Utilizzo di TLS
Si consiglia di vietare le connessioni non sicure ad Administration Server. Ad esempio, è possibile vietare le connessioni che utilizzano HTTP nelle impostazioni di Administration Server.
Si noti che, per impostazione predefinita, diverse porte HTTP di Administration Server sono chiuse. La porta rimanente viene utilizzata per il server Web di Administration Server (8060). Questa porta può essere limitata dalle impostazioni del firewall del dispositivo Administration Server.
Impostazioni TLS rigorose
Si consiglia di utilizzare il protocollo TLS versione 1.2 e successive e di limitare o vietare gli algoritmi di criptaggio non sicuri.
È possibile configurare i protocolli di criptaggio (TLS) utilizzati da Administration Server. Si noti che al momento del rilascio di una versione di Administration Server, le impostazioni del protocollo di criptaggio sono configurate per impostazione predefinita per garantire un trasferimento sicuro dei dati.
Divieto di autenticazione remota tramite account Windows
È possibile utilizzare il contrassegno LP_RestrictRemoteOsAuth per vietare le connessioni SSPI da indirizzi remoti. Questo contrassegno consente di vietare l'autenticazione remota in Administration Server utilizzando account Windows locali o di dominio.
Per commutare il contrassegno LP_RestrictRemoteOsAuth nella modalità di divieto delle connessioni dagli indirizzi remoti:
klscflag.exe -fset -pv .core/.independent -s KLLIM -n LP_RestrictRemoteOsAuth -t d -v 1
Il contrassegno LP_RestrictRemoteOsAuth non funziona se l'autenticazione remota viene eseguita tramite Kaspersky Security Center Web Console o Administration Console installato nel dispositivo Administration Server.
Limitazione dell'accesso al database di Administration Server
Si consiglia di limitare l'accesso al database di Administration Server. Ad esempio, concedere l'accesso solo dal dispositivo Administration Server. In questo modo, si riduce la probabilità che il database di Administration Server venga compromesso a causa di vulnerabilità note.
È possibile configurare i parametri in base alle istruzioni operative del database utilizzato, nonché fornire porte chiuse sui firewall.
Autenticazione di Microsoft SQL Server
Se Kaspersky Security Center utilizza Microsoft SQL Server come DBMS, è necessario proteggere i dati di Kaspersky Security Center trasferiti da o verso il database e i dati archiviati nel database da accessi non autorizzati. A tale scopo, è necessario fornire comunicazione sicura tra Kaspersky Security Center e SQL Server. Il modo più affidabile per garantire comunicazioni sicure è installare Kaspersky Security Center e SQL Server nello stesso dispositivo e utilizzare il meccanismo di memoria condivisa per entrambe le applicazioni. In tutti gli altri casi, è consigliabile utilizzare un certificato SSL/TLS per autenticare l'istanza di SQL Server.
In genere, Administration Server può indirizzare SQL Server tramite i seguenti provider:
Questo provider è installato nel sistema operativo Windows e utilizzato per impostazione predefinita.
Se si desidera utilizzare questo provider, è necessario installarlo nel dispositivo con Administration Server, quindi impostare il valore 1 sulla variabile di ambiente globale KLDBADO_UseMSOLEDBSQL.
Se si desidera utilizzare questo provider, è necessario installarlo nel dispositivo con Administration Server, quindi impostare il valore 1 sulla variabile di ambiente globale KLDBADO_UseMSOLEDBSQL e il valore MSOLEDBSQL19 nella variabile di ambiente globale KLDBADO_ProviderName.
Inoltre, prima di utilizzare TCP/IP, Named Pipe o Memoria condivisa, verificare che il protocollo richiesto sia abilitato.
Interazione di sicurezza con un DBMS esterno
Se il DBMS è installato in un dispositivo separato durante l'installazione di Administration Server (DBMS esterno), si consiglia di configurare i parametri per l'interazione sicura e l'autenticazione con questo DBMS. Per ulteriori informazioni sulla configurazione dell'autenticazione SSL, fare riferimento a Autenticazione di PostgreSQL Server e Scenario: Autenticazione di MySQL Server.
Configurazione di una lista di indirizzi IP consentiti per la connessione ad Administration Server
Per impostazione predefinita, gli utenti di Kaspersky Security Center possono accedere a Kaspersky Security Center da qualsiasi dispositivo in cui sono installate le applicazioni Kaspersky Security Center Administration Console basato su MMC, Kaspersky Security Center Web Console oppure OpenAPI. È possibile configurare Administration Server in modo che gli utenti possano connettersi ad esso solo da dispositivi con indirizzi IP consentiti. Ad esempio, se un intruso tenta di connettersi a Kaspersky Security Center tramite Kaspersky Security Center Web Console Server installato su un dispositivo non incluso nella lista consentiti, non sarà in grado di accedere a Kaspersky Security Center.
Configurazione di una lista di indirizzi IP consentiti per connettersi a Kaspersky Security Center Web Console
Per impostazione predefinita, gli utenti di Kaspersky Security Center possono connettersi a Kaspersky Security Center Web Console da qualsiasi dispositivo. Su un dispositivo in cui è installato Kaspersky Security Center Web Console, è necessario configurare il firewall (integrato nel sistema operativo o di terze parti) in modo che gli utenti possano connettersi a Kaspersky Security Center Web Console solo da indirizzi IP consentiti.
Sicurezza della connessione al controller di dominio durante il polling
Administration Server o un punto di distribuzione Linux si connettono al controller di dominio tramite LDAPS per eseguire il polling del dominio. Per impostazione predefinita, la verifica del certificato non è richiesta durante la connessione. Per imporre la verifica del certificato, impostare il contrassegno KLNAG_LDAP_TLS_REQCERT su 1. È inoltre possibile specificare un percorso personalizzato all'autorità di certificazione (CA) per accedere alla catena di certificati utilizzando il contrassegno KLNAG_LDAP_SSL_CACERT.