Uso de TLS
Recomendamos proibir as conexões inseguras com o Servidor de Administração. Por exemplo, é possível proibir as conexões que usam HTTP nas configurações do Servidor de Administração.
Observe que, por padrão, várias portas HTTP do Servidor de Administração estão fechadas. A porta restante é usada para o servidor web do Servidor de Administração (8060). Essa porta pode ser limitada pelas configurações do firewall do dispositivo do Servidor de Administração.
Configurações estritas de TLS
Recomendamos usar o protocolo TLS, versão 1.2 e posterior, e restringir ou proibir algoritmos de criptografia inseguros.
Você pode configurar os protocolos de criptografia (TLS) usados pelo Servidor de Administração. Observe que, no momento do lançamento de uma versão do Servidor de Administração, o protocolo de criptografia é configurado por padrão para garantir a transferência segura de dados.
Proibição de autenticação remota usando contas do Windows
É possível usar o sinalizador LP_RestrictRemoteOsAuth para proibir as conexões SSPI de endereços remotos. Esse sinalizador permite proibir a autenticação remota no Servidor de Administração usando contas locais ou de domínio do Windows.
Para mudar o sinalizador LP_RestrictRemoteOsAuth para o modo de proibição de conexões de endereços remotos:
klscflag.exe -fset -pv .core/.independent -s KLLIM -n LP_RestrictRemoteOsAuth -t d -v 1
O sinalizador LP_RestrictRemoteOsAuth não funciona se a autenticação remota for executada pelo Kaspersky Security Center Web Console ou pelo Console de Administração instalado no dispositivo do Servidor de Administração.
Restrição de acesso ao banco de dados do Servidor de Administração
Recomendamos restringir o acesso ao banco de dados do Servidor de Administração. Por exemplo, conceda acesso apenas ao dispositivo a partir do Servidor de Administração. Isso reduz a probabilidade de o banco de dados do Servidor de Administração ser comprometido devido a vulnerabilidades conhecidas.
É possível configurar os parâmetros de acordo com as instruções de operação do banco de dados usado, assim como fornecer portas fechadas em firewalls.
Autenticação do Microsoft SQL Server
Caso o Kaspersky Security Center use o Microsoft SQL Server como um DBMS, será necessário proteger os dados do Kaspersky Security Center transferidos de ou para o banco de dados e os dados armazenados no banco de dados contra acesso não autorizado. Para fazer isso, é necessário fornecer uma comunicação segura entre o Kaspersky Security Center e o SQL Server. A maneira mais confiável de fornecer comunicação segura é instalando o Kaspersky Security Center e o SQL Server no mesmo dispositivo e usando o mecanismo de memória compartilhada para os dois aplicativos. Em todos os outros casos, recomendamos usar um certificado SSL/TLS para autenticar a instância do SQL Server.
Normalmente, o Servidor de Administração pode tratar o SQL Server usando os seguintes fornecedores:
Esse fornecedor é instalado em um sistema com Windows e utilizado como padrão.
Se você quiser usar esse fornecedor, precisa instalá-lo em um dispositivo com o Servidor de Administração, definir o valor 1 para a variável do ambiente global KLDBADO_UseMSOLEDBSQL.
Se você quiser usar esse fornecedor, precisa instalá-lo em um dispositivo com o Servidor de Administração, definir o valor 1 para a variável do ambiente global KLDBADO_UseMSOLEDBSQL e valor MSOLEDBSQL19 para a variável do ambiente global KLDBADO_ProviderName.
Além disso, antes de usar o TCP/IP, Pipes nomeados ou a Memória compartilhada, certifique-se de que o protocolo necessário esteja ativo.
Interação de segurança com um DBMS externo
Se o DBMS for instalado em um dispositivo separado durante a instalação do Servidor de Administração (DBMS externo), recomendamos configurar os parâmetros para interação segura e autenticação com este DBMS. Para mais informações sobre como configurar a autenticação SSL, consulte Autenticação do Servidor PostgreSQL e Cenário: Autenticação do Servidor MySQL.
Configuração de uma lista de permissão de endereços IP para conexão ao Servidor de Administração
Por padrão, os usuários do Kaspersky Security Center podem fazer login nele de qualquer dispositivo em que o Console de Administração baseado em MMC, o Kaspersky Security Center Web Console ou os aplicativos OpenAPI estejam instalados. É possível configurar o Servidor de Administração para que os usuários apenas possam se conectar a ele apenas em dispositivos com endereços IP permitidos. Por exemplo, se um invasor tentar se conectar ao Kaspersky Security Center por meio do servidor do Kaspersky Security Center Web Console instalado em um dispositivo que não está incluído na lista de permissões, não conseguirá fazer login no Kaspersky Security Center.
Configuração de uma lista de permissões de endereços IP para conexão ao Kaspersky Security Center Web Console
Por padrão, os usuários do Kaspersky Security Center podem se conectar ao Kaspersky Security Center Web Console de qualquer dispositivo. Em um dispositivo com o Kaspersky Security Center Web Console instalado, é necessário configurar o firewall (integrado ao sistema operacional ou de terceiros) para que os usuários possam se conectar ao Kaspersky Security Center Web Console apenas usando endereços IP permitidos.
Segurança da conexão com o controlador de domínio durante a sondagem
O Servidor de Administração ou um ponto de distribuição Linux se conecta ao controlador de domínio via LDAPS para pesquisar o domínio. Por padrão, a verificação de certificado não é exigida durante a conexão. Para impor a verificação de certificado, defina o sinalizador KLNAG_LDAP_TLS_REQCERT como 1. Além disso, é possível especificar um caminho personalizado para a autoridade certificadora (CA) a fim de conectar a cadeia de certificados, usando o sinalizador KLNAG_LDAP_SSL_CACERT.