TLS 的使用
我們建議禁止與管理伺服器的不安全連線。例如,您可以在管理伺服器設定中禁止使用 HTTP 的連線。
請注意,預設情況下,管理伺服器的幾個 HTTP 連接埠是關閉的。其餘連接埠用於管理伺服器 Web 伺服器 (8060)。此連接埠可能受管理伺服器裝置的防火牆設定限制。
嚴格的 TLS 設定
建議使用 1.2 及以後版本的 TLS 協定,限製或禁止不安全的加密演算法。
您可以設定管理伺服器使用的加密協定 (TLS)。請注意,在發布管理伺服器版本時,加密協定設定會得到預設配置以確保安全的資料傳輸。
禁止使用 Windows 帳戶進行遠端身分驗證
您可以使用 LP_RestrictRemoteOsAuth 標誌來禁止來自遠端位址的 SSPI 連線。此標誌允許您禁止使用本機或網域 Windows 帳戶在管理伺服器上進行遠端身分驗證。
將 LP_RestrictRemoteOsAuth 標誌切換為禁止來自遠端位址的連線模式:
klscflag.exe -fset -pv .core/.independent -s KLLIM -n LP_RestrictRemoteOsAuth -t d -v 1
如果通過安裝在管理伺服器裝置上的卡巴斯基安全管理中心網頁主控台或管理主控台執行遠端身分驗證,則 LP_RestrictRemoteOsAuth 標誌不起作用。
限制存取管理伺服器資料庫
我們建議限制存取管理伺服器資料庫。例如,只允許從管理伺服器裝置進行存取。這會降低管理伺服器資料庫因已知弱點而受到損害的可能性。
您可以根據所用資料庫的操作說明配置參數,也可以在防火牆上提供關閉的連接埠。
驗證 Microsoft SQL Server
如果卡巴斯基安全管理中心使用 Microsoft SQL Server 作為 DBMS,有必要防護傳輸到資料庫或從資料庫傳輸到的卡巴斯基安全管理中心資料以及儲存在資料庫中的資料免遭未經授權的存取。為此,您必須提供卡巴斯基安全管理中心和 SQL Server 之間的安全通信。提供安全通訊的最可靠方式是安裝卡巴斯基安全管理中心與 SQL Server 在相同的裝置並對這兩個應用程式使用共用的記憶體機制。在所有情況下,建議您使用 SSL/TLS 憑證來驗證 SQL Server 實例。
通常,管理伺服器可以透過下列提供者尋址 SQL Server:
此提供者被安裝到 Windows 作業系統中並預設使用。
如果想使用這個提供者,您必須將其安裝 在具有管理伺服器的裝置上,然後將全域環境變數KLDBADO_UseMSOLEDBSQL的值設為1。
如果想使用這個提供者,您必須將其安裝 在具有管理伺服器的裝置上,然後將全域環境變數KLDBADO_UseMSOLEDBSQL的值設為1,將全域環境變數KLDBADO_ProviderName的值設為MSOLEDBSQL19。
此外,在使用 TCP/IP、命名管道或共用記憶體之前,請確保已啟用所需協定。
與外部 DBMS 的安全性互動
如果在安裝管理伺服器(外部 DBMS)期間在單獨的裝置上安裝 DBMS,我們建議設定參數以與此 DBMS 進行安全性互動和驗證。如需有關設定 SSL 驗證的更多資訊,請參閱驗證 PostgreSQL 伺服器和情境:驗證 MySQL 伺服器。
配置連線到管理伺服器的 IP 位址允許清單
預設情況下,卡巴斯基安全管理中心使用者可以從任何安裝了基於 MMC 的管理主控台、卡巴斯基安全管理中心網頁主控台或OpenAPI 應用程式的裝置登入卡巴斯基安全管理中心。您可以配置管理伺服器,以便使用者只能從具有允許 IP 位址的裝置連線到它。例如,如果入侵者嘗試透過安裝在未包含在允許清單中的裝置上的卡巴斯基安全管理中心網頁主控台伺服器連線到卡巴斯基安全管理中心,他或她將無法登入卡巴斯基安全管理中心。
設定連線到卡巴斯基安全管理中心網頁主控台的 IP 位址允許清單
預設情況下,卡巴斯基安全管理中心使用者可以從任何裝置連線到卡巴斯基安全管理中心網頁主控台。在安裝了卡巴斯基安全管理中心網頁主控台的裝置上,您必須設定防火牆(內建於作業系統或第三方防火牆中),以便操作員只能從允許的 IP 位址連線到卡巴斯基安全管理中心網頁主控台。
輪詢期間與網域控制器的連線安全性
管理伺服器或 Linux 發佈點透過 LDAPS 連線到網域控制器以輪詢網域。預設連線時不會要求執行憑證驗證。若要強制執行憑證驗證,請將KLNAG_LDAP_TLS_REQCERT標誌設為 1。此外,您可以使用KLNAG_LDAP_SSL_CACERT標誌指定憑證授權單位 (CA) 的自訂路徑來存取憑證鏈。