Konten und Authentifizierung

Bevor Sie die folgenden Schritte ausführen, erstellen Sie eine Backup-Kopie des Kaspersky Security Center Administrationsservers mithilfe der Aufgabe Backup der Daten des Administrationsservers anlegen oder des Tools "klbackup" und speichern Sie diese an einem sicheren Ort.

Verwendung der zweistufigen Überprüfung mit dem Administrationsserver

Kaspersky Security Center bietet eine zweistufige Überprüfung für Benutzer der Kaspersky Security Center Web Console und der Verwaltungskonsole. Diese basiert auf dem RFC 6238-Standard (TOTP: Time-Based One-Time Password Algorithm).

Wenn die zweistufige Überprüfung für Ihr eigenes Benutzerkonto aktiviert ist, müssen Sie bei jeder Anmeldung an der Kaspersky Security Center Web Console oder Verwaltungskonsole den Benutzernamen, das Kennwort und einen zusätzlichen Einmal-Sicherheitscode eingegeben. Wenn Sie für Ihr Konto die Domänenauthentifizierung verwenden, müssen Sie nur einen zusätzlichen Einmal-Sicherheitscode eingeben. Um einen Einmal-Sicherheitscode zu erhalten, müssen Sie eine Authenticator-App auf Ihrem Computer oder mobilen Gerät installieren.

Für den RFC 6238-Standard existieren sowohl Software- als auch Hardware-Authenticators (Token). Zu den Software-Authenticators gehören beispielsweise Google Authenticator, Microsoft Authenticator und FreeOTP.

Wir raten dringend davon ab, die Authenticator-App auf demselben Gerät zu installieren, von dem aus die Verbindung zum Administrationsserver hergestellt wird. Sie können eine Authenticator-App auf Ihrem Mobilgerät installieren.

Verwendung der Zwei-Faktor-Authentifizierung für ein Betriebssystem

Für die Authentifizierung auf dem Gerät des Administrationsservers empfehlen wir die Verwendung der Multi-Faktor-Authentifizierung (MFA) mithilfe eines Tokens, einer Smartcard oder einer anderen Methode (falls möglich).

Verbieten der Speicherung des Administratorpassworts

Wenn Sie die Verwaltungskonsole verwenden, raten wir davon ab, das Administratorkennwort im Feld des Verbindungsdialogs für den Administrationsservers zu speichern.

Wenn Sie Kaspersky Security Center Web Console verwenden, raten wir davon ab, das Administratorkennwort in einem auf dem Benutzergerät installierten Browser zu speichern.

Authentifizierung eines internen Benutzerkontos

Standardmäßig muss das Kennwort eines internen Benutzerkontos des Administrationsservers die folgende Regeln einhalten:

Standardmäßig liegt die maximale Anzahl zulässiger Versuche zur Eingabe eines Kennworts bei 10. Sie können die Anzahl der zulässigen Eingabeversuche für das Kennwort ändern.

Benutzer von Kaspersky Security Center können eine begrenzte Anzahl von ungültigen Kennwörtern eingeben. Wenn das Limit erreicht ist, wird das Benutzerkonto für eine Stunde gesperrt.

Dedizierte Administrationsgruppe für den Administrationsserver

Wir empfehlen die Erstellung einer dedizierten Administrationsgruppe für den Administrationsserver. Gewähren Sie dieser Gruppe gesonderte Zugriffsrechte und erstellen Sie eine gesonderte Sicherheitsrichtlinie für sie.

Um die Sicherheitsstufe des Administrationsservers nicht absichtlich herabzusetzen, empfehlen wir, die Liste der Konten einzuschränken, welche die dedizierte Administrationsgruppe verwalten dürfen.

Die Gruppen "KLAdmins" und "KLOperators"

Bei der Installation von Kaspersky Security Center werden die Gruppen "KLAdmins" und "KLOperators" automatisch erstellt. Der Gruppe "KLAdmins" werden alle Zugriffsrechte gewährt. Der Gruppe "KLOperators" werden nur Lese- und Ausführungsrechte gewährt. Die der Gruppe "KLAdmins" gewährten Berechtigungen sind gesperrt.

Sie können die Gruppen "KLAdmins" und "KLOperators" anzeigen und Änderungen an diesen Gruppen vornehmen, indem Sie die standardmäßigen Verwaltungstools des Betriebssystems verwenden.

Bei der Entwicklung von Vorschriften für die Arbeit mit dem Administrationsserver muss festgelegt werden, ob der Spezialist für Informationssicherheit zur Ausführung seiner Aufgaben den vollen Zugriff (und die Aufnahme in die Gruppe "KLAdmins") benötigt.

Die meisten grundlegenden Verwaltungsaufgaben können zwischen Unternehmensabteilungen (oder verschiedenen Mitarbeitern derselben Abteilung) und folglich zwischen verschiedenen Konten verteilt werden. Sie können im Kaspersky Security Center auch eine Differenzierung des Zugriffs für Administrationsgruppen einrichten. Daher ist es möglich, ein Szenario so zu implementieren, dass eine Autorisierung mittels Konten aus der Gruppe "KLAdmins" anomal ist und als Vorfall betrachtet werden könnte.

Wenn Kaspersky Security Center unter einem Systemkonto installiert wurde, werden Gruppen nur auf dem Gerät des Administrationsservers erstellt. In diesem Fall empfehlen wir sicherzustellen, dass nur Einträge in die Gruppe aufgenommen werden, die während der Installation von Kaspersky Security Center erstellt wurden. Wir empfehlen, keine Gruppen zur Gruppe "KLAdmins" (lokal und/oder Domäne) hinzuzufügen, die automatisch während der Installation von Kaspersky Security Center erstellt wird. Sie sollten auch die Rechte zum Ändern dieser Gruppe einschränken. Die Gruppe "KLAdmins" darf nur einzelne nicht-privilegierte Benutzerkonten enthalten.

Wenn die Installation unter einem Domänenbenutzerkonto durchgeführt wurde, werden die Gruppen "KLAdmins" und "KLOperators" sowohl auf dem Administrationsserver als auch in der Domäne erstellt, die den Administrationsserver enthält. Es wird ein ähnlicher Ansatz wie die Installation eines lokalen Kontos wird empfohlen.

Einschränken der Rolle "Hauptadministrator"

Wir empfehlen, für die Rolle "Hauptadministrator" die Zugehörigkeiten einzuschränken.

Standardmäßig wird nach der Installation des Administrationsservers die Rolle "Hauptadministrator" der Gruppe der lokalen Administratoren und der erstellten Gruppe "KLAdmins" zugewiesen. Sie ist für sinnvoll für zur Verwaltung, aber kritisch für die Sicherheit, da die Rolle des Hauptadministrators über umfangreiche Rechte verfügt. Die Vergabe dieser Rolle an Benutzer sollte restriktiv geregelt werden.

Lokale Administratoren können aus der Liste der Benutzer mit Administratorrechten von Kaspersky Security Center ausgeschlossen werden. Die Rolle "Hauptadministrator" kann nicht aus der Gruppe "KLAdmins" entfernt werden. Sie können der Gruppe "KLAdmins" die Konten hinzufügen die zur Verwaltung des Administrationsservers verwendet werden.

Wenn Sie die Domänenauthentifizierung verwenden, empfehlen wir, die Berechtigungen der Administratorkonten der Domäne in Kaspersky Security Center einzuschränken. Standardmäßig besitzen diese Konten die Rolle "Hauptadministrator". Außerdem kann ein Administrator der Domäne sein Konto in die Gruppe "KLAdmins" aufnehmen, um die Rolle "Hauptadministrator" zu erhalten. Um dies zu vermeiden, können Sie in den Sicherheitseinstellungen von Kaspersky Security Center die Gruppe "Domain Admins" hinzufügen und dann Verbotsregeln dafür definieren. Diese Regeln müssen Vorrang vor den Erlaubnisregeln haben.

Sie können auch die vordefinierten Benutzerrollen mit einem bereits konfigurierten Satz von Rechten verwenden.

Zugriffsrechte auf Programmfunktionen konfigurieren

Wir empfehlen, für jeden Benutzer oder jede Benutzergruppe eine flexible Konfiguration der Zugriffsrechte auf die Funktionen von Kaspersky Security Center.

Rollenbasierte Zugriffskontrolle erlaubt das Erstellen typischer Benutzerrollen mit einer vordefinierten Auswahl von Berechtigungen und das Zuweisen dieser Rollen an die Benutzer entsprechend ihrer dienstlichen Verpflichtungen.

Die Hauptvorteile des Modells der rollenbasierten Zugriffskontrolle:

Sie können bestimmten Mitarbeitern basierend auf deren Positionen vordefinierte Rollen zuweisen oder neue Rollen erstellen.

Achten Sie bei der Rollenkonfiguration auf die Berechtigungen, die mit der Änderung des Schutzstatus des Geräts mit dem Administrationsserver und der Remote-Installation von Software von Drittanbietern verbunden sind:

Separate Benutzerkonten für die Remote-Installation von Programmen

Neben der grundsätzlichen Unterscheidung der Zugriffsrechte empfehlen wir, die Remote-Installation von Programmen für alle Konten einzuschränken (außer für den Hauptadministrator oder ein anderes spezialisiertes Konto).

Für die Remote-Installation von Anwendungen empfehlen die Verwendung eines separaten Benutzerkontos. Sie können dem separaten Benutzerkonto eine Rolle zuweisen oder Berechtigungen zuweisen.

Schützen des privilegierten Zugriffs von Windows

Wir empfehlen, die von Microsoft zur Bereitstellung von privilegierter Zugriffssicherheit veröffentlichten Empfehlungen zu berücksichtigen. Diese Empfehlungen finden Sie im Artikel Schützen des priviligierten Zugriffs.

Einer der wichtigsten Punkte der Empfehlungen ist die Implementierung von Privileged Access Workstations (PAW).

Verwendung eines verwalteten Dienstkontos (Managed Service Account, MSA) oder eines verwalteten Gruppendienstkontos (Group Managed Service Account, gMSA) zum Ausführen des Dienstes des Administrationsservers

Active Directory verfügt über eine spezielle Art von Konten zum sicheren Ausführen von Diensten, genannt Gruppenverwaltetes Dienstkonto (MSA/gMSA). Kaspersky Security Center unterstützt verwaltete Dienstkonten (Managed Service Accounts, MSA) und gruppenverwaltete Dienstkonten (Group Managed Service Accounts, gMSA). Wenn solche Benutzerkonten in Ihrer Domäne verwendet werden, können Sie eines der Konten als Benutzerkonto für den Dienst des Administrationsservers wählen.

Regelmäßige Überprüfung aller Benutzer

Wir empfehlen, auf dem Gerät des Administrationsservers eine regelmäßige Überprüfung aller Benutzer durchzuführen. Auf diese Weise können Sie auf bestimmte Arten von Sicherheitsbedrohungen reagieren, die mit einer möglichen Kompromittierung des Geräts verbunden sind.

Nach oben