Konten und Authentifizierung

Bevor Sie die folgenden Schritte ausführen, erstellen Sie eine Backup-Kopie des Kaspersky Security Center Linux Administrationsservers mithilfe der Aufgabe Backup der Daten des Administrationsservers anlegen oder des Tools "klbackup" und speichern Sie diese an einem sicheren Ort.

Verwendung der zweistufigen Überprüfung mit dem Administrationsserver

Kaspersky Security Center Linux bietet eine zweistufige Überprüfung für Benutzer der Kaspersky Security Center Web Console. Diese basiert auf dem RFC 6238-Standard (TOTP: Time-Based One-Time Password Algorithm).

Wenn die zweistufige Überprüfung für Ihr eigenes Benutzerkonto aktiviert ist, müssen Sie bei jeder Anmeldung an der Kaspersky Security Center Web Console den Benutzernamen, das Kennwort und einen zusätzlichen Einmal-Sicherheitscode eingegeben. Um einen Einmal-Sicherheitscode zu erhalten, müssen Sie eine Authenticator-App auf Ihrem Computer oder mobilen Gerät installieren.

Für den RFC 6238-Standard existieren sowohl Software- als auch Hardware-Authenticators (Token). Zu den Software-Authenticators gehören beispielsweise Google Authenticator, Microsoft Authenticator und FreeOTP.

Wir raten dringend davon ab, die Authenticator-App auf demselben Gerät zu installieren, von dem aus die Verbindung zum Administrationsserver hergestellt wird. Sie können eine Authenticator-App auf Ihrem Mobilgerät installieren.

Neuen Benutzern die Einrichtung der zweistufigen Überprüfung für sich selbst einschränken

Um die Zugriffssicherheit auf die Kaspersky Security Center Web Console zu stärken, können Sie

neuen Benutzern die Einrichtung der zweistufigen Überprüfung für sich selbst verbieten.

Bei aktivierter Option kann ein Benutzer, für den die zweistufige Überprüfung deaktiviert ist (z. B. ein neuer Domänenadministrator) die zweistufige Überprüfung nicht für sich selbst konfigurieren. Auf diese Weise kann ein solcher Benutzer ohne Zustimmung eines weiteren Administrators von Kaspersky Security Center Linux, für den die Zwei-Faktor-Authentifikation bereits aktiviert wurde, nicht am Administrationsserver authentifiziert werden und sich nicht an der Kaspersky Security Center Web Console anmelden.

Verwendung der Zwei-Faktor-Authentifizierung für ein Betriebssystem

Für die Authentifizierung auf dem Gerät des Administrationsservers empfehlen wir die Verwendung der Multi-Faktor-Authentifizierung (MFA) mithilfe eines Tokens, einer Smartcard oder einer anderen Methode (falls möglich).

Speichern des Administratorkennworts einschränken

Wenn Sie Kaspersky Security Center Web Console verwenden, raten wir davon ab, das Administratorkennwort in einem auf dem Benutzergerät installierten Browser zu speichern.

Authentifizierung eines internen Benutzerkontos

Standardmäßig muss das Kennwort eines internen Benutzerkontos des Administrationsservers die folgende Regeln einhalten:

• Das Kennwort muss zwischen 8 und 256 Zeichen lang sein

• Das Kennwort muss Zeichen aus zumindest drei der unten aufgelisteten Kategorien enthalten:

  • Großbuchstaben (A–Z)

  • Kleinbuchstaben (a–z)

  • Ziffern (0–9)

  • Sonderzeichen (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;)

• In einem Kennwort sind unzulässig: Leerzeichen, Unicode-Zeichen oder die Kombination von "." und "@", falls "." vor "@" steht.

Standardmäßig liegt die maximale Anzahl zulässiger Versuche zur Eingabe eines Kennworts bei 10. Sie können die Anzahl der zulässigen Eingabeversuche für das Kennwort ändern.

Die Benutzer von Kaspersky Security Center Linux haben nur eine begrenzte Anzahl von Eingabeversuchen mit ungültigen Kennwörtern. Wenn das Limit erreicht ist, wird das Benutzerkonto für eine Stunde gesperrt.

Optionen zur Kennwortänderung eines internen Benutzerkontos konfigurieren

Es wird empfohlen, die folgenden Optionen für die Kennwortänderung eines internen Benutzerkontos zu konfigurieren:

• Zeitraum der Kennwortrotation
• Zeitspanne der vorherigen Warnung über eine erforderliche Kennwortänderung
• Wert der Option Benutzer muss Erstanmeldung sein Kennwort ändern

Schutz von Benutzerkonten vor unbefugten Änderungen

Es wird empfohlen, eine zusätzliche Option zu aktivieren, um interne Benutzerkonten des Administrationsservers unbefugter Änderung zu schützen. Dieser Schutz muss für jeden internen Benutzer separat konfiguriert werden.

Dedizierte Administrationsgruppe für den Administrationsserver

Wir empfehlen die Erstellung einer dedizierten Administrationsgruppe für den Administrationsserver. Gewähren Sie dieser Gruppe gesonderte Zugriffsrechte und erstellen Sie eine gesonderte Sicherheitsrichtlinie für sie.

Um die Sicherheitsstufe des Administrationsservers nicht absichtlich herabzusetzen, empfehlen wir, die Liste der Konten einzuschränken, welche die dedizierte Administrationsgruppe verwalten dürfen.

Zuweisung der Rolle "Hauptadministrator" beschränken

Dem mit dem Tool "kladduser" erstellten Benutzer wird in der Zugriffskontrollliste (ACL) des Administrationsservers oder des virtuellen Administrationsservers die Rolle "Hauptadministrator" zugewiesen. Es wird empfohlen, die Zuweisung der Rolle des Hauptadministrators an eine größere Anzahl von Benutzern zu vermeiden.

Zugriffsrechte auf Programmfunktionen konfigurieren

Wir empfehlen, für jeden Benutzer oder jede Benutzergruppe eine flexible Konfiguration der Zugriffsrechte auf die Funktionen von Kaspersky Security Center Linux.

Rollenbasierte Zugriffskontrolle erlaubt das Erstellen typischer Benutzerrollen mit einer vordefinierten Auswahl von Berechtigungen und das Zuweisen dieser Rollen an die Benutzer entsprechend ihrer dienstlichen Verpflichtungen.

Die Hauptvorteile des Modells der rollenbasierten Zugriffskontrolle:

• Einfache Verwaltung
• Rollenhierarchie
• Prinzip der niedrigsten Priorität (POLP)
• Trennung von Aufgaben

Sie können bestimmten Mitarbeitern basierend auf deren Positionen vordefinierte Rollen zuweisen oder neue Rollen erstellen.

Achten Sie bei der Rollenkonfiguration auf die Berechtigungen, die mit der Änderung des Schutzstatus des Geräts mit dem Administrationsserver und der Remote-Installation von Drittanbieter-Programmen verbunden sind:

• Administrationsgruppen verwalten.
• Vorgänge mit dem Administrationsserver.
• Remote-Installation.
• Ändern der Parameter zum Speichern von Ereignissen und Senden von Benachrichtigungen.

  Mit diesem Recht können Sie Benachrichtigungen einrichten, die bei Eintritt eines Ereignisses ein Skript oder ein ausführbares Modul auf dem Gerät des Administrationsservers ausführen.

Separate Benutzerkonten für die Remote-Installation von Programmen

Neben der grundsätzlichen Unterscheidung der Zugriffsrechte empfehlen wir, die Remote-Installation von Programmen für alle Konten einzuschränken (außer für den Hauptadministrator oder ein anderes spezialisiertes Konto).

Für die Remote-Installation von Anwendungen empfehlen die Verwendung eines separaten Benutzerkontos. Sie können dem separaten Benutzerkonto Berechtigungen oder eine Rolle zuweisen.

Regelmäßiges Audit aller Benutzer und Benutzervorgänge

Wir empfehlen, auf dem Gerät des Administrationsservers eine regelmäßige Überprüfung aller Benutzer durchzuführen. Auf diese Weise können Sie auf bestimmte Arten von Sicherheitsbedrohungen reagieren, die mit einer möglichen Kompromittierung des Geräts verbunden sind.

Außerdem können Sie verschiedene Benutzervorgänge verfolgen, wie etwa: hergestellte und getrennte Verbindungen zum Administrationsserver, fehlerhafte Verbindungen zum Administrationsserver und Objektänderungen (für Objekte, welche die Revisionsverwaltung unterstützen).

Nach oben