سلامة الاتصال

استخدام بروتوكول TLS

نوصي بحظر الاتصالات غير الآمنة بخادم الإدارة. على سبيل المثال، يمكنك حظر الاتصالات التي تستخدم بروتوكول HTTP في إعدادات خادم الإدارة.

ويرجى ملاحظة أنه بشكل افتراضي، يتم إغلاق العديد من منافذ HTTP لخادم الإدارة. ويتم استخدام المنفذ المتبقي لخادم ويب خادم الإدارة (8060).‏ ويمكن تقييد هذا المنفذ من خلال إعدادات جدار الحماية لجهاز خادم الإدارة.

إعدادات TLS الصارمة

نوصي باستخدام بروتوكول TLS الإصدار 1.2 وأحدث، وتقييد أو حظر خوارزميات التشفير غير الآمن.

يمكنك تكوين بروتوكولات التشفير (TLS) التي يستخدمها خادم الإدارة. ويرجى ملاحظة أنه في وقت إصدار إصدار خادم الإدارة، تم تكوين إعدادات بروتوكول التشفير افتراضيًا لضمان النقل الآمن للبيانات.

تقييد الوصول إلى قاعدة بيانات خادم الإدارة

نوصي بتقييد الوصول إلى قاعدة بيانات خادم الإدارة. على سبيل المثال، امنح الوصول فقط من جهاز خادم الإدارة. ويقلل هذا من احتمالية اختراق قاعدة بيانات خادم الإدارة بسبب ثغرات أمنية معروفة.

ويمكنك تكوين المعلمات وفقًا لتعليمات التشغيل الخاصة بقاعدة البيانات المستخدمة، بالإضافة إلى توفير منافذ مغلقة على جدران الحماية.

حظر المصادقة عن بُعد باستخدام حسابات Windows

يمكنك استخدام العلامة LP_RestrictRemoteOsAuth لمنع اتصالات SSPI من العناوين البعيدة. وتسمح لك هذه العلامة بمنع المصادقة عن بُعد على خادم الإدارة باستخدام حسابات Windows المحلية أو المجال.

لتبديل العلامة LP_RestrictRemoteOsAuth إلى وضع حظر الاتصالات من العناوين البعيدة:

  1. قم بتشغيل موجه الأوامر في Windows باستخدام حقوق المسؤول، ثم قم بتغيير الدليل الحالي إلى الدليل الذي يحتوي على الأداة المساعدة klscflag. توجد الأداة المساعدة klscflag في المجلد حيث تم تثبيت خادم الإدارة. مسار التثبيت الافتراضي هو <Disk>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.‏
  2. نفذ الأمر التالي في سطر الأوامر لتحديد قيمة علامة LP_RestrictRemoteOsAuth:‏

    klscflag.exe -fset -pv .core/.independent -s KLLIM -n LP_RestrictRemoteOsAuth -t d -v 1

  3. قم بإعادة تشغيل خدمة خادم الإدارة.

لا تعمل العلامة LP_RestrictRemoteOsAuth إذا تم إجراء المصادقة عن بُعد من خلال Kaspersky Security Center Web Console أو وحدة تحكم الإدارة المثبتة على جهاز خادم الإدارة.

مصادقة Microsoft SQL Server

إذا كان Kaspersky Security Center يستخدم Microsoft SQL Server كنظام لإدارة قاعدة البيانات، من الضروري حماية بيانات Kaspersky Security Center المنقولة إلى قاعدة البيانات والبيانات المخزنة في قاعدة البيانات أو منها من الوصول غير المصرح به. ولفعل ذلك، يجب عليك تأمين الاتصال بين Kaspersky Security Center وSQL Server. الطريقة الأكثر موثوقية لتوفير اتصال آمن هي تثبيت Kaspersky Security Center و SQL Server على نفس الجهاز واستخدام آلية الذاكرة المشتركة لكلا التطبيقين. وفي جميع الحالات الأخرى، نوصي باستخدام شهادة SSL / TLS لمصادقة مثيل SQL Server.‏

تكوين قائمة السماح بعناوين IP للاتصال بخادم الإدارة

بشكل افتراضي، يستطيع المستخدمون تسجيل الدخول إلى Kaspersky Security Center من أي جهاز حيث يمكنهم فتح Kaspersky Security Center Web Console أو حيث يتم تثبيت وحدة تحكم الإدارة المستندة إلى MMC.‏ ومع ذلك، يمكنك تكوين خادم الإدارة بحيث يمكن للمستخدمين الاتصال به فقط من الأجهزة ذات عناوين IP المسموح بها. في هذه الحالة، حتى إذا سرق متطفل حساب Kaspersky Security Center، فلن يتمكن من تسجيل الدخول إلى Kaspersky Security Center فقط من عناوين IP غير المدرجة في قائمة السماح.

أعلى الصفحة