Arquitectura del Servidor de administración
En general, la elección de una arquitectura de administración centralizada depende de la ubicación de los dispositivos protegidos, el acceso desde redes adyacentes, los esquemas de entrega de actualizaciones de bases de datos, etc.
En la etapa inicial del desarrollo de la arquitectura, recomendamos familiarizarse con los componentes de Kaspersky Security Center y su interacción entre sí, así como con esquemas de tráfico de datos y uso de puertos.
Basándose en esta información, puede formar una arquitectura que especifique:
la selección de un dispositivo para la instalación del Servidor de administración
Recomendamos instalar el Servidor de administración en un servidor dedicado en la infraestructura de la organización. Si no hay otro software de terceros instalado en el servidor, puede configurar los ajustes de seguridad según los requisitos de Kaspersky Security Center, sin depender de los requisitos del software de terceros.
Puede desplegar el Servidor de administración en un servidor físico o en un servidor virtual. Asegúrese de que el dispositivo seleccionado cumple los requisitos de hardware y software.
Ubicación del Servidor de administración
Los dispositivos administrados por el Servidor de administración se pueden ubicar de la siguiente manera:
En una red de área local (LAN)
En Internet
En la zona desmilitarizada (DMZ)
Al mismo tiempo, el Servidor de administración también se puede ubicar en diferentes segmentos: industrial, corporativo y DMZ.
Si usa Kaspersky Security Center para administrar la protección de un segmento de red aislado, le recomendamos desplegar el Servidor de administración en un segmento de la zona desmilitarizada (DMZ). Esto le permite organizar una segmentación de red adecuada y minimizar el flujo de tráfico al segmento protegido, mientras se mantienen las capacidades de administración completas y la entrega de actualizaciones.
Restricción de despliegue del Servidor de administración en un controlador de dominio, un servidor de terminal o un dispositivo de usuario
Recomendamos encarecidamente no instalar el Servidor de administración en un controlador de dominio, un servidor de terminal o un dispositivo de usuario.
Le recomendamos que proporcione una separación funcional de los nodos clave de la red. Este enfoque le permite mantener la operatividad de diferentes sistemas cuando un nodo falla o se ve comprometido. Al mismo tiempo, puede crear diferentes directivas de seguridad para cada nodo.
Por ejemplo, las restricciones de seguridad que suelen aplicarse a un controlador de dominio pueden reducir significativamente el rendimiento del Servidor de administración e imposibilitar el uso de algunas funciones del Servidor de administración. Si un intruso obtiene acceso privilegiado al controlador de dominio, la base de datos de Servicios de dominio de Active Directory (AD DS) puede resultar modificada, dañada o destruida. Además, todos los sistemas y cuentas administrados por Active Directory pueden verse comprometidos.
Cuentas para instalar y ejecutar el Servidor de administración
Recomendamos ejecutar la instalación del Servidor de administración con una cuenta de administrador local para evitar el uso de cuentas de dominio para acceder a la base de datos del Servidor de administración. Un conjunto de cuentas requeridas y sus derechos depende del tipo de DBMS seleccionado, la ubicación del DBMS y el método de creación de la base de datos del Servidor de administración.
Los grupos KLAdmins y KLOperators se crean automáticamente durante la instalación de Kaspersky Security Center. A estos grupos se les otorgan permisos para conectarse al Servidor de administración y procesar los objetos de este.
Según el tipo de cuenta que se use para instalar Kaspersky Security Center, los grupos KLAdmins y KLOperators se crean de la siguiente manera:
Para evitar crear los grupos KLAdmins y KLOperators en el dominio y, como resultado, proporcionar privilegios para administrar el Servidor de administración a una cuenta fuera del dispositivo del Servidor de administración, recomendamos instalar Kaspersky Security Center en una cuenta local.
Durante la instalación del Servidor de administración, seleccione la cuenta que se utilizará para iniciar el Servidor de administración como servicio. De manera predeterminada, la aplicación crea una cuenta local llamada KL-AK-*, en la que se ejecutará el servicio del Servidor de administración (el servicio klserver).
Si es necesario, el servicio del Servidor de administración se puede ejecutar con la cuenta seleccionada. Esta cuenta debe tener los derechos necesarios para acceder al DBMS. Por motivos de seguridad, utilice una cuenta sin privilegios para ejecutar el servicio del Servidor de administración.
Para evitar el uso de configuraciones de cuenta incorrectas, le recomendamos generar la cuenta automáticamente.
Exclusión del Servidor de administración de un dominio
Si usa el Servidor de administración para proteger grupos de dispositivos de sistemas de gran importancia, no recomendamos incluir el dispositivo del Servidor de administración en el dominio. Esto le permite diferenciar los derechos de administración de Kaspersky Security Center y evitar el acceso al Servidor de administración en caso de que la cuenta de dominio se vea comprometida.
Tenga en cuenta que si instala el Servidor de administración en un dispositivo incluido en el grupo de trabajo, los siguientes escenarios de trabajo con el Servidor de administración no estarán disponibles:
Puede usar SQL Server en un dispositivo independiente solo si el Servidor de administración y SQL Server están incluidos en el dominio.
If you need to disconnect the Administration Server from the Active Directory domain, follow the steps described in the topic: How to change the name of the Kaspersky Security Center.
Si es necesario instalar el Servidor de administración en un dispositivo incluido en el grupo de trabajo, puede usar Kaspersky Security Center Linux en lugar de Kaspersky Security Center Windows para evitar instalar el Servidor de administración.
Principio de página