Architektura Serwera administracyjnego
Ogólnie rzecz biorąc, wybór scentralizowanej architektury zarządzania zależy od lokalizacji chronionych urządzeń, dostępu z sąsiednich sieci, schematów dostarczania aktualizacji baz danych i tak dalej.
Na początkowym etapie rozwoju architektury zalecamy zapoznanie się z komponentami Kaspersky Security Center i ich wzajemną interakcją, a także ze schematami ruchu danych i wykorzystania portów.
Na podstawie tych informacji można utworzyć architekturę, która określa:
Wybieranie urządzenia do instalacji Serwera administracyjnego
Zalecamy zainstalowanie Serwera administracyjnego na serwerze dedykowanym w infrastrukturze organizacji. Jeśli na serwerze nie jest zainstalowane żadne inne oprogramowanie innych firm, możesz skonfigurować ustawienia bezpieczeństwa w oparciu o wymagania Kaspersky Security Center, bez zależności od wymagań oprogramowania innych firm.
Możesz zainstalować Serwer administracyjny na serwerze fizycznym lub na serwerze wirtualnym. Prosimy upewnić się, że wybrane urządzenie spełnia wymagania sprzętowe i programowe.
Lokalizacja Serwera administracyjnego
Urządzenia zarządzane przez Serwer administracyjny można zlokalizować w następujący sposób:
W sieci lokalnej (LAN)
W Internecie
W strefie zdemilitaryzowanej (DMZ)
Jednocześnie Serwer administracyjny może być zlokalizowany w różnych segmentach: przemysłowym, korporacyjnym i DMZ.
Jeśli używasz Kaspersky Security Center do zarządzania ochroną izolowanego segmentu sieci, zalecamy zainstalowanie Serwera administracyjnego w segmencie strefy zdemilitaryzowanej (DMZ). Pozwala to na zorganizowanie odpowiedniej segmentacji sieci i zminimalizowanie przepływu ruchu do chronionego segmentu, przy jednoczesnym zachowaniu pełnych możliwości zarządzania i dostarczania aktualizacji.
Ograniczenie instalacji Serwera administracyjnego na kontrolerze domeny, serwerze terminali lub urządzeniu użytkownika
Zdecydowanie nie zalecamy instalowania Serwera administracyjnego na kontrolerze domeny, serwerze terminali lub urządzeniu użytkownika.
Zalecamy zapewnienie funkcjonalnej separacji kluczowych węzłów sieci. Takie podejście pozwala zachować funkcjonalność różnych systemów, gdy węzeł ulegnie awarii lub zostanie naruszony. Jednocześnie możesz tworzyć różne polityki bezpieczeństwa dla każdego węzła.
Przykładowo ograniczenia zabezpieczeń stosowane zwykle do kontrolera domeny mogą znacznie zmniejszyć wydajność Serwera administracyjnego i uniemożliwić korzystanie z niektórych funkcji Serwera administracyjnego. Jeśli intruz uzyska uprzywilejowany dostęp do kontrolera domeny, bazy danych Active Directory Domain Services (AD DS). mogą być modyfikowane, uszkadzane lub niszczone. Ponadto wszystkie systemy i konta zarządzane przez usługę Active Directory mogą zostać naruszone.
Konta do instalowania i uruchamiania Serwera administracyjnego
Zalecamy uruchomienie instalacji Serwera administracyjnego z konta administratora lokalnego, aby uniknąć korzystania z kont domeny w celu uzyskania dostępu do bazy danych Serwera administracyjnego. Zestaw wymaganych kont i ich uprawnień zależy od wybranego typu DBMS, lokalizacji DBMS oraz metody tworzenia bazy danych Serwera administracyjnego.
Podczas instalacji Kaspersky Security Center automatycznie tworzone są grupy KLAdmins i KLOperators. Grupom tym nadawane są uprawnienia do nawiązywania połączeń z Serwerem administracyjnym i do przetwarzania jego obiektów.
W zależności od typu konta użytego przy instalacji Kaspersky Security Center, grupy KLAdmins i KLOperators są tworzone w następujący sposób:
Aby uniknąć tworzenia grup KLAdmins i KLOperators w domenie i w rezultacie nadawania uprawnień do zarządzania Serwerem administracyjnym kontu spoza urządzenia Serwera administracyjnego, zalecamy zainstalowanie Kaspersky Security Center z poziomu konta lokalnego.
Podczas instalacji Serwera administracyjnego wybierz konto, które zostanie użyte do uruchomienia Serwera administracyjnego jako usługi. Domyślnie aplikacja tworzy konto lokalne o nazwie KL-AK-*, w ramach którego będzie działać usługa Serwera administracyjnego (usługa klserver).
W razie potrzeby usługę Serwera administracyjnego można uruchomić z poziomu wybranego konta. To konto musi mieć wymagane uprawnienia dostępu do DBMS. Ze względów bezpieczeństwa użyj konta bez uprawnień, aby uruchomić usługę Serwera administracyjnego.
Aby uniknąć korzystania z nieprawidłowych ustawień konta, zalecamy automatyczne generowanie konta.
Wykluczanie Serwera administracyjnego z domeny
Jeśli używasz Serwera administracyjnego do ochrony grup urządzeń systemów o dużym znaczeniu, nie zalecamy dołączania urządzenia Serwera administracyjnego do domeny (jeśli jest używane). Pozwala to rozróżnić uprawnienia zarządzania Kaspersky Security Center i uniemożliwić dostęp do Serwera administracyjnego w przypadku naruszenia bezpieczeństwa konta domeny.
Weź pod uwagę, że jeśli zainstalujesz Serwer administracyjny na urządzeniu znajdującym się w grupie roboczej, nie będą dostępne następujące scenariusze pracy z Serwerem administracyjnym:
Możesz używać SQL Server na oddzielnym urządzeniu tylko jeśli Serwer administracyjny i SQL Server znajdują się w domenie.
Jeśli konieczna jest instalacja Serwera administracyjnego na urządzeniu należącym do grupy roboczej, możesz użyć Kaspersky Security Center Linux zamiast Kaspersky Security Center Windows, aby uniknąć instalowania Serwera administracyjnego.
Przejdź do góry