Учетные записи и авторизация

Использование двухэтапной проверки Сервера администрирования

Kaspersky Single Management Platform предоставляет пользователям Консоли Kaspersky SMP и Консоли администрирования возможность использовать двухэтапную проверку на основе стандарта RFC 6238 (TOTP: Time-Based One-Time Password algorithm).

Если для вашей учетной записи включена двухэтапная проверка, каждый раз при входе в Консоль Kaspersky SMP или Консоль администрирования вы вводите свое имя пользователя, пароль и дополнительный одноразовый код безопасности. Если вы используете доменную аутентификацию для своей учетной записи, вам необходимо ввести только дополнительный одноразовый код безопасности. Для того чтобы получить одноразовый код безопасности, вам нужно установить приложение проверки подлинности на своем компьютере или мобильном устройстве.

Существуют как программные, так и аппаратные аутентификаторы (токены), поддерживающие стандарт RFC 6238. Например, к программным аутентификаторам относятся Google Authenticator, Microsoft Authenticator, FreeOTP.

Категорически не рекомендуется устанавливать приложение для аутентификации на том же устройстве, с которого выполняется подключение к Серверу администрирования. Например, вы можете установить приложение для проверки подлинности на мобильном устройстве.

Использование двухфакторной аутентификации операционной системы

Для авторизации на устройстве с Сервером администрирования рекомендуется использовать многофакторную аутентификацию (MFA) с использованием токена, смарт-карты или другого способа.

Запрет на сохранение пароля администратора

При использовании Консоли администрирования не рекомендуется сохранять пароль администратора в диалоговом окне подключения к Серверу администрирования.

Также при работе с Консолью Kaspersky SMP через браузер не рекомендуется сохранять пароль администратора в браузере на устройстве пользователя.

Авторизация внутреннего пользователя

По умолчанию пароль внутренней учетной записи пользователя Kaspersky XDR Expert должен соответствовать следующим требованиям:

• Длина пароля должна быть от 8 до 256 символов.

• Пароль должен содержать символы как минимум трех групп списка ниже:

  • верхний регистр (A-Z);

  • нижний регистр (A-Z) (a-z);

  • числа (0-9);

  • специальные символы (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;)

• Пароль не должен содержать пробелов, символов Юникода или комбинации "." и "@", когда "." расположена перед "@".

По умолчанию максимальное количество попыток ввода пароля равно 10. Вы можете изменить количество попыток ввода пароля.

Пользователь Kaspersky SMP может вводить неверный пароль ограниченное количество раз. После этого учетная запись пользователя блокируется на час.

Отдельная группа администрирования для устройства с Сервером администрирования

Для Сервера администрирования рекомендуется создать выделенную группу администрирования. Предоставьте этой группе особые права доступа и создайте политику безопасности для нее.

Чтобы избежать умышленного понижения уровня защиты Сервера администрирования рекомендуется ограничить список учетных записей, которые могут управлять этой группой администрирования.

Группы KLAdmins и KLOperators

При установке Kaspersky Single Management Platform автоматически формируются группы пользователей KLAdmins и KLOperators. Группе KLAdmins предоставлены все права. Группе KLOperators предоставлены права на Чтение и Выполнение. Набор прав, предоставленных группе KLAdmins, недоступен для изменения.

С помощью стандартных средств администрирования операционной системы можно просмотреть группы KLAdmins и KLOperators и внести изменения в состав этих групп.

При разработке регламентов работы с Сервером администрирования нужно определить, потребуется ли специалисту информационной безопасности полный доступ (и включение в группу KLAdmins) для решения штатных задач.

Большинство базовых задач администрирования могут быть распределены между подразделениями организации (или разными сотрудниками одного подразделения) и, как следствие, между различными учетными записями. Также может быть выполнено разграничение по доступу к группам администрирования в Kaspersky Single Management Platform. В результате можно реализовать такую модель использования, при которой авторизация под учетными записями из группы KLAdmins будет нестандартным поведением, что можно рассматривать как инцидент.

Если установка Kaspersky Single Management Platform проводилась под системной учетной записью, группы создаются только на устройстве с Сервером администрирования. В этом случае рекомендуем убедиться, что в группу включены только учетные записи, созданные во время установки Kaspersky Single Management Platform. Не рекомендуется добавлять в группу KLAdmins другие группы пользователей (локальные и/или доменные), которые были созданы автоматически во время установки Kaspersky Single Management Platform. Также следует ограничить права на изменение этой группы. Группа KLAdmins должна включать единичные непривилегированные учетные записи.

Если установка выполнялась под учетной записью пользователя, входящего в домен, группы KLAdmins и KLOperators создаются как на Сервере администрирования, так и в домене, в который входит Сервер администрирования. Рекомендуется применить аналогичный подход как и в случае с установкой под системной учетной записью.

Ограничить членство в роли «Главный администратор»

Рекомендуется ограничить членство пользователей в роли «Главный администратор».

По умолчанию после установки Сервера администрирования роль «Главный администратор» присвоена группе локальных администраторов устройства и созданной группе KLAdmins. Это удобно для управления, но критично с точки зрения безопасности, так как роль «Главный администратор» имеет очень широкий набор привилегий – назначение этой роли пользователям должно быть строго регламентировано.

Локальных администраторов можно исключить из списка пользователей, имеющих права администратора Kaspersky Single Management Platform. Роль «Главный администратор» нельзя удалить из группы KLAdmins. В нее можно включить учетные записи группы KLAdmins, которые будут использоваться для управления Сервером администрирования.

В случае использования доменной аутентификации, рекомендуется ограничить привилегии учетных записей администраторов домена в Kaspersky Single Management Platform. По умолчанию этим учетным записям присвоена роль «Главный администратор». Также администратор домена может включить свою учетную запись в группу KLAdmins с целью получения роли «Главный администратор». Чтобы этого избежать, в параметрах безопасности Kaspersky Single Management Platform можно добавить группу "Администраторы домена" ("Domain Admins") и определить для нее запрещающие правила. Эти правила будут приоритетнее разрешающих.

Также можно использовать предопределенные роли пользователей с уже настроенным набором прав.

Настройка прав доступа к функциям программы

Рекомендуется использовать возможности гибкой настройки прав доступа пользователей и групп пользователей к разным функциям Kaspersky Single Management Platform.

Управление доступом на основе ролей позволяет создавать типовые роли пользователей с заранее настроенным набором прав и присваивать эти роли пользователям в зависимости от их служебных обязанностей.

Основные преимущества ролевой модели управления доступом:

• простота администрирования;
• иерархия ролей;
• принцип наименьшей привилегии;
• разделение обязанностей.

Вы можете воспользоваться встроенными ролями и присвоить их определенным сотрудникам на основе должностей либо создать полностью новые роли.

При настройке ролей требуется уделить особое внимание привилегиям, связанным с изменением состояния защиты устройства и удаленной установкой стороннего программного обеспечения:

• Управление группами администрирования.
• Операции с Сервером администрирования.
• Удаленная установка.
• Изменение параметров хранения событий и отправки уведомлений.

  Эта привилегия позволяет настроить уведомления, которые запускают скрипт или исполняемый модуль на устройстве с Сервером администрирования при возникновении события.

Отдельная учетная запись для удаленной установки программ

Помимо базового разграничения прав доступа, рекомендуется ограничить возможность удаленной установки приложений для всех учетных записей (кроме "Главного администратора" или иной специализированной учетной записи).

Рекомендуется использовать отдельную учетную запись для удаленной установки программ. Вы можете назначить роль или разрешения отдельной учетной записи.

Обеспечение безопасности привилегированного доступа Windows

Рекомендуется рассмотреть рекомендации Microsoft по обеспечению безопасности привилегированного доступа. Чтобы просмотреть эти рекомендации, перейдите в раздел Обеспечение безопасности привилегированного доступа.

Одной из ключевых рекомендаций является развертывание рабочих станций с привилегированным доступом (PAW).

Использование управляемых учетных записей служб (MSA) и групповых управляемых учетных записей служб (gMSA) для запуска служб Сервера администрирования

В Active Directory существует специальный тип учетных записей для безопасного запуска служб – MSA/gMSA. Kaspersky Single Management Platform поддерживает управляемые учетные записи службы (MSA) и групповые управляемые учетные записи службы (gMSA). Если такие учетные записи используются в вашем домене, вы можете выбрать одну из них в качестве учетной записи для службы Сервера администрирования.

Регулярный аудит всех пользователей

Рекомендуется проводить регулярный аудит всех пользователей на устройстве, где установлен Сервер администрирования. Это позволит реагировать на некоторые типы угроз безопасности, связанные с возможной компрометацией устройства.

В начало