계정 및 인증

중앙 관리 서버에서 2단계 인증 사용

Kaspersky Security Center는 RFC 6238 표준(TOTP: Time-Based One-Time Password 알고리즘)을 기반으로 Kaspersky Security Center 웹 콘솔 및 관리 콘솔 사용자를 위한 2단계 인증을 제공합니다.

사용자 계정에 2단계 인증이 활성화되면, Kaspersky Security Center 웹 콘솔 또는 관리 콘솔에 로그인할 때마다 사용자 이름, 암호, 추가 일회용 보안 코드를 입력해야 합니다. 계정에 도메인 인증을 사용하는 경우 추가 일회용 보안 코드만 입력하면 됩니다. 일회용 보안 코드를 받으려면 컴퓨터 또는 모바일 장치에 인증 애플리케이션을 설치해야 합니다.

RFC 6238 표준을 지원하는 소프트웨어 및 하드웨어 인증자(토큰)가 있습니다. 예를 들어 소프트웨어 인증자에는 Google Authenticator, Microsoft Authenticator, FreeOTP 등이 있습니다.

중앙 관리 서버에 대한 연결이 설정된 장치에 인증 애플리케이션을 설치하는 것은 권장하지 않습니다. 모바일 장치에 인증 애플리케이션을 설치할 수 있습니다.

운영 체제에 2단계 인증 사용

중앙 관리 서버 장치 인증에 토큰, 스마트카드 또는 기타 방법(가능할 시)을 통한 다단계 인증(MFA)을 사용할 것을 권장합니다.

관리자 비밀번호 저장 금지

관리 콘솔을 사용한다면, 관리 서버 연결 대화 상자에 관리자 암호를 저장하는 것은 권장하지 않습니다.

Kaspersky Security Center 웹 콘솔을 사용한다면, 사용자 장치에 설치된 브라우저에 관리자 암호를 저장하는 것은 권장하지 않습니다.

내부 사용자 계정 인증

기본적으로 중앙 관리 서버의 내부 사용자 계정 암호는 다음 규칙을 따라야 합니다.

기본적으로 암호를 입력할 수 있는 최대 시도 횟수는 10회입니다. 암호 입력 시도 허용 횟수를 변경할 수 있습니다.

Kaspersky Security Center 사용자는 유효하지 않은 암호를 제한된 횟수만큼만 입력할 수 있습니다. 이 제한에 도달하면 사용자 계정은 1시간 동안 잠깁니다.

중앙 관리 서버 전용 관리 그룹

중앙 관리 서버 전용 관리 그룹 생성을 권장합니다. 이 그룹에 특별한 액세스 권한을 부여하고 특별한 보안 정책을 만듭니다.

중앙 관리 서버의 보안 수준을 의도적으로 낮추지 않으려면 전용 관리 그룹을 관리할 수 있는 계정 목록을 제한할 것을 권장합니다.

KLAdmins 및 KLOperators 그룹

Kaspersky Security Center를 설치하는 동안 KLAdmins 및 KLOperators 그룹이 자동으로 만들어집니다. KLAdmins 그룹에는 모든 액세스 권한이 부여됩니다. KLOperators 그룹에는 읽기 및 실행 권한만 부여됩니다. KLAdmins 그룹에 부여된 권한은 잠겨 있습니다.

KLAdmins 및 KLOperators 그룹을 보고 운영 체제의 표준 관리 도구를 사용하여 이 그룹을 변경할 수 있습니다.

중앙 관리 서버 작업을 위한 규정을 개발할 때, 정보 보안 전문가가 표준 작업을 수행하기 위해 전체 액세스 권한(및 KLAdmins 그룹에 포함)이 필요한지 결정해야 합니다.

대부분의 기본 관리 작업은 회사 부서(또는 동일한 부서의 다른 직원) 간에 분산될 수 있으며 결과적으로 서로 다른 계정 간에 분산될 수 있습니다. Kaspersky Security Center에서 관리 그룹 액세스 차별화를 설정할 수도 있습니다. 결과적으로 KLAdmins 그룹의 계정에 대한 권한 부여가 비정상적이며 인시던트로 간주할 수 있는 시나리오를 구현하는 것도 가능합니다.

Kaspersky Security Center를 시스템 계정으로 설치했다면 중앙 관리 서버 장치에서만 그룹이 생성됩니다. 이때는 Kaspersky Security Center 설치 중에 생성된 항목만 그룹에 포함하도록 할 것을 권장합니다. Kaspersky Security Center 설치 중에 자동 생성되는 KLAdmins 그룹(로컬 및/또는 도메인)에 그룹을 추가하는 것은 권장하지 않습니다. KLAdmins 그룹은 권한이 없는 단일 계정만 포함해야 합니다.

도메인 사용자 계정으로 설치를 진행했다면 중앙 관리 서버와 중앙 관리 서버가 포함된 도메인 모두에 KLAdmins 및 KLOperators 그룹이 생성됩니다. 로컬 계정 설치와 같은 유사한 접근 방식을 권장합니다.

기본 관리자 역할 구성원 자격 제한

기본 관리자 역할 멤버 자격을 제한할 것을 권장합니다.

중앙 관리 서버 설치 후 기본 관리자 역할은 기본적으로 로컬 관리자 그룹 및 생성된 KLAdmins 그룹에 할당됩니다. 이는 관리에 유용하지만 보안 관점에서는 치명적입니다. 기본 관리자 역할의 권한은 광범위하므로 이 역할을 사용자에게 할당하는 것을 엄격하게 규제해야 합니다.

Kaspersky Security Center의 관리자 권한이 있는 사용자 목록에서 로컬 관리자를 제외할 수 있습니다. 기본 관리자 역할은 KLAdmins 그룹에서 제거할 수 없습니다. 중앙 관리 서버를 관리하는 데 사용할 계정을 KLAdmins 그룹에 포함할 수 있습니다.

도메인 인증을 사용한다면 Kaspersky Security Center에서 도메인 관리자 계정의 권한을 제한할 것을 권장합니다. 이러한 계정에는 기본적으로 기본 관리자 역할이 있습니다. 또한 도메인 관리자는 자신의 계정을 KLAdmins 그룹에 포함하여 주 관리자 역할을 얻을 수 있습니다. 이를 방지하기 위해 Kaspersky Security Center 보안 설정에서 Domain Admins 그룹을 추가한 다음 금지 규칙을 정의할 수 있습니다. 이러한 규칙은 허용 규칙보다 우선해야 합니다.

이미 구성된 권한 세트와 함께 미리 정의된 사용자 역할을 사용할 수도 있습니다.

애플리케이션 기능에 대한 접근 권한 구성

각 사용자 또는 사용자 그룹에 대해 Kaspersky Security Center의 기능에 대한 접근 권한을 유연하게 구성할 것을 권장합니다.

역할 기반 액세스 제어를 사용하면 사전 정의된 권한 집합이 있는 표준 사용자 역할을 생성하고 임무 범위에 따라 해당 역할을 사용자에게 할당할 수 있습니다.

역할 기반 액세스 제어 모델의 주요 이점:

위치에 따라 특정 직원에게 기본 제공 역할을 할당하거나 완전히 새로운 역할을 만들 수 있습니다.

역할을 구성하는 동안, 중앙 관리 서버 장치의 보호 상태 변경 및 타사 소프트웨어의 원격 설치와 관련된 권한에 주의하십시오.

애플리케이션 원격 설치를 위한 별도 계정

기본적인 접근 권한 차등화 외에도, 모든 계정(메인 관리자나 다른 특수 계정은 제외)에 대해 애플리케이션 원격 설치를 제한할 것을 권장합니다.

애플리케이션의 원격 설치를 위해 별도의 계정을 사용할 것을 권장합니다. 별도의 계정에 역할이나 권한을 할당할 수 있습니다.

Windows 권한이 있는 액세스 보안

권한 있는 액세스 보안 제공을 위한 Microsoft의 권장 사항을 고려할 것을 권장합니다. 이러한 권장 사항을 보려면 권한 있는 액세스 보안 문서로 이동하십시오.

PAW(Privileged Access Workstations) 구현은 핵심 권장 사항 중 하나입니다.

관리 서비스 계정(MSA) 또는 그룹 관리 서비스 계정(gMSA)을 사용하여 중앙 관리 서버 서비스 실행

Active Directory에는 서비스를 안전하게 실행하기 위한 MSA/gMSA(그룹 관리 서비스 계정)라는 특별한 계정 유형이 있습니다. Kaspersky Security Center는 MSA(관리 서비스 계정)와 gMSA(그룹 관리 서비스 계정)를 지원합니다. 이러한 유형의 계정이 사용자 도메인에서 사용되면 중앙 관리 서버 서비스용 계정으로 그 중 하나를 선택할 수 있습니다.

모든 사용자에 대한 정기 감사

중앙 관리 서버 장치의 모든 사용자를 정기적으로 감사할 것을 권장합니다. 이를 통해 장치 손상과 관련된 특정 유형의 보안 위협에 대응할 수 있습니다.

맨 위로