TLS пайдалану
Басқару серверіне қауіпсіз емес қосылымдарға тыйым салу ұсынылады. Мысалы, Басқару серверін конфигурациялау кезінде HTTP протоколы арқылы Басқару серверіне қосылымдарды қоспау ұсынылады.
Басқару серверінің кейбір HTTP порттары әдепкі бойынша жабық екенін ескеріңіз. Қалған портты Kaspersky Security Center веб-сервері (8060) пайдаланады. Бұл портты Басқару сервері бар құрылғының желілік экран параметрлері арқылы шектеуге болады.
Қатаң TLS параметрлері
TLS 1.2 немесе одан жоғары нұсқасын пайдалану және қауіпсіз емес шифрлау алгоритмдерін пайдалануды шектеу немесе өшіру ұсынылады.
Басқару сервері пайдаланатын шифрлау протоколдарын (TLS) конфигурациялауға болады. Бұл ретте, Басқару серверінің белгілі бір нұсқасын шығару кезінде деректерді қауіпсіз тасымалдауды қамтамасыз ету үшін әдепкі бойынша шифрлау протоколының параметрлері конфигурацияланатынын есте сақтаңыз.
Windows есептік жазбаларымен қашықтан түпнұсқалық растамаға тыйым салу
Қашықтағы мекенжайлардан SSPI қосылымдарына тыйым салу LP_RestrictRemoteOsAuth арнайы жалаушасы арқылы мүмкін болады. Бұл жалауша жергілікті немесе домендегі Windows есептік жазбаларына арналған Басқару серверінде қашықтан түпнұсқалық растамаға тыйым салуға мүмкіндік береді.
Қашықтағы мекенжайлардан SSPI қосылымдарын шектеу үшін LP_RestrictRemoteOsAuth жалаушасын ауыстыру үшін:
klscflag.exe -fset -pv .core/.independent -s KLLIM -n LP_RestrictRemoteOsAuth -t d -v 1
LP_RestrictRemoteOsAuth жалаушасы, қашықтан түпнұсқалық растама Kaspersky Security Center Web Console веб-консолі арқылы немесе Басқару серверімен бір құрылғыда орнатылған Басқару консолі арқылы орындалса жұмыс істемейді.
Басқару сервері дерекқорына қатынасуды шектеу
Басқару сервері дерекқорына қатынасуды шектеу ұсынылады. Мысалы, Басқару сервері бар құрылғыдан ғана қатынасуға рұқсат бере аласыз. Бұл белгілі осалдықтар арқылы Деректерді басқару серверінің дерекқорын бұзу ықтималдығын азайтады.
Параметрлерді пайдаланылатын дерекқордың пайдалану нұсқаулығына сәйкес конфигурациялауға, сондай-ақ желілік экрандарда жабық порттарды көздеуге болады.
Microsoft SQL Server түпнұсқалық растамасы
Microsoft SQL Server серверін Басқару серверінің ДҚБЖ ретінде пайдалансаңыз, дерекқорға тасымалданатын немесе одан алынатын Kaspersky Security Center деректерін, сондай-ақ осы дерекқорда сақталған деректерді рұқсатсыз қатынасудан қорғау керек. Ол үшін Kaspersky Security Center және SQL Server арасындағы қауіпсіз қосылымды қамтамасыз ету қажет. Қауіпсіз байланысты қамтамасыз етудің ең сенімді тәсілі - Kaspersky Security Center бағдарламасы мен SQL Server серверін бір құрылғыда орнату және екі бағдарлама үшін де бірлескен жад механизмін қолдану. Барлық жағдайларда, SQL Server үлгісінің түпнұсқалық растамасы үшін SSL/TLS сертификатын пайдалану ұсынылады.
Әдетте басқару сервері SQL серверіне келесі провайдерлер арқылы хабарласа алады:
Бұл провайдер Windows операциялық жүйесіне орнатылған және әдепкі бойынша пайдаланылады.
Бұл провайдерді пайдаланғыңыз келсе, оны басқару сервері бар құрылғыға орнатуыңыз және KLDBADO_UseMSOLEDBSQL жаһандық орта айнымалысы үшін 1 мәнін орнатуыңыз қажет.
Бұл провайдерді қолданғыңыз келсе, оны басқару сервері бар құрылғыға орнатып, KLDBADO_UseMSOLEDBSQL жаһандық орта айнымалысына 1 мәнін, ал KLDBADO_ProviderName жаһандық орта айнымалысына MSOLEDBSQL19 мәнін орнатуыңыз қажет.
Сондай-ақ TCP/IP, Named Pipes немесе ортақ жад пайдаланар алдында қажетті протоколдың қосылғанына көз жеткізіңіз.
Сыртқы ДҚБЖ-мен өзара әрекет қауіпсіздігі
Басқару серверін (сыртқы ДҚБЖ) орнату кезінде ДҚБЖ бөлек құрылғыға орнатылса, осы ДҚБЖ-мен қауіпсіз өзара әрекет жасау және аутентификация үшін параметрлерді конфигурациялау ұсынылады. SSL аутентификациясын конфигурациялау туралы қосымша ақпаратты "PostgreSQL серверінің аутентификациясы және сценарий: MySQL серверінің аутентификациясы" бөлімінен қараңыз.
Басқару серверіне қосылуға арналған рұқсат етілген IP мекенжайлары тізімін конфигурациялау
Әдепкісінше Kaspersky Security Center пайдаланушылары Kaspersky Security Center жүйесіне MMC негізіндегі басқару сервері, Kaspersky Security Center Web Console немесе OpenAPI қолданбалары орнатылған кез келген құрылғыдан кіре алады. Басқару серверін, пайдаланушылар оған тек рұқсат етілген IP мекенжайлары бар құрылғылардан қосыла алатындай етіп конфигурациялауға болады. Мысалы, қаскүнем рұқсат тізімінде жоқ құрылғыға орнатылған Kaspersky Security Center Web Console Server арқылы Kaspersky Security Center жүйесіне қосылуға әрекеттенген кезде, ол Kaspersky Security Center жүйесіне кіре алмайды.
Kaspersky Security Center Web Console-ге қосылу үшін IP мекенжайларының рұқсат тізімін конфигурациялау
Әдепкісінше Kaspersky Security Center пайдаланушылары Kaspersky Security Center Web Console-ге кез келген құрылғыдан қосыла алады. Kaspersky Security Center Web Console бар құрылғыда пайдаланушылар Kaspersky Security Center Web Console-ге тек рұқсат етілген IP мекенжайлары арқылы қосыла алуы үшін, желілік экранды (операциялық жүйеге немесе үшінші тарапқа орнатылған) конфигурациялау керек.
Сауалнама кезінде домен контроллеріне қосылу қауіпсіздігі
Басқару сервері немесе Linux тарату нүктесі доменге сауалнама жүргізу үшін LDAPS арқылы домен контроллеріне қосылады. Әдепкісінше қосылу кезінде сертификатты растау қажет болмайды. Сертификатты растау процесін енгізу үшін KLNAG_LDAP_TLS_REQCERT жалаушасын 1-ге орнатыңыз. Сондай-ақ KLNAG_LDAP_SSL_CACERT жалауын пайдалану арқылы сертификаттар тізбегіне кіру үшін сертификат орталығына (CA) апаратын арнаулы жолды көрсетуге болады.