アカウントおよび認証

以下の手順を実行する前に、管理サーバーデータのバックアップまたは klbackup ユーティリティを使用して Kaspersky Security Center 管理サーバーのバックアップコピーを作成し、安全な場所に保存します。

管理サーバーでの二段階認証の使用

Kaspersky Security Center は、RFC 6238 標準（TOTP：Time-Based One-Time Password アルゴリズム）に基づいて、Kaspersky Security Center Web コンソールおよび管理コンソールのユーザーに「二段階認証」を提供します。

自分のアカウントに二段階認証が適用されると、Kaspersky Security Center Web コンソールまたは管理コンソールにログインするたびに、ユーザー名、パスワード、および追加の単回使用セキュリティコードを入力することになります。自分のアカウントでドメイン認証を使用している場合、さらに追加で 1 度だけ使用するセキュリティコードを入力する必要があります。1 度だけ使用するセキュリティコードを受け取るには、ご使用のコンピューターまたはモバイルデバイスなどに認証アプリがインストールされている必要があります。

RFC 6238 標準に対応したソフトウェアとハードウェアの両方の認証機能（トークン）があります。たとえば、ソフトウェア認証には、Google Authenticator、Microsoft Authenticator、FreeOTP などがあります。

管理サーバーへの接続が確立されているデバイスと同じデバイスに認証アプリをインストールすることは強く推奨しません。モバイルデバイスに認証アプリをインストールすることができます。

オペレーティングシステムの二要素認証の使用

管理サーバーデバイスでの認証には、トークン、スマートカード、またはその他の方法（可能な場合）を使用した多要素認証（MFA）を使用することを推奨します。

管理者パスワード保存の禁止

管理コンソールを使用する場合、管理サーバー接続ダイアログボックスに管理者パスワードを保存することは推奨しません。

Kaspersky Security Center Web コンソールを使用する場合、ユーザーのデバイスにインストールされているブラウザーに管理者パスワードを保存することは推奨しません。

内部ユーザーアカウントの認証

既定では、管理サーバーの内部ユーザーアカウントのパスワードは次の規則に従う必要があります：

• パスワードは、8 文字以上 16 文字以下にしてください。

• パスワードでは、次の文字種別のうち 3 つ以上を組み合わせてください。

  • アルファベット大文字（A-Z）

  • アルファベット小文字（a-z）

  • 数字（0 - 9）

  • 特殊文字（@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;）

• パスワードに空白文字や Unicode 文字を含めることはできません。また「.」の後に続けて「@」を入力することは避けてください。

既定では、許可されるパスワードの入力試行回数の上限は 10 回です。パスワード入力の試行回数を変更することができます。

Kaspersky Security Center ユーザーが無効なパスワードを入力できる回数には上限があります。入力回数が上限に達すると、ユーザーアカウントが 1 時間ブロックされます。

管理サーバー専用の管理グループ

管理サーバー専用の管理グループを作成することを推奨します。このグループには特別なアクセス権限を付与し、特別なセキュリティポリシーを作成します。

管理サーバーのセキュリティレベルを意図的に下げることを避けるために、専用の管理グループを管理できるアカウントのリストを制限することを推奨します。

KLAdmins および KLOperators グループ

Kaspersky Security Center のインストール時に、KLAdmins および KLOperators グループが自動的に作成されます。KLAdmins グループには、すべてのアクセス権が付与されています。KLOperators グループには、読み取りと実行の権限のみが付与されます。KLAdmins グループに付与される権限はロックされています。

オペレーティングシステムの標準の管理ツールを使用して、KLAdmins および KLOperators グループを表示したり、これらのグループに変更を加えたりすることができます。

管理サーバーを使用する際の規則を策定する場合、情報セキュリティの専門家が標準的なタスクを実行するためにフルアクセス（および KLAdmins グループへの参加）が必要かどうかを判断する必要があります。

基本的な管理タスクのほとんどは、会社の部門間（または同じ部門の異なる従業員）で分散させることができ、結果として異なるアカウント間で分散させることができます。Kaspersky Security Center で管理グループのアクセス差別化を設定することもできます。その結果、KLAdmins グループのアカウントでの認証が異常になり、インシデントと判断される可能性があるシナリオを実装することができます。

Kaspersky Security Center がシステムアカウントでインストールされた場合、グループは管理サーバーデバイスでのみ作成されます。この場合、Kaspersky Security Center のインストール時に作成されたエントリのみがグループに含まれるようにすることを推奨します。Kaspersky Security Center のインストール時に自動的に作成される KLAdmins グループ（ローカルおよび / またはドメイン）にグループを追加することは推奨しません。このグループを変更する権限も制限する必要があります。KLAdmins グループには、特権のない単一のアカウントのみを含める必要があります。

インストールがドメインユーザーアカウントで実行された場合、KLAdmins および KLOperators グループが管理サーバーと管理サーバーを含むドメインの両方に作成されます。ローカルアカウントのインストールなど、類似の方法を推奨します。

メイン管理者ロールのメンバーシップの制限

メイン管理者ロールのメンバーシップを制限することを推奨します。

既定では、管理サーバーのインストール後、メイン管理者ロールがローカル管理者グループと作成された KLAdmins グループに割り当てられます。これは管理には役立ちますが、セキュリティの観点からは重要です。メイン管理者ロールには広範な権限があるため、ユーザーへのこのロールの割り当ては厳密に規制する必要があります。

ローカル管理者は、Kaspersky Security Center の管理者権限を持つユーザーのリストから除外することができます。メイン管理者のロールを KLAdmins グループから削除することはできません。管理サーバーの管理に使用されるアカウントを KLAdmins グループに含めることができます。

ドメイン認証を使用する場合は、Kaspersky Security Center でドメイン管理者アカウントの権限を制限することを推奨します。既定では、これらのアカウントにはメイン管理者のロールがあります。また、ドメイン管理者は、自分のアカウントを KLAdmins グループに含めて、メイン管理者のロールを取得することができます。これを回避するには、Kaspersky Security Center のセキュリティ設定で Domain Admins グループを追加し、それに対する禁止ルールを定義します。これらのルールは、許可するルールよりも優先する必要があります。

設定済みの一連の権限を持つ定義済みのユーザーのロールを使用することもできます。

アプリケーション機能へのアクセス権の設定

ユーザーまたはユーザーグループごとに、Kaspersky Security Center の機能へのアクセス権を柔軟に設定することを推奨します。

ロールベースのアクセス制御により、事前定義された一連の権利を持つ標準ユーザーロールを作成し、職務の範囲に応じてこれらのロールをユーザーに割り当てることができます。

ロールベースのアクセス制御モデルの主な利点：

• 管理の容易さ
• ロール階層
• 最小特権方法
• 職務の分離

職位に基づいて特定の従業員に組み込みのロールを割り当てたり、まったく新しいロールを作成したりすることができます。

ロールを構成する際は、管理サーバーデバイスの保護状態の変更とサードパーティ製ソフトウェアのリモートインストールに関連する権限に注意してください：

• 管理グループの管理。
• 管理サーバー上での操作。
• リモートインストール。
• イベントを保存して通知を送信するためのパラメータの変更。

  この権限により、イベントの発生時に管理サーバーデバイスでスクリプトまたは実行可能モジュールを実行する通知を設定できます。

アプリケーションのリモートインストール用の個別のアカウント

アクセス権の基本的な差別化に加えて、すべてのアカウントに対してアプリケーションのリモートインストールを制限することを推奨します（メイン管理者または別の特殊なアカウントを除く）。

アプリケーションのリモートインストールには別のアカウントを使用することを推奨します。別のアカウントに役割または権限を割り当てることができます。

Windows 特権アクセスの保護

特権アクセスセキュリティを提供するための Microsoft の推奨事項を考慮することを推奨します。これらの推奨事項については、「特権アクセスの保護」の記事を参照してください。

推奨事項の重要なポイントの 1 つは、特権アクセスワークステーション（PAW）の実装です。

管理対象サービスアカウント（MSA）またはグループ管理対象サービスアカウント（gMSA）を使用して管理サーバーサービスを実行する

Active Directory には、「グループ管理対象サービスアカウント（MSA/gMSA）」と呼ばれるサービスを安全に実行するための特別な種類のアカウントがあります。Kaspersky Security Center は、管理対象サービスアカウント（MSA）とグループ管理対象サービスアカウント（gMSA）をサポートしています。これらの種別のアカウントをドメインで使用している場合は、それらの 1 つを管理サーバーのサービス用のアカウントとして選択できます。

すべてのユーザーの定期的な監査

管理サーバーデバイス上のすべてのユーザーを定期的に監査することを推奨します。これにより、デバイスが危険にさらされる可能性に関連する特定の種類のセキュリティ脅威に対応することができます。

ページのトップに戻る