Использование TLS
Рекомендуется запретить небезопасные подключения к Серверу администрирования. Например, при настройке Сервера администрирования, рекомендуется не включать подключения по HTTP-протоколу к Серверу администрирования.
Обратите внимание, что по умолчанию часть HTTP-портов Сервера администрирования закрыта. Оставшийся порт используется Веб-сервером Kaspersky Security Center (8060). Этот порт можно ограничить параметрами сетевого экрана устройства с Сервером администрирования.
Строгие параметры TLS
Рекомендуется использовать протокол TLS версии 1.2 или выше и ограничить или запретить использование небезопасных алгоритмов шифрования.
Вы можете настроить протоколы шифрования (TLS), используемые Сервером администрирования. При этом учитывайте, что на момент выпуска определенной версии Сервера администрирования параметры протокола шифрования по умолчанию настроены так, чтобы обеспечить безопасную передачу данных.
Ограничение доступа к базе данных Сервера администрирования
Рекомендуется ограничить доступ к базе данных Сервера администрирования. Например, вы можете разрешить доступ только с устройства с Сервером администрирования. Это позволит снизить вероятность взлома базы Сервера администрирования данных через известные уязвимости.
Вы можете настроить параметры в соответствии с руководством по эксплуатации используемой базы данных, а также предусмотреть закрытые порты на сетевых экранах.
Запрет удаленной аутентификации с учетными записями Windows
Запрет на SSPI-подключения с удаленных адресов возможен с помощью специального флага LP_RestrictRemoteOsAuth. Этот флаг позволяет запретить удаленную аутентификацию на Сервере администрирования для учетных записей Windows, локальных или доменных.
Чтобы переключить флаг LP_RestrictRemoteOsAuth в режим запрета SSPI-подключений с удаленных адресов:
klscflag.exe -fset -pv .core/.independent -s KLLIM -n LP_RestrictRemoteOsAuth -t d -v 1
Флаг LP_RestrictRemoteOsAuth не работает, если удаленная аутентификация выполняется через Консоль Kaspersky SMP или Консоль администрирования, установленную на том же устройстве, что и Сервер администрирования.
Аутентификация Microsoft SQL Server
Если вы используете Microsoft SQL Server в качестве СУБД Сервера администрирования, нужно защитить от несанкционированного доступа данные Kaspersky Single Management Platform, передаваемые в базу данных или получаемые от нее, а также данные, хранящиеся в этой базе данных. Для этого требуется настроить использование безопасного соединения между Kaspersky Single Management Platform и SQL Server. Самый надежный способ обеспечить безопасную связь - это установить Kaspersky Single Management Platform и SQL Server на одном устройстве и использовать механизм совместной памяти для обеих программ. Во всех других случаях рекомендуется использовать сертификат SSL/TLS для аутентификации экземпляра SQL Server.
Настройка списка разрешенных IP-адресов для подключения к Серверу администрирования
По умолчанию пользователи могут войти в Kaspersky Single Management Platform с любого устройства, на котором установлено Kaspersky Single Management Platform или Консоль администрирования на основе Microsoft Management Console (MMC). Настроить Сервер администрирования можно таким образом, чтобы пользователи могли подключаться к нему только с устройств с разрешенными IP-адресами. В этом случае, даже если злоумышленник похитит учетную запись Kaspersky Single Management Platform, он не сможет войти в Kaspersky Single Management Platform, так как IP-адрес устройства злоумышленника отсутствует в списке разрешенных.
В начало