Басқару серверін орналастыру

Басқару сервері архитектурасы

Жалпы алғанда, басқарудың орталықтандырылған архитектурасын таңдауға қорғалатын құрылғылардың орналасуы, іргелес желілерден қатынасу, дерекқорларды жаңарту схемалары және басқа параметрлер әсер етеді.

Архитектураны дамытудың бастапқы кезеңінде Kaspersky Security Center құрамдастарымен және олардың бір-бірімен өзара әрекеттесуімен, сондай-ақ деректер трафигі және портты пайдалану схемаларымен танысуды ұсынамыз.

Осы ақпарат негізінде мыналарды анықтайтын архитектураны қалыптастыру қажет:

Басқару серверінің орналасуы және желіге қосылуы;
әкімшілердің жұмыс станцияларын ұйымдастыру және Басқару серверіне қосылу тәсілдері;
Желілік агент және қорғау бағдарламасын орнату тәсілі;
тарату нүктелерін пайдалану;
виртуалды Басқару серверлерін қолдану;
Басқару серверлерінің иерархиясын қолдану;
антивирустық дерекқорларды жаңарту схемасы;
басқа ақпарат ағындары.

Басқару сервері үшін құрылғыны таңдау

Басқару серверін инфрақұрылымдағы арнайы серверге орнату ұсынылады. Серверде үшінші тарап бағдарламалық жасақтамасы болмаса, бұл Kaspersky Security Center талаптарын ескере отырып және үшінші тарап бағдарламалық жасақтамасының талаптарына тәуелді болмай, қауіпсіздік параметрлерін конфигурациялауға мүмкіндік береді.

Басқару серверін физикалық серверде де, виртуалды машинада да орналастыруға болады. Таңдалған құрылғы аппараттық және бағдарламалық талаптарға сәйкес келетініне көз жеткізіңіз.

Басқару серверінің орналасуы

Басқару сервері басқаратын құрылғыларды осында орналастыруға болады:

желінің жергілікті сегментінде;
интернетте;
демилитаризацияланған аймақта (DMZ).

Бұл жағдайда, Басқару сервері келесі сегменттерде де орналасуы мүмкін: демилитаризацияланған аймақтың (DMZ) технологиялық, корпоративтік сегменттерінде.

Желінің оқшауланған сегментін қорғауды басқару үшін Kaspersky Security Center пайдаланған кезде, Басқару серверін демилитаризацияланған аймақ (DMZ) сегментінде орналастыру ұсынылады. Бұл, құрылғыларды басқару және жаңартуларды жеткізу мүмкіндігін сақтай отырып, желілердің толыққанды сегменттелуін ұйымдастыруға және қорғалатын сегментке ықтимал жүгінуді азайтуға мүмкіндік береді.

Басқару серверін домен контроллеріне, терминал серверіне немесе пайдаланушы құрылғысына орнатуды шектеу

Басқару серверін домен контроллеріне, терминал серверіне немесе пайдаланушы құрылғысына орнату мүлдем ұсынылмайды.

Желінің өзекті құрылғыларын функционалдық бөлуді көздеу ұсынылады. Бұл, құрылғы істен шыққанда немесе бұзылған кезде әртүрлі жүйелердің жұмыс істеу қабілетін сақтауға мүмкіндік береді. Сонымен қатар, бұл тәсілдеме әр құрылғы үшін әртүрлі қауіпсіздік саясатын жүзеге асыруға мүмкіндік береді.

Мысалы, домен контроллеріне қолданылатын қауіпсіздік шектеулері, Басқару серверінің өнімділігін айтарлықтай төмендетіп, оның кейбір функцияларын пайдалануды мүмкін етпеуі мүмкін. Егер шабуылдаушы домен контроллеріне артықшылықты қатынасқа ие болса, олар Active Directory Domain Services (AD DS) дерекқорын өзгерте алады, бұза алады немесе жоя алады. Сонымен қатар, Active Directory басқаратын барлық жүйелер мен есептік жазбалар бұзылады.

Басқару серверін орнату және іске қосу үшін есептік жазбалар

Басқару серверінің дерекқорына қатынасу үшін домен есептік жазбаларын пайдаланбау үшін Басқару серверін орнатуды жергілікті әкімші есептік жазбасы астында іске қосу ұсынылады. Қажетті есептік жазбалар жиынтығы және олардың құқықтары таңдалған ДҚБЖ түріне, ДҚБЖ орналасқан жеріне және Басқару серверінің дерекқорын құру тәсіліне байланысты.

KLAdmins және KLOperators пайдаланушы топтары Kaspersky Security Center орнату кезінде автоматты түрде жасалады. Бұл топтарға Басқару серверіне қосылу және оның нысандарымен жұмыс істеу құқығы беріледі.

Kaspersky Security Center бағдарламасы қандай есептік жазба арқылы орнатылып жатқанына қарамастан, KLAdmins және KLOperators топтары келесідей құрылады:

Орнату доменге кіретін пайдаланушы есептік жазбасы астында орындалса, топтар Басқару сервері бар құрылғыда және Басқару сервері бар құрылғыны қамтитын доменде жасалады.
Егер орнату жүйенің есептік жазбасында жүргізілсе, топтар тек Басқару сервері бар құрылғыда ғана құрылады.

Доменде KLAdmins және KLOperators топтарын құруды және соның нәтижесінде ол орнатылған құрылғыдан тыс Басқару серверін басқару құқығын беруді болдырмау үшін жергілікті есептік жазба астында Kaspersky Security Center орнату ұсынылады.

Басқару серверін орнату кезінде, Басқару сервері қызмет ретінде іске қосылатын есептік жазбаны таңдаңыз. Әдепкі бойынша қолданба Басқару серверінің қызметі (klserver) іске қосылатын жергілікті KL-AK-* есептік жазбасын жасайды.

Қажет болса, Басқару сервері қызметін таңдалған есептік жазбадан іске қосуға болады. Бұл жағдайда, есептік жазбада ДҚБЖ-ға қосылу үшін әртүрлі құқықтар болуы керек. Қауіпсіздікті қамтамасыз ету үшін Басқару сервері қызметін іске қосу үшін артықшылықсыз есептік жазбаны пайдаланыңыз.

Басқару серверінің есептік жазбасы үшін қате қатынасу параметрлерін болдырмау үшін оны автоматты түрде жасау ұсынылады.

Басқару серверін доменнен шығару

Маңызды жүйелер құрылғыларының топтарын қорғау үшін басқару серверін пайдалансаңыз, доменге басқару серверінің құрылғысын (қолданылған жағдайда) қосу ұсынылмайды. Бұл сізге Kaspersky Security Center басқару құқықтарын ажыратуға және домен бұзылған жағдайда басқаруға қол жеткізуді болдырмауға мүмкіндік береді.

Басқару серверін жұмыс тобының бөлігі болып табылатын құрылғыға орнатсаңыз, басқару серверімен жұмыс істеудің келесі сценарийлері қолжетімді болмайтынын ескеріңіз:

Ақауларға төзімді Kaspersky Security Center кластерін пайдалану.
Ақауларға төзімді Windows Server кластерін пайдалану.
SQL Server серверін бөлек құрылғыда пайдалану.
Басқару сервері мен SQL Server доменге қосылған жағдайда ғана, SQL серверін бөлек құрылғыда пайдалануға болады.
Active Directory топтық саясаттары көмегімен басқару серверінің құралдарымен қашықтан орнату

Жұмыс тобына кіретін құрылғыға басқару серверін орнату қажет болса, мұны болдырмау үшін Kaspersky Security Center Windows орнына Kaspersky Security Center Linux жүйесін пайдалануға болады.

Басына оралу