默认情况下,用户可以在任何可以打开 Kaspersky Security Center Web Console(以下简称 Web Console)或安装了基于 MMC 的管理控制台的设备上登录 Kaspersky Security Center。但是,您可以配置管理服务器,使用户只能从具有允许 IP 地址的设备进行连接。在这种情况下,即使入侵者窃取了 Kaspersky Security Center 账户,也无法登录 Kaspersky Security Center,因为入侵者设备的 IP 地址不在允许列表中。
当用户登录 Kaspersky Security Center 或运行通过 Kaspersky Security Center OpenAPI 与管理服务器交互的应用程序时,将验证 IP 地址。此时,用户的设备尝试与管理服务器建立连接。如果设备的 IP 地址不在允许列表中,则会发生身份验证错误,并且 KLAUD_EV_SERVERCONNECT 事件将通知您尚未建立与管理服务器的连接。
IP 地址允许列表的要求
仅当以下应用程序尝试连接到管理服务器时才会验证 IP 地址:
如果您在一台设备上登录 Web Console,而 Web Console Server 安装在另一台设备上,您可以使用操作系统的标准方式在安装了 Web Console Server 的设备上配置防火墙。然后,如果有人试图登录 Web Console,防火墙将帮助阻止入侵者干扰。
因此,请指定安装了上述应用程序的设备的地址。
您可以设置 IPv4 和 IPv6 地址。您不能指定 IP 地址范围。
如何建立 IP 地址允许列表
如果您之前未设置允许列表,请按照下面的说明操作。
要建立用于登录 Kaspersky Security Center 的 IP 地址允许列表:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "<IP 地址
>" -t s
指定满足上述要求的 IP 地址。多个 IP 地址必须用分号隔开。
如何只允许一台设备连接到管理服务器的示例:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0" -t s
如何允许多台设备连接到管理服务器的示例:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0; 198.51.100.0; 203.0.113.0" -t s
您可以在管理服务器上的卡巴斯基事件日志中查看您是否已成功配置 IP 地址允许列表。
如何更改 IP 地址允许列表
您可以像第一次建立允许列表那样进行更改。为此,请运行相同的命令并指定一个新的允许列表:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "<IP 地址
>" -t s
如果要从允许列表中删除某些 IP 地址,请将其重写。例如,您的允许列表包括以下 IP 地址:192.0.2.0; 198.51.100.0; 203.0.113.0。您要删除 198.51.100.0 IP 地址。为此,在命令提示符处输入以下命令:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0; 203.0.113.0" -t s
不要忘记重新启动管理服务器服务。
如何重置已配置的 IP 地址允许列表
要重置已配置的 IP 地址允许列表:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "" -t s
之后,不再验证 IP 地址。
页顶