연결 안전

TLS 사용

중앙 관리 서버에 대해 안전하지 않은 연결을 금지할 것을 권장합니다. 예를 들어 중앙 관리 서버 설정에서 HTTP를 사용하는 연결을 금지할 수 있습니다.

중앙 관리 서버의 여러 HTTP 포트는 기본적으로 닫혀 있습니다. 나머지 포트는 중앙 관리 서버 웹 서버(8060)에 사용됩니다. 이 포트는 중앙 관리 서버 기기의 방화벽 설정에 따라 제한될 수 있습니다.

엄격한 TLS 설정

버전 1.2 이상의 TLS 프로토콜을 사용하고, 안전하지 않은 암호화 알고리즘은 제한하거나 금지할 것을 권장합니다.

중앙 관리 서버에서 사용하는 암호화 프로토콜(TLS)을 구성할 수 있습니다. 중앙 관리 서버 버전 출시 시점에 안전한 데이터 전송 보장을 위해 기본적으로 암호화 프로토콜 설정이 구성되어 있습니다.

Windows 계정을 이용한 원격 인증 금지

LP_RestrictRemoteOsAuth 플래그를 사용하여 원격 주소에서 SSPI 연결을 금지할 수 있습니다. 이 플래그를 사용하면 로컬 또는 도메인 Windows 계정을 사용하여 중앙 관리 서버에서 원격 인증을 금지할 수 있습니다.

LP_RestrictRemoteOsAuth 플래그를 원격 주소로부터의 연결을 금지하는 모드로 전환하려면:

1. 관리자 권한을 사용하여 Windows 명령 프롬프트를 실행한 후 klscflag 유틸리티를 사용하여 현재 디렉터리를 해당 디렉터리로 변경합니다. klscflag 유틸리티는 중앙 관리 서버가 설치된 폴더에 있습니다. 기본 설치 경로는 <디스크>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center입니다.
2. 명령줄에서 다음 명령을 실행하여 LP_RestrictRemoteOsAuth 플래그 값을 지정합니다.

   klscflag.exe -fset -pv .core/.independent -s KLLIM -n LP_RestrictRemoteOsAuth -t d -v 1

3. 중앙 관리 서버 서비스를 다시 시작합니다.

중앙 관리 서버 기기에 설치된 Kaspersky Security Center 웹 콘솔 또는 관리 콘솔을 통해 원격 인증을 수행한다면, LP_RestrictRemoteOsAuth 플래그가 작동하지 않습니다.

중앙 관리 서버 데이터베이스에 대한 액세스 제한

중앙 관리 서버 데이터베이스에 대한 액세스를 제한할 것을 권장합니다. 예를 들어 중앙 관리 서버 기기에서만 액세스 권한을 부여합니다. 이렇게 하면 알려진 취약점을 통해 중앙 관리 서버 데이터베이스가 손상될 가능성이 줄어듭니다.

사용된 데이터베이스의 작동 지침에 따라 파라미터를 구성하고 방화벽에 닫힌 포트를 제공할 수 있습니다.

Microsoft SQL Server 인증

Kaspersky Security Center가 Microsoft SQL Server를 DBMS로 사용한다면, 데이터베이스와 주고받는 Kaspersky Security Center 데이터 및 데이터베이스에 저장된 데이터를 무단 액세스로부터 보호해야 합니다. 이를 위해 Kaspersky Security Center와 SQL Server간의 통신을 안전하게 보호해야 합니다. 안전한 통신을 제공하는 가장 안정적인 방법은 동일한 기기에 Kaspersky Security Center와 SQL Server를 설치하고 두 애플리케이션에 공유 메모리 메커니즘을 사용하는 것입니다. 그 외에는 SSL/TLS 인증서를 사용하여 SQL Server 인스턴스를 인증할 것을 권장합니다.

일반적으로 중앙 관리 서버는 다음 공급자를 통해 SQL Server의 주소를 지정할 수 있습니다.

• TCP/IP 또는 Named Pipes를 사용하는 SQLOLEDB

  이 공급자는 Windows 운영 체제에 설치되며 기본값으로 사용됩니다.

• TCP/IP, Named Pipes, Shared memory를 사용하는 MSOLEDBSQL

  이 공급자를 사용하려면 중앙 관리 서버가 설치된 기기에 이를 설치한 후, 전역 환경 변수 KLDBADO_UseMSOLEDBSQL의 값을 1로 설정해야 합니다.

• TCP/IP, Named Pipes, Shared memory를 사용하는 MSOLEDBSQL19

  이 공급자를 사용하려면 중앙 관리 서버가 설치된 기기에 이를 설치한 후, 전역 환경 변수 KLDBADO_UseMSOLEDBSQL의 값을 1로 설정하고 전역 환경 변수 KLDBADO_ProviderName의 값을 MSOLEDBSQL19로 설정해야 합니다.

또한 TCP/IP, Named Pipes, Shared memory를 사용하기 전에 필요한 프로토콜이 활성화되어 있는지 확인하십시오.

외부 DBMS와 보안 상호 작용

중앙 관리 서버(외부 DBMS) 설치 시 별도의 기기에 DBMS를 설치하면, 이 DBMS와의 안전한 상호 작용 및 인증을 위해 파라미터를 구성하는 것이 좋습니다. SSL 인증 구성에 대한 자세한 내용은 PostgreSQL 서버 인증 및 시나리오: MySQL 서버 인증을 참조하십시오.

중앙 관리 서버에 연결할 IP 주소의 허용 목록 구성

기본적으로 Kaspersky Security Center 사용자는 MMC 기반 관리 콘솔, Kaspersky Security Center 웹 콘솔 또는 OpenAPI 애플리케이션이 설치된 모든 기기에서 Kaspersky Security Center에 로그인할 수 있습니다. 사용자가 IP 주소가 허용된 기기에서만 연결할 수 있도록 중앙 관리 서버를 구성할 수 있습니다. 예를 들어 침입자가 허용 목록에 포함되지 않은 기기에 설치된 Kaspersky Security Center 웹 콘솔 서버를 통해 Kaspersky Security Center에 연결하려고 할 경우, Kaspersky Security Center에 로그인할 수 없습니다.

Kaspersky Security Center 웹 콘솔에 연결할 IP 주소의 허용 목록 구성

기본적으로 Kaspersky Security Center 사용자는 모든 기기에서 Kaspersky Security Center 웹 콘솔에 연결할 수 있습니다. Kaspersky Security Center 웹 콘솔이 설치된 기기에서 사용자는 허용된 IP 주소에서만 Kaspersky Security Center 웹 콘솔 에 연결할 수 있도록 방화벽(운영 체제 또는 타사 운영 체제에 내장된 방화벽)을 구성해야 합니다.

검색 중 도메인 컨트롤러 연결의 보안

중앙 관리 서버 또는 Linux 배포 지점은 LDAPS를 통해 도메인 컨트롤러에 연결하여 도메인을 검색합니다. 연결 시 인증서 확인은 기본적으로 불필요합니다. 인증서 확인을 강제 실행하려면 KLNAG_LDAP_TLS_REQCERT 플래그를 1로 설정합니다. 인증 기관(CA)에 대한 사용자 지정 경로를 지정하여 KLNAG_LDAP_SSL_CACERT 플래그를 사용하여 인증서 체인에 접근할 수도 있습니다.

맨 위로