Bereitstellung des Administrationsservers
Architektur des Administrationsservers
Im Allgemeinen hängt die Wahl einer zentralisierten Verwaltungsarchitektur von Punkten wie dem Standort der geschützten Geräte, dem Zugriff von benachbarten Netzwerken und den Bereitstellungsschemata für Datenbankaktualisierungen ab.
In der Anfangsphase der Architekturentwurfs empfehlen wir, sich mit den Komponenten von Kaspersky Security Center und ihren Wechselwirkungen untereinander, sowie mit den Schemata für Datenverkehr und Portnutzung vertraut zu machen.
Basierend auf diesen Informationen können Sie eine Architektur entwerfen, die auf Folgendes eingeht:
- Standort des Administrationsservers und Netzwerkverbindungen
- Organisation der Arbeitsbereiche des Administrators und Verbindungsmethoden zum Administrationsserver
- Methoden zur Bereitstellung des Administrationsagenten und der Schutzprogramme
- Verwendung von Verteilungspunkten
- Verwendung von virtuellen Administrationsservern
- Verwendung einer Administrationsserver-Hierarchie
- Update-Schema für Antiviren-Datenbanken
- Weitere Datenflüsse
Auswahl eines Geräts zur Installation des Administrationsservers
Wir empfehlen, dass Sie den Administrationsserver auf einem dedizierten Server in der Infrastruktur Ihrer Organisation installieren. Wenn auf dem Server keine weiteren Programme von Drittanbietern installiert ist, können Sie die Sicherheitseinstellungen gemäß den Anforderungen von Kaspersky Security Center konfigurieren, ohne von den Anforderungen der Drittanbieter-Programme abhängig zu sein.
Sie können den Administrationsserver auf einem physischen Server oder auf einem virtuellen Server bereitstellen. Stellen Sie sicher, dass das ausgewählte Gerät die Hardware- und Softwareanforderungen erfüllt.
Standort des Administrationsservers
Vom Administrationsserver verwaltete Geräte können in folgenden Standorten platziert werden:
-
In einem lokalen Netzwerk (LAN)
-
Im Internet
-
In der entmilitarisierten Zone (DMZ)
Gleichzeitig kann sich der Administrationsserver auch in verschiedenen Segmenten befinden, etwa Industrie-, Unternehmens- und DMZ-Segmente.
Wenn Sie Kaspersky Security Center dazu verwenden, den Schutz eines isolierten Netzwerksegments zu verwalten, empfehlen wir die Bereitstellung des Administrationsservers in einem Segment der demilitarisierten Zone (DMZ). Auf diese Weise können Sie eine ordnungsgemäße Netzwerksegmentierung organisieren und den Datenverkehr zum geschützten Segment minimieren, während die vollständigen Verwaltungsfunktionen und die Verteilung von Updates erhalten bleiben.
Einschränkung bei der Bereitstellung des Administrationsservers auf einem Domänencontroller, Terminalserver oder Benutzergerät
Wir raten dringend davon ab, den Administrationsserver auf einem Domänencontroller, Terminalserver oder Benutzergerät zu installieren.
Wir empfehlen, dass Sie für die Schlüsselknoten des Netzwerks eine funktionale Trennung vorzusehen. Mit diesem Ansatz können Sie die Funktionsfähigkeit verschiedener Systeme aufrechterhalten, wenn ein Knoten ausfällt oder kompromittiert wird. Gleichzeitig können Sie für jeden Knoten unterschiedliche Sicherheitsrichtlinien erstellen.
Beispielsweise können Sicherheitsbeschränkungen, die normalerweise auf einen Domänencontroller angewendet werden, die Leistung des Administrationsservers erheblich beeinträchtigen und die Nutzung einiger Funktionen des Administrationsservers unmöglich machen. Wenn ein Eindringling privilegierten Zugriff auf den Domänencontroller erlangt, kann die Datenbank des Active Directory Domain Service (AD DS) verändert, beschädigt oder zerstört werden. Darüber hinaus können alle von Active Directory verwalteten Systeme und Konten kompromittiert werden.
Konten für die Installation und Ausführung des Administrationsservers
Wir empfehlen, die Installation des Administrationsservers unter einem lokalen Administratorkonto auszuführen, um die Verwendung von Domänenkonten für den Zugriff auf die Datenbank des Administrationsservers zu vermeiden. Die Art und der Umfang der erforderlichen Benutzerkonten und deren Rechte hängen vom ausgewählten DBMS-Typ, dem DBMS-Speicherort und der Methode zur Erstellung der Administrationsserver-Datenbank ab.
Bei der Installation von Kaspersky Security Center werden die Gruppen "KLAdmins" und "KLOperators" automatisch erstellt. Diesen Gruppen werden die Rechte für die Verbindung mit dem Administrationsserver und die Bearbeitung der Serverobjekte gewährt.
Abhängig davon, unter welchem Benutzerkonto Kaspersky Security Center installiert wird, werden die Gruppen "KLAdmins" und "KLOperators" auf folgende Weise erstellt:
- Wenn die Installation unter einem Benutzerkonto ausgeführt wird, das zu einer Domäne gehört, werden die Gruppen auf dem Gerät des Administrationsservers sowie in der Domäne, zu welcher der Administrationsserver gehört, erstellt.
- Wenn die Installation unter einem System-Benutzerkonto ausgeführt wird, werden die Gruppen nur auf dem Gerät des Administrationsserver erstellt.
Um zu vermeiden, dass in der Domäne die Gruppen "KLAdmins" und "KLOperators" erstellt werden und dadurch Berechtigungen zur Verwaltung des Administrationsservers einem Konto außerhalb des Geräts mit dem Administrationsserver erteilt werden können, empfehlen wir, Kaspersky Security Center unter einem lokalen Konto zu installieren.
Wählen während der Installation des Administrationsservers ein Benutzerkonto aus, unter dem der Administrationsserver als Dienst gestartet werden soll. Standardmäßig erstellt das Programm ein lokales Konto namens "KL-AK-*", unter dem der Dienst des Administrationsservers (Dienst "klserver") ausgeführt wird.
Bei Bedarf kann der Dienst des Administrationsservers unter dem ausgewählten Konto ausgeführt werden. Diesem Konto müssen die erforderlichen Rechte für den Zugriff auf das DBMS gewährt werden. Verwenden Sie aus Sicherheitsgründen ein nicht-privilegiertes Konto für die Ausführung des Administrationsserver-Dienstes.
Um die Verwendung einer falscher Kontokonfiguration zu vermeiden, empfehlen wir, das Konto automatisch zu erstellen.
Ausschluss des Administrationsservers aus einer Domäne
Wenn Sie den Administrationsserver verwenden, um Gerätegruppen mit kritischen Systemen zu schützen, wird es davon abgeraten, das Gerät mit dem Administrationsserver in die Domäne aufzunehmen (sofern getan). Auf diese Weise können Sie die Verwaltungsrechte von Kaspersky Security Center differenzieren und den Zugriff auf den Administrationsserver verhindern, falls das Domänenkonto kompromittiert wird.
Beachten Sie, dass die folgenden Szenarien für die Arbeit mit dem Administrationsserver nicht verfügbar sind, wenn Sie den Administrationsserver auf einem Gerät installieren, das zur Arbeitsgruppe gehört:
- Verwendung eines Kaspersky Security Center Failover-Clusters
- Verwendung eines Windows Server Failover-Clusters
- Verwendung eines SQL-Servers auf einem separaten Gerät
Sie können SQL Server nur dann auf einem separaten Gerät verwenden, wenn der Administrationsserver und der SQL Server zur Domäne gehören.
- Remote-Installation mittels Tools des Administrationsservers über die Gruppenrichtlinien des Active Directory
Wenn der Administrationsserver auf einem Gerät der Arbeitsgruppe installiert werden muss, können Sie anstelle von Kaspersky Security Center Windows auch Kaspersky Security Center Linux verwenden, um eine Installation des Administrationsservers zu vermeiden.