Segurança de conexão

5 de abril de 2024

ID 245773

Uso de TLS

Recomendamos proibir as conexões inseguras com o Servidor de Administração. Por exemplo, é possível proibir as conexões que usam HTTP nas configurações do Servidor de Administração.

Observe que, por padrão, várias portas HTTP do Servidor de Administração estão fechadas. A porta restante é usada para o servidor web do Servidor de Administração (8060). Essa porta pode ser limitada pelas configurações do firewall do dispositivo do Servidor de Administração.

Configurações estritas de TLS

Recomendamos usar o protocolo TLS, versão 1.2 e posterior, e restringir ou proibir algoritmos de criptografia inseguros.

É possível configurar protocolos de criptografia (TLS) usados pelo Servidor de Administração. Observe que, no momento do lançamento de uma versão do Servidor de Administração, o protocolo de criptografia é configurado por padrão para garantir a transferência segura de dados.

Restrição de acesso ao banco de dados do Servidor de Administração

Recomendamos restringir o acesso ao banco de dados do Servidor de Administração. Por exemplo, conceda acesso apenas ao dispositivo a partir do Servidor de Administração. Isso reduz a probabilidade de o banco de dados do Servidor de Administração ser comprometido devido a vulnerabilidades conhecidas.

É possível configurar os parâmetros de acordo com as instruções de operação do banco de dados usado, assim como fornecer portas fechadas em firewalls.

Proibição de autenticação remota usando contas do Windows

É possível usar o sinalizador LP_RestrictRemoteOsAuth para proibir as conexões SSPI de endereços remotos. Esse sinalizador permite proibir a autenticação remota no Servidor de Administração usando contas locais ou de domínio do Windows.

Para mudar o sinalizador LP_RestrictRemoteOsAuth para o modo de proibição de conexões de endereços remotos:

  1. Execute o prompt de comando do Windows usando direitos de administrador e altere o diretório atual para o diretório com o utilitário klscflag. O utilitário klscflag está localizado na pasta onde o Servidor de Administração está instalado. O caminho de instalação padrão é <Disco>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.
  2. Execute o seguinte comando na linha de comando para especificar o valor do sinalizador LP_RestrictRemoteOsAuth:

    klscflag.exe -fset -pv .core/.independent -s KLLIM -n LP_RestrictRemoteOsAuth -t d -v 1

  3. Reinicie o serviço do Servidor de Administração.

O sinalizador LP_RestrictRemoteOsAuth não funciona se a autenticação remota for executada pelo Kaspersky Security Center Web Console ou pelo Console de Administração instalado no dispositivo do Servidor de Administração.

Autenticação do Microsoft SQL Server

Caso o Kaspersky Security Center use o Microsoft SQL Server como um DBMS, será necessário proteger os dados do Kaspersky Security Center transferidos de ou para o banco de dados e os dados armazenados no banco de dados contra acesso não autorizado. Para fazer isso, é necessário proteger a comunicação entre o Kaspersky Security Center e o SQL Server. A maneira mais confiável de fornecer comunicação segura é instalando o Kaspersky Security Center e o SQL Server no mesmo dispositivo e usando o mecanismo de memória compartilhada para os dois aplicativos. Em todos os outros casos, recomendamos usar um certificado SSL/TLS para autenticar a instância do SQL Server.

Configuração de uma lista de permissão de endereços IP para conexão ao Servidor de Administração

Por padrão, os usuários podem fazer login no Kaspersky Security Center a partir de qualquer dispositivo onde possam abrir o Kaspersky Security Center Web Console ou onde o Console de Administração baseado em MMC estiver instalado. No entanto, é possível configurar o Servidor de Administração para que os usuários possam se conectar a ele apenas a partir de dispositivos com endereços IP permitidos. Neste caso, mesmo que um invasor roube uma conta do Kaspersky Security Center, ele não poderá fazer login no Kaspersky Security Center unicamente a partir do endereço IP que está na lista de permissão.

Este artigo foi útil?
O que podemos melhorar?
Agradecemos o seu comentário! Ele nos ajuda a melhorar.
Agradecemos o seu comentário! Ele nos ajuda a melhorar.