Antes de executar as etapas abaixo, crie uma cópia backup do Servidor de Administração do Kaspersky Security Center Linux usando a tarefa Backup de dados do Servidor de Administração ou o utilitário klbackup e salve-a em um local seguro.
Uso da verificação em duas etapas com o Servidor de Administração
O Kaspersky Security Center Linux fornece verificação em duas etapas para os usuários do Kaspersky Security Center Web Console de acordo com o padrão RFC 6238 (TOTP: Algoritmo de Senha Avulsa por Tempo Limitado).
Quando a verificação em duas etapas é ativada para a sua própria conta, toda vez que você efetua login no Kaspersky Security Center Web Console, deve inserir seu nome de usuário, senha e um código de segurança único adicional. Para receber um código de segurança de uso único, é necessário instalar um app autenticador em seu computador ou dispositivo móvel.
Existem autenticadores de software e hardware (tokens) que são compatíveis com o padrão RFC 6238. Por exemplo, autenticadores de software incluem o Google Authenticator, Microsoft Authenticator, FreeOTP.
É altamente recomendável não instalar o app autenticador no mesmo dispositivo no qual a conexão com o Servidor de Administração é estabelecida. É possível instalar um app autenticador no seu dispositivo móvel.
Restringir novos usuários de configurar a verificação em duas etapas para si mesmos
Para melhorar ainda mais a segurança de acesso ao Kaspersky Security Center Web Console, você pode
proibir novos usuários de configurar a verificação em duas etapas.
Se esta opção estiver ativada, um usuário com a verificação em duas etapas desativada, por exemplo, um novo administrador de domínio, não poderá configurar a verificação em duas etapas por conta própria. Portanto, esse usuário não poderá ser autenticado no Servidor de Administração nem acessar o Kaspersky Security Center Web Console sem a aprovação de outro administrador do Kaspersky Security Center Linux que já tenha a verificação em duas etapas ativada.
Uso da autenticação de dois fatores para um sistema operacional
Recomendamos o uso de autenticação multifator (MFA) para autenticação no dispositivo do Servidor de Administração com o uso de um token, um cartão inteligente ou outro método (caso seja possível).
Restrição ao salvamento da senha do administrador
Caso Kaspersky Security Center Web Console seja usado, não recomendamos salvar a senha do administrador no navegador instalado no dispositivo do usuário.
Autenticação de uma conta de usuário interna
Por padrão, a senha de uma conta de usuário interna do Servidor de Administração deve seguir as seguintes regras:
A senha deve ter de 8 a 256 caracteres.
A senha deve conter caracteres de pelo menos três dos grupos listados abaixo:
Letras maiúsculas (A-Z)
Letras minúsculas (a-z)
Números (0-9)
Caracteres especiais (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;)
A senha não deve conter nenhum espaço em branco, caracteres Unicode ou a combinação dos caracteres "." e "@", quando "." estiver colocado antes de "@".
Por padrão, o número máximo permitido de tentativas de entrada da senha é 10. É possível alterar o número permitido de tentativas de inserção de senha.
O usuário do Kaspersky Security Center Linux pode inserir uma senha inválida um número limitado de vezes. Depois que o limite é atingido, a conta de usuário é bloqueada por uma hora.
Configuração das opções para alteração de senha de conta de usuário interna
Recomendamos configurar as seguintes opções para alteração de senha de uma conta de usuário interna:
Proteção da conta contra modificações não autorizadas
Recomendamos ativar uma opção adicional para proteger uma conta de usuário interna do Servidor de Administração contra modificações não autorizadas. Essa proteção deve ser configurada separadamente para cada usuário interno.
Grupo de administração dedicado para Servidor de Administração
Recomendamos criar um grupo de administração dedicado para o Servidor de Administração. Conceda direitos de acesso especiais para esse grupo e crie uma política de segurança especial para ele.
Para evitar diminuir intencionalmente o nível de segurança do Servidor de Administração, recomendamos restringir a lista de contas que podem gerenciar o grupo de administração dedicado.
Restrição da atribuição da função de Administrador principal
O usuário criado pelo utilitário kladduser é atribuído com a função de Administrador principal na lista de controle de acesso (ACL) do Servidor de Administração ou do Servidor de Administração virtual. Recomendamos evitar a atribuição da função de Administrador principal a um grande número de usuários.
Configuração de direitos de acesso aos recursos do aplicativo
Recomendamos usar a configuração flexível de direitos de acesso aos recursos do Kaspersky Security Center Linux para cada usuário ou grupo de usuários.
O controle de acesso baseado em função permite a criação de funções de usuário padrão com um conjunto predefinido de direitos e atribuição dessas funções aos usuários dependendo do seu escopo de obrigações.
As principais vantagens do modelo de controle de acesso baseado em função:
É possível atribuir funções internas a determinados profissionais de acordo com suas posições ou criar funções completamente novas.
Ao configurar as funções, observe os privilégios associados com a alteração do estado de proteção do dispositivo do Servidor de Administração e com a instalação remota de software de terceiros:
Esse privilégio permite definir as notificações que executam um script ou um módulo executável no dispositivo do Servidor de Administração quando um evento ocorrer.
Conta separada para instalação remota de aplicativos
Além da diferenciação básica de direitos de acesso, recomendamos restringir a instalação remota de aplicativos para todas as contas (exceto para o administrador principal ou outra conta especializada).
Recomendamos o uso de uma conta separada para instalação remota de aplicativos. É possível atribuir uma função ou permissões para a conta separada.
Auditoria periódica de todos os usuários e suas ações
Recomendamos conduzir uma auditoria regular de todos os usuários no dispositivo do Servidor de Administração. Isso permite responder a certos tipos de ameaças de segurança associadas ao possível comprometimento do dispositivo.
Também é possível rastrear as ações dos usuários, como conectar-se e desconectar-se do Servidor de Administração, conectar-se ao Servidor de Administração com um erro e modificação de objetos (para objetos compatíveis com o gerenciamento de revisões).
Topo da página