الحسابات والمصادقة

22 فبراير 2024

ID 245774

استخدام التحقق الثنائي مع خادم الإدارة

يوفر Kaspersky Security Center التحقق الثنائي لمستخدمي Kaspersky Security Center Web Console ووحدة تحكم الإدارة، استنادًا إلى معيار RFC 6238 ‏(TOTP: خوارزمية كلمة المرور لمرة واحدة المستندة إلى الوقت).

عند تمكين التحقق الثنائي لحسابك الخاص، في كل مرة تسجل الدخول فيها إلى Kaspersky Security Center Web Console أو وحدة تحكم الإدارة، تقوم بإدخال اسم المستخدم وكلمة المرور ورمز أمان إضافي للاستخدام مرة واحدة. إذا كنت تستخدم مصادقة المجال لحسابك، ما عليك سوى إدخال رمز أمان إضافي يستخدم مرة واحدة. لتلقي رمز أمان للاستخدام مرة واحدة، يجب أن تقوم بتثبيت تطبيق مصادقة على جهاز الكمبيوتر لديك أو على جهازك المحمول.

توجد تطبيقات مصادقة للبرامج والأجهزة (الرموز المميزة) تدعم معيار RFC 6238. على سبيل المثال، تتضمن تطبيقات مصادقة البرامج Google Authenticator وMicrosoft Authenticator وFreeOTP.‏

لا نوصي بشدة بتثبيت تطبيق المصادقة على الجهاز نفسه الذي تم من خلاله إنشاء الاتصال بخادم الإدارة. يمكنك تثبيت تطبيق مصادقة على جهازك المحمول.

استخدام المصادقة ثنائية العوامل لنظام تشغيل

نوصي باستخدام المصادقة متعددة العوامل (MFA) للمصادقة على جهاز خادم الإدارة باستخدام رمز مميز أو بطاقة ذكية أو طريقة أخرى (إن أمكن).

حظر حفظ كلمة مرور المسؤول

إذا كنت تستخدم وحدة تحكم الإدارة، فلا نوصي بحفظ كلمة مرور المسؤول في خانة حوار اتصال خادم الإدارة.

إذا كنت تستخدم Kaspersky Security Center Web Console، لا نوصي بحفظ كلمة مرور المسؤول في المستعرض المثبت على جهاز المستخدم.

مصادقة حساب مستخدم داخلي

بشكل افتراضي، يجب أن تتوافق كلمة مرور حساب المستخدم الداخلي لخادم الإدارة مع القواعد التالية:

  • يجب أن تتضمن كلمة المرور من 8 إلى 16 حرفًا.

  • يجب أن تحتوي كلمة المرور على ثلاثة أحرف على الأقل من المجموعات المدرجة أدناه:

    • الأحرف الكبيرة (A-Z)

    • الأحرف الصغيرة (a-z)

    • الأعداد (0-9)

    • رموز خاصة (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;)

  • يجب أن لا تحتوي كلمة المرور على أي مسافات بيضاء، أو حروف Unicode، أو تركيب يتكون من "." و"@"، عند وضع "." قبل "@".

افتراضيًا، يكون الحد الأقصى لعدد محاولات إدخال كلمة المرور المسموح به هو 10. يمكنك تغيير عدد محاولات إدخال كلمة المرور المسموح بها.‏

يمكن لمستخدم Kaspersky Security Center إدخال كلمة مرور غير صالحة لعدد محدود من المرات. بعد الوصول إلى الحد الأقصى، يتم حظر حساب المستخدم لمدة ساعة واحدة.

مجموعة الإدارة المخصصة لخادم الإدارة

نوصي بإنشاء مجموعة إدارة مخصصة لخادم الإدارة. امنح هذه المجموعة حقوق وصول خاصة وأنشئ سياسة أمان خاصة بها.

لتجنب خفض مستوى أمان خادم الإدارة عن عمد، نوصي بتقييد قائمة الحسابات التي يمكنها إدارة مجموعة الإدارة المخصصة.

مجموعتا KLAdmins وKLOperators

يتم إنشاء مجموعتا KLAdmins وKLOperators تلقائيًا أثناء تثبيت Kaspersky Security Center. يتم منح مجموعة KLAdmins جميع حقوق الوصول. يتم منح مجموعة KLOperators حقوق القراءة والتنفيذ فقط. ويتم قفل الحقوق الممنوحة إلى مجموعة KLAdmins.‏

يمكنك عرض مجموعتي KLAdmins وKLOperators، وإجراء تغييرات على هذه المجموعات، باستخدام الأدوات الإدارية القياسية لنظام التشغيل.

عند وضع لوائح للعمل مع خادم الإدارة، من الضروري تحديد ما إذا كان أخصائي أمان المعلومات يحتاج إلى الوصول الكامل (والتضمين في مجموعة KLAdmins) لأداء المهام القياسية.

ويمكن توزيع معظم مهام الإدارة الأساسية بين أقسام الشركة (أو مختلف الموظفين في القسم نفسه) وبالتالي بين الحسابات المختلفة. ويمكنك أيضًا إعداد تمييز وصول مجموعات الإدارة في Kaspersky Security Center.‏ نتيجة لذلك، من الممكن تنفيذ سيناريو يكون فيه الإذن بموجب الحسابات من مجموعة KLAdmins أمرًا شاذًا ويمكن اعتباره حادثًا.

وفي حالة تثبيت Kaspersky Security Center تحت حساب نظام، فلن يتم إنشاء المجموعات إلا على جهاز خادم الإدارة. وفي هذه الحالة، نوصي بالتأكد من تضمين المجموعة فقط الإدخالات التي تم إنشاؤها أثناء تثبيت Kaspersky Security Center. لا نوصي بإضافة أي مجموعات إلى مجموعة KLAdmins (المحلية و/أو المجال) التي يتم إنشاؤها تلقائيًا أثناء تثبيت Kaspersky Security Center.‏ يجب أن تتضمن مجموعة KLAdmins حسابات فردية غير مميزة فقط.

في حالة إجراء التثبيت تحت حساب مستخدم المجال، يتم إنشاء مجموعتي KLAdmins وKLOperators على خادم الإدارة وفي المجال الذي يتضمن خادم الإدارة. يوصى باتباع نهج مماثل مثل تثبيت الحساب المحلي.

تقييد عضوية دور المسؤول الرئيسي

نوصي بتقييد عضوية دور المسؤول الرئيسي.

بشكل افتراضي، بعد تثبيت خادم الإدارة، يتم تعيين دور المسؤول الرئيسي لمجموعة المسؤولين المحليين ومجموعة KLAdmins التي تم إنشاؤها. وهذا مفيد للإدارة، لكنه مهم من وجهة نظر الأمان، لأن دور المسؤول الرئيسي يتضمن مجموعة واسعة من الامتيازات، ويجب تنظيم تعيين هذا الدور للمستخدمين بشكل صارم.

ويمكن استبعاد المسؤولين المحليين من قائمة المستخدمين الذين يتمتعون بامتيازات المسؤول في Kaspersky Security Center. ولا يمكن إزالة دور المسؤول الرئيسي من مجموعة KLAdmins. يمكنك تضمين الحسابات التي سيتم استخدامها لإدارة خادم الإدارة في مجموعة KLAdmins.‏

وإذا كنت تستخدم مصادقة المجال، نوصي بتقييد امتيازات حسابات مسؤول المجال في Kaspersky Security Center.‏ وبشكل افتراضي، تتمتع هذه الحسابات بدور المسؤول الرئيسي. أيضًا، يستطيع مسؤول المجال تضمين حسابه في مجموعة KLAdmins للحصول على دور المسؤول الرئيسي. ولتجنب ذلك، في إعدادات أمان Kaspersky Security Center، يمكنك إضافة مجموعة Domain Admins، ثم تحديد قواعد الحظر الخاصة بها. ويجب أن يكون لهذه القواعد الأسبقية على القواعد المسموح بها.

يمكنك أيضًا استخدام أدوار المستخدم المحددة مسبقًا مع مجموعة من الحقوق المكونة بالفعل.

تكوين حقوق الوصول إلى ميزات التطبيق

نوصي باستخدام التكوين المرن لحقوق الوصول إلى ميزات Kaspersky Security Center لكل مستخدم أو مجموعة من المستخدمين.

يسمح التحكم في الوصول المستند إلى الدور بإنشاء أدوار مستخدم قياسية مع مجموعة محددة مسبقًا من الحقوق وتعيين هذه الأدوار للمستخدمين اعتمادًا على نطاق واجباتهم.

المزايا الرئيسية لنموذج التحكم في الوصول المستند إلى الدور:

  • سهولة الإدارة
  • التسلسل الهرمي للدور
  • نهج الامتياز الأقل
  • الفصل بين الواجبات

يمكنك تعيين أدوار مضمنة لبعض الموظفين بناءً على مناصبهم، أو إنشاء أدوار جديدة تمامًا.

وأثناء تكوين الأدوار، انتبه إلى الامتيازات المرتبطة بتغيير حالة الحماية لجهاز خادم الإدارة والتثبيت عن بُعد لبرامج الجهة الخارجية:

  • إدارة مجموعات الإدارة.
  • العمليات مع خادم الإدارة.
  • التثبيت عن بُعد.
  • تغيير المعلمات لتخزين الأحداث وإرسال الإخطارات.‏

    يسمح لك هذا الامتياز بتعيين الإخطارات التي تقوم بتشغيل برنامج نصي أو وحدة نمطية قابلة للتنفيذ على جهاز خادم الإدارة عند وقوع حدث ما.

الحساب المنفصل للتثبيت عن بُعد للتطبيقات

بالإضافة إلى التمييز الأساسي لحقوق الوصول، نوصي بتقييد التثبيت عن بُعد للتطبيقات لجميع الحسابات (باستثناء حساب المسؤول الرئيسي أو حساب متخصص آخر).

نوصي باستخدام حساب منفصل للتثبيت عن بُعد للتطبيقات. يمكنك تعيين دور أو أذونات للحساب المنفصل.

تأمين الوصول المتميز على نظام التشغيل Windows

ونوصي بمراعاة توصيات Microsoft لتوفير أمان الوصول المتميز. ولعرض هذه التوصيات، انتقل إلى مقالة تأمين الوصول المتميز‏. ‏

تتمثل إحدى النقاط الرئيسية للتوصيات في تنفيذ محطات العمل ذات الوصول المتميز (PAW)‏.‏

استخدام حساب خدمة مُدار (MSA) أو مجموعة حسابات خدمة مُدارة (gMSA) لتشغيل خدمة خادم الإدارة

يحتوي Active Directory على نوع خاص من الحسابات للخدمات التي يتم تشغيلها بأمان، تسمى حساب الخدمة المُدارة للمجموعة (MSA/gMSA)‏. ويدعم Kaspersky Security Center ‏حسابات الخدمة المُدارة (MSA) وحسابات الخدمة المُدارة للمجموعة (gMSA).‏ في حالة استخدام أنواع الحسابات هذه في مجالك، فيمكنك تحديد واحد منها كحساب لخدمة خادم الإدارة.

المراجعة المنتظمة لجميع المستخدمين

نوصي بإجراء تدقيق منتظم لجميع المستخدمين على جهاز خادم الإدارة. يتيح لك ذلك الرد على أنواع معينة من تهديدات الأمان المرتبطة بالاختراق المحتمل للجهاز.

هل وجدت هذه المقالة مفيدة؟
ما الذي يمكننا تحسينه؟
شكرًا لك على ملاحظاتك! تساعدُنا على التحسن.
شكرًا لك على ملاحظاتك! تساعدُنا على التحسن.