Comptes et authentification

Avant d'exécuter les étapes ci-dessous, créez une copie de sauvegarde du Serveur d'administration de Kaspersky Security Center Linux à l'aide de la tâche Sauvegarde des données du Serveur d'administration ou de l'utilitaire klbackup et enregistrez-la dans un endroit sûr.

Utilisation de la vérification en deux étapes avec le Serveur d'administration

Kaspersky Security Center Linux propose une vérification en deux étapes pour les utilisateurs de Kaspersky Security Center Web Console sur la base de la norme RFC 6238 (TOTP : algorithme de mot de passe unique calculé en fonction du temps).

Lorsque la vérification en deux étapes est activée pour votre propre compte, chaque fois que vous vous connectez à Kaspersky Security Center Web Console, vous entrez votre nom d'utilisateur, votre mot de passe et un code de sécurité à usage unique supplémentaire. Pour recevoir un code de sécurité à usage unique, vous devez installer une application d'authentification sur votre ordinateur ou sur votre appareil mobile.

Il existe des authentificateurs logiciels et matériels (tokens) qui prennent en charge la norme RFC 6238. Par exemple, les authentificateurs logiciels incluent Google Authenticator, Microsoft Authenticator, FreeOTP.

Il est fortement déconseillé d'installer l'application d'authentification sur l'appareil à partir duquel la connexion au Serveur d'administration est établie. Vous pouvez installer une application d'authentification sur votre appareil mobile.

Interdiction aux nouveaux utilisateurs de configurer eux-mêmes la vérification en deux étapes

Afin d'améliorer la sécurité d'accès à Kaspersky Security Center Web Console, vous pouvez

interdire aux nouveaux utilisateurs de configurer eux-mêmes la vérification en deux étapes.

Si cette option est activée, un utilisateur dont la vérification en deux étapes est désactivée, par exemple un nouvel administrateur de domaine, ne peut pas configurer lui-même la vérification en deux étapes. Par conséquent, cet utilisateur ne peut pas être authentifié sur le Serveur d'administration et ne peut pas se connecter à Kaspersky Security Center Web Console sans l'approbation d'un autre administrateur de Kaspersky Security Center Linux qui a déjà activé la vérification en deux étapes.

Utilisation de l'authentification à deux facteurs pour un système d'exploitation

Nous vous recommandons d'utiliser l'authentification multifacteur (MFA) pour l'authentification sur l'appareil du Serveur d'administration à l'aide d'un token, d'une carte à puce ou d'une autre méthode (si possible).

Interdiction d'enregistrer le mot de passe administrateur

Si vous utilisez Kaspersky Security Center Web Console, il est déconseillé d'enregistrer le mot de passe administrateur dans le navigateur installé sur la machine de l'utilisateur.

Authentification d'un compte utilisateur interne

Par défaut, le mot de passe d'un compte utilisateur interne du Serveur d'administration doit respecter les règles suivantes :

• Le mot de passe doit compter entre 8 et 256 caractères.

• Le mot de passe doit compter des caractères d'au moins trois des groupes ci-dessous :

  • Lettres majuscules (A-Z)

  • Lettre minuscules (a-z)

  • Chiffres (0-9)

  • Caractères spéciaux (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;)

• Le mot de passe ne peut pas contenir d'espaces, de caractères Unicode ou de la combinaison " . " et " @ " lorsque " . " est placé devant " @ ".

Par défaut, le nombre maximal de tentatives autorisées est de 10. Vous pouvez modifier le nombre de tentatives autorisées de saisie du mot de passe.

L'utilisateur de Kaspersky Security Center Linux a droit à un nombre limité d'erreur lors de la saisie du mot de passe. Une fois cette limite atteinte, le compte utilisateur est bloqué pendant une heure.

Configuration des options de modification du mot de passe des comptes utilisateurs internes

Pour modifier le mot de passe d'un compte utilisateur interne, il est recommandé de configurer les paramètres suivants :

• Période de rotation des mots de passe
• Heure de l'avertissement préliminaire sur la nécessité de modifier le mot de passe
• Valeur de l'option L'utilisateur doit changer son mot de passe lors de la première connexion

Protection du compte contre les modifications non autorisées

Il est recommandé d'activer une option complémentaire pour protéger le compte utilisateur interne du Serveur d'administration contre les modifications non autorisées. Cette protection doit être configurée séparément pour chaque utilisateur interne.

Groupe d'administration dédié au Serveur d'administration

Nous vous recommandons de créer un groupe d'administration dédié pour le Serveur d'administration. Accordez à ce groupe des droits d'accès spéciaux et créez une stratégie de sécurité spéciale pour lui.

Pour éviter d'abaisser intentionnellement le niveau de sécurité du Serveur d'administration, nous vous recommandons de restreindre la liste des comptes qui peuvent gérer le groupe d'administration dédié.

Restrictions de l'attribution du rôle Administrateur primaire

L'utilisateur créé par l'utilitaire kladduser se voit attribuer le rôle Administrateur primaire dans la liste de contrôle d'accès (ACL) du Serveur d'administration ou du Serveur d'administration virtuel. Nous vous recommandons d'éviter l'attribution du rôle Administrateur primaire à un grand nombre d'utilisateurs.

Configuration des droits d'accès aux fonctionnalités de l'application.

Nous vous recommandons d'utiliser une configuration flexible des droits d'accès aux fonctionnalités de Kaspersky Security Center Linux pour chaque utilisateur ou groupe d'utilisateurs.

Le contrôle d'accès basé sur les rôles permet de créer des rôles d'utilisateurs standard avec un ensemble prédéfini de droits et d'attribuer ces rôles aux utilisateurs en fonction de l'étendue de leurs tâches.

Les principaux avantages du modèle de contrôle d'accès basé sur les rôles :

• Facilité d'administration
• Hiérarchie des rôles
• Approche du moindre privilège
• Séparation des tâches

Vous pouvez attribuer des rôles prédéfinis à certains employés en fonction de leur poste ou créer des rôles entièrement nouveaux.

Lors de la configuration des rôles, tenez compte des privilèges liés à la modification de l'état de protection de l'appareil doté du Serveur d'administration et à l'installation à distance de logiciels tiers :

• Administration des groupes d'administration.
• Opérations avec le Serveur d'administration.
• Installation à distance.
• Modification des paramètres de stockage des événements et d'envoi des notifications.

  Ce privilège vous permet de définir des notifications qui exécutent un script ou un module exécutable sur l'appareil du Serveur d'administration lorsqu'un événement se produit.

Compte séparé pour l'installation à distance des applications

En plus de la différenciation de base des droits d'accès, nous recommandons de restreindre l'installation à distance des applications pour tous les comptes (à l'exception de l'administrateur principal ou d'un autre compte spécialisé).

Nous vous recommandons d'utiliser un compte distinct pour l'installation à distance des applications. Vous pouvez attribuer un rôle ou des autorisations à un compte distinct.

Audit régulier de tous les utilisateurs et de leurs actions

Nous vous recommandons d'effectuer un audit régulier de tous les utilisateurs sur l'appareil du Serveur d'administration. Cela vous permet de réagir à certains types de menaces pour la sécurité associées à une éventuelle compromission de l'appareil.

En outre, vous pouvez suivre les actions de l'utilisateur, telles que la connexion et la déconnexion du Serveur d'administration, la connexion au Serveur d'administration avec une erreur et la modification des objets (pour les objets qui prennent en charge la gestion des révisions).

Haut de page