管理服务器保护的管理

选择管理服务器保护软件

根据管理服务器部署的类型和一般保护策略，选择应用程序来保护管理服务器设备。

如果您在专用设备上部署管理服务器，我们建议选择 Kaspersky Endpoint Security 应用程序来保护管理服务器设备。这可让您应用所有可用技术来保护管理服务器设备，包括行为分析模块。

如果管理服务器安装在基础设施中存在的设备上并且之前曾用于其他任务，我们建议考虑以下保护软件：

• Kaspersky Industrial CyberSecurity for Nodes。我们建议在包含在工业网络中的设备上安装此应用程序。Kaspersky Industrial CyberSecurity for Nodes 是一个应用程序，具有与各种工业软件制造商的兼容性证书。
• 推荐的安全解决方案。如果管理服务器安装在装有其他软件的设备上，我们建议考虑该软件供应商对安全解决方案兼容性的建议（可能已经有选择安全解决方案的建议，您可能需要配置信任区域）。

为保护应用程序创建单独的安全策略

我们建议为保护管理服务器设备的应用程序创建单独的安全策略。此策略必须不同于客户端设备的安全策略。这可让您为管理服务器指定最合适的安全设置，而不会影响其他设备的保护级别。

我们建议将设备分组，然后将管理服务器设备放入一个单独的组中，您可以为其创建特殊的安全策略。

保护模块

如果与管理服务器安装在同一设备上的第三方软件的供应商没有特别建议，我们建议激活并配置所有可用的保护模块（在检查这些保护模块的运行一段时间后）。

配置管理服务器设备的防火墙

在管理服务器设备上，我们建议配置防火墙以限制设备数量，管理员可以从这些设备通过管理控制台或 Kaspersky Security Center Web Console 连接到管理服务器。

默认情况下，管理服务器使用端口 13291 接收来自管理控制台的连接，使用端口 13299 接收来自 Kaspersky Security Center Web Console 的连接。我们建议限制可以使用这些端口管理管理服务器的设备数量。

禁止启动控制面板

如果您在运行 Microsoft Windows 的设备上安装管理服务器并将保护应用程序与应用程序启动控制模块一起使用，则可以禁止非特权用户（例如管理员组）启动控制面板 (control.exe)。

创建应用程序启动的指定禁止控制规则后，具有预定义管理员角色权限的用户将失去控制其他网络账户的能力，包括更改其登录名和密码。

页顶