TLS の使用
管理サーバーへのセキュアでない接続を禁止することを推奨します。たとえば、管理サーバーの設定で HTTP を使用する接続を禁止することができます。
既定では、管理サーバーの HTTP ポートが閉じられていることに注意してください。残りのポートは、管理サーバーのウェブサーバー(8060)に使用されます。このポートは、管理サーバーデバイスのファイアウォール設定によって制限される場合があります。
厳密な TLS 設定
バージョン 1.2 以降の TLS プロトコルを使用し、セキュアでない暗号化アルゴリズムを制限または禁止することを推奨します。
管理サーバーが使用する暗号化プロトコル(TLS)を設定できます。管理サーバーのバージョンのリリース時には、安全なデータ転送を確保するために暗号化プロトコルが既定で設定されていることに注意してください。
Windows アカウントによるリモート認証の禁止
LP_RestrictRemoteOsAuth フラグを使用して、リモートアドレスからの SSPI 接続を禁止することができます。このフラグを使用すると、ローカルまたはドメインの Windows アカウントを使用した管理サーバーでのリモート認証を禁止することができます。
LP_RestrictRemoteOsAuth フラグをリモートアドレスからの接続を禁止するモードに切り替えるには:
klscflag.exe -fset -pv .core/.independent -s KLLIM -n LP_RestrictRemoteOsAuth -t d -v 1
リモート認証が Kaspersky Security Center Web コンソールまたは管理サーバーデバイスにインストールされている管理コンソールを介して実行される場合、LP_RestrictRemoteOsAuth フラグは機能しません。
管理サーバーデータベースへのアクセスを制限する
管理サーバーデータベースへのアクセスを制限することを推奨します。たとえば、管理サーバーデバイスからのみアクセスを許可します。これにより、既知の脆弱性が原因で管理サーバーデータベースが危険にさらされる可能性が低くなります。
使用するデータベースの操作説明書に従ってパラメータを構成したり、ファイアウォールで閉じたポートを提供したりすることができます。
Microsoft SQL Server の認証
Kaspersky Security Center が Microsoft SQL Server を DBMS として使用する場合、データベースとの間で転送される Kaspersky Security Center のデータおよびデータベースに保存されているデータを不正アクセスから保護する必要があります。これを行うには、Kaspersky Security Center と SQL Server の間の通信を保護する必要があります。セキュアな通信を実現する最も確実な方法は、Kaspersky Security Center と SQL Server を同じデバイスにインストールし、両方のアプリケーションで共有メモリ機構を使用する方法です。それ以外の場合は、SSL または TLS 証明書を使用して SQL Server インスタンスを認証することを推奨します。
通常、管理サーバーは次のプロバイダーを通じて SQL Server にアドレス指定できます:
このプロバイダーは Windows オペレーティングシステムにインストールされ、既定で使用されます。
このプロバイダを使用する場合は、インストールする必要があります。管理サーバーを使用してデバイスにインストールし、グローバル環境変数 KLDBADO_UseMSOLEDBSQL に値 1 を設定します。
このプロバイダを使用する場合は、インストールする必要があります。管理サーバーを使用してデバイス上で実行し、グローバル環境変数 KLDBADO_UseMSOLEDBSQL に値 1 を設定し、またグローバル環境変数 KLDBADO_ProviderName に値 MSOLEDBSQL19 を追加します。
また、TCP/IP、名前付きパイプ、または共有メモリを使用する前に、必要なプロトコルが有効になっていることを確認してください。
外部 DBMS とのセキュリティ対話
管理サーバー(外部 DBMS)のインストール中に DBMS が別のデバイスにインストールされる場合は、この DBMS とのセキュアな対話と認証のためのパラメータを設定することを推奨します。SSL 認証の設定の詳細については、「PostgreSQL サーバーの認証」および「シナリオ:MySQL サーバーの認証」を参照してください。
管理サーバーに接続するための IP アドレスの許可リストの設定
既定では、Kaspersky Security Center ユーザーは、MMC ベースの管理コンソール、Kaspersky Security Center Web コンソール、または OpenAPI アプリケーションがインストールされている任意のデバイスから Kaspersky Security Center にログインできます。管理サーバーを設定することで、ユーザーが許可された IP アドレスを持つデバイスからのみ管理サーバーに接続できるように設定できます。たとえば、侵入者が許可リストに含まれていないデバイスにインストールされた Kaspersky Security Center Web コンソールサーバーを介して Kaspersky Security Center に接続しようとしても、Kaspersky Security Center にログインすることはできません。
Kaspersky Security Center Web コンソールに接続するための IP アドレスの許可リストの設定
既定では、Kaspersky Security Center ユーザーはどのデバイスからでも Kaspersky Security Center Web コンソールに接続できます。Kaspersky Security Center Web コンソールがインストールされているデバイスでは、ユーザーが許可された IP アドレスからのみ Kaspersky Security Center Web コンソールに接続できるように、ファイアウォール(オペレーティングシステムに組み込まれているものまたはサードパーティ製のもの)を設定する必要があります。
ポーリング中のドメインコントローラーへの接続のセキュリティ
管理サーバーまたは Linux ディストリビューションポイントは、LDAP 経由でドメインコントローラーに接続し、ドメインをポーリングします。既定では、接続時に証明書の検証は必要ありません。証明書の検証を強制するには、 KLNAG_LDAP_TLS_REQCERTフラグを 1 に設定します。また、KLNAG_LDAP_SSL_CACERT フラグを使用して、証明書チェーンにアクセスするための証明機関(CA)へのカスタムパスを指定することもできます。