Avant d'exécuter les étapes ci-dessous, créez une copie de sauvegarde du Serveur d'administration de Kaspersky Security Center à l'aide des outils KL (sauvegarde des données du Serveur d'administration ou utilitaire klbackup) et enregistrez-la dans un endroit sûr.
Utilisation de la vérification en deux étapes avec le Serveur d'administration
Kaspersky Security Center propose une vérification en deux étapes pour les utilisateurs de Kaspersky Security Center Web Console et de la Console d'administration, sur la base de la norme RFC 6238 (TOTP : algorithme de mot de passe unique calculé en fonction du temps).
Lorsque la vérification en deux étapes est activée pour votre propre compte, chaque fois que vous vous connectez à Kaspersky Security Center Web Console ou à la Console d'administration, vous entrez votre nom d'utilisateur, votre mot de passe et un code de sécurité à usage unique supplémentaire. Si vous utilisez l'authentification de domaine pour votre compte, il vous suffit de saisir un code de sécurité supplémentaire à usage unique. Pour recevoir un code de sécurité à usage unique, vous devez installer une application d'authentification sur votre ordinateur ou sur votre appareil mobile.
Il existe des authentificateurs logiciels et matériels (tokens) qui prennent en charge la norme RFC 6238. Par exemple, les authentificateurs logiciels incluent Google Authenticator, Microsoft Authenticator, FreeOTP.
Il est fortement déconseillé d'installer l'application d'authentification sur l'appareil à partir duquel la connexion au Serveur d'administration est établie. Vous pouvez installer une application d'authentification sur votre appareil mobile.
Utilisation de l'authentification à deux facteurs pour un système d'exploitation
Nous vous recommandons d'utiliser l'authentification multifacteur (MFA) pour l'authentification sur l'appareil du Serveur d'administration à l'aide d'un token, d'une carte à puce ou d'une autre méthode (si possible).
Interdiction d'enregistrer le mot de passe administrateur
Si vous utilisez la Console d'administration, il est déconseillé d'enregistrer le mot de passe administrateur dans la boîte de dialogue de connexion au Serveur d'administration.
Si vous utilisez Kaspersky Security Center Web Console, il est déconseillé d'enregistrer le mot de passe administrateur dans le navigateur installé sur la machine de l'utilisateur.
Authentification d'un compte utilisateur interne
Par défaut, le mot de passe d'un compte utilisateur interne du Serveur d'administration doit respecter les règles suivantes :
Le mot de passe doit compter entre 8 et 16 caractères.
Le mot de passe doit compter des caractères d'au moins trois des groupes ci-dessous :
Lettres majuscules (A-Z)
Lettre minuscules (a-z)
Chiffres (0-9)
Caractères spéciaux (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;)
Le mot de passe ne peut pas contenir d'espaces, de caractères Unicode ou de la combinaison « . » et « @ » lorsque « . » est placé devant « @ ».
Par défaut, le nombre maximal de tentatives autorisées est de 10. Vous pouvez modifier le nombre de tentatives autorisées de saisie du mot de passe.
L'utilisateur de Kaspersky Security Center a droit à un nombre limité d'erreur lors de la saisie du mot de passe. Une fois cette limite atteinte, le compte utilisateur est bloqué pendant une heure.
Groupe d'administration dédié au Serveur d'administration
Nous vous recommandons de créer un groupe d'administration dédié pour le Serveur d'administration. Accordez à ce groupe des droits d'accès spéciaux et créez une stratégie de sécurité spéciale pour lui.
Pour éviter d'abaisser intentionnellement le niveau de sécurité du Serveur d'administration, nous vous recommandons de restreindre la liste des comptes qui peuvent gérer le groupe d'administration dédié.
Les groupes KLAdmins et KLOperators
Lors de l'installation de Kaspersky Security Center, les groupes d'utilisateurs KLAdmins et KLOperators sont automatiquement formés. Le groupe KLAdmins dispose de tous les droits d'accès. Le groupe KLOperators dispose uniquement des droits de lecture et d'exécution. Les droits accordés au groupe KLAdmins sont verrouillés.
Vous pouvez consulter les groupes KLAdmins et KLOperators et apporter des modifications à ces groupes à l'aide des outils d'administration standard du système d'exploitation.
Lors de l'élaboration des règles d'utilisation du Serveur d'administration, il est nécessaire de déterminer si le spécialiste de la sécurité de l'information a besoin d'un accès complet (et d'une inclusion dans le groupe KLAdmins) pour exécuter les tâches standard.
La plupart des tâches d'administration de base peuvent être réparties entre les services de l'entreprise (ou différents employés d'un même service) et, par conséquent, entre différents comptes. Vous pouvez également configurer la différenciation des accès des groupes d'administration dans Kaspersky Security Center. Par conséquent, il est possible de mettre en œuvre un scénario dans lequel l'autorisation sous les comptes du groupe KLAdmins sera anormale et pourrait être considérée comme un incident.
Si Kaspersky Security Center a été installé sous un compte système, les groupes sont créés uniquement sur l'appareil du Serveur d'administration. Dans ce cas, nous vous recommandons de vous assurer que seules les entrées créées lors de l'installation de Kaspersky Security Center sont incluses dans le groupe. Il est déconseillé d'ajouter des groupes au groupe KLAdmins (local et/ou de domaine) qui est créé automatiquement lors de l'installation de Kaspersky Security Center . Vous devez également limiter les droits de modification de ce groupe. Le groupe KLAdmins doit inclure uniquement des comptes utilisateurs non privilégiés.
Si l'installation a été effectuée sous un compte utilisateur de domaine, les groupes KLAdmins et KLOperators sont créés à la fois sur le Serveur d'administration et dans le domaine qui contient le Serveur d'administration. Une approche similaire, telle que l'installation d'un compte local, est recommandée.
Restriction de l'appartenance au rôle de l'Administrateur primaire
Nous vous recommandons de restreindre l'appartenance au rôle Administrateur primaire.
Par défaut, après l'installation du Serveur d'administration, le rôle Administrateur primaire est attribué au groupe des administrateurs locaux et au groupe KLAdmins créé. Il est utile pour l'administration, mais il est essentiel du point de vue de la sécurité, car le rôle Administrateur primaire dispose d'un large éventail de privilèges, l'attribution de ce rôle aux utilisateurs doit être strictement réglementée.
Les administrateurs locaux peuvent être exclus de la liste des utilisateurs dotés des privilèges d'administrateur de Kaspersky Security Center. Le rôle Administrateur primaire ne peut pas être supprimé du groupe KLAdmins. Vous pouvez inclure dans le groupe KLAdmins les comptes qui seront utilisés pour administrer le Serveur d'administration.
Si vous utilisez l'authentification de domaine, nous vous recommandons de restreindre les privilèges des comptes d'administrateur de domaine dans Kaspersky Security Center. Par défaut, ces comptes ont le rôle d'administrateur primaire. De plus, un administrateur de domaine peut inclure son compte dans le groupe KLAdmins pour obtenir le rôle d'administrateur primaire. Pour éviter cela, dans les paramètres de sécurité de Kaspersky Security Center , vous pouvez ajouter le groupe Administrateurs du domaine, puis définir des règles d'interdiction pour celui-ci. Ces règles doivent primer sur les règles d'autorisation.
Vous pouvez également utiliser les rôles d'utilisateurs prédéfinis avec un ensemble de droits déjà configuré.
Configuration des droits d'accès aux fonctionnalités de l'application.
Nous vous recommandons d'utiliser une configuration flexible des droits d'accès aux fonctionnalités de Kaspersky Security Center pour chaque utilisateur ou groupe d'utilisateurs.
Le contrôle d'accès basé sur les rôles permet de créer des rôles d'utilisateurs standard avec un ensemble prédéfini de droits et d'attribuer ces rôles aux utilisateurs en fonction de l'étendue de leurs tâches.
Les principaux avantages du modèle de contrôle d'accès basé sur les rôles :
Vous pouvez attribuer des rôles prédéfinis à certains employés en fonction de leur poste ou créer des rôles entièrement nouveaux.
Lors de la configuration des rôles, tenez compte des privilèges liés à la modification de l'état de protection de l'appareil doté du Serveur d'administration et à l'installation à distance de logiciels tiers :
Ce privilège vous permet de définir des notifications qui exécutent un script ou un module exécutable sur l'appareil du Serveur d'administration lorsqu'un événement se produit.
Compte séparé pour l'installation à distance des applications
En plus de la différenciation de base des droits d'accès, nous recommandons de restreindre l'installation à distance des applications pour tous les comptes (à l'exception de l'administrateur principal ou d'un autre compte spécialisé).
Nous vous recommandons d'utiliser un compte distinct pour l'installation à distance des applications. Vous pouvez attribuer un rôle ou des autorisations à un compte distinct.
Sécurisation des accès privilégiés Windows
Nous vous recommandons de prendre en compte les recommandations de Microsoft concernant la sécurité des accès à privilèges. Pour consulter ces recommandations, consultez la section Sécurisation des accès à privilèges article.
L'un des points clés des recommandations est la mise en œuvre des postes de travail à accès privilégié (PAW).Utilisation d'un compte de service administré (MSA) ou d'un groupe de comptes de service administrés (gMSA) pour exécuter le service du Serveur d'administration
Active Directory dispose d'un type spécial de comptes pour l'exécution sécurisée des services, appelé compte de service administré de groupe (MSA/gMSA). Kaspersky Security Center est compatible avec les comptes de service administrés (MSA) et les comptes de service administrés de groupe (gMSA). Si ces comptes utilisateurs sont utilisés dans votre domaine, vous pouvez en choisir un comme compte pour le service du Serveur d'administration.
Audit régulier de tous les utilisateurs
Nous vous recommandons d'effectuer un audit régulier de tous les utilisateurs sur l'appareil du Serveur d'administration. Cela vous permet de réagir à certains types de menaces pour la sécurité associées à une éventuelle compromission de l'appareil.
Haut de page