TLS 的使用
我們建議禁止與管理伺服器的不安全連線。例如,您可以在管理伺服器設定中禁止使用 HTTP 的連線。
請注意,預設情況下,管理伺服器的幾個 HTTP 連接埠是關閉的。其餘連接埠用於管理伺服器 Web 伺服器 (8060)。此連接埠可能受管理伺服器裝置的防火牆設定限制。
嚴格的 TLS 設定
建議使用 1.2 及以後版本的 TLS 協定,限製或禁止不安全的加密演算法。
您可以設定管理伺服器使用的加密協定 (TLS)。請注意,在發布管理伺服器版本時,加密協定設定會得到預設配置以確保安全的資料傳輸。
限制存取管理伺服器資料庫
我們建議限制存取管理伺服器資料庫。例如,只允許從管理伺服器裝置進行存取。這會降低管理伺服器資料庫因已知弱點而受到損害的可能性。
您可以根據所用資料庫的操作說明配置參數,也可以在防火牆上提供關閉的連接埠。
禁止使用 Windows 帳戶進行遠端身分驗證
您可以使用 LP_RestrictRemoteOsAuth 標誌來禁止來自遠端位址的 SSPI 連線。此標誌允許您禁止使用本機或網域 Windows 帳戶在管理伺服器上進行遠端身分驗證。
將 LP_RestrictRemoteOsAuth 標誌切換為禁止來自遠端位址的連線模式:
klscflag.exe -fset -pv .core/.independent -s KLLIM -n LP_RestrictRemoteOsAuth -t d -v 1
如果通過安裝在管理伺服器裝置上的卡巴斯基安全管理中心網頁主控台或管理主控台執行遠端身分驗證,則 LP_RestrictRemoteOsAuth 標誌不起作用。
驗證 Microsoft SQL Server
如果卡巴斯基安全管理中心使用 Microsoft SQL Server 作為 DBMS,有必要防護傳輸到資料庫或從資料庫傳輸到的卡巴斯基安全管理中心資料以及儲存在資料庫中的資料免遭未經授權的存取。為此,您必須保證卡巴斯基安全管理中心和 SQL Server 之間的通信安全。提供安全通訊的最可靠方式是安裝卡巴斯基安全管理中心與 SQL Server 在相同的裝置並對這兩個應用程式使用共用的記憶體機制。在所有情況下,建議您使用 SSL/TLS 憑證來驗證 SQL Server 實例。
配置連線到管理伺服器的 IP 位址允許清單
預設情況下,使用者可以從任何可以開啟卡巴斯基安全管理中心網頁主控台或安裝了基於 MMC 的管理主控台的裝置登入卡巴斯基安全管理中心。但是,您可以配置管理伺服器,以便使用者只能從具有允許 IP 位址的裝置連線到它。在這種情況下,即使入侵者竊取了卡巴斯基安全管理中心帳戶,他或她也只能從允許清單中的 IP 位址登入卡巴斯基安全管理中心。
頁頂