管理員伺服器連線防護

支援

企業解決方案支援

Kaspersky Endpoint Security 12 for Windows

Kaspersky Endpoint Security 自我防護

管理員伺服器連線防護

2025年1月17日

ID 266605

將電腦連線到管理伺服器透過使用卡巴斯基安全管理中心的網路代理元件實現。如果入侵者有足夠的權限修改伺服器連線設定，則存在將電腦連線到不受信任的伺服器的風險。這將允許入侵者套用他們自己的群組政策和（例如）停用應用程式自我防禦。Kaspersky Endpoint Security 可以防止未經授權將電腦重新連線到不同伺服器。為了防護伺服器連線，應用程式會建議設定一個密碼並使用基於密碼的金鑰衍生功能 (PBKDF2)。結果，不可能沒有密碼而存取應用程式。

為了確保全面防護 Kaspersky Endpoint Security 和網路代理免於未經授權的存取，我們建議啟用額外防護。對於 Kaspersky Endpoint Security，我們建議啟用密碼防護。為了防護網路代理，我們建議設定解除安裝密碼。有關防護網路代理被移除的詳細資訊，請參閱卡巴斯基安全管理中心說明。

管理將電腦連線到管理伺服器透過使用管理伺服器連線防護工作實現。該工作允許您執行以下操作：

設定密碼以防護伺服器連線。
變更密碼。
將電腦重新連線到不同伺服器。
停用伺服器連線防護。

連線到管理伺服器時對電腦進行身分驗證

設定密碼後，應用程式將使用密碼的 PBKDF2 轉換方法建立一個資料陣列。應用程式然後會使用網路代理金鑰加密該資料陣列。應用程式會使用加密的資料陣列來檢查管理伺服器的權限用於隨後連線。

隨後，只要有嘗試將電腦重新連線到管理伺服器，應用程式就會用網路代理金鑰解密資料陣列並將其與本機副本比對。如果他們不比對，應用程式存取將受到限制。

管理員伺服器連線防護

如何在管理主控台 (MMC) 中設定伺服器連線防護密碼

如何在網頁主控台和 Cloud Console 中設定伺服器連線防護密碼

將電腦重新連線到不同伺服器

將電腦重新連線到不同管理伺服器涉及以下步驟：

在目前 [KSC1] 伺服器的主控台中，為網路代理執行變更管理伺服器工作。
執行工作後，電腦將重新連線到新的 [KSC2] 伺服器。

電腦將顯示在 [KSC1] 伺服器主控台中，狀態為緊急。不可能使用政策設定應用程式或在電腦上遠端執行工作。
在新的 [KSC2] 伺服器的主控台中，為 Kaspersky Endpoint Security 建立一個新的管理伺服器連線防護工作。在工作內容中，輸入先前伺服器的密碼並為新的伺服器設定密碼。
如何在管理主控台 (MMC) 中設定用於重新連線到新伺服器的密碼
1. 開啟卡巴斯基安全管理中心管理主控台。
2. 在主控台樹狀目錄中，選擇“工作”。
  工作清單開啟。
3. 點擊“新工作”。
啟動“工作精靈”。按照精靈的說明進行操作。

步驟 1. 選取工作類型

選取“Kaspersky Endpoint Security for Windows (12.8)”→“管理伺服器連線防護”。

步驟 2. 防護管理伺服器連線

設定密碼防護到新管理伺服器的連線：
1. 在管理伺服器連線防護下面，選擇用密碼防護。
2. 在“管理伺服器”下拉式清單中，選取“從其他伺服器重新連線”。
3. 在目前密碼欄位中，輸入為先前使用的受信任伺服器連線設定的密碼。
4. 在新密碼欄位中，設定新的管理伺服器連線密碼並進行確認。
  如果忘記了密碼，您可以使用工作變更密碼。
5. 如果您部署了 Kaspersky Endpoint Security 12.7 或更早版本的應用程式，請選擇為先前的應用程式版本（12.7 或更低版本）啟用密碼加密相容核取方塊。
  從 Kaspersky Endpoint Security 12.8 for Windows 開始，該應用程式使用更強的密碼加密。如果您部署了 Kaspersky Endpoint Security 12.8 或更高版本，我們建議清除此核取方塊並使用更強的密碼加密。該應用程式的早期版本不支援強密碼加密。若要執行該工作，您必須選取該核取方塊。
步驟 3. 選取要執行工作的帳戶

選擇“預設帳戶”。預設情況下，Kaspersky Endpoint Security 作為系統使用者帳戶 (SYSTEM) 啟動工作。

步驟 4. 設定工作啟動排程

在排程開始下面，選擇手動。

步驟 5. 定義工作名稱

輸入工作的名稱，例如“主伺服器連線密碼”。

步驟 6. 完成工作建立

結束精靈。選擇精靈完成時執行工作核取方塊或手動執行工作。您可以在工作內容中監控工作進度。
如何在網頁主控台和 Cloud Console 中設定用於重新連線到新伺服器的密碼
1. 在網頁主控台的主視窗中，選擇資產（裝置） → 工作。
  工作清單開啟。
2. 點擊“新增”。
  啟動“工作精靈”。
3. 配置工作設定：
  1. 在“應用程式”下拉式清單中，選取“Kaspersky Endpoint Security for Windows (12.8.0)”。
  2. 在“工作類型”下拉式清單中，選取“管理伺服器連線防護”。
  3. 在“工作名稱”欄位中，輸入簡要說明，例如，“主伺服器連線密碼”。
  4. 在“要將工作指派給的裝置”塊中，選取工作範圍。
4. 按照所選工作範圍選項選取裝置。前往下一步。
5. 選取預設使用者帳戶。預設情況下，Kaspersky Endpoint Security 作為系統使用者帳戶 (SYSTEM) 啟動工作。
6. 結束精靈。
  在工作清單中將顯示一個新工作。
7. 點擊 Kaspersky Endpoint Security 的“管理伺服器連線防護”工作。
  工作內容視窗將開啟。
8. 選擇“應用程式設定”標籤。
9. 在管理伺服器連線防護下面，選擇用密碼防護。
10. 在“連線至管理伺服器”下拉式清單中，選取“從其他伺服器重新連線”。
11. 在目前密碼欄位中，輸入為先前使用的受信任伺服器連線設定的密碼。
12. 在新密碼欄位中，設定新的管理伺服器連線密碼並進行確認。
  如果忘記了密碼，您可以使用工作變更密碼。
13. 如果您部署了 Kaspersky Endpoint Security 12.7 或更早版本的應用程式，請選擇為先前的應用程式版本（12.7 或更低版本）啟用密碼加密相容核取方塊。
  從 Kaspersky Endpoint Security 12.8 for Windows 開始，該應用程式使用更強的密碼加密。如果您部署了 Kaspersky Endpoint Security 12.8 或更高版本，我們建議清除此核取方塊並使用更強的密碼加密。該應用程式的早期版本不支援強密碼加密。若要執行該工作，您必須選取該核取方塊。
14. 儲存變更。
15. 選中該工作旁邊的核取方塊。
16. 點擊“開始”。
  您可以監控工作的狀態，以及成功完成工作或完成工作時發生錯誤的裝置數量。
完成工作後，請確保在新的 [KSC2] 伺服器的主控台中，電腦狀態為確定。測試是否可以遠端執行工作和使用政策設定應用程式。

重新設定管理伺服器連線密碼

如果忘記了管理伺服器連線密碼或密碼被洩露，您可以在工作內容中重新設定密碼。您也可以重新設定密碼和為具有不同管理伺服器連線防護狀態的一組電腦設定一個新密碼。意思是，如果某些電腦啟用了防護而某些停用了防護，工作將為所有電腦設定一個密碼。

您只能在電腦連線到的受信任伺服器的主控台中重新設定管理伺服器連線密碼。

如何使用管理主控台 (MMC) 重設管理伺服器連線密碼

如何在網頁主控台和雲端主控台中重設管理伺服器連線密碼

結果，管理伺服器連線密碼將在工作結束後重設。

停用管理員伺服器連線防護

您只能在電腦連線到的受信任伺服器的主控台中遠端停用管理伺服器連線防護。您也可以使用命令列本機停用防護。

如何在管理主控台 (MMC) 中停用伺服器連線防護

如何在網頁主控台和 Cloud Console 中停用伺服器連線防護

如何使用命令行停用伺服器連線防護

此文章對您有幫助嗎？

我們可以如何改善？

感謝您的意見回饋！您正協助我們改善。