Перед выполнением шагов ниже, создайте резервную копию данных Сервера администрирования Kaspersky Security Center Linux с помощью задачи Резервное копирование данных Сервера администрирования или с помощью утилиты klbackup. Сохраните резервную копию данных в надежном месте.
Использование двухфакторной аутентификации Сервера администрирования
В Kaspersky Security Center Linux для входа в Kaspersky Security Center Web Console используется двухфакторная аутентификация в соответствии со стандартом RFC 6238 (TOTP: Time-Based One-Time Password algorithm – алгоритм временных одноразовых паролей).
При каждом входе в Kaspersky Security Center Web Console пользователь вводит свое имя пользователя, пароль и дополнительный одноразовый код безопасности. Для получения одноразового кода безопасности на компьютере или мобильном устройстве пользователя должно быть установлено приложение для аутентификации.
Существуют как программные, так и аппаратные аутентификаторы (токены), поддерживающие стандарт RFC 6238. Например, к программным аутентификаторам относятся Google Authenticator, Microsoft Authenticator, FreeOTP.
Категорически не рекомендуется устанавливать приложение для аутентификации на том же устройстве, с которого выполняется подключение к Серверу администрирования. Например, вы можете установить приложение для аутентификации на мобильном устройстве.
Использование двухфакторной аутентификации операционной системы
Для обеспечения комплексной защиты с помощью двухфакторной аутентификации должна быть обеспечена безопасность не только Сервера администрирования, но и устройства, на котором Сервер установлен.
При подключении к устройству, на котором установлен Сервер администрирования (по SSH, RDP или другому протоколу), рекомендуется использовать многофакторную аутентификацию (MFA) с помощью токена, смарт-карты или другого метода аутентификации.
Запрет на сохранение пароля администратора
Также при работе с Сервером администрирования через Kaspersky Security Center Web Console не рекомендуется сохранять пароль администратора в браузере на устройстве пользователя.
Авторизация внутреннего пользователя
По умолчанию пароль внутренней учетной записи пользователя Сервера администрирования должен соответствовать следующим требованиям:
Длина пароля должна быть от 8 до 256 символов.
Пароль должен содержать символы как минимум трех групп из списка ниже:
верхний регистр (A–Z);
нижний регистр (a–z);
числа (0–9);
специальные символы (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;).
Пароль не должен содержать пробелов, символов Юникода или комбинации "." и "@", когда "." расположена перед "@".
По умолчанию максимальное количество попыток ввода пароля равно 10. Вы можете изменить количество попыток ввода пароля.
Пользователь Kaspersky Security Center Linux может вводить неверный пароль ограниченное количество раз. После этого учетная запись пользователя блокируется на час.
Настройка параметров смены пароля внутренней учетной записи пользователя
Рекомендуется настроить следующие параметры для изменения пароля внутренней учетной записи пользователя:
Защита учетной записи от несанкционированного изменения
Рекомендуется включить дополнительный параметр для защиты внутренней учетной записи пользователя Сервера администрирования от несанкционированного изменения. Эту защиту необходимо настраивать отдельно для каждого внутреннего пользователя.
Отдельная группа администрирования для устройства с Сервером администрирования
Для Сервера администрирования рекомендуется создать выделенную группу администрирования. Предоставьте этой группе особые права доступа и создайте политику безопасности для нее.
Чтобы избежать умышленного понижения уровня защиты Сервера администрирования рекомендуется ограничить список учетных записей, которые могут управлять этой группой администрирования.
Ограничение назначения роли Главного администратора
Пользователь, созданный с помощью утилиты kladduser, получает роль Главного администратора в списке контроля доступа (ACL) Сервера администрирования или виртуального Сервера администрирования. Рекомендуется избегать назначения роли Главного администратора большому количеству пользователей.
Настройка прав доступа к функциям приложения
Рекомендуется использовать возможности гибкой настройки прав доступа пользователей и групп пользователей к разным функциям Kaspersky Security Center Linux.
Управление доступом на основе ролей позволяет создавать типовые роли пользователей с заранее настроенным набором прав и присваивать эти роли пользователям в зависимости от их служебных обязанностей.
Основные преимущества ролевой модели управления доступом:
Вы можете воспользоваться встроенными ролями и присвоить их определенным сотрудникам на основе должностей либо создать полностью новые роли.
При настройке ролей требуется уделить особое внимание привилегиям, связанным с изменением состояния защиты устройства Сервера администрирования и удаленной установкой стороннего программного обеспечения:
Эта привилегия позволяет настроить уведомления, которые запускают скрипт или исполняемый модуль на устройстве с Сервером администрирования при возникновении события.
Отдельная учетная запись для удаленной установки приложений
Помимо базового разграничения прав доступа, рекомендуется ограничить возможность удаленной установки приложений для всех учетных записей, кроме "Главного администратора" или иной специализированной учетной записи.
Рекомендуется использовать отдельную учетную запись для удаленной установки приложений. Вы можете назначить роль или разрешения отдельной учетной записи.
Регулярный аудит всех пользователей и их действий
Рекомендуется проводить регулярный аудит всех пользователей на устройстве, где установлен Сервер администрирования. Это позволит реагировать на некоторые типы угроз безопасности, связанные с возможной компрометацией устройства.
Также вы можете отслеживать действия пользователей, такие как подключение к Серверу администрирования и отключение от него, подключение к Серверу администрирования с ошибкой и изменение объектов (для объектов, поддерживающих управление версиями).
В начало