帳戶和身分驗證

通過管理伺服器使用雙步驟驗證

卡巴斯基安全管理中心為卡巴斯基安全管理中心網頁主控台和管理主控台的使用者提供雙步驟驗證，基於 RFC 6238 標準（TOTP：基於時間的一次性密碼演算法）。

為帳戶啟用雙步驟驗證後，每次登入到卡巴斯基安全管理中心網頁主控台或管理主控台時，都將輸入使用者名稱、密碼和其他一次性安全碼。如果您對帳戶使用網域身分驗證，則只需輸入其他一次性使用的安全碼。若要接收一次性使用的安全碼，您必須在電腦或行動裝置上安裝驗證應用程式。

有支援 RFC 6238 標準的軟體和硬體驗證器（權杖）。例如，軟體驗證器包括 Google Authenticator、Microsoft Authenticator、FreeOTP。

我們強烈建議不要在與管理伺服器建立連線的同一台裝置上安裝驗證器應用程式。您可以在行動裝置上安裝驗證器應用程式。

對作業系統使用雙重身分驗證

我們建議使用權杖、智慧卡或其他方法（如果可能）在管理伺服器裝置上用多重要素身分驗證 (MFA) 進行身分驗證。

禁止儲存管理員密碼

如果您使用管理主控台，我們不建議在管理伺服器連線對話方塊中儲存管理員密碼。

如果您使用卡巴斯基安全管理中心網頁主控台，我們不建議在使用者裝置上安裝的瀏覽器中儲存管理員密碼。

內部使用者帳戶的身分驗證

預設情況下，管理伺服器內部使用者帳戶的密碼必須遵守以下規則：

• 密碼必須是 8 到 16 位字元長度。

• 密碼必須包含以下組中三組的字元：

  • 大寫字母 (A-Z)

  • 小寫字母 (a-z)

  • 數字 (0-9)

  • 特殊字元 (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;)

• 密碼不可以包含任何空白、Unicode 字元或 “.” 和「@」的組合，並且「@」前不可有「.」。

依預設，可輸入密碼的嘗試次數上限為 10 次。您可以變更允許的密碼輸入嘗試次數。

卡巴斯基安全管理中心使用者可以輸入無效的密碼有限次數。達到限制後，使用者帳戶被鎖定一小時。

管理伺服器的專用管理群組

我們建議為管理伺服器建立一個專門的管理群組。授予該群組特殊存取權限並為其建立特殊安全政策。

為避免故意降低管理伺服器的安全級別，我們建議限制可以管理專用管理群組的帳戶清單。

KLAdmins 和 KLOperators 群組

在安裝卡巴斯基安全管理中心期間，程式將自動建立 KLAdmins 和 KLOperators 群組。KLAdmins 群組被授予所有存取權限。KLOperators 群組僅被授予讀取和執行權限。授予 KLAdmins 群組的權限被鎖定。

您可以使用作業系統的標準管理工具檢視 KLAdmins 和 KLOperators 群組，並對這些群組進行變更。

在製定使用管理伺服器的規範時，有必要確定資訊安全專家是否需要完全存取權限（並包含在 KLAdmins 群組中）以執行標準工作。

大多數基本的管理工作可以在公司部門（或同一部門的不同員工）之間分配，因此也可以在不同的賬戶之間分配。您還可以在卡巴斯基安全管理中心中設定管理組訪問差異。因此，可能會出現這樣一種情況，KLAdmins 群組帳戶下的授權將出現異常，並可能被視為事件。

如果卡巴斯基安全管理中心安裝在系統帳戶下，則僅在管理伺服器裝置上建立群組。在這種情況下，我們建議確保只有在安裝卡巴斯基安全管理中心期間建立的項目才包含在該群組中。我們不建議將任何群組新增到在卡巴斯基安全管理中心安裝期間自動建立的 KLAdmins 群組（本機和/或網域）。KLAdmins 群組必須僅包含一個非特權帳戶。

如果安裝是在網域使用者帳戶下執行的，則會在管理伺服器和包含管理伺服器的網域中建立群組 KLAdmins 和 KLOperators。建議使用類似的方法，例如本機帳戶安裝。

限制主要管理員角色成員資格

我們建議限制主管理員角色成員資格。

預設情況下，在管理伺服器安裝之後，主要管理員角色會被分配給本機管理員群組和建立的 KLAdmins 群組。它對管理有用，但從安全的角度來看它至關重要，因為主要管理員角色具有廣泛的權限，應嚴格規範向使用者分配此角色。

本機管理員可以從具有卡巴斯基安全管理中心管理員權限的使用者清單中排除。主要管理員角色不能從 KLAdmins 群組中刪除。您可以在 KLAdmins 群組中包含將用於管理管理伺服器的帳戶。

如果您使用網域驗證，我們建議在卡巴斯基安全管理中心中限制網域管理員帳戶的權限。預設情況下，這些帳戶具有主要管理員角色。此外，網域管理員可以將其帳戶包含在 KLAdmins 群組中以獲得主要管理員角色。為避免這種情況，您可以在卡巴斯基安全管理中心安全設定中新增 Domain Admins 組，然後為其定義禁止規則。這些規則必須優先於允許的規則。

您還可以使用預先定義的使用者角色，它們具有一組已配置的權限。

設定應用程式功能的存取權限

我們建議為每個使用者或群組靈活配置對卡巴斯基安全管理中心的功能的存取權限。

基於角色的存取控制可讓您使用一群組預先定義的權限建立標準使用者角色並根據使用者的職責範圍將這些角色分配給使用者。

基於角色的存取控制模型的主要優點：

• 易於管理
• 角色階層
• 最少特權方法
• 職責分離

您可以根據職位為某些員工分配內建角色，或建立全新的角色。

在配置角色時，需要注意與變更管理伺服器裝置防護狀態和遠端安裝協力廠商軟體相關的權限：

• 對管理群組進行管理。
• 管理伺服器操作。
• 遠端安裝。
• 變更用於儲存事件和傳送通知的參數。

  此權限允許您設定當事件發生時在管理伺服器裝置上執行指令碼或可執行模組的通知。

為遠端安裝應用程式使用單獨的帳戶

除了存取權限的基本區分外，我們建議限制所有帳戶（主要管理員或其他專用帳戶除外）的應用程式遠端安裝。

我們建議為遠端安裝應用程式使用單獨的帳戶。你可以分配角色或者權限給單獨帳戶。

保護 Windows 特權存取

我們建議考慮 Microsoft 關於提供特權存取安全性的建議。要檢視這些建議，請轉到保護特權存取文章。

建議的重點之一是特權存取工作站 (PAW) 的實施。

使用受管理服務帳戶 (MSA) 或群組受管理服務帳戶 (gMSA) 執行管理伺服器服務

Active Directory 有一種特殊類型的帳戶用於安全地執行服務，稱為群組受管理服務帳戶 (MSA/gMSA)。卡巴斯基安全管理中心支援受管理服務帳戶 (MSA) 和受群組管理的服務帳戶 (gMSA)。如果這些帳戶類型在您的網域中被使用，您可以選取它們之一作為管理伺服器服務帳戶。

定期稽核所有使用者

我們建議對管理伺服器裝置上的所有使用者進行定期稽核。這使您能夠應對與裝置可能受到危害相關的某些類型的安全威脅。

頁頂