Eine Allow-Liste von IP-Adressen für die Verbindung mit dem Administrationsserver konfigurieren

Standardmäßig können sich Benutzer auf jedem Gerät, auf dem sie die Kaspersky Security Center Web Console (im Folgenden als Web Console bezeichnet) öffnen können, oder auf dem die MMC-basierte Verwaltungskonsole installiert ist, an Kaspersky Security Center anmelden. Sie können den Administrationsserver jedoch auch so konfigurieren, dass Benutzer nur von Geräten mit zugelassenen IP-Adressen eine Verbindung zu ihm herstellen dürfen. Selbst wenn ein Eindringling an die Anmeldedaten eines Benutzerkontos von Kaspersky Security Center gelangt, kann er sich in diesem Fall nicht bei Kaspersky Security Center anmelden, da die IP-Adresse des Geräts des Eindringlings nicht auf der Allow-Liste steht.

Die IP-Adresse wird überprüft, wenn sich ein Benutzer an Kaspersky Security Center anmeldet oder eine Anwendung ausführt, die mit dem Administrationsserver über Kaspersky Security Center OpenAPI interagiert. In so einem Moment versucht das Gerät des Benutzers, eine Verbindung mit dem Administrationsserver herzustellen. Befindet sich die IP-Adresse des Geräts nicht auf der Allow-Liste, tritt ein Authentifizierungsfehler auf und das Ereignis KLAUD_EV_SERVERCONNECT benachrichtigt Sie darüber, dass eine Verbindung mit dem Administrationsserver abgelehnt wurde.

Zu solchen Anwendungen gehören beispielsweise Kaspersky Anti Targeted Attack Platform, Verbindungs-Gateway und Kaspersky Security for Virtualization. Es kann auch ein von Ihnen entwickelter Client auf Basis von OpenAPI sein.

Anforderungen an eine Allow-Liste mit IP-Adressen

IP-Adressen werden nur überprüft, wenn die folgenden Programme versuchen, sich mit dem Administrationsserver zu verbinden:

• Server der Web Console

  Wenn Sie sich auf einem Gerät an der Web Console anmelden und der Server der Web Console auf einem anderen Gerät installiert ist, können Sie auf dem Gerät mit installierter Web Console eine Firewall konfigurieren, indem Sie die Standardmittel des Betriebssystems verwenden. Wenn anschließend jemand versucht, sich an der Web Console anzumelden, hilft eine Firewall dabei, Eingriffe durch Eindringlinge abzuwehren.

• Verwaltungskonsole
• Programme, die mittels klakaut-Automatisierungsobjekten mit dem Administrationsserver interagieren
• Programme, die mittels OpenAPI mit dem Administrationsserver interagieren, z. B. Kaspersky Anti Targeted Attack Platform oder Kaspersky Security for Virtualization

Geben Sie daher Adressen der Geräte an, auf denen die oben aufgeführten Programme installiert sind.

Sie können sowohl IPv4- als auch IPv6-Adressen angeben. Sie können keine IP-Adressbereiche angeben.

So erstellen Sie eine Allow-Liste mit IP-Adressen

Wenn Sie zuvor noch keine Allow-Liste erstellt haben, folgen Sie den nachstehenden Anweisungen.

So erstellen Sie die Allow-Liste mit IP-Adressen zur Anmeldung an Kaspersky Security Center:

1. Führen Sie auf dem Gerät des Administrationsservers die Eingabeaufforderung unter einem Konto mit Administratorrechten aus.
2. Ändern Sie Ihr aktuelles Verzeichnis in den Installationsordner von Kaspersky Security Center (standardmäßig <Laufwerk>:\Programme (x86)\Kaspersky Lab\Kaspersky Security Center).
3. Geben Sie den folgenden Befehl mit Administratorrechten ein:

   klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "<IP-Adressen>" -t s

   Geben Sie IP-Adressen an, die den oben aufgeführten Anforderungen entsprechen. Mehrere IP-Adressen müssen durch ein Semikolon getrennt werden.

   Beispiel, um nur einem Gerät die Verbindung mit dem Administrationsserver zu erlauben:

   klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0" -t s

   Beispiel, um mehreren Geräten die Verbindung mit dem Administrationsserver zu erlauben:

   klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0; 198.51.100.0; 203.0.113.0" -t s

4. Starten Sie den Dienst des Administrationsservers neu.

Dem Kaspersky-Ereignisprotokoll des Administrationsservers können Sie entnehmen, ob Sie die Allow-Liste mit IP-Adressen erfolgreich konfiguriert haben.

So ändern Sie eine Allow-Liste mit IP-Adressen

Sie können eine Allow-Liste auf gleiche Weise ändern, wie Sie es bei der erstmaligen Erstellung getan haben. Führen Sie daher denselben Befehl aus und geben Sie eine neue Allow-Liste an:

klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "<IP-Adressen>" -t s

Wenn Sie einige IP-Adressen aus der Zulassungsliste löschen möchten, erstellen Sie diese neu. Ihre Allow-Liste enthält beispielsweise die folgenden IP-Adressen: 192.0.2.0; 198.51.100.0 und 203.0.113.0. Sie möchten die IP-Adresse 198.51.100.0 aus der Liste löschen. Geben Sie dafür den folgenden Befehl in die Eingabeaufforderung ein:

klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0; 203.0.113.0" -t s

Stellen Sie sicher, den Dienst des Administrationsservers neu zu starten.

Zurücksetzen einer konfigurierten Allow-Liste mit IP-Adressen

So setzen Sie eine bereits konfigurierte Allow-Liste mit IP-Adressen zurück:

1. Geben Sie den folgenden Befehl mit Administratorrechten in die Eingabeaufforderung ein:

   klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "" -t s

2. Starten Sie den Dienst des Administrationsservers neu.

Anschließend werden IP-Adressen nicht mehr überprüft.