管理伺服器佈署

管理伺服器架構

一般來說，集中式管理架構的選擇取決於受防護裝置的位置、相鄰網路的存取、資料庫更新的交付方案等。

在架構開發的初始階段，我們建議熟悉卡巴斯基安全管理中心元件和他們之間的互動，以及資料流量和連接埠使用方案。

基於此資訊，您可以形成一個架構，指定：

• 管理伺服器位置和網路連線
• 管理員工作區的組織和連線到管理伺服器的方法
• 網路代理及防護軟體的佈署方法
• 使用發佈點
• 使用虛擬管理伺服器
• 使用管理伺服器階層
• 病毒資料庫更新方案
• 其他資訊流

為管理伺服器安裝選擇裝置

我們建議您在組織基礎結構中的專用伺服器上安裝管理伺服器。如果伺服器上沒有安裝其他協力廠商軟體，您可以根據卡巴斯基安全管理中心的要求配置安全設定，無需依賴協力廠商軟體的要求。

您可以在物理伺服器或虛擬伺服器上佈署管理伺服器。請確保選定裝置滿足硬體和軟體要求。

管理伺服器地點

由管理伺服器管理的裝置可以位於如下位置：

• 在區域網路 (LAN) 上

• 在網際網路上

• 在隔離區域 (DMZ)

同時，管理伺服器也可以位於不同的區隔：工業區隔、企業區隔和 DMZ 區隔。

如果您使用卡巴斯基安全管理中心來管理隔離網段的防護，我們建議將管理伺服器佈署在隔離區域 (DMZ) 的一個區隔中。這使您可以組織適當的網路分段並最大程度地減少流向受防護分段的流量，同時保持完整的管理功能和更新交付。

限制在網域控制器、終端伺服器或使用者裝置上佈署管理伺服器

我們強烈不建議在網域控制器、終端伺服器或使用者裝置上安裝管理伺服器。

我們建議您提供網路關鍵節點的功能分離。這種方法允許您在節點出現故障或受到危害時保持不同系統的可操作性。同時，您可以為每個節點建立不同的安全政策。

例如，通常套用於網域控制器的安全限制會顯著降低管理伺服器的效能，並導致無法使用管理伺服器的某些功能。如果入侵者獲得對網域控制器的特權存取，Active Directory 網域服務 (AD DS) 資料庫可以被修改、損壞或銷毀。此外，所有由 Active Directory 管理的系統和帳戶都可能受到危害。

用於安裝和執行管理伺服器的帳戶

我們建議在本機管理員帳戶下執行管理伺服器安裝，以避免使用域帳戶存取管理伺服器資料庫。所需帳戶及其權限集合取決於所選的 DBMS 類型、DBMS 位置和管理伺服器資料庫建立方法。

在安裝卡巴斯基安全管理中心期間，程式將自動建立 KLAdmins 和 KLOperators 群組。這些群組被授予連線至管理伺服器和處理管理伺服器物件的權限。

依據安裝卡巴斯基安全管理中心時使用的帳戶類型，系統會建立如下所示的 KLAdmins 和 KLOperators 群組：

• 如果應用程式是在網域內包含的使用者帳戶下安裝的，則系統會在包含管理伺服器的網域內和管理伺服器上同時建立這些群組。
• 如果應用程式是在系統帳戶下安裝的，則系統僅會在管理伺服器裝置上建立這些群組。

為了避免在網域中建立 KLAdmins 和 KLOperators 群組並因此向管理伺服器裝置外的帳戶提供管理管理伺服器的權限，我們建議在本機帳戶下安裝卡巴斯基安全管理中心。

在管理伺服器安裝期間，選取用於啟動管理伺服器作為服務的帳戶。預設情況下，應用程式會建立一個名為 KL-AK-* 的本機帳戶，管理伺服器服務（klserver 服務）將在該帳戶下執行。

如有必要，管理伺服器服務可以在所選帳戶下執行。此帳戶必須被授予存取 DBMS 所需的權限。出於安全原因，請使用非特權帳戶來執行管理伺服器服務。

為避免使用不正確的帳戶設定，我們建議自動產生賬戶。

從網域中排除管理伺服器

如果您使用管理伺服器來防護高重要性係統的裝置群組，我們不建議將管理伺服器裝置包含在網域中（如果使用的話）。這可讓您區分卡巴斯基安全管理中心管理權限並防止在網域帳戶受到危害的情況下存取管理伺服器。

請考慮到，如果您在工作群組中包含的裝置上安裝管理伺服器，則以下使用管理伺服器的場景將無法使用：

• 使用卡巴斯基安全管理中心容錯移轉叢集
• 使用Windows Server 容錯移轉叢集
• 在單獨的裝置上使用 SQL Server

  只有當管理伺服器和 SQL Server 包含在網域中時，您才可以在單獨的裝置上使用 SQL Server。

• 使用管理伺服器工具透過 Active Directory 群組政策遠端安裝

如果需要在工作群組中包含的裝置上安裝管理伺服器，您可以使用 Kaspersky Security Center Linux 而不是 Kaspersky Security Center Windows 來避免安裝管理伺服器。

頁頂