Учетные записи и авторизация

Использование двухфакторной аутентификации Kaspersky EDR Expert

Kaspersky EDR Expert обеспечивает двухфакторную аутентификацию пользователей на основе стандарта RFC 6238 (TOTP; Time-Based One-Time Password Algorithm – алгоритм одноразового пароля на основе времени).

Если для вашей учетной записи включена двухфакторная аутентификация, при каждом входе в Kaspersky EDR Expert с помощью браузера необходимо ввести имя пользователя, пароль и дополнительный одноразовый код безопасности. Для того чтобы получить одноразовый код безопасности, вам нужно установить приложение для аутентификации на своем компьютере или мобильном устройстве.

Существуют как программные, так и аппаратные аутентификаторы (токены), поддерживающие стандарт RFC 6238. Например, к программным аутентификаторам относятся Google Authenticator, Microsoft Authenticator, FreeOTP.

Категорически не рекомендуется устанавливать приложение для аутентификации на том же устройстве, с которого выполняется подключение к Kaspersky EDR Expert. Например, вы можете установить приложение для аутентификации на мобильном устройстве.

Использование двухфакторной аутентификации операционной системы

Рекомендуется использовать многофакторную аутентификацию (MFA) на устройствах с развернутым Kaspersky EDR Expert с помощью токена, смарт-карты или другим способом (если это возможно).

Запрет на сохранение пароля администратора

При работе с Kaspersky EDR Expert через браузер не рекомендуется сохранять пароль администратора в браузере на устройстве пользователя.

Авторизация внутреннего пользователя

По умолчанию пароль внутренней учетной записи пользователя Kaspersky EDR Expert должен соответствовать следующим требованиям:

• Длина пароля должна быть от 8 до 256 символов.

• Пароль должен содержать символы как минимум трех групп из списка ниже:

  • верхний регистр (A–Z);

  • нижний регистр (a–z);

  • числа (0–9);

  • специальные символы (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;).

• Пароль не должен содержать пробелов, символов Юникода или комбинации "." и "@", когда "." расположена перед "@".

По умолчанию максимальное количество попыток ввода пароля равно 10. Вы можете изменить количество попыток ввода пароля.

Пользователь может вводить неверный пароль ограниченное количество раз. После этого учетная запись пользователя блокируется на час.

Ограничение назначения роли Главного администратора

Пользователю назначается роль Главного администратора в списке контроля доступа (ACL) Kaspersky EDR Expert. Не рекомендуется назначать роль Главного администратора большому количеству пользователей.

Настройка прав доступа к функциям приложения

Рекомендуется использовать возможности гибкой настройки прав доступа пользователей и групп пользователей к разным функциям Kaspersky EDR Expert.

Управление доступом на основе ролей позволяет создавать типовые роли пользователей с заранее настроенным набором прав и присваивать эти роли пользователям в зависимости от их служебных обязанностей.

Основные преимущества ролевой модели управления доступом:

• простота администрирования;
• иерархия ролей;
• принцип наименьшей привилегии;
• разделение обязанностей.

Вы можете воспользоваться встроенными ролями и присвоить их определенным сотрудникам на основе должностей либо создать полностью новые роли.

При настройке ролей необходимо уделить особое внимание привилегиям, связанным с изменением состояния защиты устройства с Kaspersky EDR Expert и удаленной установкой стороннего программного обеспечения:

• Управление группами администрирования.
• Операции с Сервером администрирования.
• Удаленная установка.
• Изменение параметров хранения событий и отправки уведомлений.

  Эта привилегия позволяет настроить уведомления, которые запускают скрипт или исполняемый модуль на устройстве с OSMP при возникновении события.

Отдельная учетная запись для удаленной установки приложений

Помимо базового разграничения прав доступа, рекомендуется ограничить возможность удаленной установки приложений для всех учетных записей, кроме "Главного администратора" или иной специализированной учетной записи.

Рекомендуется использовать отдельную учетную запись для удаленной установки приложений. Вы можете назначить роль или разрешения отдельной учетной записи.

Регулярный аудит всех пользователей и их действий

Рекомендуется проводить регулярный аудит всех пользователей на устройстве, где развернут Kaspersky EDR Expert. Это позволит реагировать на некоторые типы угроз безопасности, связанные с возможной компрометацией устройства.

Также вы можете отслеживать действия пользователей, такие как подключение к Серверу администрирования и отключение от него, подключение к Серверу администрирования с ошибкой и изменение объектов (для объектов, поддерживающих управление версиями).

В начало