连接安全

TLS 的使用

我们建议禁止与管理服务器的不安全连接。例如，您可以在管理服务器设置中禁止使用 HTTP 的连接。

请注意，默认情况下，管理服务器的几个 HTTP 端口是关闭的。其余端口用于管理服务器 Web 服务器 (8060)。此端口可受管理服务器设备的防火墙设置限制。

严格的 TLS 设置

建议使用 1.2 及以后版本的 TLS 协议，限制或禁止不安全的加密算法。

您可以配置管理服务器使用的加密协议 (TLS)。请注意，在发布管理服务器版本时，默认配置加密协议设置以确保安全的数据传输。

禁止使用 Windows 账户进行远程身份验证

您可以使用 LP_RestrictRemoteOsAuth 标志来禁止来自远程地址的 SSPI 连接。此标志允许您禁止使用本地或域 Windows 账户在管理服务器上进行远程身份验证。

将 LP_RestrictRemoteOsAuth 标志切换到禁止来自远程地址的连接模式：

1. 使用管理员权限运行 Windows 命令提示符，然后将当前目录更改为包含 klscflag 实用程序的目录。klscflag 实用程序位于安装管理服务器的文件夹中。默认安装路径为 <Disk>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center。
2. 在命令行中执行以下命令以指定 LP_RestrictRemoteOsAuth 标志的值：

   klscflag.exe -fset -pv .core/.independent -s KLLIM -n LP_RestrictRemoteOsAuth -t d -v 1

3. 重启管理服务器服务。

如果通过安装在管理服务器设备上的 Kaspersky Security Center 网页控制台或管理控制台执行远程身份验证，则 LP_RestrictRemoteOsAuth 标志不起作用。

限制访问管理服务器数据库

我们建议限制访问管理服务器数据库。例如，只允许从管理服务器设备进行访问。这可降低管理服务器数据库因已知漏洞而受到损害的可能性。

您可以根据使用的数据库的操作说明配置参数，也可以在防火墙上提供关闭的端口。

对 Microsoft SQL Server 进行身份验证

如果 Kaspersky Security Center 使用 Microsoft SQL Server 充当 DBMS，则有必要保护 Kaspersky Security Center 传输到数据库或从数据库传输的数据以及存储在数据库中的数据免遭未经授权的访问。为此，您必须提供 Kaspersky Security Center 和 SQL Server 之间的安全通信。提供安全通信的最可靠方法是在同一设备上安装 Kaspersky Security Center 和 SQL Server，并对这两个应用程序使用共享内存机制。在所有其他情况下，建议使用 SSL/TLS 证书对 SQL Server 实例进行身份验证。

通常，管理服务器可以通过以下提供程序寻址 SQL Server：

• 使用 TCP/IP 或命名管道的 SQLOLEDB

  该提供程序被安装到 Windows 操作系统中并默认使用。

• 使用 TCP/IP、命名管道或共享内存的 MSOLEDBSQL

  如果想使用这个提供程序，您必须将其安装在具有管理服务器的设备上，然后将全局环境变量KLDBADO_UseMSOLEDBSQL的值设为1。

• 使用 TCP/IP、Named Pipes或Shared memory的 MSOLEDBSQL19

  如果想使用这个提供程序，您必须将其安装在带有管理服务器的设备上，然后将全局环境变量KLDBADO_UseMSOLEDBSQL的值设置为1，并将全局环境变量KLDBADO_ProviderName的值设为MSOLEDBSQL19。

此外，在使用 TCP/IP、命名管道或共享内存之前，请确保已启用所需的协议。

与外部 DBMS 的安全交互

如果在安装管理服务器期间将 DBMS 安装在单独的设备上（外部 DBMS），我们建议配置与该 DBMS 进行安全交互和身份验证的参数。有关配置 SSL 身份验证的更多信息，请参阅“身份验证 PostgreSQL 服务器”和“场景：身份验证 MySQL 服务器”。

配置允许连接到管理服务器的 IP 地址允许列表

默认情况下，Kaspersky Security Center 用户可以从安装了基于 MMC 的 Kaspersky Security Center 管理控制台、Kaspersky Security Center Web Console 或OpenAPI 应用程序的任何设备登录 Kaspersky Security Center。您可以配置管理服务器，使用户只能从具有允许 IP 地址的设备进行连接。例如，如果入侵者尝试通过安装在未包含在允许列表中的设备上的 Kaspersky Security Center Web Console 服务器连接到 Kaspersky Security Center，他或她将无法登录Kaspersky Security Center。

配置用于连接到 Kaspersky Security Center Web Console 的 IP 地址允许列表

默认情况下，Kaspersky Security Center 用户可以从任何设备连接到 Kaspersky Security Center Web Console。在安装了 Kaspersky Security Center Web Console 的设备上，您必须配置防火墙（内置于操作系统或第三方防火墙中），以便用户只能从允许的 IP 地址连接到 Kaspersky Security Center Web Console。

轮询期间与域控制器连接的安全性

管理服务器或 Linux 分发点通过 LDAPS 连接到域控制器以轮询域。默认情况下，连接时不需要证书验证。要强制执行证书验证，请将KLNAG_LDAP_TLS_REQCERT标志设置为 1。此外，您可以使用KLNAG_LDAP_SSL_CACERT标志指定证书颁发机构 (CA) 的自定义路径来访问证书链。

页顶