Konta i uwierzytelnianie

Używanie weryfikacji dwuetapowej z Serwerem administracyjnym

Kaspersky Security Center zapewnia weryfikację dwuetapową dla użytkowników Kaspersky Security Center Web Console i Konsoli administracyjnej w oparciu o standard RFC 6238 (TOTP: algorytm jednorazowych haseł czasowych).

Jeśli weryfikacja dwuetapowa jest włączona dla Twojego konta, za każdym razem, gdy logujesz się do Kaspersky Security Center Web Console lub Konsolę administracyjną, wprowadzasz swoją nazwę użytkownika, hasło i dodatkowy jednorazowy kod zabezpieczający. Jeśli korzystasz z uwierzytelniania domeny na swoim koncie, wystarczy wprowadzić dodatkowy jednorazowy kod zabezpieczający. Aby otrzymać jednorazowy kod zabezpieczający, musisz zainstalować aplikację uwierzytelniającą na swoim komputerze lub urządzeniu mobilnym.

Istnieją zarówno programowe, jak i sprzętowe uwierzytelniacze (tokeny), które obsługują standard RFC 6238. Na przykład uwierzytelniacze oprogramowania obejmują Google Authenticator, Microsoft Authenticator, FreeOTP.

Nie zalecamy instalowania aplikacji uwierzytelniającej na tym samym urządzeniu, z którego nawiązywane jest połączenie z Serwerem administracyjnym. Możesz zainstalować aplikację uwierzytelniającą na swoim urządzeniu mobilnym.

Używanie uwierzytelniania dwuskładnikowego dla systemu operacyjnego

Zalecamy używanie uwierzytelniania wieloskładnikowego (MFA) do uwierzytelniania na urządzeniu Serwera administracyjnego przy użyciu tokena, karty inteligentnej lub innej metody (jeśli to możliwe).

Zakaz zapisywania hasła administratora

Jeśli korzystasz z Konsoli administracyjnej, nie zalecamy zapisywania hasła administratora w oknie dialogowym połączenia z Serwerem administracyjnym.

Jeśli korzystasz z Kaspersky Security Center Web Console, nie zalecamy zapisywania hasła administratora w przeglądarce zainstalowanej na urządzeniu użytkownika.

Uwierzytelnianie wewnętrznego konta użytkownika

Domyślnie hasło do konta użytkownika wewnętrznego Serwera administracyjnego musi być zgodne z następującymi zasadami:

• Hasło musi zawierać od 8 do 16 znaków.

• Hasło musi zawierać znaki z przynajmniej trzech z poniższych grup:

  • Wielkie litery (A-Z)

  • Małe litery (a-z)

  • Cyfry (0-9)

  • Znaki specjalne (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;)

• Hasło nie może zawierać spacji, znaków Unicode lub kombinacji znaków "." i "@", gdy "." jest umieszczane przed "@".

Domyślnie, maksymalna liczba dozwolonych prób wprowadzenia hasła to 10. Możesz zmienić liczby dozwolonych prób wprowadzenia hasła.

Użytkownik Kaspersky Security Center może wprowadzić niepoprawne hasło ograniczoną liczbę razy. Po osiągnięciu limitu, konto użytkownika zostaje zablokowane na godzinę.

Dedykowana grupa administracyjna dla Serwera administracyjnego

Zalecamy utworzenie dedykowanej grupy administracyjnej dla Serwera administracyjnego. Przyznaj tej grupie specjalne prawa dostępu i utwórz dla niej specjalną zasadę zabezpieczeń.

Aby uniknąć celowego obniżania poziomu bezpieczeństwa Serwera administracyjnego, zalecamy ograniczenie listy kont, które mogą zarządzać dedykowaną grupą administracyjną.

Grupy KLAdmins i KLOperators

Podczas instalacji Kaspersky Security Center automatycznie tworzone są grupy KLAdmins i KLOperators. Grupa KLAdmins otrzymuje wszystkie prawa dostępu. Grupa KLOperators ma tylko uprawnienia do odczytu i wykonywania. Uprawnienia nadane grupie KLAdmins są zablokowane.

Możesz przeglądać grupy KLAdmins i KLOperators oraz wprowadzać w nich zmiany, używając standardowych narzędzi administracyjnych systemu operacyjnego.

Podczas opracowywania regulaminu pracy z Serwerem administracyjnym konieczne jest określenie, czy specjalista ds. bezpieczeństwa informacji potrzebuje pełnego dostępu (i przynależności do grupy KLAdmins) do wykonywania standardowych zadań.

Większość podstawowych zadań administracyjnych można rozdzielić między działy firmy (lub różnych pracowników tego samego działu), a co za tym idzie, między różne konta. Możesz także skonfigurować zróżnicowanie dostępu grup administracyjnych w Kaspersky Security Center. Dzięki temu możliwe jest zaimplementowanie scenariusza, w którym autoryzacja w ramach kont z grupy KLAdmins będzie nieprawidłowa i może zostać uznana za incydent.

Jeżeli Kaspersky Security Center został zainstalowany na koncie systemowym, grupy są tworzone tylko na urządzeniu Serwera administracyjnego. W takim przypadku zalecamy upewnienie się, że w grupie znajdują się tylko wpisy utworzone podczas instalacji Kaspersky Security Center. Nie zalecamy dodawania żadnych grup do grupy KLAdmins (lokalnej ani domeny), która jest tworzona automatycznie podczas instalacji Kaspersky Security Center. Grupa KLAdmins może zawierać tylko pojedyncze nieuprzywilejowane konta.

Jeśli instalacja została przeprowadzona z poziomu konta użytkownika domeny, grupy KLAdmins i KLOperators są tworzone zarówno na Serwerze administracyjnym, jak i w domenie zawierającej Serwer administracyjny. Zalecane jest podobne podejście, takie jak instalacja konta lokalnego.

Ograniczanie członkostwa w roli Głównego administratora

Zalecamy ograniczenie członkostwa w roli Głównego administratora.

Domyślnie, po zainstalowaniu Serwera administracyjnego, rola głównego administratora jest przypisywana do lokalnej grupy administratorów i utworzonej grupy KLAdmins. Przydaje się do zarządzania, ale jest krytyczny z punktu widzenia bezpieczeństwa, ponieważ rola Głównego Administratora posiada szeroki zakres uprawnień, przydzielanie tej roli użytkownikom powinno być ściśle uregulowane.

Lokalni administratorzy mogą zostać wykluczeni z listy użytkowników z uprawnieniami administratora Kaspersky Security Center. Rola głównego administratora nie może zostać usunięta z grupy KLAdmins. Do grupy KLAdmins możesz dołączyć konta, które będą używane do zarządzania Serwerem administracyjnym.

Jeśli korzystasz z uwierzytelniania domeny, zalecamy ograniczenie uprawnień kont administratora domeny w Kaspersky Security Center. Domyślnie te konta mają rolę głównego administratora. Ponadto administrator domeny może dołączyć swoje konto do grupy KLAdmins, aby uzyskać rolę głównego administratora. Aby tego uniknąć, w ustawieniach bezpieczeństwa Kaspersky Security Center możesz dodać grupę Administratorzy domeny, a następnie zdefiniować dla niej reguły zakazujące. Zasady te muszą mieć pierwszeństwo przed dopuszczającymi.

Możesz także użyć predefiniowanych ról użytkowników z już skonfigurowanym zestawem uprawnień.

Konfigurowanie praw dostępu do funkcji aplikacji

Zalecamy korzystanie z elastycznej konfiguracji praw dostępu do funkcji Kaspersky Security Center dla każdego użytkownika lub grupy użytkowników.

Kontrola dostępu oparta na rolach umożliwia tworzenie standardowych ról użytkowników z predefiniowanym zestawem uprawnień i przypisywanie tych ról użytkownikom w zależności od ich zakresu obowiązków.

Główne zalety modelu kontroli dostępu opartego na rolach:

• Łatwość administracji
• Hierarchia ról
• Podejście w oparciu o najmniejsze uprawnienia
• Podział obowiązków

Możesz przypisywać wbudowane role do określonych pracowników na podstawie ich stanowisk lub tworzyć zupełnie nowe role.

Podczas konfigurowania ról zwróć uwagę na uprawnienia związane ze zmianą stanu ochrony urządzenia Serwera administracyjnego i zdalną instalacją oprogramowania firm trzecich:

• Zarządzanie grupami administracyjnymi.
• Operacje z Serwerem administracyjnym.
• Instalacja zdalna.
• Zmiana parametrów przechowywania zdarzeń i wysyłania powiadomień.

  To uprawnienie umożliwia ustawienie powiadomień uruchamiających skrypt lub moduł wykonywalny na urządzeniu Serwera administracyjnego po wystąpieniu zdarzenia.

Osobne konto do zdalnej instalacji aplikacji

Oprócz podstawowego zróżnicowania praw dostępu, zalecamy ograniczenie zdalnej instalacji aplikacji dla wszystkich kont (z wyjątkiem Głównego Administratora lub innego konta specjalistycznego).

Zalecamy korzystanie z osobnego konta do zdalnej instalacji aplikacji. Możesz przypisać rolę lub uprawnienia do osobnego konta.

Zabezpieczanie uprzywilejowanego dostępu do systemu Windows

Zalecamy uwzględnienie zaleceń firmy Microsoft dotyczących zapewnienia bezpieczeństwa dostępu uprzywilejowanego. Aby wyświetlić te zalecenia, przejdź do sekcji Zabezpieczanie uprzywilejowanego dostępu artykuł.

Jednym z kluczowych punktów rekomendacji jest wdrożenie Stacji Roboczych z Dostępem Uprzywilejowanym (PAW).

Używanie zarządzanego konta usługi (MSA) lub zarządzanych grupowo kont usługi (gMSA) do uruchamiania usługi Serwera administracyjnego

Usługa Active Directory ma specjalny typ kont do bezpiecznego uruchamiania usług, zwany grupowym kontem usługi zarządzanej (MSA/gMSA). Kaspersky Security Center obsługuje zarządzane konta usługi (MSA) i grupę zarządzanych kont usługi (gMSA). Jeśli w Twojej domenie używane są tego typu konta, możesz wybrać jedno z nich jako konto dla usługi Serwera administracyjnego.

Regularny audyt wszystkich użytkowników

Zalecamy przeprowadzanie regularnego audytu wszystkich użytkowników na urządzeniu Serwera administracyjnego. Pozwala to reagować na określone rodzaje zagrożeń bezpieczeństwa związanych z możliwym naruszeniem bezpieczeństwa urządzenia.

Przejdź do góry