Standardmäßig können sich Benutzer auf jedem Gerät, auf dem sie die Kaspersky Security Center Web Console (im Folgenden als Web Console bezeichnet) öffnen können, oder auf dem die MMC-basierte Verwaltungskonsole installiert ist, an Kaspersky Security Center anmelden. Sie können den Administrationsserver jedoch auch so konfigurieren, dass Benutzer nur von Geräten mit zugelassenen IP-Adressen eine Verbindung zu ihm herstellen dürfen. Selbst wenn ein Eindringling an die Anmeldedaten eines Benutzerkontos von Kaspersky Security Center gelangt, kann er sich in diesem Fall nicht bei Kaspersky Security Center anmelden, da die IP-Adresse des Geräts des Eindringlings nicht auf der Allow-Liste steht.
Die IP-Adresse wird überprüft, wenn sich ein Benutzer an Kaspersky Security Center anmeldet oder eine Anwendung ausführt, die mit dem Administrationsserver über Kaspersky Security Center OpenAPI interagiert. In so einem Moment versucht das Gerät des Benutzers, eine Verbindung mit dem Administrationsserver herzustellen. Befindet sich die IP-Adresse des Geräts nicht auf der Allow-Liste, tritt ein Authentifizierungsfehler auf und das Ereignis KLAUD_EV_SERVERCONNECT benachrichtigt Sie darüber, dass eine Verbindung mit dem Administrationsserver abgelehnt wurde.
Anforderungen an eine Allow-Liste mit IP-Adressen
IP-Adressen werden nur überprüft, wenn die folgenden Programme versuchen, sich mit dem Administrationsserver zu verbinden:
Wenn Sie sich auf einem Gerät an der Web Console anmelden und der Server der Web Console auf einem anderen Gerät installiert ist, können Sie auf dem Gerät mit installierter Web Console eine Firewall konfigurieren, indem Sie die Standardmittel des Betriebssystems verwenden. Wenn anschließend jemand versucht, sich an der Web Console anzumelden, hilft eine Firewall dabei, Eingriffe durch Eindringlinge abzuwehren.
Geben Sie daher Adressen der Geräte an, auf denen die oben aufgeführten Anwendungen installiert sind.
Sie können sowohl IPv4- als auch IPv6-Adressen angeben. Sie können keine IP-Adressbereiche angeben.
So erstellen Sie eine Allow-Liste mit IP-Adressen
Wenn Sie zuvor noch keine Allow-Liste erstellt haben, folgen Sie den nachstehenden Anweisungen.
So erstellen Sie die Allow-Liste mit IP-Adressen zur Anmeldung an Kaspersky Security Center:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "<IP-Adressen
>" -t s
Geben Sie IP-Adressen an, die den oben aufgeführten Anforderungen entsprechen. Mehrere IP-Adressen müssen durch ein Semikolon getrennt werden.
Beispiel, um nur einem Gerät die Verbindung mit dem Administrationsserver zu erlauben:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0" -t s
Beispiel, um mehreren Geräten die Verbindung mit dem Administrationsserver zu erlauben:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0; 198.51.100.0; 203.0.113.0" -t s
Dem Kaspersky-Ereignisprotokoll des Administrationsservers können Sie entnehmen, ob Sie die Allow-Liste mit IP-Adressen erfolgreich konfiguriert haben.
So ändern Sie eine Allow-Liste mit IP-Adressen
Sie können eine Allow-Liste auf gleiche Weise ändern, wie Sie es bei der erstmaligen Erstellung getan haben. Führen Sie daher denselben Befehl aus und geben Sie eine neue Allow-Liste an:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "<IP-Adressen
>" -t s
Wenn Sie einige IP-Adressen aus der Zulassungsliste löschen möchten, erstellen Sie diese neu. Ihre Allow-Liste enthält beispielsweise die folgenden IP-Adressen: 192.0.2.0; 198.51.100.0 und 203.0.113.0. Sie möchten die IP-Adresse 198.51.100.0 aus der Liste löschen. Geben Sie dafür den folgenden Befehl in die Eingabeaufforderung ein:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0; 203.0.113.0" -t s
Stellen Sie sicher, den Dienst des Administrationsservers neu zu starten.
Zurücksetzen einer konfigurierten Allow-Liste mit IP-Adressen
So setzen Sie eine bereits konfigurierte Allow-Liste mit IP-Adressen zurück:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "" -t s
Anschließend werden IP-Adressen nicht mehr überprüft.
Nach oben