Verwendung von TLS
Wir empfehlen, unsichere Verbindungen zum Administrationsserver zu verbieten. Beispielsweise können Sie in den Einstellungen des Administrationsservers Verbindungen verbieten, die HTTP verwenden.
Beachten Sie, dass standardmäßig einige HTTP-Ports des Administrationsservers geschlossen sind. Der verbleibende Port wird für den Webserver des Administrationsservers (8060) verwendet. Dieser Port kann durch die Firewall-Einstellungen des Administrationsservers eingeschränkt werden.
Restriktive TLS-Einstellungen
Wir empfehlen, das TLS-Protokoll ab Version 1.2 zu verwenden und unsichere Verschlüsselungsalgorithmen einzuschränken oder zu verbieten.
Sie können die vom Administrationsserver verwendeten Verschlüsselungsprotokolle konfigurieren (TLS). Beachten Sie, dass zum Veröffentlichungszeitpunkt einer Administrationsserver-Version die Einstellungen des Verschlüsselungsprotokolls standardmäßig so konfiguriert sind, dass sie eine sichere Datenübertragung gewährleisten.
Einschränkung des Zugriffs auf die Administrationsserver-Datenbank
Wir empfehlen eine Einschränkung des Zugriffs auf die Administrationsserver-Datenbank. Beispielsweise können Sie den Zugriff lediglich vom Gerät des Administrationsservers aus zulassen. Dadurch wird die Wahrscheinlichkeit verringert, dass die Administrationsserver-Datenbank aufgrund bekannter Schwachstellen kompromittiert wird.
Sie können die Parameter gemäß des Handbuchs der verwendeten Datenbank konfigurieren sowie geschlossene Ports auf Firewalls bereitstellen.
Sichere Interaktion mit einem externen DBMS
Wenn das DBMS während der Installation des Administrationsservers auf einem separaten Gerät installiert wird (externes DBMS), wird es empfohlen, die Parameter für die sichere Interaktion und Authentifizierung mit diesem DBMS anzupassen. Weitere Informationen über die Konfiguration der SSL-Authentifizierung finden Sie im Szenario: Authentifizierung am PostgreSQL-Server und im Szenario: Authentifizierung am MySQL-Server.
Eine Allow-Liste von IP-Adressen für die Verbindung mit dem Administrationsserver konfigurieren
Standardmäßig können sich Benutzer von Kaspersky Security Center Linux auf jedem Gerät, auf dem die Kaspersky Security Center Web Console oder OpenAPI-Anwendungen installiert sind, bei Kaspersky Security Center Linux anmelden. Sie können den Administrationsserver auch so konfigurieren, dass Benutzer nur von Geräten mit zugelassenen IP-Adressen eine Verbindung zu ihm herstellen dürfen. Wenn beispielsweise eine angreifende Person versucht, sich bei Kaspersky Security Center Linux mittels eines Servers von Kaspersky Security Center Web Console anzumelden, der auf einem Gerät installiert ist, das nicht auf der Allow-Liste steht, kann sich diese Person nicht an Kaspersky Security Center Linux anmelden.
Allow-Liste mit IP-Adressen für die Verbindung mit Kaspersky Security Center Web Console konfigurieren
Standardmäßig können sich Benutzer von Kaspersky Security Center Linux von jedem Gerät aus mit der Kaspersky Security Center Web Console verbinden. Auf einem Gerät mit Kaspersky Security Center Web Console müssen Sie eine Firewall konfigurieren (via Betriebssystem oder Drittanbieter-Anwendung), damit sich Benutzer nur mit erlaubten IP-Adressen mit der Kaspersky Security Center Web Console verbinden können.
Sicherheit der Verbindung mit dem Domänencontroller während der Abfrage
Um den Domänencontroller abzufragen, versucht der Administrationsserver oder ein Linux-Verteilungspunkt, sich mittels LDAPS mit der Domäne zu verbinden. Standardmäßig ist bei der Verbindung keine Überprüfung des Zertifikats notwendig. Um die Überprüfung des Zertifikats zu erzwingen, setzen Sie das Flag KLNAG_LDAP_TLS_REQCERT auf "1". Sie können außerdem einen benutzerdefinierten Pfad zur Zertifizierungsstelle (CA) angeben, um über das Flag KLNAG_LDAP_SSL_CACERT auf die Zertifikatkette zuzugreifen.