强化指南
Kaspersky Security Center 云控制台是由卡巴斯基托管和维护的应用程序。您不必在计算机或服务器上安装 Kaspersky Security Center 云控制台 。Kaspersky Security Center 云控制台允许管理员在公司网络中的设备上安装 Kaspersky 安全应用程序,远程运行扫描和更新任务,以及管理受管理应用程序的安全策略。
Kaspersky Security Center 云控制台旨在用于在组织网络中集中执行基本的管理和维护任务。该应用程序使管理员可以访问有关组织网络安全级别的详细信息。Kaspersky Security Center 云控制台允许您配置使用卡巴斯基应用程序构建的所有保护组件。
Kaspersky Security Center 云控制台拥有对客户端设备保护管理的完全访问权限,是组织安全系统中最重要的组件。因此,Kaspersky Security Center 云控制台需要增加保护方法。
强化指南描述了配置 Kaspersky Security Center 云控制台及其组件的建议和功能,旨在降低其危害的风险。
强化指南包含以下信息:
- 配置账户以访问 Kaspersky Security Center 云控制台
- 管理客户端设备保护
- 配置受管理应用程序的保护
- 将信息传输到第三方应用程序
在开始使用 Kaspersky Security Center 云控制台之前,您会被提示阅读强化指南的简要版本。
请注意,在您确认已阅读强化指南之前,您不能使用 Kaspersky Security Center 云控制台。
要阅读强化指南:
- 打开 Kaspersky Security Center 云控制台并登录。Kaspersky Security Center 云控制台将检查您是否确认阅读了当前版本的强化指南。
如果您尚未阅读强化指南,一个窗口会打开并显示它的简要版本。
- 执行以下操作之一:
- 如果要以文本文档形式查看强化指南的简要版本,请单击“在新窗口中打开”链接。
- 如果您想查看强化指南完整版,请单击“打开在线帮助中的强化指南”链接。
- 阅读强化指南后,选择“我确认我已完全阅读并理解强化指南”复选框,然后单击“接受”按钮。
现在,您可以使用 Kaspersky Security Center 云控制台。
当新版本的强化指南出现时,Kaspersky Security Center 云控制台将提示您阅读它。
计划 Kaspersky Security Center 云控制台架构
一般来说,集中式管理架构的选择取决于受保护设备的位置、相邻网络的访问、数据库更新的交付方案等。
在架构开发的初始阶段,我们建议熟悉 Kaspersky Security Center 云控制台组件以及他们之间的互动,以及数据流量和端口使用的模式。
基于此信息,您可以形成一个架构指定:
- 管理员工作区的组织以及连接到 Kaspersky Security Center 云控制台的方法
- 网络代理及防护软件的部署方法
- 使用分发点
- 使用虚拟管理服务器
- 使用管理服务器层级
- 反病毒数据库更新方案
- 其他信息流
账户和身份验证
通过 Kaspersky Security Center 云控制台使用两步验证
Kaspersky Security Center 云控制台为用户提供了两步验证。
两步验证可以帮助您提高 Kaspersky Security Center 云控制台中账户的安全性。启用此功能后,每次使用电子邮件地址和密码登录 Kaspersky Security Center 云控制台时,您都会输入额外的一次性安全代码。您可以通过短信接收一次性安全码或在认证应用中生成此代码(取决于您设置的两步验证方法)。
我们强烈建议不要在与 Kaspersky Security Center 云控制台建立连接的同一台设备上安装认证应用。您可以在移动设备上安装认证应用。
禁止保存管理员密码
如果您使用 Kaspersky Security Center 云控制台,我们强烈建议不要在用户设备上安装的浏览器中保存管理员密码。
如果浏览器遭到破坏,入侵者就可以访问已保存的密码。此外,如果保存密码的用户设备被盗或丢失,入侵者就可以访问受保护的数据。
限制主管理员角色成员资格
我们建议限制主管理员角色成员资格。
默认情况下,用户创建工作区后,将向该用户分配主管理员角色。它对于管理很有用,但从安全角度来看也至关重要,因为主管理员角色拥有广泛的权限。应严格规范向用户分配此角色。
您可以使用具有一组预配置权限的预定义用户角色来管理 Kaspersky Security Center 云控制台。
配置对应用程序功能的访问权限
我们建议为每个用户或用户组灵活配置对 Kaspersky Security Center 云控制台功能的访问权限。
基于角色的访问控制允许通过使用一组预定义的权限创建标准用户角色并根据用户的职责范围将这些角色分配给用户。
基于角色的访问控制模型的主要优点:
- 易于管理
- 角色层级
- 最小特权方法
- 职责分离
在配置角色时,注意与改变管理服务器设备保护状态和远程安装第三方软件相关的权限:
- 对管理组进行管理。
- 管理服务器操作。
- 远程安装。
- 更改用于存储事件和发送通知的参数。
此权限允许您设置在事件发生时在管理服务器设备上运行脚本或可执行模块的通知。
使用单独的账户进行远程安装应用程序
除了访问权限的基本区分外,我们建议限制所有账户(主管理员或其他专用账户除外)进行应用程序远程安装。
我们建议使用单独的账户进行远程安装应用程序。您可以分配角色或者权限给单独账户。
页顶管理客户端设备保护
在管理组之间移动设备的自动规则
我们建议限制使用在管理组之间移动设备的自动规则。
如果您使用自动规则移动设备,这可能会导致策略的传播,这些策略为移动的设备提供比重新定位前的设备更多的权限。
此外,将客户端设备移动到另一个管理组可能会导致策略设置的传播。这些策略设置可能不适合分发给访客和不受信任的设备。
此建议不适用于将设备一次性初始分配给管理组。
分发点和连接网关的安全要求
安装了网络代理的设备可以充当分发点并执行以下功能:
- 将从管理服务器收到的更新和安装包分发到组内的客户端设备。
- 在客户端设备上执行第三方软件和卡巴斯基应用程序的远程安装。
- 轮询网络以检测新设备并更新现有设备的信息。
- 充当客户端设备的 KSN 代理服务器。
考虑到可用功能,我们建议保护充当分发点的设备免受任何类型的未经授权的访问(包括物理访问)。
页顶配置受管理应用程序的保护
配置网络保护
确保您已完成Kaspersky Security Center 云控制台初始配置方案。此方案还包括执行快速启动向导的步骤。
快速启动向导运行时,会创建带有默认参数的策略和任务。这些参数可能不是最佳的,甚至可能在您的组织中被禁止。因此,我们建议配置已创建的策略和任务,并根据组织网络的需要创建其他策略和任务。
指定用于禁用保护和卸载应用程序的密码
为防止入侵者禁用卡巴斯基安全应用程序,我们强烈建议为禁用保护和卸载卡巴斯基安全应用程序启用密码保护。您可以为(例如)Kaspersky Endpoint Security for Windows、Kaspersky Security for Windows Server、网络代理和其他卡巴斯基应用程序设置密码。启用密码保护后,我们建议通过关闭“锁”来锁定这些设置。
指定将客户端设备手动连接到管理服务器的密码(klmover 实用程序)
klmover 实用程序允许您手动将客户端设备连接到管理服务器。在客户端设备上安装网络代理时,自动将该实用程序复制到网络代理安装文件夹。
为了防止入侵者将设备移出管理服务器的控制,我们强烈建议为运行 klmover 实用程序启用密码保护。要启用密码保护,请在网络代理策略设置使用卸载密码使用卸载密码选项。
启用使用卸载密码选项还会为清理工具 (cleaner.exe) 启用密码保护。
klmover 实用程序仅用于移动由虚拟管理服务器管理的受管理设备。
使用卡巴斯基安全网络
在受管理应用程序的所有策略和 Kaspersky Security Center 云控制台属性中,我们建议启用卡巴斯基安全网络 (KSN) 的使用并接受 KSN 声明。当您更新或升级 Kaspersky Security Center 云控制台时,您可以接受更新后的 KSN 声明。
发现新设备
我们建议正确配置设备发现设置:设置与 Active Directory 的集成,并指定用于发现新设备的 IP 地址范围。
出于安全目的,您可以使用包含所有新设备的默认管理组和影响该组的默认策略。
页顶