Prima di eseguire i seguenti passaggi, creare una copia di backup di Kaspersky Security Center Administration Server utilizzando gli strumenti KL (Backup dei dati di Administration Server o l'utilità klbackup) e salvarla in una posizione sicura.
Utilizzo della verifica in due passaggi con Administration Server
Kaspersky Security Center fornisce la verifica in due passaggi per gli utenti di Kaspersky Security Center Web Console e Administration Console, basata sullo standard RFC 6238 (TOTP: Time-Based One-Time Password Algorithm).
Quando la verifica in due passaggi è abilitata per il proprio account, ogni volta che si accede a Kaspersky Security Center Web Console o Administration Console è necessario immettere il nome utente, la password e un codice di sicurezza monouso aggiuntivo. Se si utilizza l'autenticazione del dominio per il proprio account, è sufficiente immettere un codice di sicurezza monouso aggiuntivo. Per ricevere un codice di sicurezza monouso è necessario installare un'app di autenticazione nel computer o nel dispositivo mobile.
Esistono autenticatori software e hardware (token) che supportano lo standard RFC 6238. Ad esempio, gli autenticatori software includono Google Authenticator, Microsoft Authenticator, FreeOTP.
Si sconsiglia vivamente di installare l'app di autenticazione nello stesso dispositivo da cui viene stabilita la connessione ad Administration Server. È possibile installare un'app di autenticazione nel dispositivo mobile.
Utilizzo dell'autenticazione a due fattori per un sistema operativo
Si consiglia di utilizzare l'autenticazione a più fattori (MFA) per l'autenticazione nel dispositivo Administration Server utilizzando un token, una smart card o un altro metodo (se possibile).
Divieto di salvare la password amministratore
Se si utilizza Administration Console, si sconsiglia di salvare la password dell'amministratore nella finestra di dialogo di connessione di Administration Server.
Se si utilizza Kaspersky Security Center Web Console, si sconsiglia di salvare la password amministratore nel browser installato nel dispositivo dell'utente.
Autenticazione di un account utente interno
Per impostazione predefinita, la password di un account utente interno di Administration Server deve rispettare le seguenti regole:
La password deve avere una lunghezza compresa tra 8 e 16 caratteri.
La password deve contenere caratteri da almeno tre dei gruppi elencati di seguito:
Lettere maiuscole (A-Z)
Lettere minuscole (a-z)
Numeri (0-9)
Caratteri speciali (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;)
La password non deve contenere spazi, caratteri Unicode o la combinazione di "." e "@", quando "." si trova prima di "@".
Per impostazione predefinita, il numero massimo di tentativi di immissione della password consentiti è 10. È possibile modificare il numero di tentativi di immissione della password consentiti.
L'utente di Kaspersky Security Center può immettere una password non valida un numero limitato di volte. Una volta raggiunto il limite, l'account utente viene bloccato per un'ora.
Gruppo di amministrazione dedicato per Administration Server
Si consiglia di creare un gruppo di amministrazione dedicato per Administration Server. Concedere a questo gruppo diritti di accesso speciali e creare un criterio di sicurezza speciale per lo stesso.
Per evitare di abbassare intenzionalmente il livello di sicurezza di Administration Server, si consiglia di limitare l'elenco degli account che possono gestire il gruppo di amministrazione dedicato.
I gruppi KLAdmins e KLOperators
Durante l'installazione di Kaspersky Security Center vengono creati automaticamente i gruppi KLAdmins e KLOperators. Al gruppo KLAdmins vengono concessi tutti i diritti di accesso. Al gruppo KLOperators sono concessi solo i diritti di lettura ed esecuzione. I diritti concessi al gruppo KLAdmins sono bloccati.
È possibile visualizzare i gruppi KLAdmins e KLOperators e apportare modifiche a questi utilizzando gli strumenti di amministrazione standard del sistema operativo.
Quando si sviluppano i regolamenti per l'utilizzo di Administration Server, è necessario determinare se lo specialista della sicurezza delle informazioni richiede l'accesso completo (e l'inclusione nel gruppo KLAdmins) per eseguire le attività standard.
La maggior parte delle attività amministrative di base può essere distribuita tra reparti aziendali (o diversi dipendenti dello stesso reparto) e di conseguenza tra diversi account. In Kaspersky Security Center, è inoltre possibile impostare la differenziazione dell'accesso ai gruppi di amministrazione. Di conseguenza, è possibile implementare uno scenario in cui l'autorizzazione per gli account del gruppo KLAdmins sarà anomala e potrebbe essere considerata un incidente.
Se Kaspersky Security Center è stato installato con un account di sistema, i gruppi vengono creati solo nel dispositivo Administration Server. In questo caso, si consiglia di verificare che nel gruppo siano incluse solo le voci create durante l'installazione di Kaspersky Security Center. Si sconsiglia di aggiungere gli eventuali gruppi al gruppo KLAdmins (locale e/o di dominio) creato automaticamente durante l'installazione di Kaspersky Security Center. È inoltre necessario limitare i diritti per modificare questo gruppo. Il gruppo KLAdmins deve includere solo singoli account senza privilegi.
Se l'installazione è stata eseguita con un account utente di dominio, i gruppi KLAdmins e KLOperators vengono creati sia in Administration Server che nel dominio che include Administration Server. Si consiglia un approccio simile come l'installazione di un account locale.
Limitazione dell'appartenenza al ruolo di amministratore principale
Si consiglia di limitare l'appartenenza al ruolo di amministratore principale.
Per impostazione predefinita, dopo l'installazione di Administration Server, il ruolo di amministratore principale viene assegnato al gruppo di amministratori locali e al gruppo KLAdmins creato. È utile per la gestione, ma è fondamentale dal punto di vista della sicurezza, poiché il ruolo di amministratore principale ha una vasta gamma di privilegi. L'assegnazione di questo ruolo agli utenti dovrebbe essere strettamente regolamentata.
Gli amministratori locali possono essere esclusi dall'elenco di utenti con privilegi di amministratore di Kaspersky Security Center. Il ruolo di amministratore principale non può essere rimosso dal gruppo KLAdmins. È possibile includere nel gruppo KLAdmins gli account che verranno utilizzati per gestire Administration Server.
Se si utilizza l'autenticazione del dominio, si consiglia di limitare i privilegi degli account amministratore di dominio in Kaspersky Security Center. Per impostazione predefinita, questi account hanno il ruolo di amministratore principale. Inoltre, un amministratore di dominio può includere il proprio account nel gruppo KLAdmins per ottenere il ruolo di amministratore principale. Per evitare questo, nelle impostazioni di sicurezza di Kaspersky Security Center è possibile aggiungere il gruppo Domain Users e quindi definire le relative regole di divieto. Queste regole devono avere la precedenza su quelle di autorizzazione.
È inoltre possibile utilizzare i ruoli utente predefiniti con un set di diritti già configurato.
Configurazione dei diritti di accesso alle funzionalità dell'applicazione
Si consiglia di utilizzare una configurazione flessibile dei diritti di accesso alle funzionalità di Kaspersky Security Center per ciascun utente o gruppo di utenti.
Il controllo degli accessi in base al ruolo consente la creazione di ruoli utente standard con un set di diritti predefinito e l'assegnazione di tali ruoli agli utenti sulla base dell'ambito delle relative mansioni lavorative.
Principali vantaggi del modello di controllo degli accessi in base al ruolo:
È possibile assegnare ruoli predefiniti a determinati dipendenti in base alle loro posizioni o creare ruoli completamente nuovi.
Durante la configurazione dei ruoli, prestare attenzione ai privilegi associati alla modifica dello stato di protezione del dispositivo Administration Server e all'installazione remota di software di terzi:
Questo privilegio consente di impostare notifiche che eseguono uno script o un modulo eseguibile nel dispositivo Administration Server quando si verifica un evento.
Account separato per l'installazione remota delle applicazioni
Oltre alla differenziazione di base dei diritti di accesso, si consiglia di limitare l'installazione remota delle applicazioni per tutti gli account (ad eccezione dell'amministratore principale o di un altro account specializzato).
Si consiglia di utilizzare un account separato per l'installazione remota delle applicazioni. È possibile assegnare un ruolo o autorizzazioni all'account separato.
Protezione degli accessi privilegiati di Windows
Si consiglia di consultare i suggerimenti di Microsoft per garantire la sicurezza degli accessi privilegiati. Per visualizzare questi suggerimenti, consultare l'articolo Protezione degli accessi privilegiati.
Uno dei punti chiave dei suggerimenti è l'implementazione di workstation ad accesso privilegiato (PAW, Privileged Access Workstation).Utilizzo di un account MSA (Managed Service Account) o di account gMSA (group Managed Service Account) per eseguire il servizio Administration Server
Active Directory dispone di un tipo speciale di account per l'esecuzione sicura dei servizi, denominati MSA/gMSA. Kaspersky Security Center supporta gli account MSA e gli account gMSA. Se nel dominio vengono utilizzati questi tipi di account, è possibile selezionarne uno come account del servizio Administration Server.
Controllo periodico di tutti gli utenti
Si consiglia di eseguire un controllo periodico di tutti gli utenti sul dispositivo Administration Server. In questo modo, è possibile rispondere a determinati tipi di minacce alla sicurezza associate alla possibile compromissione del dispositivo.
Inizio pagina