Учетные записи и авторизация

Использование двухэтапной проверки Kaspersky SMP

Kaspersky SMP обеспечивает двухэтапную проверку для пользователей на основе стандарта RFC 6238 (TOTP: Time-Based One-Time Password Algorithm).

Если для вашей учетной записи включена двухэтапная проверка, каждый раз при входе в Kaspersky SMP с помощью браузера вы вводите свое имя пользователя, пароль и дополнительный одноразовый код безопасности. Для того чтобы получить одноразовый код безопасности, вам нужно установить приложение для аутентификации на своем компьютере или мобильном устройстве.

Существуют как программные, так и аппаратные аутентификаторы (токены), поддерживающие стандарт RFC 6238. Например, к программным аутентификаторам относятся Google Authenticator, Microsoft Authenticator, FreeOTP.

Категорически не рекомендуется устанавливать приложение для аутентификации на том же устройстве, с которого выполняется подключение к Kaspersky SMP. Например, вы можете установить приложение для аутентификации на мобильном устройстве.

Использование двухфакторной аутентификации операционной системы

Рекомендуется использовать многофакторную аутентификацию (MFA) на устройствах с развернутым Kaspersky SMP с помощью токена, смарт-карты или другим способом (если это возможно).

Запрет на сохранение пароля администратора

Также при работе с Kaspersky SMP через браузер не рекомендуется сохранять пароль администратора в браузере на устройстве пользователя.

Авторизация внутреннего пользователя

По умолчанию пароль внутренней учетной записи пользователя Kaspersky SMP должен соответствовать следующим требованиям:

• Длина пароля должна быть от 8 до 16 символов.

• Пароль должен содержать символы как минимум трех групп списка ниже:

  • верхний регистр (A-Z);

  • нижний регистр (A-Z) (a-z);

  • числа (0-9);

  • специальные символы (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;)

• Пароль не должен содержать пробелов, символов Юникода или комбинации "." и "@", когда "." расположена перед "@".

По умолчанию максимальное количество попыток ввода пароля равно 10. Вы можете изменить количество попыток ввода пароля.

Пользователь может вводить неверный пароль ограниченное количество раз. После этого учетная запись пользователя блокируется на час.

Ограничение назначения роли Главного администратора

Пользователю назначается роль Главного администратора в списке контроля доступа (ACL) Kaspersky SMP. Не рекомендуется назначать роль Главного администратора большому количеству пользователей.

Настройка прав доступа к функциям программы

Рекомендуется использовать возможности гибкой настройки прав доступа пользователей и групп пользователей к разным функциям Kaspersky SMP.

Управление доступом на основе ролей позволяет создавать типовые роли пользователей с заранее настроенным набором прав и присваивать эти роли пользователям в зависимости от их служебных обязанностей.

Основные преимущества ролевой модели управления доступом:

• простота администрирования;
• иерархия ролей;
• принцип наименьшей привилегии;
• разделение обязанностей.

Вы можете воспользоваться встроенными ролями и присвоить их определенным сотрудникам на основе должностей либо создать полностью новые роли.

При настройке ролей требуется уделить особое внимание привилегиям, связанным с изменением состояния защиты устройства с Kaspersky SMP и удаленной установкой стороннего программного обеспечения:

• Управление группами администрирования.
• Операции с Сервером администрирования.
• Удаленная установка.
• Изменение параметров хранения событий и отправки уведомлений.

  Эта привилегия позволяет настроить уведомления, которые запускают скрипт или исполняемый модуль на устройстве с Kaspersky SMP при возникновении события.

Отдельная учетная запись для удаленной установки приложений

Помимо базового разграничения прав доступа, рекомендуется ограничить возможность удаленной установки приложений для всех учетных записей (кроме "Главного администратора" или иной специализированной учетной записи).

Рекомендуется использовать отдельную учетную запись для удаленной установки приложений. Вы можете назначить роль или разрешения отдельной учетной записи.

Регулярный аудит всех пользователей

Рекомендуется проводить регулярный аудит всех пользователей на устройстве, где развернут Kaspersky SMP. Это позволит реагировать на некоторые типы угроз безопасности, связанные с возможной компрометацией устройства.