Antes de realizar los siguientes pasos, cree una copia de seguridad del Servidor de administración de Kaspersky Security Center con las herramientas KL (Copia de seguridad de los datos del Servidor de administración o utilidad klbackup) y guárdela en un lugar seguro.
Uso de la verificación en dos pasos con el Servidor de administración
Kaspersky Security Center proporciona verificación en dos pasos para usuarios de Kaspersky Security Center Web Console y la Consola de administración, según el estándar RFC 6238 (TOTP: algoritmo de contraseña de un solo uso basado en tiempo).
Cuando la verificación en dos pasos está activada para su propia cuenta, cada vez que inicie sesión en Kaspersky Security Center Web Console o la Consola de administración, debe introducir su nombre de usuario, contraseña y un código de seguridad adicional de un solo uso. Si usa la autenticación de dominio para su cuenta, basta con ingresar un código de seguridad adicional de un solo uso. Para recibir un código de seguridad de un solo uso, debe haber instalado una app de autenticación en su ordenador o dispositivo móvil.
Existen autenticadores de software y de hardware (tokens) que admiten el estándar RFC 6238. Por ejemplo, los autenticadores de software incluyen Google Authenticator, Microsoft Authenticator o FreeOTP.
No recomendamos en absoluto instalar la app de autenticación en el mismo dispositivo desde el que se establece la conexión con el Servidor de administración. Puede instalar una app de autenticación en su dispositivo móvil.
Uso de la autenticación de dos factores para un sistema operativo
Recomendamos utilizar la autenticación multifactor (MFA) para la autenticación en el dispositivo Servidor de administración mediante un token, una tarjeta inteligente u otro método (si es posible).
Prohibición de guardar la contraseña de administrador
Si utiliza la Consola de administración, no recomendamos guardar la contraseña de administrador en el cuadro de diálogo de conexión del Servidor de administración.
Si utiliza Kaspersky Security Center Web Console, no recomendamos guardar la contraseña de administrador en el navegador instalado en el dispositivo del usuario.
Autenticación de una cuenta de usuario interna
Por defecto, la contraseña de una cuenta de usuario interna del Servidor de administración debe cumplir con las siguientes reglas:
La contraseña debe tener entre 8 y 16 caracteres
La contraseña debe contener caracteres de al menos tres de los grupos enumerados a continuación:
Letras mayúsculas (A-Z)
Letras minúsculas (a-z)
Números (0-9)
Carácteres especiales (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;)
La contraseña no debe contener espacios en blanco, caracteres Unicode o la combinación de "." y "@", cuando "." está colocado delante de "@".
De forma predeterminada, el número máximo de intentos permitidos para introducir una contraseña es 10. Puede cambiar el número de intentos de entrada de contraseña permitidos.
El usuario de Kaspersky Security Center puede introducir una contraseña no válida un número limitado de veces. Una vez que se alcanza el límite, la cuenta de usuario se bloquea durante una hora.
Grupo de administración dedicado para el Servidor de administración
Recomendamos crear un grupo de administración dedicado para el Servidor de administración. Otorgue a este grupo derechos de acceso especiales y cree una directiva de seguridad especial para él.
Para evitar bajar intencionadamente el nivel de seguridad del Servidor de administración, recomendamos restringir la lista de cuentas que puede administrar el grupo de administración dedicado.
Los grupos KLAdmins y KLOperators
Los grupos KLAdmins y KLOperators se crean automáticamente durante la instalación de Kaspersky Security Center. El grupo KLAdmins tiene todos los derechos de acceso. El grupo KLOperators solo dispone de derechos de lectura y ejecución. Los derechos concedidos al grupo KLAdmins están bloqueados.
Puede ver los grupos KLAdmins y KLOperators, y realizar cambios en estos grupos, mediante las herramientas administrativas estándar del sistema operativo.
Al desarrollar regulaciones para trabajar con el Servidor de administración, es necesario determinar si el especialista en seguridad de la información necesita acceso completo (e inclusión en el grupo KLAdmins) para realizar tareas estándar.
La mayoría de las tareas básicas de administración se pueden distribuir entre departamentos de la empresa (o diferentes empleados del mismo departamento) y, en consecuencia, entre diferentes cuentas. También puede configurar la diferenciación de acceso a los grupos de administración en Kaspersky Security Center. Como resultado, es posible implementar un escenario en el que la autorización en las cuentas del grupo KLAdmins será anómala y podría considerarse un incidente.
Si Kaspersky Security Center se instaló en una cuenta del sistema, solo se crean grupos en el dispositivo del Servidor de administración. En este caso, recomendamos asegurarse de que solo se incluyan en el grupo las entradas creadas durante la instalación de Kaspersky Security Center. No recomendamos añadir ningún grupo al grupo KLAdmins (local o dominio) que se crea automáticamente durante la instalación de Kaspersky Security Center. También debe limitar los derechos para cambiar este grupo. El grupo KLAdmins debe incluir solo cuentas individuales sin privilegios.
Si la instalación se realizó con una cuenta de usuario de dominio, los grupos KLAdmins y KLOperators se crean tanto en el Servidor de administración como en el dominio que incluye el Servidor de administración. Se recomienda un enfoque similar, como la instalación de una cuenta local.
Restricción de la pertenencia a la función de Administrador principal
Recomendamos restringir la pertenencia a la función de Administrador principal.
De forma predeterminada, después de la instalación del Servidor de administración, la función de Administrador principal se asigna al grupo de administradores locales y al grupo KLAdmins creado. Es útil para la gestión, pero es crítico desde el punto de vista de la seguridad; debido a que el rol de Administrador Principal tiene una amplia gama de privilegios, la asignación de este rol a los usuarios debe estar estrictamente regulada.
Los administradores locales se pueden excluir de la lista de usuarios con privilegios de administrador de Kaspersky Security Center. La función de administrador principal no se puede eliminar del grupo KLAdmins. Puede incluir en el grupo KLAdmins las cuentas que se usarán para administrar el Servidor de administración.
Si utiliza la autenticación de dominio, le recomendamos que restrinja los privilegios de las cuentas de administrador de dominio en Kaspersky Security Center. De forma predeterminada, estas cuentas tienen la función de administrador principal. Además, un administrador de dominio puede incluir su cuenta en el grupo KLAdmins para obtener la función de Administrador principal. Para evitarlo, en la configuración de seguridad de Kaspersky Security Center, puede agregar el grupo Administradores de dominio y luego definir reglas de prohibición para él. Estas reglas deben prevalecer sobre las reglas de permisos.
También puede utilizar las funciones de usuario predefinidas con un conjunto de derechos ya configurado.
Configuración de los derechos de acceso a las funciones de la aplicación.
Recomendamos utilizar una configuración flexible de los derechos de acceso a las funciones de Kaspersky Security Center para cada usuario o grupo de usuarios.
El control de acceso basado en funciones permite la creación de funciones de usuario estándar con un conjunto de derechos preestablecido y la asignación de esas funciones a los usuarios según su ámbito de responsabilidad.
Las principales ventajas del modelo de control de acceso basado en funciones:
Puede asignar funciones integradas a ciertos empleados en función de sus puestos o crear funciones completamente nuevas.
Al configurar funciones, preste atención a los privilegios asociados con el cambio del estado de protección del dispositivo del Servidor de administración y la instalación remota de software de terceros:
Este privilegio le permite configurar notificaciones que ejecutan un script o un módulo ejecutable en el dispositivo Servidor de administración cuando ocurre un evento.
Cuenta separada para la instalación remota de aplicaciones
Además de la diferenciación básica de derechos de acceso, recomendamos restringir la instalación remota de aplicaciones para todas las cuentas (excepto para el Administrador principal u otra cuenta especializada).
Recomendamos usar una cuenta separada para la instalación remota de aplicaciones. Puede asignar un rol o permisos a la cuenta separada.
Asegurar el acceso privilegiado de Windows
Recomendamos tener en cuenta las recomendaciones de Microsoft para proporcionar seguridad de acceso privilegiado. Para ver estas recomendaciones, consulte el artículo Protección del acceso con privilegios.
Uno de los puntos clave de las recomendaciones es la implementación de estaciones de trabajo con acceso con privilegios (PAW).Usar una cuenta de servicios administrados (MSA) o cuentas de servicios administrados en grupo (gMSA) para ejecutar el servicio del Servidor de administración
Active Directory tiene un tipo especial de cuentas para ejecutar servicios de forma segura, llamado cuenta de servicios administrados en grupo (MSA/gMSA). Kaspersky Security Center es compatible con cuentas de servicios administrados (MSA) y cuentas de servicios administrados en grupo (gMSA). Si se utilizan estos tipos de cuentas en su dominio, puede seleccionar una de ellas como la cuenta para el servicio del Servidor de administración.
Auditoría periódica de todos los usuarios
Recomendamos realizar una auditoría periódica de todos los usuarios en el dispositivo del Servidor de administración. Esto le permite responder a ciertos tipos de amenazas de seguridad asociadas con un posible compromiso del dispositivo.
Principio de página