Cuentas y autenticación

Uso de la verificación en dos pasos con el Servidor de administración

Kaspersky Security Center Linux proporciona verificación en dos pasos para usuarios de Kaspersky Security Center Web Console, según el estándar RFC 6238 (TOTP: algoritmo de contraseña de un solo uso basado en el tiempo).

Cuando la verificación en dos pasos está activada para su propia cuenta, cada vez que inicie sesión en Kaspersky Security Center Web Console, debe introducir su nombre de usuario, contraseña y un código de seguridad adicional de un solo uso. Para recibir un código de seguridad de un solo uso, debe instalar una aplicación de autenticación en su equipo o dispositivo móvil.

Existen autenticadores de software y de hardware (tokens) que admiten el estándar RFC 6238. Por ejemplo, los autenticadores de software incluyen Google Authenticator, Microsoft Authenticator o FreeOTP.

No recomendamos en absoluto instalar la aplicación de autenticación en el mismo dispositivo desde el que se establece la conexión con el Servidor de administración. Puede instalar una aplicación de autenticación en su dispositivo móvil.

Uso de la autenticación de dos factores para un sistema operativo

Recomendamos utilizar la autenticación multifactor (MFA) para la autenticación en el dispositivo Servidor de administración mediante un token, una tarjeta inteligente u otro método (si es posible).

Prohibición de guardar la contraseña de administrador

Si utiliza Kaspersky Security Center Web Console, no recomendamos guardar la contraseña de administrador en el navegador instalado en el dispositivo del usuario.

Autenticación de una cuenta de usuario interna

Por defecto, la contraseña de una cuenta de usuario interna del Servidor de administración debe cumplir con las siguientes reglas:

• La contraseña debe tener entre 8 y 16 caracteres

• La contraseña debe contener caracteres de al menos tres de los grupos enumerados a continuación:

  • Letras mayúsculas (A-Z)

  • Letras minúsculas (a-z)

  • Números (0-9)

  • Carácteres especiales (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;)

• La contraseña no debe contener espacios en blanco, caracteres Unicode o la combinación de "." y "@", cuando "." está colocado delante de "@".

De forma predeterminada, el número máximo de intentos permitidos para introducir una contraseña es 10. Puede cambiar el número de intentos de entrada de contraseña permitidos.

El usuario de Kaspersky Security Center Linux puede introducir una contraseña no válida un número limitado de veces. Una vez que se alcanza el límite, la cuenta de usuario se bloquea durante una hora.

Grupo de administración dedicado para el Servidor de administración

Recomendamos crear un grupo de administración dedicado para el Servidor de administración. Otorgue a este grupo derechos de acceso especiales y cree una directiva de seguridad especial para él.

Para evitar bajar intencionadamente el nivel de seguridad del Servidor de administración, recomendamos restringir la lista de cuentas que puede administrar el grupo de administración dedicado.

Restricción de la asignación de la función de Administrador principal

Al usuario creado por la utilidad kladduser se le asigna la función de Administrador principal en la lista de control de acceso (ACL) del Servidor de administración. Recomendamos evitar la asignación de la función de Administrador principal a un gran número de usuarios.

Configuración de los derechos de acceso a las funciones de la aplicación.

Recomendamos utilizar una configuración flexible de los derechos de acceso a las funciones de Kaspersky Security Center Linux para cada usuario o grupo de usuarios.

El control de acceso basado en funciones permite la creación de funciones de usuario estándar con un conjunto de derechos preestablecido y la asignación de esas funciones a los usuarios según su ámbito de responsabilidad.

Las principales ventajas del modelo de control de acceso basado en funciones:

• Facilidad de administración
• Jerarquía de funciones
• Enfoque de privilegios mínimos
• Segregación de deberes

Puede asignar funciones integradas a ciertos empleados en función de sus puestos o crear funciones completamente nuevas.

Al configurar funciones, preste atención a los privilegios asociados con el cambio del estado de protección del dispositivo del Servidor de administración y la instalación remota de software de terceros:

• Gestión de grupos de administración.
• Operaciones con el Servidor de administración.
• Instalación remota.
• Cambiar los parámetros para almacenar eventos y enviar notificaciones.

  Este privilegio le permite configurar notificaciones que ejecutan un script o un módulo ejecutable en el dispositivo Servidor de administración cuando ocurre un evento.

Cuenta separada para la instalación remota de aplicaciones

Además de la diferenciación básica de derechos de acceso, recomendamos restringir la instalación remota de aplicaciones para todas las cuentas (excepto para el Administrador principal u otra cuenta especializada).

Recomendamos usar una cuenta separada para la instalación remota de aplicaciones. Puede asignar un rol o permisos a la cuenta separada.

Auditoría periódica de todos los usuarios

Recomendamos realizar una auditoría periódica de todos los usuarios en el dispositivo del Servidor de administración. Esto le permite responder a ciertos tipos de amenazas de seguridad asociadas con un posible compromiso del dispositivo.