既定では、ユーザーは、Kaspersky Security Center Web コンソール(以降、Web コンソールと表記)または MMC ベースの管理コンソールを開くことができる任意のデバイスで Kaspersky Security Center にログインできます。ただし、管理サーバーを設定することで、ユーザーが許可された IP アドレスを持つデバイスからのみ管理サーバーに接続できるように設定できます。こうすると、侵入者が Kaspersky Security Center アカウントを盗んだとしても、侵入者のデバイスの IP アドレスが許可リストに登録されていないため、Kaspersky Security Center にログインすることはできません。
ユーザーが Kaspersky Security Center にログインするか、Kaspersky Security Center OpenAPI を介して管理サーバーと連携するアプリケーションを実行した場合に IP アドレスが検証されます。この時点で、ユーザーのデバイスは管理サーバーとの接続を確立しようとします。デバイスの IP アドレスが許可リストにない場合、 認証エラーが発生し、KLAUD_EV_SERVERCONNECT イベントが管理サーバーとの接続が確立されていないことを通知します。
IP アドレスの許可リストの要件
次のアプリケーションが管理サーバーに接続しようとした際にのみ IP アドレスが検証されます:
1 つのデバイスで Web コンソールにログインして、Web コンソールサーバーが別のデバイス上にインストールされている場合、オペレーティングシステムの標準の方法で Web コンソールがインストールされているデバイスにファイアウォールを設定することができます。誰かが Web コンソールにログインを試みた場合、ファイアウォールが侵入者の干渉防止に役立ちます。
このため、上のリストにあるアプリケーションがインストールされているデバイスのアドレスを指定してください。
IPv4 と IPv6 アドレスを指定できます。IP アドレスの範囲を指定することはできません。
IP アドレスの許可リストを設定する方法
事前に許可リストを設定していなかった場合は、次の手順に従ってください。
Kaspersky Security Center にログインするための IP アドレスの許可リストを設定するには:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "<IP アドレス
>" -t s
前述の要件を満たす IP アドレスを指定します。複数の IP アドレスを指定する場合はセミコロンで区切ります。
単一のデバイスに対して管理サーバーへの接続を許可する方法の例:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0" -t s
複数のデバイスに対して管理サーバーへの接続を許可する方法の例:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0; 198.51.100.0; 203.0.113.0" -t s
管理サーバーのイベントログで、IP アドレスの許可リストが正常に設定されているかどうかを確認できます:
IP アドレスの許可リストを変更する方法
最初に許可リストを作成した方法と同じ方法で許可リストを変更できます。同じコマンドを実行して新しい許可リストの名前を指定します。
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "<IP アドレス
>" -t s
許可リストから一部の IP アドレスを削除する場合は、書き直します。たとえば、許可リストに IP アドレス「198.51.100.0; 203.0.113.0」が含まれているとします。IP アドレス「198.51.100.0」を削除したいとします。この場合、コマンドプロンプトで次のコマンドを入力します:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0; 203.0.113.0" -t s
管理サーバーサービスを忘れずに再起動してください。
設定済みの IP アドレスの許可リストをリセットする方法
既に設定済みの IP アドレスの許可リストをリセットするには:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "" -t s
その後、IP アドレスは検証されなくなります。
ページのトップに戻る