Cuentas y autenticación

Antes de realizar los siguientes pasos, cree una copia de seguridad del Servidor de administración de Kaspersky Security Center Linux con la tarea Copia de seguridad de los datos del Servidor de administración o con la utilidad klbackup y guárdela en un lugar seguro.

Uso de la verificación en dos pasos con el Servidor de administración

Kaspersky Security Center Linux proporciona verificación en dos pasos para usuarios de Kaspersky Security Center Web Console, según el estándar RFC 6238 (TOTP: algoritmo de contraseña de un solo uso basado en tiempo).

Cuando la verificación en dos pasos está habilitada para su cuenta, cada vez que inicia sesión en Kaspersky Security Center 14 Web Console, ingresa su nombre de usuario, contraseña y un código de seguridad adicional de un solo uso. Para recibir un código de seguridad de un solo uso, debe haber instalado una app de autenticación en su computadora o dispositivo móvil.

Existen autenticadores de software y de hardware (tokens) que admiten el estándar RFC 6238. Por ejemplo, los autenticadores de software incluyen Google Authenticator, Microsoft Authenticator o FreeOTP.

No recomendamos en absoluto instalar la app de autenticación en el mismo dispositivo desde el que se establece la conexión con el Servidor de administración. Puede instalar una app de autenticación en su dispositivo móvil.

Prohibir a los nuevos usuarios configurar la verificación en dos pasos por sí mismos

Para mejorar aún más la seguridad de acceso a Kaspersky Security Center Web Console, puede

prohibir a los nuevos usuarios configurar la verificación en dos pasos por sí mismos.

Si esta opción está habilitada, un usuario con la verificación en dos pasos deshabilitada, por ejemplo, un nuevo administrador de dominio, no puede configurar la verificación en dos pasos por sí mismo. Por lo tanto, dicho usuario no puede autenticarse en el Servidor de administración y no puede iniciar sesión en Kaspersky Security Center Web Console sin la aprobación de otro administrador de Kaspersky Security Center Linux que ya tenga habilitada la verificación en dos pasos.

Uso de la autenticación de dos factores para un sistema operativo

Recomendamos utilizar la autenticación multifactor (MFA) para la autenticación en el dispositivo del Servidor de administración mediante un token, una tarjeta inteligente u otro método (si es posible).

Restringir el guardado de la contraseña de administrador

Si utiliza Kaspersky Security Center Web Console, no recomendamos guardar la contraseña de administrador en el navegador instalado en el dispositivo del usuario.

Autenticación de una cuenta de usuario interna

Por defecto, la contraseña de una cuenta de usuario interna del Servidor de Administración debe cumplir con las siguientes reglas:

• La contraseña debe tener entre 8 y 256 caracteres.

• La contraseña debe incluir caracteres de al menos tres de los grupos enumerados a continuación:

  • Letras mayúsculas (A-Z)

  • Letras minúsculas (a-z)

  • Números (0-9)

  • Caracteres especiales (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;)

• La contraseña no debe contener espacios en blanco, caracteres Unicode o la combinación de "." y "@" cuando "." está colocado delante de "@".

De forma predeterminada, el número máximo de intentos permitidos para introducir una contraseña es 10. Puede cambiar el número de intentos de entrada de contraseña permitidos.

El usuario de Kaspersky Security Center Linux puede introducir una contraseña no válida un número limitado de veces. Una vez que se alcanza el límite, la cuenta de usuario se bloquea durante una hora.

Configurar las opciones para cambiar la contraseña de una cuenta de usuario interno

Recomendamos configurar las siguientes opciones para cambiar la contraseña de una cuenta de usuario interno:

• Período de rotación de contraseñas
• Tiempo de la advertencia preliminar sobre la necesidad de cambiar la contraseña
• Valor de la opción El usuario debe cambiar la contraseña la primera vez que inicie sesión

Protección de una cuenta contra modificaciones sin autorización

Recomendamos habilitar una opción adicional para proteger una cuenta de usuario interno del Servidor de administración contra modificaciones no autorizadas. Esta protección debe configurarse por separado para cada usuario interno.

Grupo de administración dedicado para el Servidor de administración

Recomendamos crear un grupo de administración dedicado para el Servidor de administración. Otorgue a este grupo derechos de acceso especiales y cree una directiva de seguridad especial para él.

Para evitar bajar intencionadamente el nivel de seguridad del Servidor de administración, recomendamos restringir la lista de cuentas que puede administrar el grupo de administración dedicado.

Restricción de la asignación del rol de Administrador principal

Al usuario creado por la utilidad kladduser se le asigna el rol de Administrador principal en la lista de control de acceso (ACL) del Servidor de Administración o del Servidor de Administración virtual. Recomendamos evitar la asignación del rol de Administrador principal a un gran número de usuarios.

Configurar los derechos de acceso a las funciones de la aplicación

Recomendamos utilizar una configuración flexible de los derechos de acceso a las funciones de Kaspersky Security Center Linux para cada usuario o grupo de usuarios.

El control de acceso basado en funciones permite la creación de funciones de usuario estándar con un conjunto de derechos preestablecido y la asignación de esas funciones a los usuarios según su ámbito de responsabilidad.

Las principales ventajas del modelo de control de acceso basado en funciones:

• Facilidad de administración
• Jerarquía de funciones
• Enfoque de privilegios mínimos
• Segregación de deberes

Puede asignar funciones integradas a ciertos empleados en función de sus puestos o crear funciones completamente nuevas.

Al configurar funciones, preste atención a los privilegios asociados con el cambio del estado de protección del dispositivo del Servidor de administración y la instalación remota de software de terceros:

• Administrar grupos de administración.
• Operaciones con el Servidor de administración.
• Instalación remota.
• Cambiar los parámetros para almacenar eventos y enviar notificaciones.

  Este privilegio le permite configurar notificaciones que ejecutan un script o un módulo ejecutable en el dispositivo del Servidor de administración cuando ocurra un evento.

Cuenta separada para la instalación remota de aplicaciones

Además de la diferenciación básica de derechos de acceso, recomendamos restringir la instalación remota de aplicaciones para todas las cuentas (excepto para el Administrador principal u otra cuenta especializada).

Recomendamos usar una cuenta aparte para la instalación remota de aplicaciones. Puede asignar un rol o permisos a la cuenta separada.

Auditoría periódica de todos los usuarios y las acciones de los usuarios

Recomendamos realizar una auditoría regular de todos los usuarios en el dispositivo del Servidor de administración. Esto le permite responder a ciertos tipos de amenazas de seguridad asociadas con un posible compromiso del dispositivo.

Además, puede realizar un seguimiento de las acciones de los usuarios, como conectarse y desconectarse del Servidor de administración, conectarse al Servidor de administración con un error y modificar los objetos (para los objetos que admiten la administración de revisiones).

Principio de la página