Verwendung von TLS
Wir empfehlen, unsichere Verbindungen zum Administrationsserver zu verbieten. Beispielsweise können Sie in den Einstellungen des Administrationsservers Verbindungen verbieten, die HTTP verwenden.
Beachten Sie, dass standardmäßig einige HTTP-Ports des Administrationsservers geschlossen sind. Der verbleibende Port wird für den Webserver des Administrationsservers (8060) verwendet. Dieser Port kann durch die Firewall-Einstellungen des Administrationsservers eingeschränkt werden.
Restriktive TLS-Einstellungen
Wir empfehlen, das TLS-Protokoll ab Version 1.2 zu verwenden und unsichere Verschlüsselungsalgorithmen einzuschränken oder zu verbieten.
Sie können die vom Administrationsserver verwendeten Verschlüsselungsprotokolle konfigurieren (TLS). Beachten Sie, dass zum Veröffentlichungszeitpunkt einer Administrationsserver-Version die Einstellungen des Verschlüsselungsprotokolls standardmäßig so konfiguriert sind, dass sie eine sichere Datenübertragung gewährleisten.
Einschränkung des Zugriffs auf die Administrationsserver-Datenbank
Wir empfehlen eine Einschränkung des Zugriffs auf die Administrationsserver-Datenbank. Beispielsweise können Sie den Zugriff lediglich vom Gerät des Administrationsservers aus zulassen. Dadurch wird die Wahrscheinlichkeit verringert, dass die Datenbank des Administrationsservers aufgrund bekannter Schwachstellen kompromittiert wird.
Sie können die Parameter gemäß des Handbuchs der verwendeten Datenbank konfigurieren sowie geschlossene Ports auf Firewalls bereitstellen.
Verbot der Remote-Authentifizierung durch Verwendung von Windows-Konten
Sie können den Parameter "LP_RestrictRemoteOsAuth"-verwenden, um SSPI-Verbindungen von Remote-Adressen zu verbieten. Mit diesem Parameter können Sie die Remote-Authentifizierung auf dem Administrationsserver unter Verwendung lokaler Konten oder Windows-Domänenkonten verbieten.
So setzen Sie den Parameter "LP_RestrictRemoteOsAuth-Flag" für den Modus zum Verbieten von Verbindungen mit Remote-Adressen:
klscflag.exe -fset -pv .core/.independent -s KLLIM -n LP_RestrictRemoteOsAuth -t d -v 1
Der Parameter "LP_RestrictRemoteOsAuth" funktioniert nicht, wenn die Remote-Authentifizierung über die Kaspersky Security Center Web Console oder die Verwaltungskonsole durchgeführt wird, die auf dem Gerät mit dem Administrationsserver installiert ist.
Authentifizierung von Microsoft SQL Server
Wenn Kaspersky Security Center als DBMS Microsoft SQL Server verwendet, ist es notwendig, von Kaspersky Security Center benötigte Daten, die in die oder aus der Datenbank übertragen werden, sowie Daten, die in der Datenbank gespeichert werden, vor unbefugtem Zugriff zu schützen. Dazu müssen Sie die Kommunikation zwischen Kaspersky Security Center und SQL Server absichern. Die zuverlässigste Möglichkeit zur Bereitstellung einer sicheren Kommunikation besteht darin, Kaspersky Security Center und SQL Server auf demselben Gerät zu installieren und den Mechanismus für gemeinsame Speichernutzung für beide Anwendungen zu verwenden. In allen anderen Fällen empfehlen wir die Verwendung eines SSL-/TLS-Zertifikats zur Authentifizierung der SQL Server-Instanz.
Eine Allow-Liste von IP-Adressen für die Verbindung mit dem Administrationsserver konfigurieren
Standardmäßig können sich Benutzer auf jedem Gerät, auf dem sie die Kaspersky Security Center Web Console öffnen können, oder auf dem die MMC-basierte Verwaltungskonsole installiert ist, an Kaspersky Security Center anmelden. Sie können den Administrationsserver jedoch auch so konfigurieren, dass Benutzer nur von Geräten mit zugelassenen IP-Adressen eine Verbindung zu ihm herstellen dürfen. Selbst wenn ein Eindringling an die Anmeldedaten eines Benutzerkontos von Kaspersky Security Center gelangt, kann er oder sie sich nur mit IP-Adressen aus der Allow-Liste an Kaspersky Security Center anmelden.
Nach oben