky Security Center.‏

تكوين قائمة السماح لعناوين IP للاتصال مع Kaspersky Security Center Web Console

بشكل افتراضي، يمكن لمستخدمي Kaspersky Security Center الاتصال بتطبيق Kaspersky Security Center Web Console من أي جهاز. وعلى جهاز تم تثبيت Kaspersky Security Center Web Console عليه، يجب عليك تكوين جدار الحماية (المدمج في نظام التشغيل أو نظام خاص بجهة خارجية) حتى يتمكن المستخدمون من الاتصال بتطبيق Kaspersky Security Center Web Console فقط من عناوين IP المسموح بها.

أمان الاتصال بوحدة التحكم بالمجال أثناء الاستقصاء

يتصل خادم الإدارة أو نقطة توزيع Linux بوحدة التحكم بالمجال عبر LDAPS لاستقصاء المجال. وبشكل افتراضي، لا يلزم التحقق من الشهادة عند الاتصال. ولفرض التحقق من الشهادة، اضبط علامة KLNAG_LDAP_TLS_REQCERT على 1. أيضًا، يمكنك تحديد مسار مخصص إلى هيئة الشهادات (CA) للوصول إلى سلسلة الشهادات باستخدام علامة KLNAG_LDAP_SSL_CACERT.‏

أعلى الصفحة