Implementação do Servidor de Administração

5 de abril de 2024

ID 245772

Arquitetura do Servidor de Administração

Em geral, a escolha de uma arquitetura de gerenciamento centralizado depende da localização dos dispositivos protegidos, acesso a redes adjacentes, esquemas de entrega de atualizações do banco de dados e assim por diante.

Na fase inicial de desenvolvimento da arquitetura, recomendamos conhecer os componentes do Kaspersky Security Center e sua interação uns com os outros, assim como os esquemas para o tráfego de dados e uso de porta.

De acordo com essas informações, será possível formar uma arquitetura que especifique:

  • A localização do Servidor de Administração e as conexões de rede
  • Organização dos espaços de trabalho do administrador e métodos de conexão com o Servidor de Administração
  • Os métodos de implementação do Agente de Rede e do software de proteção
  • Uso dos pontos de distribuição
  • Uso de Servidores de Administração virtuais
  • Uso de uma hierarquia de Servidores de Administração
  • O esquema de atualização do banco de dados de antivírus
  • Outros fluxos de informação

Seleção de um dispositivo para a instalação do Servidor de Administração

Recomendamos instalar o Servidor de Administração em um servidor dedicado na infraestrutura da organização. Caso não haja outro software de terceiros instalado no servidor, é possível definir as configurações de segurança de acordo com os requisitos do Kaspersky Security Center sem haver a dependência dos requisitos de software de terceiros.

É possível implementar o Servidor de Administração em um servidor físico ou em um servidor virtual. Verifique e confirme se o dispositivo selecionado atende aos requisitos de hardware e software.

Localização do Servidor de Administração

Os dispositivos gerenciados pelo Servidor de Administração podem ser localizados da seguinte forma:

  • Em uma rede local (LAN)

  • Na Internet

  • Na zona desmilitarizada (DMZ)

Ao mesmo tempo, o Servidor de Administração também pode estar localizado em diferentes segmentos: segmentos industriais, corporativos e DMZ.

Caso o Kaspersky Security Center seja usado para gerenciar a proteção de um segmento de rede isolado, recomendamos implementar o Servidor de Administração em um segmento da zona desmilitarizada (DMZ). Isso permite organizar uma segmentação de rede adequada e minimizar o fluxo de tráfego para o segmento protegido, o que mantém os recursos completos de gerenciamento e entrega de atualizações.

Restrição de implementação do Servidor de Administração em um controlador de domínio, um servidor de terminal ou um dispositivo de usuário

Não recomendamos instalar o Servidor de Administração em um controlador de domínio, um servidor de terminal ou um dispositivo de usuário.

Recomendamos que a separação funcional dos nós de chave de rede seja fornecida. Essa abordagem permite manter a operacionalidade de diferentes sistemas quando um nó falhar ou for comprometido. Ao mesmo tempo, é possível criar diferentes políticas de segurança para cada nó.

Por exemplo, as restrições de segurança geralmente aplicadas a um controlador de domínio podem reduzir significativamente o desempenho do Servidor de Administração e impossibilitar o uso de alguns de seus recursos. Caso um intruso obtenha acesso privilegiado ao controlador de domínio, o banco de dados do Active Directory Domain Services (AD DS) pode ser modificado, danificado ou destruído. Além disso, todos os sistemas e contas gerenciados pelo Active Directory podem ser comprometidos.

Contas para instalar e executar o Servidor de Administração

Recomendamos executar a instalação do Servidor de Administração em uma conta de administrador local para evitar o uso de contas de domínio para acessar o banco de dados do Servidor de Administração. Um conjunto de contas necessárias e seus direitos depende do tipo de DBMS selecionado, localização do DBMS e método de criação do banco de dados do Servidor de Administração.

Os grupos KLAdmins e KLOperators são criados automaticamente durante a instalação do Kaspersky Security Center. Para estes grupos são concedidos os direitos de se conectar-se ao Servidor de Administração e processar os objetos do Servidor de Administração.

Dependendo de qual tipo de conta for usado para a instalação do Kaspersky Security Center, os grupos KLAdmins e KLOperators são criados como segue:

  • Caso o aplicativo seja instalado com uma conta de usuário incluída em um domínio, os grupos são criados no Servidor de Administração do dispositivo e no domínio que inclui o Servidor de Administração.
  • Caso o aplicativo seja instalado a partir de uma conta de sistema, os grupos são criados somente em um Servidor de Administração.

Para evitar a criação de grupos KLAdmins e KLOperators no domínio e, consequentemente, fornecer privilégios para gerenciar o Servidor de Administração em uma conta fora do dispositivo do Servidor de Administração, recomendamos instalar o Kaspersky Security Center em uma conta local.

Durante a instalação do Servidor de Administração, selecione a conta que será usada para iniciá-lo como um serviço. Por padrão, o aplicativo cria uma conta local chamada KL-AK-*, sob a qual o serviço do Servidor de Administração (o serviço klserver) será executado.

Caso seja necessário, o serviço do Servidor de Administração pode ser executado na conta selecionada. Essa conta deve receber os direitos necessários para acessar o DBMS. Por questões de segurança, use uma conta sem privilégios para executar o serviço do Servidor de Administração.

Para evitar o uso de configurações de conta incorretas, recomendamos gerar a conta automaticamente.

Exclusão do Servidor de Administração de um domínio

Caso use o Servidor de Administração para proteger grupos de dispositivos de sistemas de alta importância, não recomendamos incluir o dispositivo do Servidor de Administração no domínio (caso seja usado). Isso permite diferenciar os direitos de gerenciamento do Kaspersky Security Center e impedir o acesso ao Servidor de Administração caso a conta do domínio seja comprometida.

Leve em consideração que, caso o Servidor de Administração seja instalado em um dispositivo incluído no grupo de trabalho, os seguintes cenários de trabalho com o Servidor de Administração não estarão disponíveis:

Caso seja necessário instalar o Servidor de Administração em um dispositivo incluído no grupo de trabalho, será possível usar o Kaspersky Security Center Linux em vez do Kaspersky Security Center Windows para evitar a instalação do Servidor de Administração.

Este artigo foi útil?
O que podemos melhorar?
Agradecemos o seu comentário! Ele nos ajuda a melhorar.
Agradecemos o seu comentário! Ele nos ajuda a melhorar.