Contas e autenticação

Antes de executar as etapas abaixo, crie uma cópia backup do Servidor de Administração do Kaspersky Security Center Linux usando a tarefa de backup de dados do Servidor de Administração ou o utilitário klbackup e salve-a em um local seguro.

Uso da verificação em duas etapas com o Servidor de Administração

O Kaspersky Security Center fornece verificação em duas etapas para os usuários do Kaspersky Security Center Web Console e Console de Administração de acordo com o padrão RFC 6238 (TOTP: Algoritmo de Senha Avulsa por Tempo Limitado).

Quando a verificação em duas etapas é ativada para a sua própria conta, toda vez que o login for feito no Kaspersky Security Center Web Console ou no Console de Administração, será necessário inserir o nome de usuário, senha e um código de segurança único adicional. Se você usar autenticação de domínio para sua conta, você só precisa inserir um código de segurança de uso único adicional. Para receber um código de segurança de uso único, é necessário instalar um app autenticador em seu computador ou dispositivo móvel.

Existem autenticadores de software e hardware (tokens) que são compatíveis com o padrão RFC 6238. Por exemplo, autenticadores de software incluem o Google Authenticator, Microsoft Authenticator, FreeOTP.

É altamente recomendável não instalar o app autenticador no mesmo dispositivo no qual a conexão com o Servidor de Administração é estabelecida. É possível instalar um app autenticador no seu dispositivo móvel.

Uso da autenticação de dois fatores para um sistema operacional

Recomendamos o uso de autenticação multifator (MFA) para autenticação no dispositivo do Servidor de Administração com o uso de um token, um cartão inteligente ou outro método (caso seja possível).

Proibição para salvar a senha do administrador

Caso o Console de Administração seja usado, não recomendamos salvar a senha do administrador na caixa de diálogo de conexão do Servidor de Administração.

Caso Kaspersky Security Center Web Console seja usado, não recomendamos salvar a senha do administrador no navegador instalado no dispositivo do usuário.

Autenticação de uma conta de usuário interna

Por padrão, a senha de uma conta de usuário interna do Servidor de Administração deve seguir as seguintes regras:

Por padrão, o número máximo permitido de tentativas de entrada da senha é 10. É possível alterar o número permitido de tentativas de inserção de senha.

O usuário do Kaspersky Security Center pode inserir uma senha inválida um número limitado de vezes. Depois que o limite é atingido, a conta de usuário é bloqueada por uma hora.

Grupo de administração dedicado para Servidor de Administração

Recomendamos criar um grupo de administração dedicado para o Servidor de Administração. Conceda direitos de acesso especiais para esse grupo e crie uma política de segurança especial para ele.

Para evitar diminuir intencionalmente o nível de segurança do Servidor de Administração, recomendamos restringir a lista de contas que podem gerenciar o grupo de administração dedicado.

Os grupos KLAdmins e KLOperators

Os grupos KLAdmins e KLOperators são criados automaticamente durante a instalação do Kaspersky Security Center. O grupo KLAdmins recebe todos os direitos de acesso. O grupo KLOperators recebe apenas direitos de leitura e execução. Os direitos concedidos ao grupo KLAdmins são bloqueados.

É possível visualizar os grupos KLAdmins e KLOperators e fazer alterações neles usando as ferramentas administrativas padrão do sistema operacional.

Ao desenvolver regulamentos de trabalho do Servidor de Administração, é necessário determinar se o especialista em segurança da informação precisará ter acesso total (e inclusão no grupo KLAdmins) para executar as tarefas padrão.

A maioria das tarefas básicas de administração podem ser distribuídas entre departamentos da empresa (ou diferentes funcionários do mesmo departamento) e, consequentemente, entre diferentes contas. Também é possível configurar a diferenciação de acesso dos grupos de administração no Kaspersky Security Center. Como resultado, é possível implementar um cenário no qual a autorização em contas do grupo KLAdmins seja anômala e possa ser considerada um incidente.

Caso o Kaspersky Security Center tenha sido instalado em uma conta do sistema, os grupos serão criados apenas no dispositivo do Servidor de Administração. Neste caso, recomendamos verificar e confirmar se apenas as entradas criadas durante a instalação do Kaspersky Security Center estão incluídas no grupo. Não recomendamos adicionar nenhum grupo ao grupo KLAdmins (local e/ou domínio) criado automaticamente durante a instalação do Kaspersky Security Center. Também é necessário limitar os direitos para alterar esse grupo. O grupo KLAdmins deve incluir apenas contas únicas sem privilégios.

Caso a instalação tenha sido executada em uma conta de usuário de domínio, os grupos KLAdmins e KLOperators são criados no Servidor de Administração e no domínio que inclui o Servidor de Administração. Recomendamos uma abordagem semelhante, como a instalação de conta local.

Restrição da associação da função de administrador principal

Recomendamos restringir a participação na função de administrador principal.

Por padrão, após a instalação do Servidor de Administração, a função de administrador principal é atribuída ao grupo de administradores locais e ao grupo KLAdmins criado. É útil para o gerenciamento, mas é crítico sob o ponto de vista da segurança, pois a função de administrador principal tem um leque alargado de privilégios, portanto, a atribuição desta função aos usuários deve ser rigorosamente regulamentada.

Os administradores locais podem ser excluídos da lista de usuários com privilégios de administrador do Kaspersky Security Center. A função administrador principal não pode ser removida do grupo KLAdmins. É possível incluir no grupo KLAdmins as contas que serão usadas para gerenciar o Servidor de Administração.

Caso a autenticação do domínio seja usada, recomendamos restringir os privilégios das contas de administrador no Kaspersky Security Center. Por padrão, essas contas têm a função de administrador principal. Além disso, um administrador de domínio pode incluir sua conta no grupo KLAdmins para obter a função de administrador principal. Para evitar isso, nas configurações de segurança do Kaspersky Security Center, é possível adicionar o grupo Domain Admins e definir regras de proibição para ele. Essas regras devem ter precedência sobre as que permitem.

Também é possível usar as funções de usuário predefinidas com um conjunto de direitos já configurado.

Configuração de direitos de acesso aos recursos do aplicativo

Recomendamos usar a configuração flexível de direitos de acesso aos recursos do Kaspersky Security Center para cada usuário ou grupo de usuários.

O controle de acesso baseado em função permite a criação de funções de usuário padrão com um conjunto predefinido de direitos e atribuição dessas funções aos usuários dependendo do seu escopo de obrigações.

As principais vantagens do modelo de controle de acesso baseado em função:

É possível atribuir funções internas a determinados profissionais de acordo com suas posições ou criar funções completamente novas.

Ao configurar as funções, observe os privilégios associados com a alteração do estado de proteção do dispositivo do Servidor de Administração e com a instalação remota de software de terceiros:

Conta separada para instalação remota de aplicativos

Além da diferenciação básica de direitos de acesso, recomendamos restringir a instalação remota de aplicativos para todas as contas (exceto para o administrador principal ou outra conta especializada).

Recomendamos o uso de uma conta separada para instalação remota de aplicativos. É possível atribuir um papel ou permissões para a conta separada.

Proteção do acesso privilegiado do Windows

Recomendamos levar em consideração as recomendações da Microsoft para fornecer segurança de acesso privilegiado. Para visualizar essas recomendações, acesse o artigo proteção de acesso privilegiado.

Um dos pontos-chave das recomendações é a implementação de estações de trabalho de acesso privilegiado (PAW).

Uso de uma conta de serviço gerenciado (MSA) ou um grupo de contas de serviço gerenciado (gMSA) para executar o serviço do Servidor de Administração

O Active Directory tem um tipo especial de contas para executar serviços com segurança, chamadas conta de serviço gerenciado de grupo (MSA/gMSA). O Kaspersky Security Center dá suporte a contas de serviço gerenciadas (MSA) e contas de serviço gerenciadas em grupo (gMSA). Se esses tipos de contas forem usados no seu domínio, é possível selecionar um deles como a conta para o serviço do Servidor de Administração.

Auditoria regular de todos os usuários

Recomendamos conduzir uma auditoria regular de todos os usuários no dispositivo do Servidor de Administração. Isso permite responder a certos tipos de ameaças de segurança associadas ao possível comprometimento do dispositivo.

Topo da página