Uso de TLS
Recomendamos proibir as conexões inseguras com o Servidor de Administração. Por exemplo, é possível proibir as conexões que usam HTTP nas configurações do Servidor de Administração.
Observe que, por padrão, várias portas HTTP do Servidor de Administração estão fechadas. A porta restante é usada para o servidor web do Servidor de Administração (8060). Essa porta pode ser limitada pelas configurações do firewall do dispositivo do Servidor de Administração.
Configurações estritas de TLS
Recomendamos usar o protocolo TLS, versão 1.2 e posterior, e restringir ou proibir algoritmos de criptografia inseguros.
Você pode configurar os protocolos de criptografia (TLS) usados pelo Servidor de Administração. Observe que no momento do lançamento de uma versão do Servidor de Administração, por padrão, as configurações do protocolo de criptografia são definidas para garantir a transferência segura de dados.
Restrição de acesso ao banco de dados do Servidor de Administração
Recomendamos restringir o acesso ao banco de dados do Servidor de Administração. Por exemplo, conceda acesso apenas ao dispositivo a partir do Servidor de Administração. Isso reduz a probabilidade de o banco de dados do Servidor de Administração ser comprometido devido a vulnerabilidades conhecidas.
É possível configurar os parâmetros de acordo com as instruções de operação do banco de dados usado, assim como fornecer portas fechadas em firewalls.
Interação de segurança com um DBMS externo
Se o DBMS for instalado em um dispositivo separado durante a instalação do Servidor de Administração (DBMS externo), recomendamos configurar os parâmetros para interação segura e autenticação com este DBMS. Para obter mais informações sobre como configurar a autenticação SSL, consulte autenticação do Servidor PostgreSQL e Cenário: Autenticação do Servidor MySQL.
Configuração de uma lista de permissão de endereços IP para conexão ao Servidor de Administração
Por padrão, os usuários do Kaspersky Security Center Linux podem fazer login em qualquer dispositivo onde o Kaspersky Security Center Web Console ou aplicativos OpenAPI estejam instalados. É possível configurar o Servidor de Administração para que os usuários apenas possam se conectar a ele apenas em dispositivos com endereços IP permitidos. Nesse caso, se um invasor tentar se conectar ao Kaspersky Security Center Linux por meio do Web Console Server instalado em um dispositivo que não esteja na lista de permissões, ele não conseguirá fazer o login no Kaspersky Security Center Linux.
Configuração de uma lista de permissões de endereços IP para conexão ao Kaspersky Security Center Web Console
Por padrão, os usuários do Kaspersky Security Center Linux podem se conectar ao Kaspersky Security Center Web Console em qualquer dispositivo. Em um dispositivo com o Web Console do Kaspersky Security Center, o firewall (integrado ao sistema ou de terceiros) deve ser configurado para permitir conexões apenas de endereços IP autorizados.
Segurança da conexão com o controlador de domínio durante a sondagem
Para consultar o controlador de domínio, o Servidor de Administração ou um ponto de distribuição Linux tenta se conectar a este domínio via LDAPS. Por padrão, a verificação de certificado não é exigida durante a conexão. Para impor a verificação de certificado, defina o sinalizador KLNAG_LDAP_TLS_REQCERT como 1. Além disso, é possível especificar um caminho personalizado para a autoridade certificadora (CA) a fim de conectar a cadeia de certificados, usando o sinalizador KLNAG_LDAP_SSL_CACERT.