Sécurité des connexions

Utilisation de TLS

Nous vous recommandons d'interdire les connexions non sécurisées au Serveur d'administration. Par exemple, vous pouvez interdire les connexions qui utilisent HTTP dans les paramètres du Serveur d'administration.

Veuillez noter que par défaut, plusieurs ports HTTP du Serveur d'administration sont fermés. Le port restant est utilisé pour le serveur Internet du Serveur d'administration (8060). Ce port peut être limité par les paramètres du pare-feu de l'appareil du Serveur d'administration.

Paramètres TLS stricts

Il est recommandé d'utiliser le protocole TLS de version 1.2 ou suivante et de restreindre ou d'interdire les algorithmes de chiffrement non sécurisés.

Vous pouvez configurer les protocoles de chiffrement (TLS) utilisés par le Serveur d'administration. Veuillez noter qu'au moment de la publication d'une version du Serveur d'administration, les paramètres du protocole de chiffrement sont configurés par défaut pour garantir la sécurité du transfert des données.

Interdiction de l'authentification à distance à l'aide de comptes Windows

Vous pouvez utiliser l'indicateur LP_RestrictRemoteOsAuth pour interdire les connexions SSPI à partir d'adresses distantes. Cet indicateur permet d'interdire l'authentification à distance sur le Serveur d'administration à l'aide de comptes Windows locaux ou de domaine.

Pour basculer l'indicateur LP_RestrictRemoteOsAuth sur le mode d'interdiction des connexions à partir des adresses distantes :

1. Exécutez l'invite de commande Windows en utilisant les droits d'administrateur, puis remplacez votre répertoire actuel par celui contenant l'utilitaire klscflag. L'utilitaire klsclag se trouve dans le dossier dans lequel le Serveur d'administration est installé. Chemin d'installation par défaut est <Disk>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.
2. Exécutez la commande suivante dans la ligne de commande pour spécifier la valeur de l'indicateur LP_RestrictRemoteOsAuth :

   klscflag.exe -fset -pv .core/.independent -s KLLIM -n LP_RestrictRemoteOsAuth -t d -v 1

3. Relancez le service du Serveur d'administration.

L'indicateur LP_RestrictRemoteOsAuth ne fonctionne pas si l'authentification à distance est effectuée via Kaspersky Security Center Web Console ou la Console d'administration installée sur l'appareil du Serveur d'administration.

Restriction de l'accès à la base de données du Serveur d'administration

Nous vous recommandons de restreindre l'accès à la base de données du Serveur d'administration. Par exemple, n'accordez l'accès qu'à partir de l'appareil du Serveur d'administration. Cela réduit la probabilité que la base de données du Serveur d'administration soit compromise en raison de vulnérabilités connues.

Vous pouvez configurer les paramètres conformément au mode d'emploi de la base de données utilisée, ainsi que fournir des ports fermés sur les pare-feu.

Authentification de Microsoft SQL Server

Si Kaspersky Security Center utilise Microsoft SQL Server comme SGBD, il est nécessaire de protéger les données de Kaspersky Security Center transférées vers ou depuis la base de données et les données stockées dans la base de données contre tout accès non autorisé. Pour ce faire, vous devez sécuriser la communication entre Kaspersky Security Center et SQL Server. Le moyen le plus fiable permettant d'assurer une communication sécurisée consiste à installer Kaspersky Security Center et le serveur SQL sur le même appareil et à utiliser le mécanisme de mémoire partagée pour les deux applications. Dans tous les autres cas, nous vous recommandons d'utiliser un certificat SSL/TLS pour authentifier l'instance du serveur SQL.

En général, le Serveur d'administration peut s'adresser au serveur SQL par l'intermédiaire des fournisseurs suivant :

• SQLOLEDB utilisant le protocole TCP/IP ou des canaux nommés

  Ce fournisseur est installé dans le système d'exploitation Windows et utilisé par défaut.

• MSOLEDBSQL utilisant le protocole TCP/IP, des canaux nommés ou la mémoire partagée

  Si vous voulez utiliser ce fournisseur, vous devez l'installer sur l'appareil doté du Serveur d'administration, puis définir la valeur 1 pour la variable d'environnement globale KLDBADO_UseMSOLEDBSQL.

• MSOLEDBSQL19 utilisant le protocole TCP/IP, des canaux nommés ou la mémoire partagée

  Si vous voulez utiliser ce fournisseur, vous devez l'installer sur l'appareil doté du Serveur d'administration, puis définir la valeur 1 pour la variable d'environnement globale KLDBADO_UseMSOLEDBSQL et la valeur MSOLEDBSQL19 pour la variable d'environnement globale KLDBADO_ProviderName.

De plus, avant d'utiliser le protocole TCP/IP, les canaux nommés ou la mémoire partagée, assurez-vous que le protocole requis est activé.

Interaction de la sécurité avec un SGBD externe

Si le SGBD est installé sur un appareil distinct lors de l'installation du Serveur d'administration (SGBD externe), il est recommandé de configurer les paramètres d'interaction et d'authentification sécurisées avec ce SGBD. Pour en savoir plus sur la configuration de l'authentification SSL, consultez Authentification du serveur PostgreSQL et Scénario : Authentification du serveur MySQL.

Configuration de la liste d'autorisation d'adresses IP pour se connecter au Serveur d'administration

Par défaut, l'utilisateur de Kaspersky Security Center peut se connecter à Kaspersky Security Center depuis n'importe quel appareil sur lequel la Console d'administration basée sur MMC, Kaspersky Security Center Web Console ou les applications OpenAPI sont installés. Vous pouvez configurer le Serveur d'administration afin que les utilisateurs puissent s'y connecter uniquement à partir d'appareils avec des adresses IP autorisées. Par exemple, si un intrus tente de se connecter à Kaspersky Security Center via le serveur de Kaspersky Security Center Web Console installé sur un appareil qui ne figure pas dans la liste d'autorisation, il ne pourra pas se connecter à Kaspersky Security Center.

Configuration d'une liste d'autorisation d'adresses IP pour se connecter à Kaspersky Security Center Web Console

Par défaut, les utilisateurs de Kaspersky Security Center peuvent se connecter à Kaspersky Security Center Web Console depuis n'importe quel appareil. Sur un appareil disposant de Kaspersky Security Center Web Console, vous devez configurer le pare-feu (intégré au système d'exploitation ou à un autre) afin que les opérateurs puissent se connecter à Kaspersky Security Center Web Console uniquement à partir d'adresses IP autorisées.

Sécurité de la connexion au contrôleur de domaine pendant le sondage

Le Serveur d'administration ou un point de distribution Linux se connecte au contrôleur de domaine via LDAPS pour sonder le domaine. Par défaut, la vérification du certificat n'est pas requise lors de la connexion. Pour imposer la vérification des certificats, définissez l'indicateur KLNAG_LDAP_TLS_REQCERT sur 1. Vous pouvez également définir un chemin d'accès personnalisé à l'autorité de certification (CA) pour accéder à la chaîne de certificat à l'aide de l'indicateur KLNAG_LDAP_SSL_CACERT.

Haut de page