Uso de TLS
Recomendamos prohibir las conexiones no seguras al Servidor de administración. Por ejemplo, puede prohibir las conexiones que usan HTTP en la configuración del Servidor de administración.
Tenga en cuenta que, de forma predeterminada, varios puertos HTTP del Servidor de administración están cerrados. El puerto restante se utiliza para el servidor web del Servidor de administración (8060). Este puerto puede estar limitado por la configuración del firewall del dispositivo del Servidor de administración.
Configuración de TLS estricta
Recomendamos usar el protocolo TLS de la versión 1.2 y posteriores, y restringir o prohibir los algoritmos de cifrado no seguros.
Puede configurar los protocolos de cifrado (TLS) utilizado por el Servidor de administración. Tenga en cuenta que, en el momento del lanzamiento de una versión del Servidor de administración, la configuración del protocolo de cifrado está establecida de forma predeterminada para garantizar una transferencia de datos segura.
Prohibición de autenticación remota mediante el uso de cuentas de Windows
Puede usar el indicador LP_RestrictRemoteOsAuth para prohibir las conexiones SSPI desde direcciones remotas. Esta marca le permite prohibir la autenticación remota en el Servidor de administración mediante el uso de cuentas de Windows locales o de dominio.
Para cambiar el indicador LP_RestrictRemoteOsAuth al modo de prohibición de conexiones desde las direcciones remotas:
klscflag.exe -fset -pv .core/.independent -s KLLIM -n LP_RestrictRemoteOsAuth -t d -v 1
El indicador LP_RestrictRemoteOsAuth no funciona si la autenticación remota se realiza a través de Kaspersky Security Center Web Console o la Consola de administración que está instalada en el dispositivo del Servidor de administración.
Restricción del acceso a la base de datos del Servidor de administración.
Recomendamos restringir el acceso a la base de datos del Servidor de administración. Por ejemplo, otorgue acceso solo desde el dispositivo del Servidor de administración. Esto reduce la probabilidad de que la base de datos del Servidor de administración se vea comprometida debido a vulnerabilidades conocidas.
Puede configurar los parámetros de acuerdo con las instrucciones de funcionamiento de la base de datos utilizada, así como proporcionar puertos cerrados en los firewalls.
Autenticación de Microsoft SQL Server
Si Kaspersky Security Center utiliza Microsoft SQL Server como DBMS, es necesario proteger los datos de Kaspersky Security Center transferidos hacia o desde la base de datos, y los datos almacenados en la base de datos, de accesos no autorizados. Para hacer esto, debe proporcionar una comunicación segura entre Kaspersky Security Center y SQL Server. La forma más confiable de garantizar una comunicación segura es instalar Kaspersky Security Center y SQL Server en el mismo dispositivo y usar el mecanismo de memoria compartida para ambas aplicaciones. En todos los demás casos, le recomendamos que use un certificado SSL/TLS para autenticar la instancia de SQL Server.
Por lo general, el Servidor de administración puede dirigirse a SQL Server a través de los siguientes proveedores:
Este proveedor se instala en el sistema operativo Windows y se utiliza de manera predeterminada.
Si desea utilizar este proveedor, debe instalarlo en el dispositivo con el Servidor de administración y, luego, establecer el valor 1
en la variable de entorno global KLDBADO_UseMSOLEDBSQL
.
Si desea utilizar este proveedor, debe instalarlo en el dispositivo con el Servidor de administración y, luego, establecer el valor 1
en la variable de entorno global KLDBADO_UseMSOLEDBSQL
y el valor MSOLEDBSQL19
en la variable de entorno global KLDBADO_ProviderName
.
Además, antes de usar TCP/IP, Named Pipes, o Shared memory, asegúrese de que el protocolo requerido esté activado.
Interacción de seguridad con un SGBD externo
Si el SGBD se instala en un dispositivo independiente durante la instalación del Servidor de Administración (SGBD externo), recomendamos configurar los parámetros para una interacción y autenticación seguras con este SGBD. Para obtener más información sobre cómo configurar la autenticación SSL, consulte Autenticación del servidor PostgreSQL y Escenario: autenticación del servidor MySQL.
Configuración de una lista de admitidos de direcciones IP para conectarse al Servidor de administración
De forma predeterminada, los usuarios de Kaspersky Security Center pueden iniciar sesión en Kaspersky Security Center desde cualquier dispositivo donde estén instaladas la Consola de administración basada en MMC, Kaspersky Security Center Web Console o las aplicaciones OpenAPI. Puede configurar que el Servidor de administración únicamente acepte conexiones de dispositivos que tengan una dirección IP permitida. Por ejemplo, si un intruso intenta conectarse a Kaspersky Security Center a través del Servidor de Kaspersky Security Center Web Console instalado en un dispositivo que no está incluido en la lista de admitidos, no podrá iniciar sesión en Kaspersky Security Center.
Configurar una lista de direcciones IP permitidas para conectarse a Kaspersky Security Center Linux Web Console
De forma predeterminada, los usuarios de Kaspersky Security Center pueden conectarse a Kaspersky Security Center Web Console desde cualquier dispositivo. En un dispositivo con Kaspersky Security Center Web Console instalado, debe configurar el firewall (integrado en el sistema operativo o en uno de terceros) para que los usuarios puedan conectarse a Kaspersky Security Center Web Console solo desde direcciones IP permitidas.
Seguridad de la conexión al controlador de dominio durante el sondeo
El Servidor de administración o un punto de distribución Linux se conectan al controlador de dominio a través de LDAPS para sondear el dominio. De forma predeterminada, la verificación del certificado no es obligatoria durante el establecimiento de la conexión. Para forzar la verificación del certificado, establezca el indicador KLNAG_LDAP_TLS_REQCERT
en 1. Además, puede especificar una ruta personalizada a la entidad de certificación (CA) para acceder a la cadena de certificados mediante el indicador KLNAG_LDAP_SSL_CACERT
.