對管理伺服器防護的管理

選擇管理伺服器防護軟體

根據管理伺服器佈署的類型和一般防護策略，選擇防護管理伺服器裝置的應用程式。

如果您在專用裝置上佈署管理伺服器，我們建議選擇 Kaspersky Endpoint Security 應用程式來防護管理伺服器裝置。這可讓您套用所有可用技術來防護管理伺服器裝置，包括行為分析模組。

如果管理伺服器安裝在基礎結構的裝置上並且之前曾用於其他工作，我們建議考慮以下防護軟體：

• Kaspersky Industrial CyberSecurity for Nodes。我們建議在包含在產業網路中的裝置上安裝此應用程式。Kaspersky Industrial CyberSecurity for Nodes 是一個應用程式，具有與各種工業軟體製造商的相容性憑證。
• 推薦的安全解決方案。如果管理伺服器安裝在裝有其他軟體的裝置上，我們建議考慮該軟體供應商對安全解決方案相容性的建議（可能已經有選擇安全解決方案的建議，您可能需要配置信任區域）。

為防護應用程式建立單獨的安全政策

我們建議您為防護管理伺服器裝置的應用程式建立單獨的安全政策。此政策必須不同於用戶端裝置的安全政策。這可讓您為管理伺服器指定最合適的安全設定，而不會影響其他裝置的防護級別。

我們建議將裝置分組，然後將管理伺服器裝置放入一個單獨的群組中，您可以為其建立特殊的安全政策。

防護模組

如果與管理伺服器安裝在同一裝置上的協力廠商軟體供應商沒有特別建議，我們建議啟動並配置所有可用的防護模組（在檢查這些防護模組的運行一段時間後）。

配置管理伺服器裝置的防火牆

在管理伺服器裝置上，我們建議將防火牆配置為限制裝置數量，管理員可以從這些裝置通過管理主控台或卡巴斯基安全管理中心網頁主控台連線到管理伺服器。

預設情況下，管理伺服器使用連接埠 13291 從管理主控台接收連線，使用連接埠 13299 從卡巴斯基安全管理中心 網頁主控台接收連線。我們建議限制可以使用這些連接埠管理管理伺服器的裝置數量。

禁止啟動控制面板

如果您在執行 Microsoft Windows 的裝置上安裝管理伺服器並將防護應用程式與應用程式啟動控制模組一起使用，則可以禁止非特權使用者（例如管理員群組）啟動控制面板 (control.exe)。

建立應用程式啟動的指定禁止控制規則後，具有預定義管理員角色權限的使用者將失去控制其他網路帳戶的能力，包括變更其登入名稱和密碼。

頁頂