Контрольный список по усилению защиты

Развертывание Сервера администрирования

• Установить Сервер администрирования на выделенный сервер (физический или виртуальный).
• Не использовать выделенный сервер в совместной работе с другими службами.
• Не устанавливать Сервер администрирования (далее также Сервер) на:
  • контроллер домена;
  • терминальный сервер;
  • пользовательское устройство.

Безопасность соединения

• Настроить сетевой экран, чтобы ограничить доступ к устройству Сервера по всем портам и протоколам, за исключением портов, требуемых Сервером. Разрешить доступ к устройству Сервера только с доверенных устройств.
• Настроить список разрешенных IP-адресов для портов Сервера, используемых для подключения Kaspersky Security Center Web Console (далее также Web Console) к Серверу.
• Настроить сетевой экран – разрешить доступ к Серверу через Web Console только с доверенных устройств.
• Настроить протокол TLS 1.2 или выше на Сервере.
• Настроить сетевой экран для ограничения доступа к устройству с установленной СУБД Сервера.
• Настроить SSL-аутентификацию между Сервером и СУБД (MySQL или PostgreSQL).

Учетные записи и авторизация

• Настроить двухфакторную аутентификацию (TOTP, RFC 6238) для доступа к Серверу.
• Не устанавливать приложение для аутентификации на устройство, с которого выполняется подключение к Серверу через Web Console.
• Для доступа к устройству с Сервером использовать многофакторную аутентификацию (MFA) – токен, смарт-карту или другой способ.
• Создать выделенную группу администрирования для устройства Сервера с отдельной политикой безопасности.
• Ограничить количество пользователей с ролью Главный администратор.
• Настроить права доступа к функциям Сервера на основе ролей для пользователей и групп.
• Разрешить удаленную установку приложений только для другой выделенной учетной записи пользователя.
• Проводить регулярный аудит пользователей на устройстве Сервера.

Управление защитой Сервера администрирования

• Установить приложение безопасности на устройство с Сервером:
  • на физический сервер – Kaspersky Endpoint Security;
  • на виртуальный сервер – Kaspersky Security для виртуальных сред.
• Создать и применить отдельную политику для приложения безопасности, защищающего Сервер (отличную от клиентских политик для других управляемых устройств).
• Активировать все доступные модули защиты приложения безопасности.

Настройка политик и задач управляемых приложений

• Создать и применить политики ко всем управляемым устройствам или к группе новых устройств для используемых приложений:
  • Агент администрирования;
  • Kaspersky Endpoint Security для Windows/Linux/macOS;
  • Kaspersky Endpoint Agent (или другие приложения "Лаборатории Касперского").
• Включить защиту паролем от выключения или удаления приложений "Лаборатории Касперского".
• Заблокировать параметры политики (закрыть значок замка), чтобы предотвратить переназначение этих параметров на управляемых устройствах.
• Создать регулярную задачу полной проверки устройств.
• Включить Kaspersky Security Network (KSN) и принять актуальные положения KSN.
• Настроить обнаружение устройств и указать группу администрирования по умолчанию, в которую попадают все новые обнаруженные устройства.
• Ограничить использование автоматических правил перемещения устройств между группами администрирования.
• Защитить точки распространения от несанкционированного доступа.
• Избегать автоматического назначения точек распространения в небольших и критичных сетях.

Обслуживание Сервера администрирования

• Не удалять и не выключать задачи:
  • резервного копирования;
  • обслуживания Сервера.
• Своевременно устанавливать обновления ОС и стороннего программного обеспечения.

Передача событий в сторонние системы

• Настроить мониторинг и рассылку отчетов о событиях безопасности.
• Настроить передачу событий в SIEM-систему.
• Настроить отправку уведомлений Сервера о:
  • событиях аудита;
  • критических событиях;
  • сбоях и предупреждениях.

Рекомендации по безопасности сторонних информационных систем

• Применять рекомендации по безопасности CIS Benchmarks к используемым ОС, СУБД, гипервизорам.
• Для Astra Linux – использовать рекомендации из Red Book соответствующей версии.
• Для РЕД ОС – использовать рекомендации из официальной документации РЕД ОС.

В начало