管理サーバーの保護管理
管理サーバー保護ソフトウェアの選択
管理サーバーの導入種類と一般的な保護戦略に応じて、管理サーバーデバイスを保護するためのアプリケーションを選択します。
専用デバイスに管理サーバーを導入する場合は、Kaspersky Endpoint Security アプリケーションを選択して管理サーバーデバイスを保護することを推奨します。これにより、ふるまい分析モジュールなど、管理サーバーデバイスを保護するために使用可能なすべての技術を適用することができます。
インフラストラクチャに存在し、以前に他のタスクに使用されていたデバイスに管理サーバーがインストールされている場合は、次の保護ソフトウェアを検討することを推奨します:
- Kaspersky Industrial CyberSecurity for Nodes。産業用ネットワークに含まれるデバイスにこのアプリケーションをインストールすることを推奨します。Kaspersky Industrial CyberSecurity for Nodes は、産業用ソフトウェアの様々なメーカーとの互換性のある証明書を持つ製品です。
- 推奨するセキュリティソリューション。管理サーバーが他のソフトウェアと一緒にデバイスにインストールされている場合、セキュリティソリューションの互換性に関するそのソフトウェアベンダーの推奨事項を考慮することを推奨します(セキュリティソリューションを選択するための推奨事項が既に存在する場合があり、信頼ゾーンを構成する必要がある場合があります)。
保護アプリケーション用に別のセキュリティポリシーを作成
管理サーバーデバイスを保護するアプリケーション用に別のセキュリティポリシーを作成することを推奨します。このポリシーは、クライアントデバイスのセキュリティポリシーとは異なるものである必要があります。これにより、他のデバイスの保護レベルに影響を与えることなく、管理サーバーに最適なセキュリティ設定を指定することができます。
デバイスをグループに分けてから、特別なセキュリティポリシーを作成できる別のグループに管理サーバーデバイスを配置することを推奨します。
保護モジュール
管理サーバーと同じデバイスにインストールされているサードパーティ製ソフトウェアのベンダーから特別な推奨事項がない場合は、使用可能なすべての保護モジュールを有効化して構成することを推奨します(これらの保護モジュールの動作を一定時間チェックした後)。
管理サーバーデバイスのファイアウォールの構成
管理サーバーデバイスでは、ファイアウォールを設定して、管理者が管理コンソールまたは Kaspersky Security Center Web コンソールを介して管理サーバーに接続できるデバイスの数を制限することを推奨します。
既定では、管理サーバーはポート 13291 を使用して管理コンソールからの接続を受信し、ポート 13299 を使用して Kaspersky Security Center Web コンソールからの接続を受信します。これらのポートを使用して管理サーバーを管理できるデバイスの数を制限することを推奨します。
コントロールパネルの起動禁止
Microsoft Windows を実行しているデバイスに管理サーバーをインストールし、アプリケーション起動制御モジュールで保護アプリケーションを使用する場合、権限のないユーザー(管理者グループなど)によるコントロールパネル(control.exe)の起動を禁止することができます。
アプリケーションの起動を禁止する特定の制御ルールを作成すると、事前定義された管理者ロールの権限を持つユーザーは、ログインやパスワードの変更など、他のネットワークアカウントを制御することができなくなります。