Verbindungssicherheit

Verwendung von TLS

Wir empfehlen, unsichere Verbindungen zum Administrationsserver zu verbieten. Beispielsweise können Sie in den Einstellungen des Administrationsservers Verbindungen verbieten, die HTTP verwenden.

Beachten Sie, dass standardmäßig einige HTTP-Ports des Administrationsservers geschlossen sind. Der verbleibende Port wird für den Webserver des Administrationsservers (8060) verwendet. Dieser Port kann durch die Firewall-Einstellungen des Administrationsservers eingeschränkt werden.

Restriktive TLS-Einstellungen

Wir empfehlen, das TLS-Protokoll ab Version 1.2 zu verwenden und unsichere Verschlüsselungsalgorithmen einzuschränken oder zu verbieten.

Sie können die vom Administrationsserver verwendeten Verschlüsselungsprotokolle konfigurieren (TLS). Beachten Sie, dass zum Veröffentlichungszeitpunkt einer Administrationsserver-Version die Einstellungen des Verschlüsselungsprotokolls standardmäßig so konfiguriert sind, dass sie eine sichere Datenübertragung gewährleisten.

Verbot der Remote-Authentifizierung durch Verwendung von Windows-Konten

Sie können den Parameter "LP_RestrictRemoteOsAuth"-verwenden, um SSPI-Verbindungen von Remote-Adressen zu verbieten. Mit diesem Parameter können Sie die Remote-Authentifizierung auf dem Administrationsserver unter Verwendung lokaler Konten oder Windows-Domänenkonten verbieten.

So setzen Sie den Parameter "LP_RestrictRemoteOsAuth-Flag" für den Modus zum Verbieten von Verbindungen mit Remote-Adressen:

1. Führen Sie die Windows-Eingabeaufforderung als Administrator aus und wechseln Sie anschließend in das Verzeichnis mit dem Tool "klscflag". Das Tool "klscflag" befindet sich in dem Verzeichnis, in dem der Administrationsserver installiert ist. Der Standardinstallationspfad lautet <Laufwerksbuchstabe>:\Programme (x86)\ Kaspersky Lab\ Kaspersky Security Center.
2. Führen Sie den folgenden Befehl in der Befehlszeile aus, um den Wert des Flags "LP_RestrictRemoteOsAuth" anzugeben:

   klscflag.exe -fset -pv .core/.independent -s KLLIM -n LP_RestrictRemoteOsAuth -t d -v 1

3. Starten Sie den Dienst des Administrationsservers neu.

Der Parameter "LP_RestrictRemoteOsAuth" funktioniert nicht, wenn die Remote-Authentifizierung über die Kaspersky Security Center Web Console oder die Verwaltungskonsole durchgeführt wird, die auf dem Gerät mit dem Administrationsserver installiert ist.

Einschränkung des Zugriffs auf die Administrationsserver-Datenbank

Wir empfehlen eine Einschränkung des Zugriffs auf die Administrationsserver-Datenbank. Beispielsweise können Sie den Zugriff lediglich vom Gerät des Administrationsservers aus zulassen. Dadurch wird die Wahrscheinlichkeit verringert, dass die Administrationsserver-Datenbank aufgrund bekannter Schwachstellen kompromittiert wird.

Sie können die Parameter gemäß des Handbuchs der verwendeten Datenbank konfigurieren sowie geschlossene Ports auf Firewalls bereitstellen.

Authentifizierung von Microsoft SQL Server

Wenn Kaspersky Security Center als DBMS Microsoft SQL Server verwendet, ist es notwendig, von Kaspersky Security Center benötigte Daten, die in die oder aus der Datenbank übertragen werden, sowie Daten, die in der Datenbank gespeichert werden, vor unbefugtem Zugriff zu schützen. Dazu müssen Sie eine sichere Kommunikation zwischen Kaspersky Security Center und SQL Server gewährleisten. Die zuverlässigste Möglichkeit zur Bereitstellung einer sicheren Kommunikation besteht darin, Kaspersky Security Center und SQL Server auf demselben Gerät zu installieren und den Mechanismus für gemeinsame Speichernutzung für beide Anwendungen zu verwenden. In allen anderen Fällen empfehlen wir die Verwendung eines SSL-/TLS-Zertifikats zur Authentifizierung der SQL Server-Instanz.

Im Allgemeinen kann der Administrationsserver einen SQL Server über die folgenden Provider adressieren:

• SQLOLEDB mittels TCP/IP oder Named Pipes

  Dieser ist Teil des Windows-Betriebssystems und wird standardmäßig verwendet.

• MSOLEDBSQL mittels TCP/IP, Named Pipes oder Shared-Speicher

  Wenn Sie diesen Provider verwenden möchten, müssen Sie ihn auf dem Gerät mit dem Administrationsserver installieren und anschließend den Wert der globalen Umgebungsvariable KLDBADO_UseMSOLEDBSQL auf 1 setzen.

• MSOLEDBSQL19 mittels TCP/IP, Named Pipes oder Shared-Speicher

  Wenn Sie diesen Provider verwenden möchten, müssen Sie ihn auf dem Gerät mit dem Administrationsserver installieren und anschließend den Wert der globalen Umgebungsvariable KLDBADO_UseMSOLEDBSQL auf 1 und den Wert der globalen Umgebungsvariable KLDBADO_ProviderName auf MSOLEDBSQL19 setzen.

Stellen Sie vor der Verwendung von TCP/IP, Named Pipes oder Shared-Speicher außerdem sicher, dass das erforderliche Protokoll aktiviert ist.

Sichere Interaktion mit einem externen DBMS

Wenn das DBMS während der Installation des Administrationsservers auf einem separaten Gerät installiert wird (externes DBMS), wird es empfohlen, die Parameter für die sichere Interaktion und Authentifizierung mit diesem DBMS anzupassen. Weitere Informationen über die Konfiguration der SSL-Authentifizierung finden Sie unter "Authentifizierung am PostgreSQL-Server" und im Szenario: Authentifizierung am MySQL-Server".

Eine Allow-Liste von IP-Adressen für die Verbindung mit dem Administrationsserver konfigurieren

Die Anmeldung an Kaspersky Security Center ist für die Benutzer von Kaspersky Security Center standardmäßig von jedem Gerät aus möglich, auf dem die MMC-basierte Verwaltungskonsole, die Kaspersky Security Center Web Console oder OpenAPI-Anwendungen installiert sind. Sie können den Administrationsserver auch so konfigurieren, dass Benutzer nur von Geräten mit zugelassenen IP-Adressen eine Verbindung zu ihm herstellen dürfen. Wenn beispielsweise eine angreifende Person versucht, sich bei Kaspersky Security Center mittels eines Servers der Kaspersky Security Center Web Console anzumelden, der auf einem Gerät installiert ist, das nicht auf der Allow-Liste steht, kann sich diese Person nicht an Kaspersky Security Center anmelden.

Allow-Liste mit IP-Adressen für die Verbindung mit Kaspersky Security Center Web Console konfigurieren

Standardmäßig können sich Benutzer von Kaspersky Security Center von jedem Gerät aus mit der Kaspersky Security Center Web Console verbinden. Auf einem Gerät mit installierter Kaspersky Security Center Web Console müssen Sie eine Firewall konfigurieren (via Betriebssystem oder Drittanbieter-Anwendung), damit sich Benutzer nur mit erlaubten IP-Adressen mit der Kaspersky Security Center Web Console verbinden können.

Sicherheit der Verbindung mit dem Domänencontroller während der Abfrage

Um die Domäne abzufragen, verbinden sich der Administrationsserver oder ein Linux-Verteilungspunkt per LDAPS mit dem Domänencontroller. Standardmäßig ist bei der Verbindung keine Überprüfung des Zertifikats notwendig. Um die Überprüfung des Zertifikats zu erzwingen, setzen Sie das Flag KLNAG_LDAP_TLS_REQCERT auf "1". Sie können außerdem einen benutzerdefinierten Pfad zur Zertifizierungsstelle (CA) angeben, um über das Flag KLNAG_LDAP_SSL_CACERT auf die Zertifikatkette zuzugreifen.

Nach oben