По умолчанию пользователи могут войти в Kaspersky Security Center с любого устройства, на котором они могут открыть Kaspersky Security Center 14 Web Console. Настроить Сервер администрирования можно таким образом, чтобы пользователи могли подключаться к нему только с устройств с разрешенными IP-адресами. В этом случае, даже если злоумышленник похитит учетную запись Kaspersky Security Center, он не сможет войти в Kaspersky Security Center, так как IP-адрес устройства злоумышленника отсутствует в списке разрешенных.
IP-адрес проверяется, когда пользователь входит в Kaspersky Security Center или запускает программу, которая взаимодействует с Сервером администрирования через Kaspersky Security Center OpenAPI. В этот момент устройство пользователя пытается установить соединение с Сервером администрирования. Если IP-адрес устройства отсутствует в списке разрешенных, возникает ошибка аутентификации и событие KLAUD_EV_SERVERCONNECT уведомляет о том, что соединение с Сервером администрирования не установлено.
Требования к списку разрешенных IP-адресов
IP-адреса проверяются только при попытке подключения к Серверу администрирования следующих программ:
Если вы входите в Kaspersky Security Center через Kaspersky Security Center 14 Web Console, вы можете настроить сетевой экран на устройстве, где установлен Сервер Kaspersky Security Center 14 Web Console, штатными средствами операционной системы. Затем, если кто-то попытается войти в Kaspersky Security Center на одном устройстве, а Сервер Kaspersky Security Center 14 Web Console установлен на другом устройстве, сетевой экран поможет предотвратить вмешательство злоумышленников.
Поэтому укажите адреса устройств, на которых установлены перечисленные выше программы.
Вы можете установить IPv4-адреса и IPv6-адреса. Указать диапазоны IP-адресов нельзя.
Как создать список разрешенных IP-адресов
Если вы еще не установили список разрешенных, следуйте приведенным ниже инструкциям.
Чтобы создать список разрешенных IP-адресов для входа в Kaspersky Security Center:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "<IP addresses
>" -t s
Укажите IP-адреса, соответствующие перечисленным выше требованиям. Несколько IP-адресов должны быть разделены точкой с запятой.
Пример того, как разрешить подключение к Серверу администрирования только одному устройству:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0" -t s
Пример того, как разрешить нескольким устройствам подключаться к Серверу администрирования:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0; 198.51.100.0; 203.0.113.0" -t s
Узнать, успешно ли настроен список разрешенных IP-адресов, можно в журнале событий Syslog Event Log на Сервере администрирования.
Как изменить список разрешенных IP-адресов
Вы можете изменить список разрешенных точно так же, как и при его создании. Для этого выполните ту же команду и укажите новый список разрешенных:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "<IP addresses
>" -t s
Если вы хотите удалить некоторые IP-адреса из списка разрешенных, перепишите его. Например, ваш список разрешенных включает следующие IP-адреса: 192.0.2.0; 198.51.100.0; 203.0.113.0. Вы хотите удалить IP-адрес 198.51.100.0. Для этого в командной строке введите следующую команду:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0; 203.0.113.0" -t s
Не забудьте перезапустить службу Сервера администрирования.
Как сбросить настроенный список разрешенных IP-адресов
Чтобы сбросить уже настроенный список разрешенных IP-адресов:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "" -t s
После этого IP-адреса больше не проверяются.
В начало