接続の安全性

2024年3月18日

ID 245773

TLS の使用

管理サーバーへのセキュアでない接続を禁止することを推奨します。たとえば、管理サーバーの設定で HTTP を使用する接続を禁止することができます。

既定では、管理サーバーの HTTP ポートが閉じられていることに注意してください。残りのポートは、管理サーバーのウェブサーバー(8060)に使用されます。このポートは、管理サーバーデバイスのファイアウォール設定によって制限される場合があります。

厳密な TLS 設定

バージョン 1.2 以降の TLS プロトコルを使用し、セキュアでない暗号化アルゴリズムを制限または禁止することを推奨します。

管理サーバーが使用する暗号化プロトコル(TLS)を構成することができます。管理サーバーのバージョンのリリース時には、安全なデータ転送を確保するために暗号化プロトコルが既定で設定されていることに注意してください。

管理サーバーデータベースへのアクセスを制限する

管理サーバーデータベースへのアクセスを制限することを推奨します。たとえば、管理サーバーデバイスからのみアクセスを許可します。これにより、既知の脆弱性が原因で管理サーバーデータベースが危険にさらされる可能性が低くなります。

使用するデータベースの操作説明書に従ってパラメータを構成したり、ファイアウォールで閉じたポートを提供したりすることができます。

Windows アカウントによるリモート認証の禁止

LP_RestrictRemoteOsAuth フラグを使用して、リモートアドレスからの SSPI 接続を禁止することができます。このフラグを使用すると、ローカルまたはドメインの Windows アカウントを使用した管理サーバーでのリモート認証を禁止することができます。

LP_RestrictRemoteOsAuth フラグをリモートアドレスからの接続を禁止するモードに切り替えるには:

  1. Windows コマンドプロンプトを管理者権限で実行し、現在のディレクトリを klscflag ユーティリティのあるディレクトリに変更します。klscflag ユーティリティは、管理サーバーがインストールされているフォルダーにあります。既定のインストールパス:<Disk>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center。
  2. コマンドラインで次のコマンドを実行して、LP_RestrictRemoteOsAuth フラグの値を指定します:

    klscflag.exe -fset -pv .core/.independent -s KLLIM -n LP_RestrictRemoteOsAuth -t d -v 1

  3. 管理サーバーサービスを再起動します。

リモート認証が Kaspersky Security Center Web コンソールまたは管理サーバーデバイスにインストールされている管理コンソールを介して実行される場合、LP_RestrictRemoteOsAuth フラグは機能しません。

Microsoft SQL Server の認証

Kaspersky Security Center が Microsoft SQL Server を DBMS として使用する場合、データベースとの間で転送される Kaspersky Security Center のデータおよびデータベースに保存されているデータを不正アクセスから保護する必要があります。これを行うには、Kaspersky Security Center と SQL Server の間の通信を保護する必要があります。セキュアな通信を実現する最も確実な方法は、Kaspersky Security Center と SQL Server を同じデバイスにインストールし、両方のアプリケーションで共有メモリ機構を使用する方法です。それ以外の場合は、SSL または TLS 証明書を使用して SQL Server インスタンスを認証することを推奨します。

管理サーバーに接続するための IP アドレスの許可リストの設定

既定では、ユーザーは、Kaspersky Security Center Web コンソールを開くことができる、または MMC ベースの管理コンソールをインストールした任意のデバイスで Kaspersky Security Center にログインすることができます。ただし、管理サーバーを設定することで、ユーザーが許可された IP アドレスを持つデバイスからのみ管理サーバーに接続できるように設定できます。この場合、侵入者が Kaspersky Security Center アカウントを盗んだとしても、侵入者は許可リストに登録されている IP アドレス以外から Kaspersky Security Center にログインすることはできません。

この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。