Konten und Authentifizierung

Verwendung der zweistufigen Überprüfung mit dem Administrationsserver

Kaspersky Security Center Linux bietet eine zweistufige Überprüfung für Benutzer der Kaspersky Security Center Web Console. Diese basiert auf dem RFC 6238-Standard (TOTP: Time-Based One-Time Password Algorithm).

Wenn die zweistufige Überprüfung für Ihr eigenes Benutzerkonto aktiviert ist, müssen Sie bei jeder Anmeldung an der Kaspersky Security Center Web Console den Benutzernamen, das Kennwort und einen zusätzlichen Einmal-Sicherheitscode eingegeben. Um einen Einmal-Sicherheitscode zu erhalten, müssen Sie auf einem Ihrer Geräte (z. B. auf Ihrem Computer oder mobilen Gerät) eine Authenticator-App installieren.

Für den RFC 6238-Standard existieren sowohl Software- als auch Hardware-Authenticators (Token). Zu den Software-Authenticators gehören beispielsweise Google Authenticator, Microsoft Authenticator und FreeOTP.

Wir raten dringend davon ab, die Authenticator-App auf demselben Gerät zu installieren, von dem aus die Verbindung zum Administrationsserver hergestellt wird. Sie können eine Authenticator-App auf Ihrem Mobilgerät installieren.

Verwendung der Zwei-Faktor-Authentifizierung für ein Betriebssystem

Für die Authentifizierung auf dem Gerät des Administrationsservers empfehlen wir die Verwendung der Multi-Faktor-Authentifizierung (MFA) mithilfe eines Tokens, einer Smartcard oder einer anderen Methode (falls möglich).

Verbieten der Speicherung des Administratorpassworts

Wenn Sie Kaspersky Security Center Web Console verwenden, raten wir davon ab, das Administratorkennwort in einem auf dem Benutzergerät installierten Browser zu speichern.

Authentifizierung eines internen Benutzerkontos

Standardmäßig muss das Kennwort eines internen Benutzerkontos des Administrationsservers die folgende Regeln einhalten:

• Das Kennwort muss zwischen 8 und 16 Zeichen lang sein

• Das Kennwort muss Zeichen aus zumindest drei der unten aufgelisteten Gruppen enthalten:

  • Großbuchstaben (A–Z)

  • Kleinbuchstaben (a–z)

  • Zahlen (0–9)

  • Sonderzeichen (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;)

• In einem Kennwort sind unzulässig: Leerzeichen, Unicode-Zeichen oder die Kombination von "." und "@", falls "." vor "@" steht.

Standardmäßig liegt die maximale Anzahl zulässiger Versuche zur Eingabe eines Kennworts bei 10. Sie können die Anzahl der zulässigen Eingabeversuche für das Kennwort ändern.

Die Benutzer von Kaspersky Security Center Linux haben nur eine begrenzte Anzahl von Eingabeversuchen mit ungültigen Kennwörtern. Wenn das Limit erreicht ist, wird das Benutzerkonto für eine Stunde gesperrt.

Dedizierte Administrationsgruppe für den Administrationsserver

Wir empfehlen die Erstellung einer dedizierten Administrationsgruppe für den Administrationsserver. Gewähren Sie dieser Gruppe gesonderte Zugriffsrechte und erstellen Sie eine gesonderte Sicherheitsrichtlinie für sie.

Um die Sicherheitsstufe des Administrationsservers nicht absichtlich herabzusetzen, empfehlen wir, die Liste der Konten einzuschränken, welche die dedizierte Administrationsgruppe verwalten dürfen.

Zuweisung der Rolle "Hauptadministrator" beschränken

Dem mit dem Tool "kladduser" erstellten Benutzer wird in der Zugriffskontrollliste (ACL) des Administrationsservers die Rolle "Hauptadministrator" zugewiesen. Es wird empfohlen, die Zuweisung der Rolle des Hauptadministrators an eine größere Anzahl von Benutzern zu vermeiden.

Zugriffsrechte auf Programmfunktionen konfigurieren

Wir empfehlen, für jeden Benutzer oder jede Benutzergruppe eine flexible Konfiguration der Zugriffsrechte auf die Funktionen von Kaspersky Security Center Linux.

Rollenbasierte Zugriffskontrolle erlaubt das Erstellen typischer Benutzerrollen mit einer vordefinierten Auswahl von Berechtigungen und das Zuweisen dieser Rollen an die Benutzer entsprechend ihrer dienstlichen Verpflichtungen.

Die Hauptvorteile des Modells der rollenbasierten Zugriffskontrolle:

• Einfache Verwaltung
• Rollenhierarchie
• Prinzip der niedrigsten Priorität (POLP)
• Trennung von Aufgaben

Sie können bestimmten Mitarbeitern basierend auf deren Positionen vordefinierte Rollen zuweisen oder neue Rollen erstellen.

Achten Sie bei der Rollenkonfiguration auf die Berechtigungen, die mit der Änderung des Schutzstatus des Geräts mit dem Administrationsserver und der Remote-Installation von Software von Drittanbietern verbunden sind:

• Administrationsgruppen verwalten.
• Vorgänge mit dem Administrationsserver.
• Remote-Installation.
• Ändern der Parameter zum Speichern von Ereignissen und Senden von Benachrichtigungen.

  Mit diesem Recht können Sie Benachrichtigungen einrichten, die bei Eintritt eines Ereignisses ein Skript oder ein ausführbares Modul auf dem Gerät des Administrationsservers ausführen.

Separate Benutzerkonten für die Remote-Installation von Programmen

Neben der grundsätzlichen Unterscheidung der Zugriffsrechte empfehlen wir, die Remote-Installation von Programmen für alle Konten einzuschränken (außer für den Hauptadministrator oder ein anderes spezialisiertes Konto).

Für die Remote-Installation von Anwendungen empfehlen die Verwendung eines separaten Benutzerkontos. Sie können dem separaten Benutzerkonto eine Rolle zuweisen oder Berechtigungen zuweisen.

Regelmäßige Überprüfung aller Benutzer

Wir empfehlen, auf dem Gerät des Administrationsservers eine regelmäßige Überprüfung aller Benutzer durchzuführen. Auf diese Weise können Sie auf bestimmte Arten von Sicherheitsbedrohungen reagieren, die mit einer möglichen Kompromittierung des Geräts verbunden sind.