在執行以下步驟之前,請使用管理伺服器資料備份工作或 klbackup 公用程式建立卡巴斯基安全管理中心 Linux 管理伺服器備份副本並將其儲存在安全位置。
通過管理伺服器使用雙步驟驗證
卡巴斯基安全管理中心 Linux 為卡巴斯基安全管理中心網頁主控台的使用者提供雙步驟驗證,基於 RFC 6238 標準(TOTP:基於時間的一次性密碼演算法)。
為帳戶啟用兩步驟驗證後,每次登入到卡巴斯基安全管理中心 網頁主控台時,都將輸入使用者名稱、密碼和其他一次性安全碼。若要接收一次性使用的安全碼,您必須在電腦或行動裝置上安裝身份驗證器應用程式。
有支援 RFC 6238 標準的軟體和硬體驗證器(權杖)。例如,軟體驗證器包括 Google Authenticator、Microsoft Authenticator、FreeOTP。
我們強烈建議不要在與管理伺服器建立連線的同一台裝置上安裝驗證器應用程式。您可以在行動裝置上安裝驗證器應用程式。
限制新使用者自行設定雙步驟驗證
為了進一步提高卡巴斯基安全管理中心網頁主控台存取安全性,您可以
如果啟用此選項,則被停用雙步驟驗證的使用者(例如新的網域管理員)將無法為自己配置雙步驟驗證。因此,未經已啟用雙步驟驗證的另一位卡巴斯基安全管理中心 Linux 管理員的批准,此類使用者無法在管理伺服器上進行身分驗證,也無法登入卡巴斯基安全管理中心網頁主控台。
對作業系統使用雙重身分驗證
我們建議使用權杖、智慧卡或其他方法(如果可能)在管理伺服器裝置上用多重要素身分驗證 (MFA) 進行身分驗證。
限制儲存管理員密碼
如果您使用卡巴斯基安全管理中心網頁主控台,我們不建議在使用者裝置上安裝的瀏覽器中儲存管理員密碼。
內部使用者帳戶的身分驗證
預設情況下,管理伺服器內部使用者帳戶的密碼必須遵守以下規則:
密碼必須是 8 到 256 位字元長度。
密碼必須包含以下組中三組的字元:
大寫字母 (A-Z)
小寫字母 (a-z)
數字 (0-9)
特殊字元 (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;)
密碼不可以包含任何空白、Unicode 字元或 “.” 和「@」的組合,並且「@」前不可有「.」。
依預設,可輸入密碼的嘗試次數上限為 10 次。您可以變更允許的密碼輸入嘗試次數。
卡巴斯基安全管理中心 Linux 使用者可以輸入無效的密碼有限次數。達到限制後,使用者帳戶被鎖定一小時。
配置變更內部使用者帳戶密碼的選項
我們建議配置以下選項來變更內部使用者帳戶的密碼:
帳戶防護以防止未經授權的修改
我們建議啟用附加選項來防護管理伺服器的內部使用者帳戶免遭未經授權的修改。必須為每個內部使用者單獨配置此防護。
管理伺服器的專用管理群組
我們建議為管理伺服器建立一個專門的管理群組。授予該群組特殊存取權限並為其建立特殊安全政策。
為避免故意降低管理伺服器的安全級別,我們建議限制可以管理專用管理群組的帳戶清單。
限制主管理員角色的分配
由 kladduser 實用程式建立的使用者在管理伺服器或者虛擬管理伺服器的存取控制清單 (ACL) 中被指派為主管理員角色。我們建議避免將主管理員角色分配給大量使用者。
設定應用程式功能的存取權限
我們建議為每個使用者或群組靈活配置對卡巴斯基安全管理中心 Linux 的功能的存取權限。
基於角色的存取控制可讓您使用一群組預先定義的權限建立標準使用者角色並根據使用者的職責範圍將這些角色分配給使用者。
基於角色的存取控制模型的主要優點:
您可以根據職位為某些員工分配內建角色,或建立全新的角色。
在配置角色時,需要注意與變更管理伺服器裝置防護狀態和遠端安裝協力廠商軟體相關的權限:
此權限允許您設定當事件發生時在管理伺服器裝置上執行指令碼或可執行模組的通知。
為遠端安裝應用程式使用單獨的帳戶
除了存取權限的基本區分外,我們建議限制所有帳戶(主要管理員或其他專用帳戶除外)的應用程式遠端安裝。
我們建議為遠端安裝應用程式使用單獨的帳戶。你可以分配角色或者權限給單獨帳戶。
定期稽核所有使用者和使用者的操作
我們建議對管理伺服器裝置上的所有使用者進行定期稽核。這使您能夠應對與裝置可能受到危害相關的某些類型的安全威脅。
另外,您還可以追蹤使用者的操作,例如連線到管理伺服器和斷開連線、連線到管理伺服器時發生錯誤以及物件修改(適用於支援修訂管理的物件)。
頁頂