Есептік жазбалар және авторизация
Төмендегі қадамдарды орындаудың алдында Басқару сервері деректерінің сақтық көшірмесін жасау тапсырмасын немесе klbackup утилитасын пайдаланып, Kaspersky Security Center басқару серверінің сақтық көшірмесін жасаңыз. Деректеріңіздің сақтық көшірмесін қауіпсіз жерде сақтаңыз.
Басқару серверін екі қадамдық тексеруді пайдалану
Kaspersky Security Center бағдарламасы Kaspersky Security Center Web Console және Басқару консолі пайдаланушыларына RFC 6238 (TOTP: Time-Based One-Time Password algorithm) негізінде екі қадамдық тексеруді пайдалану мүмкіндігін береді.
Егер сіздің есептік жазбаңызға екі қадамдық тексеру қосылса, Kaspersky Security Center Web Console немесе Басқару консоліне кірген сайын пайдаланушы атыңызды, құпиясөзіңізді және қосымша бір реттік қауіпсіздік кодын енгізесіз. Егер сіз өзіңіздің есептік жазбаңыз үшін домендік түпнұсқалық растаманы қолдансаңыз, сізге қосымша бір реттік қауіпсіздік кодын енгізу қажет. Бір реттік қауіпсіздік кодын алу үшін, сіз өзіңіздің компьютеріңізге немесе ұялы құрылғыға аутентификация қолданбасын орнатуыңыз керек.
RFC 6238 стандартын қолдайтын бағдарламалық және аппараттық аутентификаторлар (токендер) бар. Мысалы, бағдарламалық аутентификаторларға Google Authenticator, Microsoft Authenticator, FreeOTP кіреді.
Басқару серверіне қосылатын сол құрылғыда аутентификация қолданбасын орнату мүлдем ұсынылмайды. Мысалы, ұялы құрылғыға аутентификация қолданбасын орнатуға болады.
Екі факторлы операциялық жүйе түпнұсқалық растамасын пайдалану
Мүмкіндігінше, Басқару сервері бар құрылғыда түпнұсқалық растама үшін токен, смарт-карта немесе басқа тәсіл арқылы көп факторлы түпнұсқалық растаманы (MFA) пайдалану ұсынылады.
Әкімші құпиясөзін сақтауға тыйым салу
Басқару консолін пайдаланған кезде әкімші құпиясөзін Басқару серверіне қосылу үшін диалогтық терезеде сақтау ұсынылмайды.
Сондай-ақ, Kaspersky Security Center Web Console веб-консолі арқылы Басқару серверімен жұмыс істегенде, пайдаланушы құрылғысындағы браузерде әкімші құпиясөзін сақтау ұсынылмайды.
Ішкі пайдаланушы авторизациясы
Әдепкі бойынша Басқару серверінің ішкі пайдаланушы есептік жазбасының құпиясөзі келесі талаптарға сай болуы керек:
-
Құпиясөздің ұзындығы 8-ден 16 таңбаға дейін болуы керек.
-
Құпиясөзде төмендегі тізімдегі кемінде үш топтың таңбалары болуы керек:
-
бас әріптер (A-Z);
-
кіші әріптер (A-Z) (a-z);
-
сандар (0-9);
-
арнайы таңбалар (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;)
-
-
Құпиясөзде бос орындар, Юникод таңбалары немесе "." таңбасы "@" алдында тұрған кезде "." және "@" тіркесімі болмауы тиіс.
Әдепкі бойынша, енгізу әрекеттерінің максималды саны 10-ға тең. Құпиясөзді енгізу әрекеттерінің санын өзгерте аласыз.
Kaspersky Security Center пайдаланушысы құпиясөзді шектеулі рет енгізе алады. Осыдан кейін, пайдаланушы есептік жазбасы бір сағатқа бұғатталады.
Басқару сервері бар құрылғы үшін бөлек басқару тобы
Басқару сервері үшін бөлінген басқару тобын жасау ұсынылады. Бұл топқа арнайы кіру құқықтарын беріңіз және ол үшін қауіпсіздік саясатын жасаңыз.
Басқару серверінің қорғау деңгейін әдейі төмендетпеу үшін осы басқару тобын басқара алатын есептік жазбалар тізімін шектеу ұсынылады.
KLAdmins және KLOperators топтары
KLAdmins және KLOperators пайдаланушы топтары Kaspersky Security Center орнату кезінде автоматты түрде жасалады. KLAdmins тобына барлық құқықтар ұсынылған. KLOperators тобына Оқу және Орындау құқықтары ұсынылған. KLAdmins тобына берілген құқықтар жиынтығы өзгертуге келмейді.
Стандартты операциялық жүйені басқару құралдарын пайдалану арқылы KLAdmins және KLOperators топтарын қарап шығуға және осы топтардың құрамына өзгертулер енгізуге болады.
Басқару серверімен жұмыс істеуге арналған ережелерді әзірлеу кезінде ақпараттық қауіпсіздік маманына штаттық тапсырмаларды орындау үшін толық қатынас (және KLAdmins тобына қосылу) қажет болады ма екенін анықтау қажет.
Негізгі басқару тапсырмаларының көпшілігі ұйымдағы бөлімшелер (немесе бір бөлімшенің әртүрлі қызметкерлері) арасында және нәтижесінде, әртүрлі есептік жазбалар арасында бөлінуі мүмкін. Сондай-ақ, Kaspersky Security Center бағдарламасында басқару топтарына қатынасу бойынша шектеу қойылуы мүмкін. Нәтижесінде, KLAdmins тобындағы есептік жазбалар бойынша авторизация стандартты емес жүріс-тұрыс болатын пайдалану үлгісін іске асыра аласыз, бұл инцидент ретінде қарастырылуы мүмкін.
Егер Kaspersky Security Center жүйелік есептік жазба астында орнатылған болса, топтар тек Басқару сервері бар құрылғыда жасалады. Бұл жағдайда топқа Kaspersky Security Center орнату кезінде жасалған есептік жазбалардың ғана қосылғанына көз жеткізуді ұсынамыз. Kaspersky Security Center орнату кезінде автоматты түрде жасалған KLAdmins тобына басқа пайдаланушы топтарын (жергілікті және/немесе домендік) қосу ұсынылмайды. Сондай-ақ, бұл топты өзгерту құқықтарын шектеу керек. KLAdmins тобы артықшылықсыз дара есептік жазбаларды қамтуы керек.
Орнату доменге енгізілген пайдаланушы есептік жазбасы астында орындалса, KLAdmins және KLOperators топтары Басқару серверінде де, Басқару сервері кіретін доменде де жасалады. Жүйе есептік жазбасының астында орнату жағдайында сияқты тәсілді пайдалану ұсынылады.
"Бас әкімші" рөліндегі мүшелікті шектеу
Пайдаланушылардың мүшелігін "Бас әкімші" рөлімен шектеу ұсынылады.
Әдепкі бойынша, Басқару серверін орнатқаннан кейін "Бас әкімші" рөлі жергілікті құрылғы әкімшілері тобына және құрылған KLAdmins тобына тағайындалады. Бұл басқару үшін ыңғайлы, бірақ қауіпсіздік тұрғысынан өте маңызды, өйткені "Бас әкімші" рөлі артықшылықтардың өте кең ауқымына ие - бұл рөлді пайдаланушыларға тағайындау қатаң түрде реттелуі керек.
Жергілікті әкімшілерді Kaspersky Security Center әкімшісінің құқықтары бар пайдаланушылар тізімінен алып тастауға болады. "Бас әкімші" рөлін KLAdmins тобынан жою мүмкін емес. Оған Басқару серверін басқару үшін пайдаланылатын KLAdmins тобының есептік жазбаларын қосуға болады.
Домендік түпнұсқалық растама пайдаланылса, Kaspersky Security Center жүйесінде домен әкімшілері есептік жазбаларының артықшылықтарын шектеу ұсынылады. Әдепкі бойынша, бұл есептік жазбаларға "Бас әкімші" рөлі тағайындалады. Сондай-ақ, домен әкімшісі "Бас әкімші" рөлін алу үшін өз тіркелгісін KLAdmins тобына қоса алады. Бұған жол бермеу үшін, Kaspersky Security Center қауіпсіздік параметрлеріне "Домен әкімшілері" ("Domain Admins") тобын қосып, ол үшін тыйым салу ережелерін анықтауға болады. Бұл ережелер рұқсат ететіндерден басым болады.
Сондай-ақ, бұрыннан конфигурацияланған құқықтар жиынтығы бар алдын ала анықталған пайдаланушы рөлдерін пайдалануға болады.
Бағдарлама функцияларына қатынасу құқықтарын конфигурациялау
Басқару серверінің әртүрлі функцияларына пайдаланушылар мен пайдаланушы топтары үшін қатынасу құқықтарын икемді конфигурациялау мүмкіндіктерін пайдалану ұсынылады.
Рөлдер негізінде қатынасуды басқару арқасында алдын ала конфигурацияланған құқықтар жиынтығы бар осы типтік пайдаланушы рөлдерін жасауға және пайдаланушыларға олардың қызметтік міндеттеріне қарай рөлдер тағайындауға болады.
Қатынасуды басқарудың рөлдік моделінің негізгі артықшылықтары:
- басқарудың қарапайымдылығы;
- рөлдер иерархиясы;
- ең аз артықшылық қағидаты;
- міндеттерді бөлу.
Сіз кірістірілген рөлдерді пайдалана аласыз және оларды лауазымдар негізінде нақты қызметкерлерге тағайындай аласыз немесе әбден жаңа рөлдерді жасай аласыз.
Рөлдерді конфигурациялау кезінде құрылғыны қорғау күйін өзгертуге және үшінші тарап бағдарламалық жасақтамасын қашықтан орнатуға қатысты артықшылықтарға ерекше назар аударыңыз:
- Басқару топтарын басқару.
- Басқару серверіне қатысты әрекеттер.
- Қашықтан орнату.
- Оқиғаларды сақтау және хабарландыруларды жіберу параметрлерін өзгерту.
Бұл артықшылық, оқиға орын алған кезде Басқару сервері бар құрылғыда скриптті немесе орындалатын модульді іске қосатын хабарландыруларды конфигурациялауға мүмкіндік береді.
Қолданбаларды қашықтан орнату үшін бөлек есептік жазба
Қатынасу құқықтарын негізгі шектеуден басқа, барлық есептік жазбалар үшін ("Бас әкімші" немесе басқа мамандандырылған есептік жазбадан басқа) қолданбаларды қашықтан орнату мүмкіндігін шектеу ұсынылады.
Қолданбаларды қашықтан орнату үшін бөлек есептік жазбаны пайдалану ұсынылады. Бөлек есептік жазбаға рөл немесе рұқсаттар тағайындауға болады.
Windows артықшылықты қатынасы қауіпсіздігін қамтамасыз ету
Артықшылықты қатынасудың қауіпсіздігін қамтамасыз ету бойынша Microsoft ұсыныстарын қарап шығуды ұсынамыз. Осы ұсыныстарды қарап шығу үшін Артықшылықты қатынасудың қауіпсіздігін қамтамасыз ету бөліміне өтіңіз.
Негізгі ұсыныстардың бірі – артықшылықты қатынасы бар жұмыс станцияларын (PAW) орналастыру болып табылады.Қызметтердің басқарылатын есептік жазбаларын (MSA) және қызметтердің топтық басқарылатын есептік жазбаларын (gMSA) Басқару сервері қызметтерін іске қосу үшін пайдалану
Active Directory ішінде MSA/gMSA қызметтерін қауіпсіз іске қосу үшін есептік жазбалардың арнайы түрі бар. Kaspersky Security Center бағдарламасы қызметтің басқарылатын есептік жазбаларын (MSA) және қызметтің топтық басқарылатын есептік жазбаларын (gMSA) қолдайды. Доменіңізде осындай есептік жазбалар қолданылса, олардың біреуін Басқару сервері қызметі үшін есептік жазба ретінде таңдай аласыз.
Барлық пайдаланушылардың тұрақты аудиті
Басқару сервері орнатылған құрылғыдағы барлық пайдаланушылардың тұрақты аудитін жүргізу ұсынылады. Бұл, құрылғының ықтимал бұзылуымен байланысты қауіпсіздік қатерлерінің кейбір түрлеріне жауап беруге мүмкіндік береді.