Utilisation de TLS
Nous vous recommandons d'interdire les connexions non sécurisées au Serveur d'administration. Par exemple, vous pouvez interdire les connexions qui utilisent HTTP dans les paramètres du Serveur d'administration.
Veuillez noter que par défaut, plusieurs ports HTTP du Serveur d'administration sont fermés. Le port restant est utilisé pour le serveur Internet du Serveur d'administration (8060). Ce port peut être limité par les paramètres du pare-feu de l'appareil du Serveur d'administration.
Paramètres TLS stricts
Il est recommandé d'utiliser le protocole TLS de version 1.2 ou suivante et de restreindre ou d'interdire les algorithmes de chiffrement non sécurisés.
Vous pouvez configurer les protocoles de chiffrement (TLS) utilisés par le Serveur d'administration. Veuillez noter qu'au moment de la publication d'une version du Serveur d'administration, les paramètres du protocole de chiffrement sont configurés par défaut pour garantir la sécurité du transfert des données.
Restriction de l'accès à la base de données du Serveur d'administration
Nous vous recommandons de restreindre l'accès à la base de données du Serveur d'administration. Par exemple, n'accordez l'accès qu'à partir de l'appareil du Serveur d'administration. Cela réduit la probabilité que la base de données du Serveur d'administration soit compromise en raison de vulnérabilités connues.
Vous pouvez configurer les paramètres conformément au mode d'emploi de la base de données utilisée, ainsi que fournir des ports fermés sur les pare-feu.
Interdiction de l'authentification à distance à l'aide de comptes Windows
Vous pouvez utiliser l'indicateur LP_RestrictRemoteOsAuth pour interdire les connexions SSPI à partir d'adresses distantes. Cet indicateur permet d'interdire l'authentification à distance sur le Serveur d'administration à l'aide de comptes Windows locaux ou de domaine.
Pour basculer l'indicateur LP_RestrictRemoteOsAuth sur le mode d'interdiction des connexions à partir des adresses distantes :
klscflag.exe -fset -pv .core/.independent -s KLLIM -n LP_RestrictRemoteOsAuth -t d -v 1
L'indicateur LP_RestrictRemoteOsAuth ne fonctionne pas si l'authentification à distance est effectuée via Kaspersky Security Center Web Console ou la Console d'administration installée sur l'appareil du Serveur d'administration.
Authentification de Microsoft SQL Server
Si Kaspersky Security Center utilise Microsoft SQL Server comme SGBD, il est nécessaire de protéger les données de Kaspersky Security Center transférées vers ou depuis la base de données et les données stockées dans la base de données contre tout accès non autorisé. Pour ce faire, vous devez sécuriser la communication entre Kaspersky Security Center et SQL Server. Le moyen le plus fiable permettant d'assurer une communication sécurisée consiste à installer Kaspersky Security Center et le serveur SQL sur le même appareil et à utiliser le mécanisme de mémoire partagée pour les deux applications. Dans tous les autres cas, nous vous recommandons d'utiliser un certificat SSL/TLS pour authentifier l'instance du serveur SQL.
Configuration de la liste d'autorisation d'adresses IP pour se connecter au Serveur d'administration
Par défaut, les utilisateurs peuvent se connecter à Kaspersky Security Center depuis n'importe quel appareil sur lequel Kaspersky Security Center Web Console ou la Console d'administration basée sur MMC est installée. Cependant, vous pouvez configurer le Serveur d'administration afin que les utilisateurs puissent s'y connecter uniquement à partir d'appareils avec des adresses IP autorisées. Dans ce cas, même si un intrus vole un compte Kaspersky Security Center, il ne pourra se connecter à Kaspersky Security Center qu'à partir des adresses IP figurant dans la liste d'autorisation.
Haut de page