连接安全
TLS 的使用
我们建议禁止与管理服务器的不安全连接。例如,您可以在管理服务器设置中禁止使用 HTTP 的连接。
请注意,默认情况下,管理服务器的几个 HTTP 端口是关闭的。其余端口用于管理服务器 Web 服务器 (8060)。此端口可受管理服务器设备的防火墙设置限制。
严格的 TLS 设置
建议使用 1.2 及以后版本的 TLS 协议,限制或禁止不安全的加密算法。
您可以配置管理服务器使用的加密协议 (TLS)。请注意,在发布管理服务器版本时,默认配置加密协议设置以确保安全的数据传输。
限制访问管理服务器数据库
我们建议限制访问管理服务器数据库。例如,只允许从管理服务器设备进行访问。这可降低管理服务器数据库因已知漏洞而受到损害的可能性。
您可以根据使用的数据库的操作说明配置参数,也可以在防火墙上提供关闭的端口。
禁止使用 Windows 账户进行远程身份验证
您可以使用 LP_RestrictRemoteOsAuth 标志来禁止来自远程地址的 SSPI 连接。此标志允许您禁止使用本地或域 Windows 账户在管理服务器上进行远程身份验证。
将 LP_RestrictRemoteOsAuth 标志切换到禁止来自远程地址的连接模式:
- 使用管理员权限运行 Windows 命令提示符,然后将当前目录更改为包含 klscflag 实用程序的目录。klscflag 实用程序位于安装管理服务器的文件夹中。默认安装路径为 <Disk>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center。
- 在命令行中执行以下命令以指定 LP_RestrictRemoteOsAuth 标志的值:
klscflag.exe -fset -pv .core/.independent -s KLLIM -n LP_RestrictRemoteOsAuth -t d -v 1
- 重启管理服务器服务。
如果通过安装在管理服务器设备上的 Kaspersky Security Center 网页控制台或管理控制台执行远程身份验证,则 LP_RestrictRemoteOsAuth 标志不起作用。
对 Microsoft SQL Server 进行身份验证
如果 Kaspersky Security Center 使用 Microsoft SQL Server 充当 DBMS,则有必要保护 Kaspersky Security Center 传输到数据库或从数据库传输的数据以及存储在数据库中的数据免遭未经授权的访问。为此,您必须保护 Kaspersky Security Center 和 SQL Server 之间的通信安全。提供安全通信的最可靠方法是在同一设备上安装 Kaspersky Security Center 和 SQL Server,并对这两个应用程序使用共享内存机制。在所有其他情况下,建议使用 SSL/TLS 证书对 SQL Server 实例进行身份验证。
配置允许连接到管理服务器的 IP 地址允许列表
默认情况下,用户可以从任何可以打开 Kaspersky Security Center Web Console 或安装了基于 MMC 的管理控制台的设备登录 Kaspersky Security Center。但是,您可以配置管理服务器,使用户只能从具有允许 IP 地址的设备进行连接。在这种情况下,即使入侵者窃取了 Kaspersky Security Center 账户,也只可以从允许列表中的 IP 地址登录 Kaspersky Security Center。