Kaspersky Security 9.x for Microsoft Exchange Servers

擁有限制存取權限的應用程式佈署方案。

2024年7月9日

ID 89869

該佈署方案適用於您組織中的安全政策在您的帳戶下不能執行所有應用程式的安裝操作,並且限制對 SQL server 或 Active Directory 存取的情況。範例,您組織中的資料庫由一個能夠完整存取 SQL 伺服器的其他專家管理時,此情況可能發生。

若要準備安裝存取 SQL server 或者 Active Directory 授權的界限集:

  1. 請確保用於佈署應用程式的帳戶包含在佈署應用程式的 Microsoft Exchange Server 上的本機“管理員”群組中。如果不是,將帳戶包含在該群組中。
  2. 在 Active Directory 建立以下容器:

    CN=KasperskyLab,CN=Services,CN=Configuration,DC=<根域>

  3. 設定用於應用程式安裝的帳戶對此容器和其所有子物件的完全存取。
  4. 建立 Kse Watchdog Service 帳戶群組。群組的類型是“通用的”。將啟動應用程式服務的帳戶包含至該群組中。如果此時本機系統帳戶正在被使用,也應將此帳戶包含至安裝了應用程式的電腦中的 Kse Watchdog Service 群組中。
  5. 將 Kse Watchdog Service 群組新增到佈署應用程式的 Microsoft Exchange 伺服器上的本機“管理員”群組中。

    如果您以前刪除了預設授予管理員群組的 Debug Programs 權限,請將此權限授予 Kse Watchdog Service 群組。

  6. Kse Watchdog Service 和用於安裝應用程式的帳戶必須被授予從以下 Active Directory 容器及其所有子物件讀取 Microsoft Exchange 設定資料的權限:

    CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<根域>

  7. 為 Kse Watchdog Services 群組提供 ms-Exch-Store-Admin 權利。為此,請在 Exchange Management Shell 控制台中執行以下指令:

    Add-ADPermission -Identity "<包含 Microsoft Exchange 的容器路徑>" -User "<domain name>\Kse Watchdog Service" -ExtendedRights ms-Exch-Store-Admin

    範例:

    Add-ADPermission -Identity "CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<根域>" -User "domain\Kse Watchdog Service" -ExtendedRights ms-Exch-Store-Admin

  8. 為 Kse Watchdog Service 群組提供在不同名稱(模式)下執行的權限。為此,請在 Exchange Management Shell 控制台中執行以下指令:

    New-ManagementRoleAssignment -Name KSE_IMPERSONATION -Role applicationImpersonation -SecurityGroup "Kse Watchdog Service"

  9. 建立以下帳戶群組:KSE Administrators、Kse AV Security Officers、Kse AV Operators。可以在任意公司網域中建立這些群組。群組的類型是“通用的”。
  10. 在整個群組中執行 Active Directory 資料的複製。
  11. 為公司中執行相應職責的使用者帳戶分配專用的使用者角色。要做到這一點,在 Active Directory 中新增使用者帳戶到以下帳戶群組:
    • 將管理員帳戶新增在 Kse 管理員群組中。
    • 將病毒防護資安管理員帳戶新增在 Kse AV 資安管理員群組中。
    • 將病毒防護安全操作員帳戶新增在 Kse AV 操作員群組中。

    如果您計畫使用卡巴斯基安全管理中心管理應用程式,請將您正在安裝 Kaspersky Security 的所有電腦帳戶新增到 Active Directory 的 KSE Administrators 群組中。

    如果您尚未將正在其上安裝 Kaspersky Security 的所有電腦使用者帳戶新增到 Active Directory 的 KSE 管理員群組中,螢幕上將會顯示一條資訊,包含關於如何確保使用卡巴斯基安全管理中心管理應用程式的資訊。

  12. 確保用於安裝應用程式的帳戶也包含在 Active Directory 的 KSE Administrators 群組中。

    如果應用程式已在企業區域網路內至少一台電腦上安裝,則如果要在企業區域網路上的其他電腦安裝該應用程式,您所需的就是本機管理員帳戶。在這種情況下,用於安裝應用程式的使用者帳戶必須具有從以下 Active Directory 容器及其所有子物件中讀取 Microsoft Exchange 設定的權限:
    CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain>

  13. 確保應用程式資料庫的建立。您可以自己執行此操作,也可以將其委託給授權專家。
  14. 在 SQL Server 上,為以下 Active Directory 群組建立帳戶:Kse Watchdog Service。
  15. 在應用程式資料庫等級為 Kse Watchdog Service 帳戶的群組分配 db_owner 角色。
  16. 在應用程式資料庫等級為用於準備資料庫的帳戶分配 db_owner 角色,並在 SQL Server 等級為其分配 VIEW ANY DEFINITION 權限。

    如果您不為帳戶授權 VIEW ANY DEFINITION 權限,當應用程式檢查使用者存取應用程式資料庫的角色和權限時,螢幕上會出現提示 ALTER ANY LOGIN 權限的訊息。安裝精靈需要 ALTER ANY LOGIN 權限建立 SQL Server 使用者,為這些使用者分配角色和授權使用資料庫。

  17. 為用於準備資料庫的帳戶授予“允許本機登入”權限。
  18. 為用於執行應用程式服務的帳戶授予“允許本機登入”權限。
  19. 在用於安裝應用程式的帳戶下執行應用程式安裝精靈應用程式設定精靈的步驟。

    如果您打算使用 Kerberos 網路身分驗證協定,請確保用於安裝應用程式的帳戶具有註冊 SPN 帳戶的權限。如果缺乏這樣的權限,您可以在安裝應用程式後手動註冊一個 SPN。

  20. 在整個群組中執行 Active Directory 資料的複製。這對於儲存在 Active Directory 中的應用程式設定可供您組織中其他 Microsoft Exchange 伺服器上的應用程式的後續安裝是必要的。

建立 SQL 資料庫時,伺服器使用本機排序規則。安裝應用程式時,請考慮“排序”參數,以避免在連線到資料庫時出現與註冊相關的行為和錯誤。

如果應用程式是與設定了 AlwaysOn 技術的 SQL 資料庫一起安裝或工作,則您必須同步所有屬於資料庫映像群組的伺服器之間的權限。

Did you find this article helpful?
What can we do better?
Thank you for your feedback! You're helping us improve.
Thank you for your feedback! You're helping us improve.