Użycie TLS
Zalecamy zablokowanie niezabezpieczonych połączeń z Serwerem administracyjnym. Na przykład, możesz zabronić połączeń korzystających z HTTP w ustawieniach Serwera administracyjnego.
Należy pamiętać, że domyślnie kilka portów HTTP Serwera administracyjnego jest zamkniętych. Pozostały port jest używany przez serwer WWW Serwera administracyjnego (8060). Ten port może być ograniczony przez ustawienia zapory sieciowej urządzenia Serwera administracyjnego.
Ścisłe ustawienia TLS
Zalecamy korzystanie z protokołu TLS w wersji 1.2 lub nowszej oraz ograniczanie lub blokowanie niezabezpieczonych algorytmów szyfrowania.
Możesz skonfigurować protokoły szyfrowania (TLS) używane przez Serwer administracyjny. Należy pamiętać, że w momencie wydania wersji Serwera administracyjnego ustawienia protokołu szyfrowania są domyślnie skonfigurowane w celu zapewnienia bezpiecznego przesyłania danych.
Zakaz zdalnego uwierzytelniania przy użyciu kont Windows
Możesz użyć flagi LP_RestrictRemoteOsAuth, aby zabronić połączeń SSPI ze zdalnych adresów. Ta flaga umożliwia zablokowanie zdalnego uwierzytelniania na Serwerze administracyjnym przy użyciu lokalnych lub domenowych kont Windows.
Aby przełączyć flagę LP_RestrictRemoteOsAuth w tryb blokowania połączeń ze zdalnych adresów:
klscflag.exe -fset -pv .core/.independent -s KLLIM -n LP_RestrictRemoteOsAuth -t d -v 1
Flaga LP_RestrictRemoteOsAuth nie działa, jeśli przeprowadzana jest zdalna autoryzacja poprzez Kaspersky Security Center Web Console lub Konsolę administracyjną zainstalowaną na urządzeniu Serwera administracyjnego.
Ograniczanie dostępu do bazy danych Serwera administracyjnego
Zalecamy ograniczenie dostępu do bazy danych Serwera administracyjnego. Na przykład, udzielasz dostępu tylko z urządzenia Serwera administracyjnego. Zmniejsza to prawdopodobieństwo naruszenia bezpieczeństwa bazy danych Serwera administracyjnego z powodu znanych luk w zabezpieczeniach.
Możesz skonfigurować parametry zgodnie z instrukcją obsługi używanej bazy danych, a także udostępnić zamknięte porty na zaporach ogniowych.
Autoryzacja Microsoft SQL Server
Jeśli Kaspersky Security Center używa Microsoft SQL Server jako DBMS, konieczna jest ochrona danych Kaspersky Security Center przesyłanych do lub z bazy danych oraz danych przechowywanych w bazie danych przed nieautoryzowanym dostępem. Aby to zrobić, musisz zapewnić bezpieczną komunikację między Kaspersky Security Center a SQL Server. Najbardziej rozsądny sposób zapewnienia bezpiecznej komunikacji to zainstalowanie Kaspersky Security Center i SQL Server na tym samym urządzeniu i używanie mechanizmu pamięci współużytkowanej dla obu aplikacji. We wszystkich pozostałych przypadkach zalecane jest użycie certyfikatu SSL/TLS do uwierzytelniania instancji SQL Server.
Ogólnie rzecz biorąc, Serwer administracyjny może kontaktować się z serwerem SQL Server za pośrednictwem następujących dostawców:
Ten dostawca jest instalowany w systemie operacyjnym Windows i używany domyślnie.
Jeśli chcesz korzystać z tego dostawcy, musisz zainstalować go na urządzeniu z Serwerem administracyjnym, a następnie ustaw wartość 1 w globalnej zmiennej środowiskowej KLDBADO_UseMSOLEDBSQL.
Jeśli chcesz korzystać z tego dostawcy, musisz zainstalować go na urządzeniu z Serwerem administracyjnym, a następnie ustaw wartość 1 w globalnej zmiennej środowiskowej KLDBADO_UseMSOLEDBSQL i wartość MSOLEDBSQL19 w globalnej zmiennej środowiskowej KLDBADO_ProviderName.
Ponadto przed użyciem protokołu TCP/IP, Named Pipes lub Shared memory upewnij się, że wymagany protokół jest włączony.
Interakcja bezpieczeństwa z zewnętrznym systemem DBMS
Jeżeli system DBMS jest instalowany na oddzielnym urządzeniu podczas instalacji Serwera administracyjnego (zewnętrzny system DBMS), zalecamy skonfigurowanie parametrów bezpiecznej interakcji i uwierzytelniania z tym systemem DBMS. Aby uzyskać więcej informacji na temat konfigurowania uwierzytelniania SSL, zobacz Uwierzytelnianie serwera PostgreSQL i Scenariusz: Uwierzytelnianie serwera MySQL.
Konfigurowanie listy zezwolonych adresów IP do łączenia się z Serwerem administracyjnym
Domyślnie użytkownicy Kaspersky Security Center Linux mogą logować się do Kaspersky Security Center z dowolnego urządzenia, na którym zainstalowano Konsolę administracyjną opartą na MMC, Kaspersky Security Center Web Console lub aplikacje OpenAPI. Możesz skonfigurować serwer administracyjny tak, aby użytkownicy mogli łączyć się z nim tylko z urządzeń o dozwolonych adresach IP. Na przykład, jeśli intruz spróbuje nawiązać połączenie z Kaspersky Security Center za pośrednictwem Kaspersky Security Center Web Console Server zainstalowanego na urządzeniu, które nie znajduje się na liście zezwolonych, nie będzie mógł zalogować się do Kaspersky Security Center.
Konfigurowanie listy zezwolonych adresów IP do łączenia się z Kaspersky Security Center Web Console
Domyślnie użytkownicy Kaspersky Security Center mogą łączyć się z Kaspersky Security Center Web Console z dowolnego urządzenia. Na urządzeniu z Kaspersky Security Center Web Console należy skonfigurować zaporę sieciową (wbudowaną w system operacyjny lub innej firmy), aby użytkownicy mogli łączyć się z Kaspersky Security Center Web Console wyłącznie z dozwolonych adresów IP.
Bezpieczeństwo połączenia z kontrolerem domeny podczas przeszukiwania
Serwer administracyjny lub punkt dystrybucji systemu Linux łączy się z kontrolerem domeny za pośrednictwem protokołu LDAPS w celu przeszukania domeny. Domyślnie weryfikacja certyfikatu nie jest wymagana podczas łączenia. Aby wymusić weryfikację certyfikatu, należy ustawić flagę KLNAG_LDAP_TLS_REQCERT na 1. Można również określić niestandardową ścieżkę do urzędu certyfikacji (CA) w celu uzyskania dostępu do łańcucha certyfikatów, korzystając z flagi KLNAG_LDAP_SSL_CACERT.