Bezpieczeństwo połączenia

Użycie TLS

Zalecamy zablokowanie niezabezpieczonych połączeń z Serwerem administracyjnym. Na przykład, możesz zabronić połączeń korzystających z HTTP w ustawieniach Serwera administracyjnego.

Należy pamiętać, że domyślnie kilka portów HTTP Serwera administracyjnego jest zamkniętych. Pozostały port jest używany przez serwer WWW Serwera administracyjnego (8060). Ten port może być ograniczony przez ustawienia zapory sieciowej urządzenia Serwera administracyjnego.

Ścisłe ustawienia TLS

Zalecamy korzystanie z protokołu TLS w wersji 1.2 lub nowszej oraz ograniczanie lub blokowanie niezabezpieczonych algorytmów szyfrowania.

Możesz skonfigurować protokoły szyfrowania (TLS) używane przez Serwer administracyjny. Należy pamiętać, że w momencie wydania wersji Serwera administracyjnego ustawienia protokołu szyfrowania są domyślnie skonfigurowane w celu zapewnienia bezpiecznego przesyłania danych.

Ograniczanie dostępu do bazy danych Serwera administracyjnego

Zalecamy ograniczenie dostępu do bazy danych Serwera administracyjnego. Na przykład, udzielasz dostępu tylko z urządzenia Serwera administracyjnego. Zmniejsza to prawdopodobieństwo naruszenia bezpieczeństwa bazy danych Serwera administracyjnego z powodu znanych luk w zabezpieczeniach.

Możesz skonfigurować parametry zgodnie z instrukcją obsługi używanej bazy danych, a także udostępnić zamknięte porty na zaporach ogniowych.

Zakaz zdalnego uwierzytelniania przy użyciu kont Windows

Możesz użyć flagi LP_RestrictRemoteOsAuth, aby zabronić połączeń SSPI ze zdalnych adresów. Ta flaga umożliwia zablokowanie zdalnego uwierzytelniania na Serwerze administracyjnym przy użyciu lokalnych lub domenowych kont Windows.

Aby przełączyć flagę LP_RestrictRemoteOsAuth w tryb blokowania połączeń ze zdalnych adresów:

  1. Uruchom wiersz poleceń systemu Windows, korzystając z uprawnień administratora, a następnie zmień bieżący katalog na inny za pomocą narzędzia klscflag. Narzędzie klscflag znajduje się w folderze, w którym zainstalowany jest serwer administracyjny. Domyślna ścieżka instalacji to <Disk>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.
  2. Wykonaj następujące polecenie w wierszu poleceń, aby określić wartość flagi LP_RestrictRemoteOsAuth:

    klscflag.exe -fset -pv .core/.independent -s KLLIM -n LP_RestrictRemoteOsAuth -t d -v 1

  3. Uruchom ponownie usługę Serwera administracyjnego.

Flaga LP_RestrictRemoteOsAuth nie działa, jeśli przeprowadzana jest zdalna autoryzacja poprzez Kaspersky Security Center Web Console lub Konsolę administracyjną zainstalowaną na urządzeniu Serwera administracyjnego.

Autoryzacja Microsoft SQL Server

Jeśli Kaspersky Security Center używa Microsoft SQL Server jako DBMS, konieczna jest ochrona danych Kaspersky Security Center przesyłanych do lub z bazy danych oraz danych przechowywanych w bazie danych przed nieautoryzowanym dostępem. Aby to zrobić, musisz zabezpieczyć komunikację między Kaspersky Security Center a SQL Server. Najbardziej rozsądny sposób zapewnienia bezpiecznej komunikacji to zainstalowanie Kaspersky Security Center i SQL Server na tym samym urządzeniu i używanie mechanizmu pamięci współużytkowanej dla obu aplikacji. We wszystkich pozostałych przypadkach zalecane jest użycie certyfikatu SSL/TLS do uwierzytelniania instancji SQL Server.

Konfigurowanie listy dozwolonych adresów IP do łączenia się z Serwerem administracyjnym

Domyślnie użytkownicy mogą logować się do Kaspersky Security Center z dowolnego urządzenia, na którym mogą otworzyć Kaspersky Security Center Web Console lub na którym zainstalowana jest Konsola administracyjna oparta na MMC. Możesz jednak skonfigurować Serwer administracyjny tak, aby użytkownicy mogli łączyć się z nim tylko z urządzeń o dozwolonych adresach IP. W takim przypadku, nawet jeśli intruz ukradnie konto Kaspersky Security Center, będzie mógł zalogować się do Kaspersky Security Center tylko z adresów IP znajdujących się na liście dozwolonych.

Przejdź do góry