Руководство по усилению защиты

Kaspersky Security Center Cloud Console – это приложение, которое размещается и поддерживается "Лабораторией Касперского". Вам не нужно устанавливать Kaspersky Security Center Cloud Console на свой компьютер или сервер. Kaspersky Security Center Cloud Console позволяет администратору устанавливать приложения безопасности "Лаборатории Касперского" на устройства в корпоративной сети, удаленно запускать задачи проверки и обновления, а также управлять политиками безопасности управляемых приложений.

Приложение Kaspersky Security Center Cloud Console предназначена для централизованного решения основных задач по управлению и обслуживанию системы защиты сети организации. Приложение предоставляет администратору доступ к детальной информации об уровне безопасности сети организации. Kaspersky Security Center Cloud Console позволяет настраивать все компоненты защиты, построенной на основе приложений "Лаборатории Касперского".

Kaspersky Security Center Cloud Console имеет полный доступ к управлению защитой клиентских устройств и является важнейшим компонентом системы защиты организации. Поэтому для доступа к Kaspersky Security Center Cloud Console требуются усиленные меры защиты.

В Руководстве по усилению защиты описаны рекомендации и особенности настройки Kaspersky Security Center Cloud Console и его компонентов для снижения рисков его компрометации.

Руководство по усилению защиты содержит следующую информацию:

• Настройка учетных записей для работы с Kaspersky Security Center Cloud Console.
• Управление защитой клиентских устройств.
• Настройка защиты управляемых приложений.
• передача информации в сторонние системы.

Перед началом работы с Kaspersky Security Center Cloud Console вам будет предложено ознакомиться с краткой версией Руководства по усилению защиты.

Обратите внимание, что вы не можете использовать Kaspersky Security Center Cloud Console, пока не подтвердите, что ознакомились с Руководством по усилению защиты.

Чтобы прочитать Руководство по усилению защиты:

1. Откройте Kaspersky Security Center Cloud Console и выполните вход. Kaspersky Security Center Cloud Console проверяет, подтвердили ли вы, что прочитали текущую версию Руководства по усилению защиты.

   Если вы еще не читали Руководство по усилению защиты, откроется окно с его краткой версией.

2. Выполните одно из следующих действий:
   • Если вы хотите просмотреть краткую версию Руководства по усилению защиты в виде текстового документа, перейдите по ссылке Открыть в новом окне.
   • Если вы хотите просмотреть полную версию Руководства по усилению защиты, перейдите по ссылке Открыть Руководство по усилению защиты в онлайн-справке.
3. После прочтения Руководства по усилению защиты установите флажок Я подтверждаю, что полностью прочитал(а) и понимаю Руководство по усилению защиты и нажмите на кнопку Принять.

Теперь можно работать с Kaspersky Security Center Cloud Console.

При появлении новой версии Руководства по усилению защиты Kaspersky Security Center Cloud Console предложит вам ее прочитать.

Планирование архитектуры Kaspersky Security Center Cloud Console

В общем случае на выбор архитектуры централизованного управления влияют расположение защищаемых устройств, доступы из смежных сетей, схемы обновления баз и другие параметры.

На начальном этапе проработки архитектуры мы рекомендуем ознакомиться с компонентами Kaspersky Security Center Cloud Console и их взаимодействием между собой, а также со схемами трафика данных и использования портов.

На основании этой информации нужно сформировать архитектуру, определяющую:

• организацию рабочих мест администраторов и способы подключения к Kaspersky Security Center Cloud Console;
• способ установки Агента администрирования и приложения защиты;
• использование точек распространения;
• использование виртуальных Серверов администрирования;
• использование иерархии Серверов администрирования;
• схему обновления антивирусных баз;
• другие информационные потоки.

Учетные записи и авторизация

Использование двухэтапной проверки Kaspersky Security Center Cloud Console

Kaspersky Security Center Cloud Console предоставляет пользователям возможность двухэтапной проверки.

Двухэтапная проверка позволяет повысить безопасность вашей учетной записи Kaspersky Security Center Cloud Console. Когда эта функция включена, каждый раз при входе в Kaspersky Security Center Cloud Console с помощью адреса электронной почты и пароля, вы вводите дополнительный одноразовый код безопасности. Вы можете получить одноразовый код безопасности по SMS или сгенерировать его в приложении для аутентификации (в зависимости от параметров двухэтапной проверки).

Категорически не рекомендуется устанавливать приложение для аутентификации на устройстве, с которого выполняется подключение к Kaspersky Security Center Cloud Console. Например, вы можете установить приложение для аутентификации на мобильном устройстве.

Запрет на сохранение пароля администратора

При работе с Kaspersky Security Center Cloud Console категорически не рекомендуется сохранять пароль администратора в браузере на устройстве пользователя.

Если браузер скомпрометирован, злоумышленник может получить доступ к сохраненным паролям. Также если устройство пользователя с сохраненными паролями украдено или потеряно, злоумышленник может получить доступ к защищенным данным.

Ограничить членство в роли "Главный администратор"

Рекомендуется ограничить членство пользователей в роли "Главный администратор".

При создании рабочей области пользователю по умолчанию присвоена роль Главный администратор. Это удобно для управления, но критично с точки зрения безопасности, так как роль "Главный администратор" имеет очень широкий набор привилегий. Назначение этой роли пользователям должно быть строго регламентировано.

Для организации администрирования Kaspersky Security Center Cloud Console рекомендуется обратить внимание на существующие роли для определенных должностей с заранее настроенным набором прав.

Настройка прав доступа к функциям приложения

Рекомендуется использовать возможности гибкой настройки прав доступа пользователей и групп пользователей к разным функциям Kaspersky Security Center Cloud Console.

Управление доступом на основе ролей позволяет создавать типовые роли пользователей с заранее настроенным набором прав и присваивать эти роли пользователям в зависимости от их служебных обязанностей.

Основные преимущества ролевой модели управления доступом:

• простота администрирования;
• иерархия ролей;
• принцип наименьшей привилегии;
• разделение обязанностей.

Вы можете воспользоваться встроенными ролями и присвоить их определенным сотрудникам на основе должностей либо создать полностью новые роли.

При настройке ролей требуется уделить особое внимание привилегиям, связанным с изменением состояния защиты Сервера администрирования и удаленной установкой стороннего программного обеспечения:

• Управление группами администрирования.
• Операции с Сервером администрирования.
• Удаленная установка.
• Изменение параметров хранения событий и отправки уведомлений.

  Эта привилегия позволяет настроить уведомления, которые запускают скрипт или исполняемый модуль на устройстве с Сервером администрирования при возникновении события.

Отдельная учетная запись для удаленной установки приложений

Помимо базового разграничения прав доступа, рекомендуется ограничить возможность удаленной установки приложений для всех учетных записей (кроме "Главного администратора" или иной специализированной учетной записи).

Рекомендуется использовать отдельную учетную запись для удаленной установки приложений. Вы можете назначить роль или разрешения отдельной учетной записи.

Управление защитой клиентских устройств

Правила автоматического перемещения устройств между группами администрирования

Рекомендуется ограничить использование правил автоматического перемещения устройств между группами администрирования.

Использование правил автоматического перемещения может привести к тому, что на устройство будут распространены политики, предоставляющие более широкий набор привилегий, чем было до перемещения.

Перемещение клиентского устройства в другую группу администрирования может привести к распространению на него параметров политик. Эти параметры политик могут быть нежелательны к распространению на гостевые и недоверенные устройства.

Эта рекомендация, не относится к первоначальному распределению устройств по группам администрирования.

Требования к безопасности к устройствам с точками распространения и шлюзам соединений

Устройства с установленным Агентом администрирования могут использоваться в качестве точки распространения и выполнять следующие функции:

• Распространять обновления и инсталляционные пакеты, полученные от Сервера администрирования, на клиентские устройства в группе.
• Выполнять удаленную установку приложений сторонних производителей и приложений "Лаборатории Касперского" на клиентские устройства.
• Опрашивать сеть с целью обнаружения новых устройств и обновления информации об уже известных устройствах.
• Выполняет роль прокси-сервера KSN для клиентских устройств.

С учетом доступных возможностей рекомендуется защитить устройства, выполняющие роль точек распространения, от несанкционированного доступа любого типа (включая физический доступ).

Настройка защиты управляемых приложений

Настройка защиты сети

Убедитесь, что вы успешно выполнили Сценарий первоначальной настройки Kaspersky Security Center Cloud Console. Этот сценарий также предусматривает выполнение шагов мастера первоначальной настройки.

При работе мастера первоначальной настройки создаются политики и задачи с параметрами по умолчанию. В вашей организации эти параметры могут оказаться не оптимальными или даже запрещенными. Поэтому рекомендуется настроить эти политики и задачи и создать дополнительные политики и задачи, если это необходимо для вашей корпоративной сети.

Установка пароля на выключение защиты и удаление приложения

Чтобы злоумышленники не могли отключить приложения безопасности "Лаборатории Касперского", рекомендуется установить пароль для выключения защиты и удаления приложений безопасности "Лаборатории Касперского". Вы можете установить пароль, например, для Kaspersky Endpoint Security для Windows, Kaspersky Security для Windows Servers, Агента администрирования и других приложений "Лаборатории Касперского". После включения защиты паролем рекомендуется заблокировать эти параметры, закрыв их "замком".

Указание пароля для ручного подключения клиентского устройства к Серверу администрирования (утилита klmover)

Утилита klmover позволяет вручную подключить клиентское устройство к Серверу администрирования. При установке на клиентское устройство Агента администрирования утилита автоматически копируется в папку установки Агента администрирования.

Чтобы злоумышленники не могли вывести устройства из-под контроля вашего Сервера администрирования, настоятельно рекомендуется включить защиту паролем для запуска утилиты klmover. Чтобы включить защиту паролем, в параметрах политики Агента администрирования выберите параметр Использовать пароль деинсталляции.

При включении параметра Использовать пароль деинсталляции также включается защита паролем средствами Cleaner (cleaner.exe).

Утилита klmover используется только для перемещения управляемых устройств под управление виртуального Сервера администрирования.

Использование Kaspersky Security Network

Во всех политиках управляемых приложений и в свойствах Kaspersky Security Center Cloud Console рекомендуется использовать Kaspersky Security Network (KSN) и принять актуальное Положение о KSN. При обновлении Kaspersky Security Center Cloud Console вы также можете принять обновленное Положение о KSN.

Обнаружение новых устройств

Рекомендуется должным образом настроить параметры обнаружения устройств: настроить интеграцию с Active Directory и указать диапазоны IP-адресов для обнаружения новых устройств.

В целях безопасности вы можете использовать группу администрирования по умолчанию, в которую попадают все новые устройства, и политики по умолчанию, применяемые к этой группе.

Передача событий в сторонние системы

Мониторинг и отчеты

Для своевременного реагирования на проблемы безопасности вы можете настроить функции мониторинга и параметры отчетов.

Экспорт событий в SIEM-системы

Для максимально быстрого выявления проблем безопасности до того, как будет нанесен существенный ущерб, рекомендуется использовать передачу событий в SIEM-систему.

Уведомление по электронной почте о событиях аудита

Для своевременного реагирования на возникновение нештатных ситуаций рекомендуется настроить отправку Kaspersky Security Center Cloud Console уведомлений о публикуемых им событиях аудита, критических событиях, событиях отказа функционирования и предупреждениях.

Поскольку события аудита являются внутрисистемными, они регистрируются редко и количество уведомлений о подобных событиях вполне приемлемо для почтовой рассылки.