加固检查清单

管理服务器部署

• 在专用物理服务器或虚拟服务器上安装管理服务器。
• 请勿使用专用服务器运行其他服务。
• 请勿在以下位置安装管理服务器（以下简称“服务器”）：
  • 域控制器
  • 终端服务器
  • 用户设备

连接安全

• 配置防火墙以限制对服务器设备的所有端口和协议的访问，但服务器所需的端口例外。仅允许受受信任设备访问服务器设备。
• 配置用于将 Kaspersky Security Center Web Console（也称为 Web Console）连接到 Web Console 服务器的服务器端口的IP 地址允许列表。
• 配置防火墙，仅允许受信任设备通过 Web Console 访问服务器。
• 在服务器上配置 TLS 协议版本 1.2 或更高版本。
• 配置防火墙以限制对安装了服务器数据库管理系统的设备的访问。
• 配置服务器与数据库管理系统（MySQL或PostgreSQL）之间的 SSL身份验证。

账号与授权

• 为服务器访问启用双重身份验证（TOTP，RFC 6238）。
• 请勿在通过云控制台与服务器建立连接的同一设备上安装身份验证器应用程序。
• 请通过使用令牌、智能卡或其他方法使用多重身份验证 (MFA) 访问服务器设备。
• 为服务器设备创建一个专用管理组，并为其创建特殊安全策略。
• 限制拥有主管理员角色的用户数量。
• 根据用户角色和组角色配置对服务器功能的访问权限。
• 仅允许为单独用户账户远程安装应用程序。
• 对服务器设备上的所有用户进行定期审核。

管理服务器保护的管理

• 在服务器设备上安装安全应用程序。
  • 对于物理服务器 — Kaspersky Endpoint Security
  • 对于虚拟服务器 — Kaspersky Security for Virtualization
• 创建并应用单独策略进行服务器保护（与其他受管理设备的安全策略不同）。
• 启用安全应用程序中所有可用的保护模块。

为受管理应用程序配置策略和任务

• 为以下应用程序创建策略并将其应用于所有受管理设备或包含新受管理设备的组：
  • 网络代理
  • Kaspersky Endpoint Security for Windows/Linux/macOS
  • Kaspersky Endpoint Agent（或其他卡巴斯基应用程序）
• 启用密码保护，防止禁用保护或卸载卡巴斯基应用程序。
• 锁定策略设置（关闭“锁定”），防止在受管理设备上重新分配这些设置。
• 为所有设备创建全盘扫描任务。
• 启用卡巴斯基安全网络 (KSN)并接受最新的KSN 声明。
• 配置设备发现，并为新发现的设备指定默认管理组。
• 限制使用自动规则在管理组之间移动设备。
• 保护分发点免受未经授权的访问。
• 避免在小型网络或高重要性网络中自动分配分发点。

管理服务器维护

• 请勿删除或禁用以下任务：
  • 备份
  • 管理服务器维护
• 定期安装操作系统和第三方软件更新。

事件传输到第三方系统

• 配置安全事件的监控和报告。
• 配置事件导出到 SIEM 系统。
• 为以下内容配置服务器通知：
  • 审计事件
  • 严重事件
  • 故障事件和警告

第三方信息系统安全建议

• 将 CIS 基准安全建议应用于所使用的操作系统、DBMS 和 Hypervisor。
• 对于 Astra Linux ，请遵循相应红皮书版本的安全建议。
• 对于 RED OS，请遵循 RED OS 官方文档中的建议。

Page top