Төмендегі қадамдарды орындамай тұрып, Басқару сервері деректерінің сақтық көшірмесін жасау тапсырмасын немесе klbackup утилитасын пайдаланып, Kaspersky Security Center Linux басқару серверінің сақтық көшірмесін жасаңыз және оны қауіпсіз жерде сақтаңыз.
Басқару серверін екі қадамдық тексеруді пайдалану
Kaspersky Security Center Linux бағдарламасы Kaspersky Security Center Web Console пайдаланушыларына RFC 6238 стандартына (TOTP: уақытқа негізделген бір реттік құпиясөз алгоритмі) негізделген екі қадамдық растау мүмкіндігін ұсынады.
Егер сіздің есептік жазбаңызға екі қадамдық тексеру қосылса, Kaspersky Security Center Web Console серверіне кірген сайын пайдаланушы атыңызды, құпиясөзіңізді және қосымша бір реттік қауіпсіздік кодын енгізесіз. Бір реттік қауіпсіздік кодын алу үшін, сіз өзіңіздің компьютеріңізге немесе ұялы құрылғыға аутентификация қолданбасын орнатуыңыз керек.
RFC 6238 стандартын қолдайтын бағдарламалық және аппараттық аутентификаторлар (токендер) бар. Мысалы, бағдарламалық аутентификаторларға Google Authenticator, Microsoft Authenticator, FreeOTP кіреді.
Басқару серверіне қосылатын сол құрылғыда аутентификация қолданбасын орнату мүлдем ұсынылмайды. Мысалы, ұялы құрылғыға аутентификация қолданбасын орнатуға болады.
Жаңа пайдаланушыларға екі сатылы растауды өз бетінше орнатуға тыйым салу
Kaspersky Security Center Web Console арнайы мүмкіндіктер қауіпсіздігін одан әрі жақсарту үшін мына әрекеттерді орындай аласыз
жаңа пайдаланушылардың екі сатылы растауды өз бетінше орнатуына тыйым салу.
Бұл опция қосылса, жаңа домен әкімшісі сияқты екі сатылы растауы өшірілген пайдаланушы екі сатылы растауды өз бетінше конфигурациялай алмайды. Демек мұндай пайдаланушыны басқару серверінде аутентификациялау мүмкін емес және ол екі сатылы растау қосылған басқа Kaspersky Security Center Linux әкімшісінің рұқсатынсыз Kaspersky Security Center Web Console жүйесіне кіре алмайды.
Екі факторлы операциялық жүйе түпнұсқалық растамасын пайдалану
Мүмкіндігінше, Басқару сервері бар құрылғыда түпнұсқалық растама үшін токен, смарт-карта немесе басқа тәсіл арқылы көп факторлы түпнұсқалық растаманы (MFA) пайдалану ұсынылады.
Әкімші құпиясөзін сақтауға тыйым салу
Сондай-ақ, Kaspersky Security Center Web Console веб-консолі арқылы Басқару серверімен жұмыс істегенде, пайдаланушы құрылғысындағы браузерде әкімші құпиясөзін сақтау ұсынылмайды.
Ішкі пайдаланушы авторизациясы
Әдепкі бойынша Басқару серверінің ішкі пайдаланушы есептік жазбасының құпиясөзі келесі талаптарға сай болуы керек:
Құпиясөздің ұзындығы 8-ден 256 таңбаға дейін болуы керек.
Құпиясөзде төмендегі тізімдегі кемінде үш топтың таңбалары болуы керек:
Бас әріптер (A-Z)
Кіші әріптер (a-z)
Сандар (0-9)
Арнайы таңбалар (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;)
Құпиясөзде бос орындар, Юникод таңбалары немесе "." таңбасы "@" алдында тұрған кезде "." және "@" тіркесімі болмауы тиіс.
Әдепкі бойынша, енгізу әрекеттерінің максималды саны 10-ға тең. Құпиясөзді енгізу әрекеттерінің санын өзгерте аласыз.
Kaspersky Security Center Linux пайдаланушысы құпиясөзді шектеулі рет енгізе алады. Осыдан кейін, пайдаланушы есептік жазбасы бір сағатқа бұғатталады.
Ішкі пайдаланушы есептік жазбасының құпиясөзін өзгерту опцияларын конфигурациялау
Ішкі пайдаланушы есептік жазбасының құпиясөзін өзгерту үшін келесі опцияларды конфигурациялауды ұсынамыз:
Есептік жазбаны рұқсатсыз өзгертуден қорғау
Басқару серверінің ішкі пайдаланушы есептік жазбасын рұқсатсыз өзгертуден қорғау үшін қосымша опцияны қосуды ұсынамыз. Бұл қорғаныс әрбір ішкі пайдаланушы үшін бөлек конфигурациялануы керек.
Басқару сервері бар құрылғы үшін бөлек басқару тобы
Басқару сервері үшін бөлінген басқару тобын жасау ұсынылады. Бұл топқа арнайы кіру құқықтарын беріңіз және ол үшін қауіпсіздік саясатын жасаңыз.
Басқару серверінің қорғау деңгейін әдейі төмендетпеу үшін осы басқару тобын басқара алатын есептік жазбалар тізімін шектеу ұсынылады.
Бас әкімші рөлін тағайындауды шектеу
kladduser утилитасы көмегімен жасалған пайдаланушыға басқару серверінің немесе виртуалды басқару серверінің қол жеткізуді басқару тізімінде (ACL) негізгі әкімші рөлі тағайындалады. Бас әкімші рөлін көп пайдаланушыға тағайындамаған жөн.
Қолданба функцияларына қатынасу құқықтарын конфигурациялау
Kaspersky Security Center Linux жүйесінің әртүрлі функцияларына пайдаланушылар мен пайдаланушы топтарының қол жеткізу құқықтарының икемді параметрі мүмкіндігін пайдалану ұсынылады.
Рөлдер негізінде қатынасуды басқару арқасында алдын ала конфигурацияланған құқықтар жиынтығы бар осы типтік пайдаланушы рөлдерін жасауға және пайдаланушыларға олардың қызметтік міндеттеріне қарай рөлдер тағайындауға болады.
Қатынасуды басқарудың рөлдік моделінің негізгі артықшылықтары:
Сіз кірістірілген рөлдерді пайдалана аласыз және оларды лауазымдар негізінде нақты қызметкерлерге тағайындай аласыз немесе әбден жаңа рөлдерді жасай аласыз.
Рөлдерді конфигурациялау кезінде құрылғыны қорғау күйін өзгертуге және үшінші тарап бағдарламалық жасақтамасын қашықтан орнатуға қатысты артықшылықтарға ерекше назар аударыңыз:
Бұл артықшылық, оқиға орын алған кезде Басқару сервері бар құрылғыда скриптті немесе орындалатын модульді іске қосатын хабарландыруларды конфигурациялауға мүмкіндік береді.
Қолданбаларды қашықтан орнату үшін бөлек есептік жазба
Қатынасу құқықтарын негізгі шектеуден басқа, барлық есептік жазбалар үшін ("Бас әкімші" немесе басқа мамандандырылған есептік жазбадан басқа) қолданбаларды қашықтан орнату мүмкіндігін шектеу ұсынылады.
Қолданбаларды қашықтан орнату үшін бөлек есептік жазбаны пайдалану ұсынылады. Бөлек есептік жазбаға рөл немесе рұқсаттар тағайындауға болады.
Барлық пайдаланушы мен пайдаланушы әрекеттерінің тұрақты аудиті
Басқару сервері орнатылған құрылғыдағы барлық пайдаланушылардың тұрақты аудитін жүргізу ұсынылады. Бұл, құрылғының ықтимал бұзылуымен байланысты қауіпсіздік қатерлерінің кейбір түрлеріне жауап беруге мүмкіндік береді.
Сондай-ақ басқару серверіне қосу және ажырату, басқару серверіне қатемен қосу және нысандарды өзгерту (тексеруді басқаруға қолдау көрсететін нысандар үшін) сияқты пайдаланушылардың әрекеттерін бақылауға болады.
Басына оралу