Төмендегі қадамдарды орындамай тұрып, Басқару сервері деректерінің сақтық көшірмесін жасау тапсырмасын немесе klbackup утилитасын пайдаланып, Kaspersky Security Center Linux басқару серверінің сақтық көшірмесін жасаңыз және оны қауіпсіз жерде сақтаңыз.
Басқару серверімен екі факторлы аутентификацияны пайдалану
Kaspersky Security Center Linux бағдарламасы Kaspersky Security Center Web Console веб-консоліне кірген уақытта RFC 6238 стандартына (TOTP: уақытқа негізделген бір реттік құпиясөз алгоритмі) негізделген екі факторлы аутентификация мүмкіндігін қолданады.
Kaspersky Security Center Web Console веб-консоліне кірген сайын пайдаланушы атыңызды, құпиясөзіңізді және қосымша бір реттік қауіпсіздік кодын енгізесіз. Бір реттік қауіпсіздік кодын алу үшін, сіз өзіңіздің компьютеріңізге немесе ұялы құрылғыға аутентификация қолданбасын орнатуыңыз керек.
RFC 6238 стандартын қолдайтын бағдарламалық және аппараттық аутентификаторлар (токендер) бар. Мысалы, бағдарламалық аутентификаторларға Google Authenticator, Microsoft Authenticator, FreeOTP кіреді.
Басқару серверіне қосылатын сол құрылғыда аутентификация қолданбасын орнату мүлдем ұсынылмайды. Мысалы, ұялы құрылғыға аутентификация қолданбасын орнатуға болады.
Екі факторлы операциялық жүйе түпнұсқалық растамасын пайдалану
Екі факторлы аутентификацияны пайдалану арқылы кешенді қорғауды қамтамасыз ету үшін тек Басқару серверін ғана емес, сонымен қатар ол орнатылған құрылғыны да қорғау қажет.
Басқару сервері орнатылған құрылғыға (SSH, RDP немесе басқа протоколдар арқылы) қосылған кезде, токен, смарт карталар немесе басқа аутентификация әдісімен көп факторлы аутентификацияны (MFA) пайдалануды ұсынамыз.
Әкімші құпиясөзін сақтауға тыйым салу
Сондай-ақ, Kaspersky Security Center Web Console веб-консолі арқылы Басқару серверімен жұмыс істегенде, пайдаланушы құрылғысындағы браузерде әкімші құпиясөзін сақтау ұсынылмайды.
Ішкі пайдаланушы авторизациясы
Әдепкі бойынша Басқару серверінің ішкі пайдаланушы есептік жазбасының құпиясөзі келесі талаптарға сай болуы керек:
Құпиясөздің ұзындығы 8-ден 256 таңбаға дейін болуы керек.
Құпиясөзде төмендегі тізімдегі кемінде үш топтың таңбалары болуы керек:
Бас әріптер (A-Z)
Кіші әріптер (a-z)
Сандар (0-9)
Арнайы таңбалар (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;)
Құпиясөзде бос орындар, Юникод таңбалары немесе "." таңбасы "@" алдында тұрған кезде "." және "@" тіркесімі болмауы тиіс.
Әдепкі бойынша, енгізу әрекеттерінің максималды саны 10-ға тең. Құпиясөзді енгізу әрекеттерінің санын өзгерте аласыз.
Kaspersky Security Center Linux пайдаланушысы құпиясөзді шектеулі рет енгізе алады. Осыдан кейін, пайдаланушы есептік жазбасы бір сағатқа бұғатталады.
Ішкі пайдаланушы есептік жазбасының құпиясөзін өзгерту опцияларын конфигурациялау
Ішкі пайдаланушы есептік жазбасының құпиясөзін өзгерту үшін келесі опцияларды конфигурациялауды ұсынамыз:
Есептік жазбаны рұқсатсыз өзгертуден қорғау
Басқару серверінің ішкі пайдаланушы есептік жазбасын рұқсатсыз өзгертуден қорғау үшін қосымша опцияны қосуды ұсынамыз. Бұл қорғаныс әрбір ішкі пайдаланушы үшін бөлек конфигурациялануы керек.
Басқару сервері бар құрылғы үшін бөлек басқару тобы
Басқару сервері үшін бөлінген басқару тобын жасау ұсынылады. Бұл топқа арнайы кіру құқықтарын беріңіз және ол үшін қауіпсіздік саясатын жасаңыз.
Басқару серверінің қорғау деңгейін әдейі төмендетпеу үшін осы басқару тобын басқара алатын есептік жазбалар тізімін шектеу ұсынылады.
Бас әкімші рөлін тағайындауды шектеу
kladduser утилитасы көмегімен жасалған пайдаланушыға басқару серверінің немесе виртуалды басқару серверінің қол жеткізуді басқару тізімінде (ACL) негізгі әкімші рөлі тағайындалады. Бас әкімші рөлін көп пайдаланушыға тағайындамаған жөн.
Қолданба функцияларына қатынасу құқықтарын конфигурациялау
Kaspersky Security Center Linux жүйесінің әртүрлі функцияларына пайдаланушылар мен пайдаланушы топтарының қол жеткізу құқықтарының икемді параметрі мүмкіндігін пайдалану ұсынылады.
Рөлдер негізінде қатынасуды басқару арқасында алдын ала конфигурацияланған құқықтар жиынтығы бар осы типтік пайдаланушы рөлдерін жасауға және пайдаланушыларға олардың қызметтік міндеттеріне қарай рөлдер тағайындауға болады.
Қатынасуды басқарудың рөлдік моделінің негізгі артықшылықтары:
Сіз кірістірілген рөлдерді пайдалана аласыз және оларды лауазымдар негізінде нақты қызметкерлерге тағайындай аласыз немесе әбден жаңа рөлдерді жасай аласыз.
Рөлдерді конфигурациялау кезінде құрылғыны қорғау күйін өзгертуге және үшінші тарап бағдарламалық жасақтамасын қашықтан орнатуға қатысты артықшылықтарға ерекше назар аударыңыз:
Бұл артықшылық, оқиға орын алған кезде Басқару сервері бар құрылғыда скриптті немесе орындалатын модульді іске қосатын хабарландыруларды конфигурациялауға мүмкіндік береді.
Қолданбаларды қашықтан орнату үшін бөлек есептік жазба
Қатынасу құқықтарын негізгі шектеуден басқа, барлық есептік жазбалар үшін ("Бас әкімші" немесе басқа мамандандырылған есептік жазбадан басқа) қолданбаларды қашықтан орнату мүмкіндігін шектеу ұсынылады.
Қолданбаларды қашықтан орнату үшін бөлек есептік жазбаны пайдалану ұсынылады. Бөлек есептік жазбаға рөл немесе рұқсаттар тағайындауға болады.
Барлық пайдаланушы мен пайдаланушы әрекеттерінің тұрақты аудиті
Басқару сервері орнатылған құрылғыдағы барлық пайдаланушылардың тұрақты аудитін жүргізу ұсынылады. Бұл, құрылғының ықтимал бұзылуымен байланысты қауіпсіздік қатерлерінің кейбір түрлеріне жауап беруге мүмкіндік береді.
Сондай-ақ басқару серверіне қосу және ажырату, басқару серверіне қатемен қосу және нысандарды өзгерту (тексеруді басқаруға қолдау көрсететін нысандар үшін) сияқты пайдаланушылардың әрекеттерін бақылауға болады.
Басына оралу