強化檢查清單

管理伺服器佈署

• 將管理伺服器安裝在專用的實體伺服器或虛擬伺服器上。
• 請勿將專用伺服器用於執行其他服務。
• 請勿將管理伺服器（以下簡稱「伺服器」）安裝在以下位置：
  • 網域控制器
  • 終端伺服器
  • 使用者裝置

連線安全

• 設定防火牆，以限制存取伺服器裝置的所有連接埠和通訊協定（伺服器所需的連接埠除外）。僅允許受信任裝置存取伺服器裝置。
• 為用於將卡巴斯基安全管理中心網頁主控台（也稱為「網頁主控台」）連線到伺服器的伺服器連接埠設定 IP 位址允許清單。
• 設定防火牆，以僅允許受信任裝置透過網頁主控台存取伺服器。
• 在伺服器上設定 TLS 通訊協定版本 1.2 或更高版本。
• 設定防火牆，以限制存取安裝有伺服器 DBMS 的裝置。
• 在伺服器與 DBMS（MySQL 或 PostgreSQL）之間設定 SSL 身分驗證。

帳戶與授權

• 為伺服器存取配置雙因素驗證（TOTP、RFC 6238）。
• 請勿將身份驗證器應用程式安裝在用以透過網頁主控台連線到伺服器的同一裝置上。
• 建議使用權杖、智慧卡或其他方法，透過多因素身分驗證 (MFA) 存取伺服器裝置。
• 為伺服器裝置建立專用的管理群組，並為其建立特殊的安全政策。
• 限制擁有主管理員角色的使用者數量。
• 基於使用者和群組角色設定伺服器功能存取權限。
• 僅允許單獨的使用者帳戶遠端安裝應用程式。
• 建議定期稽核管理伺服器裝置上的所有使用者。

對管理伺服器防護的管理

• 在伺服器裝置上安裝安全應用程式：
  • 對於實體伺服器，安裝 Kaspersky Endpoint Security
  • 對於虛擬伺服器，安裝 Kaspersky Security for Virtualization
• 建立並套用單獨的伺服器防護政策（有別於其他受管理裝置的安全政策）。
• 在安全應用程式中啟用所有可用的防護模組。

為受管理應用程式設定政策和工作

• 為下列應用程式建立政策並將其套用至所有受管理裝置或包含新受管理裝置的群組：
  • 網路代理
  • Kaspersky Endpoint Security for Windows/Linux/macOS
  • Kaspersky Endpoint Agent（或其他卡巴斯基應用程式）。
• 啟用密碼防護，防止防護停用或解除安裝卡巴斯基應用程式。
• 鎖定政策設定（關閉「鎖定」），以防止在受管理裝置上重新指派這些設定。
• 建立排程工作，對所有裝置執行完整掃描。
• 啟用卡巴斯基安全網路 (KSN) 並接受最新的 KSN 聲明。
• 設定裝置發現並為新發現的裝置指定預設管理群組。
• 限制使用自動規則在管理群組之間移動裝置。
• 為發佈點提供防護，以免遭未經授權的存取。
• 避免在小型網路或高重要性網路中自動指派發佈點。

管理伺服器維護

• 請勿刪除或停用以下工作：
  • 備份
  • 管理伺服器維護
• 定期安裝作業系統和協力廠商軟體更新。

事件傳輸到協力廠商系統

• 設定安全事件的監控和報告。
• 設定將事件匯出到 SIEM 系統。
• 設定伺服器通知，以處理：
  • 稽核事件
  • 緊急事件
  • 失效事件和警告

第三方資訊系統安全建議

• 將 CIS 基準安全建議套用至所使用的作業系統、DBMS 和 hypervisor。
• 對於 Astra Linux，請遵循對應版本紅皮書中所述的安全建議。
• 對於 RED OS，請遵循 RED OS 官方文件中所述的建議。

頁頂