موقع خادم الإدارة

24 يناير 2024

ID 245772

بنية خادم الإدارة

بشكل عام، يعتمد اختيار بنية إدارة مركزية على موقع الأجهزة المحمية، والوصول من الشبكات المجاورة، وأنظمة تسليم تحديثات قاعدة البيانات، وما إلى ذلك.

في المرحلة الأولى من تطوير البنية، نوصي بالتعرف على مكونات Kaspersky Security Center وتفاعلها مع بعضها البعض، بالإضافة إلى المخططات الخاصة بحركة البيانات واستخدام المنفذ .

بناءً على هذه المعلومات، يمكنك تكوين بنية تحدد:

  • موقع خادم الإدارة واتصالات الشبكة
  • تنظيم مساحات عمل المسؤول وطرق الاتصال بخادم الإدارة
  • طرق نشر عميل الشبكة وبرامج الحماية
  • استخدام نفاط التوزيع
  • استخدام خوادم الإدارة الافتراضية
  • استخدام تسلسل هرمي لخوادم الإدارة:
  • مخطط تحديث قاعدة بيانات مكافحة الفيروسات
  • تدفقات المعلومات الأخرى

تحديد جهاز لتثبيت خادم الإدارة

نوصي بتثبيت خادم الإدارة على خادم مخصص في البنية التحتية للمؤسسة. إذا لم يكن هناك برنامج جهة خارجية مثبتًا على الخادم، يمكنك تكوين إعدادات الأمان بناءً على متطلبات Kaspersky Security Center، دون الاعتماد على متطلبات برامج الجهة الخارجية.

ويمكنك نشر خادم الإدارة على خادم فعلي أو على خادم افتراضي. ويرجى التأكد أن الجهاز المحدد يلبي متطلبات الأجهزة والبرامج.‏

موقع خادم الإدارة

يمكن تحديد موقع الأجهزة التي يديرها خادم الإدارة على النحو التالي:

  • على شبكة منطقة محلية (LAN)

  • على الإنترنت

  • في منطقة الأجهزة الموصلة مباشرة بالإنترنت (DMZ)

في الوقت نفسه، يمكن أيضًا وضع خادم الإدارة في قطاعات مختلفة: القطاعات الصناعية والشركات ومنطقة الأجهزة الموصلة مباشرة بالإنترنت.

إذا كنت تستخدم Kaspersky Security Center لإدارة حماية قطاع شبكة معزول، فنحن نوصي بنشر خادم الإدارة في جزء من منطقة الأجهزة الموصلة مباشرة بالإنترنت (DMZ).‏ يتيح لك ذلك تنظيم تقسيم مناسب للشبكة وتقليل تدفق حركة المرور إلى الجزء المحمي، مع الحفاظ على إمكانات الإدارة الكاملة وتسليم التحديث.

تقييد نشر خادم الإدارة على وحدة تحكم مجال أو خادم طرفي أو جهاز مستخدم

لا نوصي بشدة بتثبيت خادم الإدارة على وحدة تحكم مجال أو خادم طرفي أو جهاز مستخدم.

نوصي بتوفير فصل وظيفي لعقد مفاتيح الشبكة. يتيح لك هذا الأسلوب الحفاظ على قابلية تشغيل الأنظمة المختلفة عند فشل العقدة أو تعرضها للاختراق. في الوقت نفسه، يمكنك إنشاء سياسات أمان مختلفة لكل عقدة.

على سبيل المثال، من الممكن أن تقلل قيود الأمان المطبقة عادة على وحدة تحكم المجال‏ بشكل كبير من أداء خادم الإدارة وتجعل من المستحيل استخدام بعض ميزات خادم الإدارة. وإذا حصل متطفل على امتياز الوصول إلى وحدة تحكم المجال، يمكن تعديل قاعدة بيانات خدمات مجال Active Directory (AD DS) أو إتلافها أو تدميرها. أيضًا، يمكن اختراق جميع الأنظمة والحسابات التي يديرها Active Directory.‏

حسابات تثبيت خادم الإدارة وتشغيله

نوصي بتشغيل تثبيت خادم الإدارة تحت حساب مسؤول محلي لتجنب استخدام حسابات المجال للوصول إلى قاعدة بيانات خادم الإدارة. تعتمد مجموعة الحسابات المطلوبة وحقوقها على نوع نظام قاعدة البيانات المحدد وموقع نظام قاعدة البيانات وطريقة إنشاء قاعدة بيانات خادم الإدارة.

يتم إنشاء المجموعات KLAdmins وKLOperators تلقائيًا أثناء تثبيت Kaspersky Security Center.‏ وتُمنح إلى هاتين المجموعتين أذونات الاتصال بخادم الإدارة ومعالجة كائناته.

واعتمادًا على نوع الحساب المستخدم لتثبيت Kaspersky Security Center، يتم إنشاء المجموعتين KLAdmins وKLOperators كما يلي:

  • إذا تم تثبيت التطبيق بواسطة حساب مستخدم مضمن في مجال، يتم إنشاء المجموعات على جهاز خادم الإدارة وفي المجال الذي يتضمن خادم الإدارة.
  • إذا تم تثبيت التطبيق بواسطة حساب النظام، يتم إنشاء المجموعتين على جهاز خادم الإدارة فقط.

لتجنب إنشاء مجموعات KLAdmins وKLOperators في المجال، ونتيجة لذلك، توفير امتيازات لإدارة خادم الإدارة لحساب خارج جهاز خادم الإدارة، نوصي بتثبيت Kaspersky Security Center تحت حساب محلي.

أثناء تثبيت خادم الإدارة، حدد الحساب الذي سيتم استخدامه لبدء خادم الإدارة كخدمة. بشكل افتراضي، يُنشئ التطبيق حسابًا محليًا باسم KL-AK-*‎، حيث سيتم تشغيل خدمة خادم الإدارة (خدمة klserver).‏

وإذا لزم الأمر، يمكن تشغيل خدمة خادم الإدارة تحت الحساب المحدد. يجب منح هذا الحساب الحقوق المطلوبة للوصول إلى نظام إدارة قواعد البيانات. ولأسباب تتعلق بالأمان، استخدم حسابًا بدون امتياز لتشغيل خدمة خادم الإدارة.

ولتجنب استخدام إعدادات الحساب غير الصحيحة، نوصي بإنشاء الحساب تلقائيًا.‏

استثناء خادم الإدارة من مجال

إذا كنت تستخدم خادم الإدارة لحماية مجموعات الأجهزة التي تتضمن أنظمة ذات أهمية عالية، فلا نوصي بتضمين جهاز خادم الإدارة في المجال (في حالة استخدامه). ويتيح لك هذا التمييز بين حقوق إدارة Kaspersky Security Center ومنع الوصول إلى خادم الإدارة في حالة تعرض حساب المجال للخطر.

ضع في الاعتبار أنه إذا قمت بتثبيت خادم الإدارة على جهاز مضمّن في مجموعة العمل، فلن تتوفر السيناريوهات التالية للعمل مع خادم الإدارة:

إذا كان من الضروري تثبيت خادم الإدارة على جهاز مضمّن في مجموعة العمل، فيمكنك استخدام Kaspersky Security Center Linux بدلاً من Kaspersky Security Center Windows لتجنب تثبيت خادم الإدارة.

هل وجدت هذه المقالة مفيدة؟
ما الذي يمكننا تحسينه؟
شكرًا لك على ملاحظاتك! تساعدُنا على التحسن.
شكرًا لك على ملاحظاتك! تساعدُنا على التحسن.