Użycie TLS
Zalecamy zablokowanie niezabezpieczonych połączeń z Serwerem administracyjnym. Na przykład, możesz zabronić połączeń korzystających z HTTP w ustawieniach Serwera administracyjnego.
Należy pamiętać, że domyślnie kilka portów HTTP Serwera administracyjnego jest zamkniętych. Pozostały port jest używany przez serwer WWW Serwera administracyjnego (8060). Ten port może być ograniczony przez ustawienia zapory sieciowej urządzenia Serwera administracyjnego.
Ścisłe ustawienia TLS
Zalecamy korzystanie z protokołu TLS w wersji 1.2 lub nowszej oraz ograniczanie lub blokowanie niezabezpieczonych algorytmów szyfrowania.
Możesz skonfigurować protokoły szyfrowania (TLS) używane przez Serwer administracyjny. Należy pamiętać, że w momencie wydania wersji Serwera administracyjnego ustawienia protokołu szyfrowania są domyślnie skonfigurowane w celu zapewnienia bezpiecznego przesyłania danych.
Ograniczanie dostępu do bazy danych Serwera administracyjnego
Zalecamy ograniczenie dostępu do bazy danych Serwera administracyjnego. Na przykład, udzielasz dostępu tylko z urządzenia Serwera administracyjnego. Zmniejsza to prawdopodobieństwo naruszenia bezpieczeństwa bazy danych Serwera administracyjnego z powodu znanych luk w zabezpieczeniach.
Możesz skonfigurować parametry zgodnie z instrukcją obsługi używanej bazy danych, a także udostępnić zamknięte porty na zaporach ogniowych.
Interakcja bezpieczeństwa z zewnętrznym systemem DBMS
Jeżeli system DBMS jest instalowany na oddzielnym urządzeniu podczas instalacji Serwera administracyjnego (zewnętrzny system DBMS), zalecamy skonfigurowanie parametrów bezpiecznej interakcji i uwierzytelniania z tym systemem DBMS. Aby uzyskać więcej informacji na temat konfigurowania uwierzytelniania SSL, zobacz Uwierzytelnianie serwera PostgreSQL i Scenariusz: Uwierzytelnianie serwera MySQL.
Konfigurowanie listy zezwolonych adresów IP do łączenia się z Serwerem administracyjnym
Domyślnie użytkownicy Kaspersky Security Center Linux mogą logować się do Kaspersky Security Center Linux z dowolnego urządzenia, na którym zainstalowana jest Kaspersky Security Center Web Console lub aplikacje OpenAPI. Możesz skonfigurować serwer administracyjny tak, aby użytkownicy mogli łączyć się z nim tylko z urządzeń o dozwolonych adresach IP. W takim przypadku, jeśli intruz spróbuje nawiązać połączenie z Kaspersky Security Center Linux za pośrednictwem Kaspersky Security Center Web Console Server zainstalowanego na urządzeniu, które nie znajduje się na liście zezwolonych, nie będzie mógł zalogować się do Kaspersky Security Center Linux.
Konfigurowanie listy zezwolonych adresów IP do łączenia się z Kaspersky Security Center Web Console
Domyślnie użytkownicy Kaspersky Security Center Linux mogą łączyć się z Kaspersky Security Center Web Console z dowolnego urządzenia. Na urządzeniu z Kaspersky Security Center Web Console należy skonfigurować zaporę sieciową (wbudowaną w system operacyjny lub innej firmy), aby użytkownicy mogli łączyć się z Kaspersky Security Center Web Console wyłącznie z dozwolonych adresów IP.
Bezpieczeństwo połączenia z kontrolerem domeny podczas przeszukiwania
Aby przeszukać kontroler domeny, Serwer administracyjny lub punkt dystrybucji systemu Linux próbuje połączyć się z tą domeną przez protokół LDAPS. Domyślnie weryfikacja certyfikatu nie jest wymagana podczas łączenia. Aby wymusić weryfikację certyfikatu, należy ustawić flagę KLNAG_LDAP_TLS_REQCERT na 1. Można również określić niestandardową ścieżkę do urzędu certyfikacji (CA) w celu uzyskania dostępu do łańcucha certyfikatów, korzystając z flagi KLNAG_LDAP_SSL_CACERT.