账户和身份验证

通过管理服务器使用两步验证

Kaspersky Security Center 为 Kaspersky Security Center Web Console 和管理控制台的用户提供两步验证，基于 RFC 6238 标准（TOTP：基于时间的一次性密码算法）。

为您自己的账户启用两步验证后，每次登录 Kaspersky Security Center Web Console 或管理控制台时，都需要输入用户名、密码和附加的一次性安全代码。如果您对账户使用域身份验证，则只需输入附加的一次性安全代码。要接收一次性安全代码，您必须在计算机或移动设备上安装认证应用程序。

有支持 RFC 6238 标准的软件和硬件验证器（令牌）。例如，软件验证器包括 Google Authenticator、Microsoft Authenticator、FreeOTP。

我们强烈建议不要在与管理服务器建立连接的同一台设备上安装验证器应用程序。您可以在移动设备上安装验证器应用程序。

对操作系统使用双重身份验证

我们建议使用令牌、智能卡或其他方法（如果可能）在管理服务器设备上使用多重身份验证 (MFA) 进行身份验证。

禁止保存管理员密码

如果您使用管理控制台，我们不建议在管理服务器连接对话框中保存管理员密码。

如果您使用 Kaspersky Security Center Web Console，我们不建议在用户设备上安装的浏览器中保存管理员密码。

内部用户账户的身份验证

默认情况下，管理服务器内部用户账户的密码必须遵守以下规则：

• 密码必须是8 到 16 位字符长度。

• 密码必须包含以下组中三组的字符：

  • 大写字母 (A-Z)

  • 小写字母 (a-z)

  • 数字 (0-9)

  • 特殊字符 (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;)

• 密码不可以包含任何空格、Unicode 字符以及“.”和“@”按先后顺序的组合。

默认下，允许的最大密码输入尝试次数是 10。您可以更改允许的密码输入尝试次数。

Kaspersky Security Center 用户可以输入无效的密码有限次数。达到限制后，用户账户被锁定一小时。

管理服务器的专用管理组

我们建议为管理服务器创建一个专门的管理组。授予该组特殊访问权限并为其创建特殊安全策略。

为避免故意降低管理服务器的安全级别，我们建议限制可以管理专用管理组的账户列表。

KLAdmins 和 KLOperators 组

在 Kaspersky Security Center 安装期间，程序会自动创建 KLAdmins 和 KLOperators 组。KLAdmins 组被授予所有访问权限。KLOperators 组仅被授予读取和执行权限。授予 KLAdmins 组的权限被锁定。

您可以使用操作系统的标准管理工具查看 KLAdmins 和 KLOperators 组，并对这些组进行更改。

在制定使用管理服务器的规则时，有必要确定信息安全专家是否需要完全访问权限（并包含在 KLAdmins 组中）以执行标准任务。

大多数基本的管理任务可以在公司部门（或同一部门的不同员工）之间分发，并因此在不同账户之间分发。您还可以在 Kaspersky Security Center 中设置管理组访问差异。因此，可能会出现这样一种情况，KLAdmins 组账户下的授权将出现异常，并可能被视为事件。

如果 Kaspersky Security Center 安装在系统账户下，则仅在管理服务器设备上创建组。在这种情况下，我们建议确保只有在安装 Kaspersky Security Center 期间创建的条目才包含在该组中。我们不建议将任何组添加到在 Kaspersky Security Center 安装期间自动创建的 KLAdmins 组（本地和/或域）。KLAdmins 组必须仅包含一个非特权账户。

如果安装是在域用户账户下执行的，则会在管理服务器和包含管理服务器的域中创建组 KLAdmins 和 KLOperators。建议使用类似的方法，例如本地账户安装。

限制主管理员角色成员资格

我们建议限制主管理员角色成员资格。

默认情况下，在管理服务器安装之后，主管理员角色被分配给本地管理员组和创建的 KLAdmins 组。这对管理有用，但从安全的角度来看至关重要，因为主管理员角色具有广泛的权限，应该严格规范将此角色分配给用户。

本地管理员可以被从具有 Kaspersky Security Center 管理员权限的用户列表中排除。主管理员角色不能从 KLAdmins 组中删除。您可以在 KLAdmins 组中包括将用于管理管理服务器的账户。

如果您使用域身份验证，我们建议在 Kaspersky Security Center 中限制域管理员账户的权限。默认情况下，这些账户具有主管理员角色。此外，域管理员可以将其账户包括在 KLAdmins 组中以获得主管理员角色。为避免这种情况，您可以在 Kaspersky Security Center 安全设置中添加 Domain Admins 组，然后为其定义禁止规则。这些规则必须优先于允许的规则。

您还可以使用具有已配置的权限集的预定义用户角色。

配置对应用程序功能的访问权限

我们建议为每个用户或用户组灵活配置对 Kaspersky Security Center 功能的访问权限。

基于角色的访问控制允许通过使用一组预定义的权限创建标准用户角色并根据用户的职责范围将这些角色分配给用户。

基于角色的访问控制模型的主要优点：

• 易于管理
• 角色层级
• 最小特权方法
• 职责分离

您可以根据职位为某些员工分配内置角色，或创建全新的角色。

在配置角色时，注意与改变管理服务器设备保护状态和远程安装第三方软件相关的权限：

• 对管理组进行管理。
• 管理服务器操作。
• 远程安装。
• 更改用于存储事件和发送通知的参数。

  此权限允许您设置在事件发生时在管理服务器设备上运行脚本或可执行模块的通知。

使用单独的账户进行远程安装应用程序

除了访问权限的基本区分外，我们建议限制所有账户（主管理员或其他专用账户除外）进行应用程序远程安装。

我们建议使用单独的账户进行远程安装应用程序。您可以分配角色或者权限给单独账户。

保护 Windows 特权访问

我们建议考虑 Microsoft 关于提供特权访问安全性的建议。要查看这些建议，请前往保护特权访问文章。

建议的重点之一是特权访问工作站 (PAW) 的实施。

使用受管理服务账户 (MSA) 或组受管理服务账户 (gMSA) 运行管理服务器服务

Active Directory 有一种特殊类型的账户用于安全运行服务，称为组受管理服务账户 (MSA/gMSA)。Kaspersky Security Center 支持受管理服务账户 (MSA) 和受管理服务账户组 (gMSA)。如果这些账户类型在您的域中被使用，您可以选择它们之一作为管理服务器服务账户。

定期审核所有用户

我们建议对管理服务器设备上的所有用户进行定期审核。这使您能够应对与可能损害设备相关的某些类型的安全威胁。

页顶