Esquema para conectar dispositivos KES ao servidor envolvendo a delegação de restrição Kerberos (KCD)

5 de abril de 2024

ID 92523

O esquema para conectar dispositivos KES ao Servidor de Administração envolvendo a delegação restringida Kerberos (KCD) fornece o seguinte:

  • Integração com um firewall corporativo compatível com a KCD.
  • Uso do Kerberos Constrained Delegation (aqui referido como KCD) para a autenticação de dispositivos móveis.
  • Integração com a Infraestrutura de chaves públicas (aqui referida como PKI) para aplicar certificados de usuário.

Ao usar este esquema de conexão, observe o seguinte:

  • O tipo de conexão dos dispositivos KES com o firewall corporativo deve ser "autenticação SSL bilateral", ou seja, um dispositivo deve conectar-se ao firewall corporativo por meio de seu certificado do usuário proprietário. Para fazer isto, você deve integrar o certificado do usuário no pacote de instalação de Kaspersky Endpoint Security for Android que foi instalado no dispositivo. Este pacote KES deve ser criado pelo Servidor de Administração especificamente para este dispositivo (usuário).
  • Você deve especificar o certificado especial (personalizado) em vez do certificado de servidor padrão para o protocolo móvel:
    1. Na janela de propriedades do Servidor de Administração, na seção Configurações, marque a caixa de seleção Abrir a porta para dispositivos móveis e selecione Adicionar certificado na lista suspensa.
    2. Na janela que é aberta, especifique o mesmo certificado que foi definido no firewall corporativo quando o ponto do acesso ao protocolo móvel foi publicado no Servidor de Administração.
  • Os certificados de usuário de dispositivos KES devem ser emitidos por Certificate Authority (CA) do domínio. Tenha em mente que se o domínio incluir CAs de múltiplas raízes, os certificados do usuário devem ser emitidos pela CA, que foi definida na publicação no firewall corporativo.

    Você pode assegurar-se de que o certificado do usuário esteja em conformidade com requisito acima descrito, usando um dos seguintes métodos:

    • Especifique o certificado do usuário especial no Assistente de novo pacote e no Assistente de instalação de certificados.
    • Integre o Servidor de Administração com o PKI do domínio e defina a configuração correspondente nas regras de emissão de certificados:
      1. Na árvore do console, expanda a pasta Gerenciamento de Dispositivos Móveis e selecione a subpasta Certificados.
      2. No espaço de trabalho da pasta Certificados, clique no botão Configurar as regras de emissão de certificados para abrir a janela Regras de emissão do certificado.
      3. Na seção Integração com PKI, configure a integração com a infraestrutura de chaves públicas.
      4. Na seção Emissão de certificados móveis, especifique a origem dos certificados.

Abaixo encontra-se um exemplo da Kerberos Constrained Delegation (KCD) com as seguintes suposições:

  • O ponto do acesso ao protocolo móvel no Servidor de Administração é definido na porta 13292.
  • O nome do dispositivo com o firewall corporativo é firewall.mydom.local.
  • O nome do dispositivo com o Servidor de Administração é ksc.mydom.local.
  • O nome da publicação externa do ponto de acesso ao protocolo móvel é kes4mob.mydom.global.

Conta de domínio para o Servidor de Administração

Você deve criar uma conta de domínio (por exemplo, KSCMobileSrvcUsr) sob a qual o serviço Servidor de Administração será executado. Você pode especificar uma conta do serviço Servidor de Administração ao instalar o Servidor de Administração ou através do utilitário klsrvswch. O utilitário klsrvswch está localizado na pasta de instalação do Servidor de Administração. O caminho de instalação padrão: <Disco>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.

Uma conta de domínio deve ser especificada pelos seguintes motivos:

  • O recurso para o gerenciamento de dispositivos KES é uma parte integral do Servidor de Administração.
  • Para assegurar um funcionamento apropriado do Kerberos Constrained Delegation (KCD), o lado recebedor (ou seja, o Servidor de Administração) deve ser executado sob uma conta de domínio.

Nome do serviço principal para http/kes4mob.mydom.local

No domínio, sob a conta KSCMobileSrvcUsr, adicione um SPN para publicar o serviço de protocolo móvel na porta 13292 do dispositivo com o Servidor de Administração. Para o dispositivo kes4mob.mydom.local com o Servidor de Administração, isto aparecerá como segue:

setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr

Configurar as propriedades de domínio do dispositivo com o firewall corporativo (firewall.mydom.local)

Para delegar o tráfego, você deve confiar o dispositivo com o firewall corporativo (firewall.mydom.local) ao serviço definido pelo SPN (http/kes4mob.mydom.local:13292).

Para confiar o dispositivo com firewall corporativo ao serviço definido pelo SPN (http/kes4mob.mydom.local:13292), o administrador deve executar as seguintes ações:

  1. No snap-in Microsoft Management Console nomeado "Usuários e Computadores do Active Directory", selecione o dispositivo com o firewall corporativo instalado (firewall.mydom.local).
  2. Nas propriedades do dispositivo, na guia Delegação, defina Confiar neste computador somente para a delegação ao serviço especificado alterne para Usar qualquer protocolo de autenticação.
  3. Na lista Serviços aos quais esta conta pode apresentar credenciais delegadas, adicione o SPN http/kes4mob.mydom.local:13292.

Certificado especial (personalizado) para a publicação (kes4mob.mydom.global)

Para publicar o protocolo móvel do Servidor de Administração, você deve emitir um certificado especial (personalizado) para o FQDN kes4mob.mydom.global e especificá-lo em vez do certificado de servidor padrão nas configurações do protocolo móvel do Servidor de Administração no Console de Administração. Para fazer isso, na janela de propriedades do Servidor de Administração, na seção Configurações, selecione a caixa de seleção Abrir a porta para dispositivos móveis e, a seguir, selecione Adicionar certificado na lista suspensa.

Observe que o contêiner de certificado do servidor (arquivo com a extensão p12 ou pfx) também deve conter uma cadeia de certificados raiz (chaves públicas).

Configurar a publicação no firewall corporativo

No firewall corporativo, para o tráfego que vai de um dispositivo móvel até a porta 13292 do kes4mob.mydom.global, é necessário configurar a KCD no SPN (http/kes4mob.mydom.global:13292), usando o certificado emitido para o FQDN (kes4mob.mydom.global). Observe que publicar e ponto de acesso publicado (porta 13292 do Servidor de Administração) deve compartilhar o mesmo certificado de servidor.

Consulte também:

Integração com a infraestrutura de chaves públicas

Fornecer acesso à Internet ao Servidor de Administração

Servidor de Administração dentro da LAN, dispositivos gerenciados na Internet e o firewall em uso

Este artigo foi útil?
O que podemos melhorar?
Agradecemos o seu comentário! Ele nos ajuda a melhorar.
Agradecemos o seu comentário! Ele nos ajuda a melhorar.