Architecture du Serveur d'administration
En général, le choix d'une architecture d'administration centralisée dépend de l'emplacement des appareils protégés, de l'accès depuis les réseaux adjacents, des schémas de diffusion des mises à jour des bases de données, etc.
Lors de la phase initiale du développement de l'architecture, nous vous recommandons de vous familiariser avec les Kaspersky Security Center et leur interaction, ainsi qu'avec les schémas de trafic de données et d'utilisation des ports.
Sur la base de ces informations, vous pouvez former une architecture qui spécifie :
Sélection de l'appareil pour l'installation du Serveur d'administration
Nous vous recommandons d'installer le Serveur d'administration sur un serveur dédié dans l'infrastructure de l'organisation. Si aucun autre logiciel tiers n'est installé sur le serveur, vous pouvez configurer les paramètres de sécurité en fonction des exigences de Kaspersky Security Center, sans dépendre des exigences des logiciels tiers.
Vous pouvez déployer le Serveur d'administration sur un serveur physique ou sur un serveur virtuel. Veuillez vous assurer que l'appareil sélectionné répond aux exigences matérielles et logicielles.
Emplacement du Serveur d'administration
Les appareils administrés par le Serveur d'administration peuvent être localisés comme suit :
Sur un réseau local (LAN)
Sur Internet
Dans la zone démilitarisée (DMZ)
Dans le même temps, le Serveur d'administration peut également se trouver dans différents segments : segments industriels, d'entreprise et DMZ.
Si vous utilisez Kaspersky Security Center pour administrer la protection d'un segment isolé du réseau, nous vous recommandons de déployer le Serveur d'administration dans un segment de la zone démilitarisée (DMZ). Cela vous permet d'organiser une segmentation correcte du réseau et de minimiser le flux de trafic vers le segment protégé, tout en conservant des capacités d'administration complètes et la livraison des mises à jour.
Restriction du déploiement du Serveur d'administration sur un contrôleur de domaine, un serveur de terminaux ou un appareil utilisateur
Il est fortement déconseillé d'installer le Serveur d'administration sur un contrôleur de domaine, un serveur de terminaux ou un appareil utilisateur.
Nous vous recommandons de prévoir une séparation fonctionnelle des nœuds de la clé de réseau. Cette approche vous permet de maintenir le fonctionnement de différents systèmes lorsqu'un nœud tombe en panne ou est compromis. En même temps, vous pouvez créer différentes stratégies de sécurité pour chaque nœud.
Par exemple, les restrictions de sécurité généralement appliquées à un contrôleur de domaine peuvent réduire considérablement les performances du Serveur d'administration et rendre impossible l'utilisation de certaines de ses fonctionnalités. Si un intrus obtient un accès privilégié au contrôleur de domaine, la base de données des services de domaine Active Directory (AD DS) peuvent être modifiés, endommagés ou détruits. De plus, tous les systèmes et comptes administrés par Active Directory peuvent être compromis.
Comptes pour l'installation et l'exécution du Serveur d'administration
Nous vous recommandons d'exécuter l'installation du Serveur d'administration sous un compte d'administrateur local pour éviter d'utiliser des comptes de domaine pour accéder à la base de données du Serveur d'administration. L'ensemble des comptes requis et leurs privilèges dépendent du type de SGBD sélectionné, de l'emplacement du SGBD et du mode de création de la base de données du Serveur d'administration.
Lors de l'installation de Kaspersky Security Center, les groupes d'utilisateurs KLAdmins et KLOperators sont automatiquement formés. Ces groupes possèdent des privilèges de connexion au Serveur d'administration et de fonctionnement avec ses objets.
Selon le compte utilisateur sous lequel l'installation de Kaspersky Security Center se passe, les groupes KLAdmins et KLOperators sont créés de la manière suivante :
Afin d'éviter de créer les groupes KLAdmins et KLOperators dans le domaine et, par conséquent, d'attribuer les privilèges d'administration du Serveur d'administration à un compte extérieur à l'appareil du Serveur d'administration, nous vous recommandons d'installer Kaspersky Security Center sous un compte local.
Lors de l'installation du Serveur d'administration, sélectionnez le compte qui sera utilisé pour démarrer le Serveur d'administration en tant que service. Par défaut, l'application crée un compte local nommé KL-AK-*, sous lequel le service du Serveur d'administration (le service klserver) sera exécuté.
Si nécessaire, le service du Serveur d'administration peut être lancé sous le compte utilisateur sélectionné. Ce compte doit disposer des privilèges nécessaires pour accéder au SGBD. Pour des raisons de sécurité, utilisez un compte utilisateur sans privilège pour exécuter le service du Serveur d'administration.
Pour éviter l'utilisation de paramètres de compte incorrects, nous vous recommandons de créer le compte automatiquement.
Exclusion du Serveur d'administration d'un domaine
Si vous utilisez le Serveur d'administration pour protéger des groupes d'appareils du système essentiel, nous vous déconseillons d'inclure l'appareil dans le domaine (s'il est utilisé). Cela vous permet de différencier les droits d'administration de Kaspersky Security Center et d'interdire l'accès au Serveur d'administration si le compte de domaine est compromis.
Veuillez noter que si vous installez le Serveur d'administration sur un appareil faisant partie du groupe de travail, les scénarios d'utilisation suivants du Serveur d'administration ne seront pas disponibles :
Vous pouvez utiliser le Serveur SQL sur un appareil distinct uniquement si le Serveur d'administration et le Serveur SQL font partie du domaine.
S'il est nécessaire d'installer le Serveur d'administration sur l'appareil qui fait partie d'un groupe de travail, vous pouvez utiliser Kaspersky Security Center Linux au lieu de Kaspersky Security Center Windows pour éviter l'installation du Serveur d'administration.
Haut de page