Использование TLS
Рекомендуется запретить небезопасные подключения к Серверу администрирования. Например, при настройке Сервера администрирования, рекомендуется не включать подключения по HTTP-протоколу к Серверу администрирования.
Обратите внимание, что по умолчанию часть HTTP-портов Сервера администрирования закрыта. Оставшийся порт используется Веб-сервером Kaspersky Security Center (8060). Этот порт можно ограничить параметрами сетевого экрана устройства с Сервером администрирования.
Строгие параметры TLS
Рекомендуется использовать протокол TLS версии 1.2 или выше и ограничить или запретить использование небезопасных алгоритмов шифрования.
Вы можете настроить протоколы шифрования (TLS), используемые Сервером администрирования. При этом учитывайте, что на момент выпуска определенной версии Сервера администрирования параметры протокола шифрования по умолчанию настроены так, чтобы обеспечить безопасную передачу данных.
Запрет удаленной аутентификации с учетными записями Windows
Запрет на SSPI-подключения с удаленных адресов возможен с помощью специального флага LP_RestrictRemoteOsAuth. Этот флаг позволяет запретить удаленную аутентификацию на Сервере администрирования для учетных записей Windows, локальных или доменных.
Чтобы переключить флаг LP_RestrictRemoteOsAuth в режим запрета SSPI-подключений с удаленных адресов:
klscflag.exe -fset -pv .core/.independent -s KLLIM -n LP_RestrictRemoteOsAuth -t d -v 1
Флаг LP_RestrictRemoteOsAuth не работает, если удаленная аутентификация выполняется через Kaspersky Security Center Web Console или Консоль администрирования, установленную на том же устройстве, что и Сервер администрирования.
Ограничение доступа к базе данных Сервера администрирования
Рекомендуется ограничить доступ к базе данных Сервера администрирования. Например, вы можете разрешить доступ только с устройства с Сервером администрирования. Это позволит снизить вероятность взлома базы Сервера администрирования данных через известные уязвимости.
Вы можете настроить параметры в соответствии с руководством по эксплуатации используемой базы данных, а также предусмотреть закрытые порты на сетевых экранах.
Аутентификация Microsoft SQL Server
Если вы используете Microsoft SQL Server в качестве СУБД Сервера администрирования, нужно защитить от несанкционированного доступа данные Kaspersky Security Center, передаваемые в базу данных или получаемые от нее, а также данные, хранящиеся в этой базе данных. Для этого требуется настроить использование безопасного соединения между Kaspersky Security Center и SQL Server. Самый надежный способ обеспечить безопасную связь - это установить Kaspersky Security Center и SQL Server на одном устройстве и использовать механизм совместной памяти для обеих программ. Во всех других случаях рекомендуется использовать сертификат SSL/TLS для аутентификации экземпляра SQL Server.
Сервер администрирования может обращаться к SQL Server с помощью следующих провайдеров:
Этот провайдер установлен в операционной системе Windows и используется по умолчанию.
Если вы хотите использовать этот провайдер, вам нужно установить его на устройство с Сервером администрирования, а затем установить значение 1 в глобальную переменную среды KLDBADO_UseMSOLEDBSQL.
Если вы хотите использовать этот провайдер, вам нужно установить его на устройство с Сервером администрирования, а затем установить значение 1 в глобальную переменную среды KLDBADO_UseMSOLEDBSQL и значение MSOLEDBSQL19 в глобальную переменную среды KLDBADO_ProviderName.
Также прежде чем использовать TCP/IP, Named Pipes или Shared memory, убедитесь, что включен необходимый протокол.
Безопасность взаимодействия с внешней СУБД
Если СУБД устанавливается на отдельном устройстве при установке Сервера администрирования (внешняя СУБД), рекомендуется настроить параметры безопасного взаимодействия и аутентификацию с этой СУБД. Для получения дополнительной информации о настройке SSL-аутентификации см. Аутентификация сервера PostgreSQL и Сценарий: аутентификация сервера MySQL.
Настройка списка разрешенных IP-адресов для подключения к Серверу администрирования
По умолчанию пользователи Kaspersky Security Center Linux могут войти в Kaspersky Security Center Linux с любого устройства, на котором установлена Консоль администрирования на базе MMC, Kaspersky Security Center Web Console или приложение OpenAPI. Настроить Сервер администрирования можно таким образом, чтобы пользователи могли подключаться к нему только с устройств с разрешенными IP-адресами. Например, если злоумышленники попытаются подключиться к Kaspersky Security Center через Сервер Kaspersky Security Center Web Console, установленный на устройстве, которое не включено в список разрешенных, они не смогут войти в Kaspersky Security Center.
Настройка списка разрешенных IP-адресов для подключения к Kaspersky Security Center Web Console
По умолчанию пользователи Kaspersky Security Center могут подключаться к Kaspersky Security Center Web Console с любого устройства. На устройстве с Kaspersky Security Center Web Console необходимо настроить сетевой экран (встроенный в операционную систему или сторонний) таким образом, чтобы пользователи могли подключаться к Kaspersky Security Center Web Console только с разрешенных IP-адресов.
Безопасное подключение к контроллеру домена во время опроса
Для опроса домена Сервер администрирования или точка распространения операционной системой Linux подключаются к контроллеру домена через LDAPS. По умолчанию проверка сертификата при подключении не требуется. Чтобы принудительно включить проверку сертификата, нужно установить для флага KLNAG_LDAP_TLS_REQCERT значение 1. Вы также можете указать путь к сертификату от аккредитованного центра сертификации (CA) для доступа к цепочке сертификатов, используя флаг KLNAG_LDAP_SSL_CACERT.