Arquitetura do Servidor de Administração
Em geral, a escolha de uma arquitetura de gerenciamento centralizado depende da localização dos dispositivos protegidos, acesso a redes adjacentes, esquemas de entrega de atualizações do banco de dados e assim por diante.
Na fase inicial de desenvolvimento da arquitetura, recomendamos conhecer os componentes do Kaspersky Security Center e sua interação uns com os outros, assim como os esquemas para o tráfego de dados e uso de porta.
De acordo com essas informações, será possível formar uma arquitetura que especifique:
Seleção de um dispositivo para a instalação do Servidor de Administração
Recomendamos instalar o Servidor de Administração em um servidor dedicado na infraestrutura da organização. Caso não haja outro software de terceiros instalado no servidor, é possível definir as configurações de segurança de acordo com os requisitos do Kaspersky Security Center sem haver a dependência dos requisitos de software de terceiros.
É possível implementar o Servidor de Administração em um servidor físico ou em um servidor virtual. Verifique e confirme se o dispositivo selecionado atende aos requisitos de hardware e software.
Localização do Servidor de Administração
Os dispositivos gerenciados pelo Servidor de Administração podem ser localizados da seguinte forma:
Em uma rede local (LAN)
Na Internet
Na zona desmilitarizada (DMZ)
Ao mesmo tempo, o Servidor de Administração também pode estar localizado em diferentes segmentos: segmentos industriais, corporativos e DMZ.
Caso o Kaspersky Security Center seja usado para gerenciar a proteção de um segmento de rede isolado, recomendamos implementar o Servidor de Administração em um segmento da zona desmilitarizada (DMZ). Isso permite organizar uma segmentação de rede adequada e minimizar o fluxo de tráfego para o segmento protegido, o que mantém os recursos completos de gerenciamento e entrega de atualizações.
Restrição de implementação do Servidor de Administração em um controlador de domínio, um servidor de terminal ou um dispositivo de usuário
Não recomendamos instalar o Servidor de Administração em um controlador de domínio, um servidor de terminal ou um dispositivo de usuário.
Recomendamos que a separação funcional dos nós de chave de rede seja fornecida. Essa abordagem permite manter a operacionalidade de diferentes sistemas quando um nó falhar ou for comprometido. Ao mesmo tempo, é possível criar diferentes políticas de segurança para cada nó.
Por exemplo, as restrições de segurança geralmente aplicadas a um controlador de domínio podem reduzir significativamente o desempenho do Servidor de Administração e impossibilitar o uso de alguns de seus recursos. Caso um intruso obtenha acesso privilegiado ao controlador de domínio, o banco de dados do Active Directory Domain Services (AD DS) pode ser modificado, danificado ou destruído. Além disso, todos os sistemas e contas gerenciados pelo Active Directory podem ser comprometidos.
Contas para instalar e executar o Servidor de Administração
Recomendamos executar a instalação do Servidor de Administração em uma conta de administrador local para evitar o uso de contas de domínio para acessar o banco de dados do Servidor de Administração. Um conjunto de contas necessárias e seus direitos depende do tipo de DBMS selecionado, localização do DBMS e método de criação do banco de dados do Servidor de Administração.
Os grupos KLAdmins e KLOperators são criados automaticamente durante a instalação do Kaspersky Security Center. Para estes grupos são concedidos os direitos de se conectar-se ao Servidor de Administração e processar os objetos do Servidor de Administração.
Dependendo de qual tipo de conta for usado para a instalação do Kaspersky Security Center, os grupos KLAdmins e KLOperators são criados como segue:
Para evitar a criação de grupos KLAdmins e KLOperators no domínio e, consequentemente, fornecer privilégios para gerenciar o Servidor de Administração em uma conta fora do dispositivo do Servidor de Administração, recomendamos instalar o Kaspersky Security Center em uma conta local.
Durante a instalação do Servidor de Administração, selecione a conta que será usada para iniciá-lo como um serviço. Por padrão, o aplicativo cria uma conta local chamada KL-AK-*, sob a qual o serviço do Servidor de Administração (o serviço klserver) será executado.
Caso seja necessário, o serviço do Servidor de Administração pode ser executado na conta selecionada. Essa conta deve receber os direitos necessários para acessar o DBMS. Por questões de segurança, use uma conta sem privilégios para executar o serviço do Servidor de Administração.
Para evitar o uso de configurações de conta incorretas, recomendamos gerar a conta automaticamente.
Exclusão do Servidor de Administração de um domínio
Caso use o Servidor de Administração para proteger grupos de dispositivos de sistemas de alta importância, não recomendamos incluir o dispositivo do Servidor de Administração no domínio. Isso permite diferenciar os direitos de gerenciamento do Kaspersky Security Center e impedir o acesso ao Servidor de Administração caso a conta do domínio seja comprometida.
Leve em consideração que, caso o Servidor de Administração seja instalado em um dispositivo incluído no grupo de trabalho, os seguintes cenários de trabalho com o Servidor de Administração não estarão disponíveis:
Só é possível usar o SQL Server em um dispositivo separado caso o Servidor de Administração e o SQL Server estiverem incluídos no domínio.
Caso seja necessário desconectar o Servidor de Administração do domínio do Active Directory, siga as etapas descritas no tópico: Como alterar o nome do Kaspersky Security Center.
Caso seja necessário instalar o Servidor de Administração em um dispositivo incluído no grupo de trabalho, também é possível usar o Kaspersky Security Center Linux em vez do Kaspersky Security Center Windows.
Topo da página