アカウントおよび認証

以下の手順を実行する前に、管理サーバーデータのバックアップまたは klbackup ユーティリティを使用して Kaspersky Security Center Linux 管理サーバーのバックアップコピーを作成し、安全な場所に保存します。

管理サーバーでの二段階認証の使用

Kaspersky Security Center Linux は、RFC 6238 標準(TOTP:Time-Based One-Time Password アルゴリズム)に基づいて、Kaspersky Security Center Web コンソールのユーザーに二段階認証を提供します。

自分のアカウントに二段階認証が適用されると、Kaspersky Security Center Web コンソールにログインするたびに、ユーザー名、パスワードおよび追加で一回のみ使用するセキュリティコードを入力するようになります。1 度だけ使用するセキュリティコードを受け取るには、ご使用のコンピューターまたはモバイルデバイスなどに認証アプリがインストールされている必要があります。

RFC 6238 標準に対応したソフトウェアとハードウェアの両方の認証機能(トークン)があります。たとえば、ソフトウェア認証には、Google Authenticator、Microsoft Authenticator、FreeOTP などがあります。

管理サーバーへの接続が確立されているデバイスと同じデバイスに認証アプリをインストールすることは強く推奨しません。モバイルデバイスに認証アプリをインストールすることができます。

新規ユーザーによる二段階認証の設定の制限

Kaspersky Security Center Web コンソールのアクセスセキュリティをさらに強化するには、

新規ユーザーが自分で二段階認証を設定することを禁止します

このオプションをオンにする場合、二段階認証が無効になっているユーザー(例:新しいドメイン管理者など)は、自分自身に二段階認証を設定できません。したがって、そのようなユーザーは管理サーバーで認証できず、既に二段階認証を有効にしている別の Kaspersky Security Center Linux 管理者の承認がなければ Kaspersky Security Center Web コンソールにサインインできません。

オペレーティングシステムの二要素認証の使用

管理サーバーデバイスでの認証には、トークン、スマートカード、またはその他の方法(可能な場合)を使用した多要素認証(MFA)を使用することを推奨します。

管理者パスワード保存の制限

Kaspersky Security Center Web コンソールを使用する場合、ユーザーのデバイスにインストールされているブラウザーに管理者パスワードを保存することは推奨しません。

内部ユーザーアカウントの認証

既定では、管理サーバーの内部ユーザーアカウントのパスワードは次の規則に従う必要があります:

既定では、許可されるパスワードの入力試行回数の上限は 10 回です。パスワード入力の試行回数を変更することができます。

Kaspersky Security Center Linux のユーザーが無効なパスワードを入力できる回数には上限があります。入力回数が上限に達すると、ユーザーアカウントが 1 時間ブロックされます。

内部ユーザーアカウントのパスワードを変更するためのオプションの設定

内部ユーザーアカウントのパスワードを変更するには、次のオプションを設定することを推奨します:

不正な改変からのアカウント保護

管理サーバーの内部ユーザーアカウントを不正な変更から保護するために、追加オプションをオンにすることを推奨します。この保護は、内部ユーザーごとに個別に設定する必要があります。

管理サーバー専用の管理グループ

管理サーバー専用の管理グループを作成することを推奨します。このグループには特別なアクセス権限を付与し、特別なセキュリティポリシーを作成します。

管理サーバーのセキュリティレベルを意図的に下げることを避けるために、専用の管理グループを管理できるアカウントのリストを制限することを推奨します。

メイン管理者ロールの割り当ての制限

kladduser ユーティリティによって作成されたユーザーには、管理サーバーまたは仮想管理サーバーのアクセス制御リスト(ACL)でメイン管理者ロールが割り当てられます。メイン管理者ロールを多数のユーザーに割り当てることは避けることを推奨します。

アプリケーション機能へのアクセス権の設定

ユーザーまたはユーザーグループごとに、Kaspersky Security Center Linux の機能へのアクセス権を柔軟に設定することを推奨します。

ロールベースのアクセス制御により、事前定義された一連の権利を持つ標準ユーザーロールを作成し、職務の範囲に応じてこれらのロールをユーザーに割り当てることができます。

ロールベースのアクセス制御モデルの主な利点:

職位に基づいて特定の従業員に組み込みのロールを割り当てたり、まったく新しいロールを作成したりすることができます。

ロールを構成する際は、管理サーバーデバイスの保護状態の変更とサードパーティ製ソフトウェアのリモートインストールに関連する権限に注意してください:

アプリケーションのリモートインストール用の個別のアカウント

アクセス権の基本的な差別化に加えて、すべてのアカウントに対してアプリケーションのリモートインストールを制限することを推奨します(メイン管理者または別の特殊なアカウントを除く)。

アプリケーションのリモートインストールには別のアカウントを使用することを推奨します。別のアカウントにロールまたは権限を割り当てることができます。

すべてのユーザーとユーザーの行動の定期的な監査

管理サーバーデバイス上のすべてのユーザーを定期的に監査することを推奨します。これにより、デバイスが危険にさらされる可能性に関連する特定の種類のセキュリティ脅威に対応することができます。

また、管理サーバーへの接続や切断、管理サーバーへのエラーのある接続、オブジェクトの変更(リビジョン管理をサポートするオブジェクトの場合)などのユーザーのアクションを追跡することもできます。

ページのトップに戻る