在执行以下步骤之前,请使用管理服务器数据备份任务或 klbackup 实用程序创建 Kaspersky Security Center Linux 管理服务器备份副本并将其保存在安全位置。
通过管理服务器使用两步验证
Kaspersky Security Center Linux 为 Kaspersky Security Center Web Console 的用户提供两步验证,基于 RFC 6238 标准(TOTP:基于时间的一次性密码算法)。
为您自己的账户启用两步验证后,每次登录 Kaspersky Security Center Web Console 时,都需要输入用户名、密码和附加的一次性安全代码。要接收一次性安全码,您的计算机或移动设备上必须安装认证应用。
有支持 RFC 6238 标准的软件和硬件验证器(令牌)。例如,软件验证器包括 Google Authenticator、Microsoft Authenticator、FreeOTP。
我们强烈建议不要在与管理服务器建立连接的同一台设备上安装认证应用。您可以在移动设备上安装认证应用。
限制新用户为自己设置两步验证
为了进一步提高 Kaspersky Security Center Web Console 访问安全性,您可以
如果启用此选项,则被禁用两步验证的用户(例如新域管理员)无法为自己配置两步验证。因此,未经已启用两步验证的另一位 Kaspersky Security Center Linux 管理员的批准,此类用户无法在管理服务器上进行身份验证,也无法登录 Kaspersky Security Center Web Console。
对操作系统使用双重身份验证
我们建议使用令牌、智能卡或其他方法(如果可能)在管理服务器设备上使用多重身份验证 (MFA) 进行身份验证。
限制保存管理员密码
如果您使用 Kaspersky Security Center Web Console,我们不建议在用户设备上安装的浏览器中保存管理员密码。
内部用户账户的身份验证
默认情况下,管理服务器内部用户账户的密码必须遵守以下规则:
密码的字符长度必须是 8 到 256 位。
密码必须包含以下组中三组的字符:
大写字母 (A-Z)
小写字母 (a-z)
数字 (0-9)
特殊字符 (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;)
密码不可以包含任何空格、Unicode 字符以及“.”和“@”按先后顺序的组合。
默认下,允许的最大密码输入尝试次数是 10。您可以更改允许的密码输入尝试次数。
Kaspersky Security Center Linux 用户可以输入无效密码的次数有限。达到限制后,用户账户被锁定一小时。
配置更改内部用户账户密码的选项
我们建议配置以下选项来更改内部用户账户的密码:
用来防止未经授权修改的账户保护
我们建议启用附加选项来保护管理服务器的内部用户账户免遭未经授权的修改。必须为每个内部用户单独配置此保护。
管理服务器的专用管理组
我们建议为管理服务器创建一个专门的管理组。授予该组特殊访问权限并为其创建特殊安全策略。
为避免故意降低管理服务器的安全级别,我们建议限制可以管理专用管理组的账户列表。
限制主管理员角色的分配
由 kladduser 实用程序创建的用户在管理服务器或者虚拟管理服务器的访问控制列表 (ACL) 中被分配为主管理员角色。我们建议避免将主管理员角色分配给大量用户。
配置对应用程序功能的访问权限
我们建议为每个用户或用户组灵活配置对 Kaspersky Security Center Linux 功能的访问权限。
基于角色的访问控制允许通过使用一组预定义的权限创建标准用户角色并根据用户的职责范围将这些角色分配给用户。
基于角色的访问控制模型的主要优点:
您可以根据职位为某些员工分配内置角色,或创建全新的角色。
在配置角色时,注意与改变管理服务器设备保护状态和远程安装第三方软件相关的权限:
此权限允许您设置在事件发生时在管理服务器设备上运行脚本或可执行模块的通知。
使用单独的账户进行远程安装应用程序
除了访问权限的基本区分外,我们建议限制所有账户(主管理员或其他专用账户除外)进行应用程序远程安装。
我们建议使用单独的账户进行远程安装应用程序。您可以分配角色或者权限给单独账户。
定期审核所有用户和用户的操作
我们建议对管理服务器设备上的所有用户进行定期审核。这使您能够应对与可能损害设备相关的某些类型的安全威胁。
另外,您还可以跟踪用户的操作,例如连接到管理服务器和断开连接、连接到管理服务器时出现错误以及对象修改(对于支持修订管理的对象)。
页顶