管理服务器连接保护
使用 Kaspersky Security Center 的网络代理组件可以将计算机连接到管理服务器。如果入侵者有足够的权限修改服务器连接设置,则存在将计算机连接到不受信任的服务器的风险。这将允许入侵者应用他们自己的组策略,例如,禁用应用程序的自我保护。Kaspersky Endpoint Security 可以防止未经授权将计算机重新连接到其他服务器。为了保护服务器连接,应用程序建议设置密码并使用基于密码的密钥派生函数 (PBKDF2)。因此,在没有密码的情况下访问应用程序是不可能的。
为了确保 Kaspersky Endpoint Security 和网络代理免受未经授权的访问的全面保护,我们建议启用额外的保护。对于 Kaspersky Endpoint Security,我们建议启用密码保护。为了保护网络代理,我们建议设置卸载密码。有关保护网络代理不被删除的详细信息,请参阅 Kaspersky Security Center 帮助。
管理计算机与管理服务器的连接是使用“管理服务器连接保护”任务实现的。任务允许您执行以下操作:
- 设置密码以保护服务器连接。
- 更改密码。
- 将计算机重新连接到其他服务器。
- 禁用服务器连接保护。
连接到管理服务器时的计算机身份验证
设置密码后,应用程序使用密码的 PBKDF2 转换创建一个数据数组。然后,应用程序使用网络代理密钥对该数据数组进行加密。应用程序使用加密的数据数组来检查管理服务器的后续连接的权限和特权。
随后,每当尝试将计算机重新连接到管理服务器时,应用程序都会使用网络代理密钥解密数据数组,并将其与本地副本进行比较。如果它们不匹配,则会限制对应用程序的访问。
管理服务器连接保护
如何在 Web Console 和云控制台中为服务器连接保护设置密码
将计算机重新连接到其他管理服务器
将计算机重新连接到其他管理服务器涉及以下步骤:
- 在当前“
[KSC1]
”服务器的控制台中,运行网络代理的“更改管理服务器”任务。运行任务后,计算机将重新连接到新的“
[KSC2]
”服务器。控制台显示处于“严重”状态的计算机。使用策略配置应用程序或在计算机上远程运行任务是不可能的。
- 在新的“
[KSC2]
”服务器的控制台中,为 Kaspersky Endpoint Security 创建一个新的“管理服务器连接保护”任务。在任务属性中,输入上一台服务器的密码,然后为新服务器设置密码。如何在管理控制台 (MMC) 中设置用于重新连接到新服务器的新密码
如何在 Web Console 和云控制台中设置用于重新连接到新服务器的新密码
完成任务后,确保在新的“
[KSC2]
”服务器的控制台中,计算机处于“正常”状态。测试您是否可以远程运行任务并使用策略配置应用程序。
重置管理服务器连接密码
如果您忘记了管理服务器连接密码或密码被泄露,您可以在任务属性中重置密码。您还可以为一组具有不同管理服务器连接保护状态的计算机重置密码并设置新密码。也就是说,如果某些计算机启用了保护,而某些计算机禁用了保护,则任务会为所有计算机设置密码。
您只能在计算机连接到的服务器的控制台中重置管理服务器连接密码。
如何在 Web Console 和云控制台中重置管理服务器连接密码
因此,管理服务器连接密码将在任务完成后重置。
禁用管理服务器连接保护
您只能在计算机连接到的服务器的控制台中远程禁用管理服务器连接保护。您还可以使用命令行在本地禁用保护。