Configuration de la liste d'autorisation d'adresses IP pour se connecter au Serveur d'administration

Par défaut, les utilisateurs peuvent se connecter à Kaspersky Security Center depuis n'importe quel appareil sur lequel Kaspersky Security Center Web Console (ci-après dénommée Web Console) ou la Console d'administration basée sur MMC est installée. Cependant, vous pouvez configurer le Serveur d'administration afin que les utilisateurs puissent s'y connecter uniquement à partir d'appareils avec des adresses IP autorisées. Dans ce cas, même si un intrus vole un compte de Kaspersky Security Center, il ne pourra pas se connecter à Kaspersky Security Center car l'adresse IP de l'appareil de l'intrus ne se trouve pas dans la liste d'autorisation.

L'adresse IP est vérifiée lorsqu'un utilisateur se connecte à Kaspersky Security Center ou exécute une application qui interagit avec le Serveur d'administration via Kaspersky Security Center OpenAPI. À ce moment, l'appareil d'un utilisateur tente d'établir une connexion avec le Serveur d'administration. Si une adresse IP de l'appareil ne figure pas dans la liste d'autorisation, l'erreur d'authentification se produit et l'événement KLAUD_EV_SERVERCONNECT signale qu'une connexion avec le Serveur d'administration n'a pas été établie.

Par exemple, ces applications incluent Kaspersky Anti Targeted Attack Platform et Kaspersky Security for Virtualization. Il peut également s'agir d'un client développé par vous sur la base d'OpenAPI.

Conditions requises pour une liste d'autorisation d'adresses IP

Les adresses IP sont vérifiées uniquement lorsque les applications suivantes tentent de se connecter au Serveur d'administration :

• Web Console Server

  Si vous vous connectez à Web Console sur un appareil et que le serveur de Web Console est installé sur un autre appareil, vous pouvez configurer un pare-feu sur l'appareil où le serveur de Web Console est installé à l'aide des moyens standard du système d'exploitation. Ensuite, si quelqu'un essaie de se connecter à Web Console, un pare-feu empêche les intrus d'intervenir.

• Console d'administration
• Applications interagissant avec le Serveur d'administration via les objets d'automatisation klakaut
• Applications interagissant avec le Serveur d'administration via OpenAPI, comme Kaspersky Anti Targeted Attack Platform ou Kaspersky Security for Virtualization

Par conséquent, indiquez les adresses des appareils sur lesquels les applications répertoriées ci-dessus sont installées.

Vous pouvez définir des adresses IPv4 et IPv6. Vous ne pouvez pas spécifier de plages d'adresses IP.

Comment établir une liste d'autorisation d'adresses IP

Si vous n'avez pas encore défini de liste d'autorisation, suivez les instructions ci-dessous.

Pour établir une liste d'autorisation d'adresses IP pour se connecter à Kaspersky Security Center :

1. Sur l'appareil du Serveur d'administration, exécutez l'invite de commande sous un compte avec des droits d'administrateur.
2. Remplacez votre répertoire actuel par le dossier d'installation de Kaspersky Security Center (généralement, <Disk>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center).
3. Saisissez la commande suivante en utilisant les droits d'administrateur :

   klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "<IP addresses>" -t s

   Indiquez les adresses IP qui répondent aux exigences énumérées ci-dessus. Plusieurs adresses IP doivent être séparées par un point-virgule.

   Exemple d'autorisation de connexion d'un seul appareil au Serveur d'administration :

   klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0" -t s

   Exemple d'autorisation de connexion de plusieurs appareils au Serveur d'administration :

   klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0; 198.51.100.0; 203.0.113.0" -t s

4. Relancez le service du Serveur d'administration.

Vous pouvez savoir si vous avez correctement configuré la liste d'autorisation d'adresses IP dans les journaux d'événement Kaspersky sur le Serveur d'administration.

Comment modifier une liste d'autorisation d'adresses IP

Vous pouvez modifier une liste d'autorisation comme vous l'avez fait lors de sa création. Pour cela, exécutez la même commande et indiquez une nouvelle liste d'autorisation :

klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "<IP addresses>" -t s

Si vous souhaitez supprimer certaines adresses IP de la liste d'autorisation, réécrivez-la. Par exemple, votre liste d'autorisation inclut les adresses IP suivantes : 192.0.2.0 ; 198.51.100.0 ; 203.0.113.0. Vous souhaitez supprimer l'adresse IP 198.51.100.0. Pour ce faire, saisissez la commande suivante à l'invite de commande, en :

klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0; 203.0.113.0" -t s

N'oubliez pas de redémarrer le service du Serveur d'administration.

Comment réinitialiser une liste d'autorisation configurée d'adresses IP

Pour réinitialiser une liste d'autorisation d'adresses IP déjà configurée, procédez comme suit :

1. Entrez la commande suivante à l'invite de commande, en utilisant les droits d'administrateur :

   klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "" -t s

2. Relancez le service du Serveur d'administration.

Après cela, les adresses IP ne sont plus vérifiées.