配置連線到管理伺服器的 IP 位址允許清單

預設情況下，使用者可以用任何可以開啟卡巴斯基安全管理中心網頁主控台（以下簡稱「網頁主控台」）或安裝了基於 MMC 的管理主控台的裝置登入卡巴斯基安全管理中心。但是，您可以配置管理伺服器，以便使用者只能從具有允許 IP 位址的裝置連線到它。在這種情況下，即使入侵者竊取了卡巴斯基安全管理中心帳戶，他或她也將無法登入卡巴斯基安全管理中心，因為入侵者裝置的 IP 位址不在允許清單中。

當使用者登入卡巴斯基安全管理中心或執行透過卡巴斯基安全中心 OpenAPI 與管理伺服器互動的應用程式時，IP 位址會得到驗證。此時，使用者的裝置嘗試與管理伺服器建立連線。如果裝置的 IP 位址不在允許清單中，則會發生身分驗證錯誤，KLAUD_EV_SERVERCONNECT 事件會通知您尚未建立與管理伺服器的連線。

IP 位址允許清單的要求

僅當以下應用程式嘗試連線到管理伺服器時才會驗證 IP 位址：

• 網頁主控台伺服器

  如果您在一台裝置上登入網頁主控台，而網頁主控台伺服器安裝在另一台裝置上，您可以使用作業系統的標準方式在安裝網頁主控台伺服器的裝置上配置防火牆。然後，如果有人嘗試登入網頁主控台，防火牆將有助於防止入侵者乾擾。

• 管理主控台
• 透過 klakaut 自動化物件與管理伺服器互動的應用程式
• 透過 OpenAPI（例如 Kaspersky Anti Targeted Attack Platform 或 Kaspersky Security for Virtualization）與管理伺服器互動的應用程式

因此，請指定安裝了上述應用程式的裝置的位址。

您可以設定 IPv4 和 IPv6 位址。您不能指定 IP 位址的範圍。

如何建立 IP 位址的允許清單

如果您之前沒有設定允許清單，請按照以下說明進行操作。

若要建立 IP 位址允許清單以登入卡巴斯基安全管理中心：

1. 在管理伺服器裝置上，在具有管理員權限的帳戶下執行命令提示符。
2. 將當前目錄變更為卡巴斯基安全管理中心安裝資料夾（通常為 <Disk>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center）。
3. 使用管理員權限輸入以下命令：

   klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "<IP 位址>" -t s

   指定滿足上述要求的 IP 位址。多個 IP 位址必須用分號隔開。

   如何只允許一台裝置連線到管理伺服器的示例：

   klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0" -t s

   如何允許多個裝置連線到管理伺服器的示例：

   klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0; 198.51.100.0; 203.0.113.0" -t s

4. 重新啟動管理伺服器服務。

您可以在管理伺服器上的卡巴斯基事件記錄中查看是否已成功配置 IP 位址的允許清單。

如何變更 IP 位址的允許清單

您可以像第一次建立產品授權清單時那樣變更它。為此，請執行相同命令並指定一個新的允許清單：

klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "<IP 位址>" -t s

如果要從允許清單中刪除某些 IP 位址，請重寫它。例如，您的允許清單包括以下 IP 位址：192.0.2.0; 198.51.100.0; 203.0.113.0。您想要刪除 198.51.100.0 IP 位址。為此，請在命令提示字元下輸入以下命令：

klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0; 203.0.113.0" -t s

不要忘記重新啟動管理伺服器服務。

如何重置已配置的 IP 位址允許清單

要重置已配置的 IP 位址允許清單：

1. 使用管理員權限在命令提示符處輸入以下指令：

   klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "" -t s

2. 重新啟動管理伺服器服務。

之後，不再驗證 IP 位址。

頁頂