Развертывание Сервера администрирования

Архитектура Сервера администрирования

В общем случае на выбор архитектуры централизованного управления влияют расположение защищаемых устройств, доступы из смежных сетей, схемы обновления баз и другие параметры.

На начальном этапе проработки архитектуры мы рекомендуем ознакомиться с компонентами Kaspersky Security Center и их взаимодействием между собой, а также со схемами трафика данных и использования портов.

На основании этой информации нужно сформировать архитектуру, определяющую:

Выбор устройства для Сервера администрирования

Сервер администрирования рекомендуется устанавливать на выделенный сервер в инфраструктуре. Если на сервере отсутствует стороннее программное обеспечение, это позволит настроить параметры безопасности с учетом требований Kaspersky Security Center и без зависимости от требований стороннего программного обеспечения.

Сервер администрирования может быть развернут как на физическом сервере, так и на виртуальной машине. Убедитесь, что выбранное устройство соответствует аппаратным и программным требованиям.

Расположение Сервера администрирования

Устройства, управляемые Сервером администрирования, могут располагаться:

При этом Сервер администрирования также может быть расположен в следующих сегментах: технологическом, корпоративном, сегментах демилитаризованной зоны (DMZ).

При использовании Kaspersky Security Center для управления защитой изолированного сегмента сети, рекомендуется разворачивать Сервер администрирования в сегменте демилитаризованной зоны (DMZ). Это позволит организовать полноценное сегментирование сетей и минимизировать возможные обращения в защищаемый сегмент, сохранив при этом возможности по управлению устройствами и доставке обновлений.

Ограничение установки Сервера администрирования на контроллер домена, терминальный сервер или пользовательское устройство

Категорически не рекомендуется устанавливать Сервер администрирования на контроллер домена, терминальный сервер или пользовательское устройство.

Рекомендуется предусмотреть функциональное разделение ключевых устройств сети. Это позволит сохранить работоспособность разных систем при выходе устройства из строя или при его компрометации. В это же время такой подход позволит реализовать различные политики безопасности для каждого устройства.

Например, ограничения безопасности, применяемые к контроллеру домена, могут значительно снизить производительность Сервера администрирования и привести к невозможности использования некоторых его функций. Если привилегированный доступ к контроллеру домена получит злоумышленник, он может изменить, повредить или уничтожить базу данных Active Directory Domain Services (AD DS). При этом также будут скомпрометированы все системы и учетные записи, управляемые Active Directory.

Учетные записи для установки и запуска Сервера администрирования

Рекомендуется запустить установку Сервера администрирования под учетной записью локального администратора, чтобы избежать использования учетных записей домена для доступа к базе данных Сервера администрирования. Набор необходимых учетных записей и их прав зависит от выбранного типа СУБД, местоположения СУБД и способа создания базы данных Сервера администрирования.

Группы пользователей KLAdmins и KLOperators создаются автоматически во время установки Kaspersky Security Center. Этим группам предоставляются права на подключение к Серверу администрирования и на работу с его объектами.

В зависимости от того, под какой учетной записью проводится установка Kaspersky Security Center, группы KLAdmins и KLOperators создаются следующим образом:

Чтобы избежать создания групп KLAdmins и KLOperators в домене и, как следствие, присвоения прав для управления Сервером администрирования вне устройства, на котором он установлен, рекомендуется проводить установку Kaspersky Security Center под локальной учетной записью.

При установке Сервера администрирования выберите учетную запись, под которой Сервер администрирования будет запускаться как служба. По умолчанию приложение создает локальную учетную запись KL-AK-*, под которой будет запускаться служба Сервера администрирования (klserver).

Служба Сервера администрирования при необходимости может запускаться под выбранной учетной записью. При этом учетная запись должна обладать различными правами для подключения к СУБД. Для обеспечения безопасности используйте непривилегированную учетную запись для запуска службы Сервера администрирования.

Во избежание некорректных параметров доступа для учетной записи Сервера администрирования рекомендуется создавать ее автоматически.

Исключение Сервера администрирования из домена

Если вы используете Сервер администрирования для защиты групп устройств важных систем, не рекомендуется включать в домен устройство Сервера администрирования. Это позволит разграничить права управления Kaspersky Security Center и избежать получения доступа к управлению в случае компрометации домена.

Обратите внимание, если вы установите Сервер администрирования на устройство, входящее в рабочую группу, будут недоступны следующие сценарии работы с Сервером администрирования:

Если вам нужно отключить Сервер администрирования от домена Active Directory, следуйте шагам, описанным в разделе: Как изменить имя Сервера администрирования Kaspersky Security Center.

Если необходимо установить Сервер администрирования на устройство, входящее в рабочую группу, также можно использовать Kaspersky Security Center Linux вместо Kaspersky Security Center Windows.

В начало