بنية خادم الإدارة
بشكل عام، يعتمد اختيار بنية إدارة مركزية على موقع الأجهزة المحمية، والوصول من الشبكات المجاورة، وأنظمة تسليم تحديثات قاعدة البيانات، وما إلى ذلك.
في المرحلة الأولى من تطوير البنية، نوصي بالتعرف على مكونات Kaspersky Security Center وتفاعلها مع بعضها البعض، بالإضافة إلى المخططات الخاصة بحركة البيانات واستخدام المنفذ .
بناءً على هذه المعلومات، يمكنك تكوين بنية تحدد:
تحديد جهاز لتثبيت خادم الإدارة
نوصي بتثبيت خادم الإدارة على خادم مخصص في البنية التحتية للمؤسسة. إذا لم يكن هناك برنامج جهة خارجية مثبتًا على الخادم، يمكنك تكوين إعدادات الأمان بناءً على متطلبات Kaspersky Security Center، دون الاعتماد على متطلبات برامج الجهة الخارجية.
ويمكنك نشر خادم الإدارة على خادم فعلي أو على خادم افتراضي. ويرجى التأكد أن الجهاز المحدد يلبي متطلبات الأجهزة والبرامج.
موقع خادم الإدارة
يمكن تحديد موقع الأجهزة التي يديرها خادم الإدارة على النحو التالي:
على شبكة منطقة محلية (LAN)
على الإنترنت
في منطقة الأجهزة الموصلة مباشرة بالإنترنت (DMZ)
في الوقت نفسه، يمكن أيضًا وضع خادم الإدارة في قطاعات مختلفة: القطاعات الصناعية والشركات ومنطقة الأجهزة الموصلة مباشرة بالإنترنت.
إذا كنت تستخدم Kaspersky Security Center لإدارة حماية قطاع شبكة معزول، فنحن نوصي بنشر خادم الإدارة في جزء من منطقة الأجهزة الموصلة مباشرة بالإنترنت (DMZ). يتيح لك ذلك تنظيم تقسيم مناسب للشبكة وتقليل تدفق حركة المرور إلى الجزء المحمي، مع الحفاظ على إمكانات الإدارة الكاملة وتسليم التحديث.
تقييد نشر خادم الإدارة على وحدة تحكم مجال أو خادم طرفي أو جهاز مستخدم
لا نوصي بشدة بتثبيت خادم الإدارة على وحدة تحكم مجال أو خادم طرفي أو جهاز مستخدم.
نوصي بتوفير فصل وظيفي لعقد مفاتيح الشبكة. يتيح لك هذا الأسلوب الحفاظ على قابلية تشغيل الأنظمة المختلفة عند فشل العقدة أو تعرضها للاختراق. في الوقت نفسه، يمكنك إنشاء سياسات أمان مختلفة لكل عقدة.
على سبيل المثال، من الممكن أن تقلل قيود الأمان المطبقة عادة على وحدة تحكم المجال بشكل كبير من أداء خادم الإدارة وتجعل من المستحيل استخدام بعض ميزات خادم الإدارة. وإذا حصل متطفل على امتياز الوصول إلى وحدة تحكم المجال، يمكن تعديل قاعدة بيانات خدمات مجال Active Directory (AD DS) أو إتلافها أو تدميرها. أيضًا، يمكن اختراق جميع الأنظمة والحسابات التي يديرها Active Directory.
حسابات تثبيت خادم الإدارة وتشغيله
نوصي بتشغيل تثبيت خادم الإدارة تحت حساب مسؤول محلي لتجنب استخدام حسابات المجال للوصول إلى قاعدة بيانات خادم الإدارة. تعتمد مجموعة الحسابات المطلوبة وحقوقها على نوع نظام قاعدة البيانات المحدد وموقع نظام قاعدة البيانات وطريقة إنشاء قاعدة بيانات خادم الإدارة.
يتم إنشاء المجموعات KLAdmins وKLOperators تلقائيًا أثناء تثبيت Kaspersky Security Center. وتُمنح إلى هاتين المجموعتين أذونات الاتصال بخادم الإدارة ومعالجة كائناته.
واعتمادًا على نوع الحساب المستخدم لتثبيت Kaspersky Security Center، يتم إنشاء المجموعتين KLAdmins وKLOperators كما يلي:
لتجنب إنشاء مجموعات KLAdmins وKLOperators في المجال، ونتيجة لذلك، توفير امتيازات لإدارة خادم الإدارة لحساب خارج جهاز خادم الإدارة، نوصي بتثبيت Kaspersky Security Center تحت حساب محلي.
أثناء تثبيت خادم الإدارة، حدد الحساب الذي سيتم استخدامه لبدء خادم الإدارة كخدمة. بشكل افتراضي، يُنشئ التطبيق حسابًا محليًا باسم KL-AK-*، حيث سيتم تشغيل خدمة خادم الإدارة (خدمة klserver).
وإذا لزم الأمر، يمكن تشغيل خدمة خادم الإدارة تحت الحساب المحدد. يجب منح هذا الحساب الحقوق المطلوبة للوصول إلى نظام إدارة قواعد البيانات. ولأسباب تتعلق بالأمان، استخدم حسابًا بدون امتياز لتشغيل خدمة خادم الإدارة.
ولتجنب استخدام إعدادات الحساب غير الصحيحة، نوصي بإنشاء الحساب تلقائيًا.
استثناء خادم الإدارة من مجال
إذا كنت تستخدم خادم الإدارة لحماية مجموعات الأجهزة التي تتضمن أنظمة ذات أهمية عالية، فلا نوصي بتضمين جهاز خادم الإدارة في المجال (في حالة استخدامه). ويتيح لك هذا التمييز بين حقوق إدارة Kaspersky Security Center ومنع الوصول إلى خادم الإدارة في حالة تعرض حساب المجال للخطر.
ضع في الاعتبار أنه إذا قمت بتثبيت خادم الإدارة على جهاز مضمّن في مجموعة العمل، فلن تتوفر السيناريوهات التالية للعمل مع خادم الإدارة:
يمكنك استخدام SQL Server على جهاز منفصل فقط في حالة تضمين خادم الإدارة وSQL Server في المجال.
إذا كان من الضروري تثبيت خادم الإدارة على جهاز مضمّن في مجموعة العمل، فيمكنك استخدام Kaspersky Security Center Linux بدلاً من Kaspersky Security Center Windows لتجنب تثبيت خادم الإدارة.
أعلى الصفحة