管理服务器部署
管理服务器架构
一般来说,集中式管理架构的选择取决于受保护设备的位置、相邻网络的访问、数据库更新的交付方案等。
在架构开发的初始阶段,我们建议熟悉 Kaspersky Security Center 组件以及他们之间的互动,以及数据流量和端口使用的模式。
基于此信息,您可以形成一个架构指定:
- 管理服务器位置和网络连接
- 管理员工作区的组织以及连接到管理服务器的方法
- 网络代理及防护软件的部署方法
- 使用分发点
- 使用虚拟管理服务器
- 使用管理服务器层级
- 反病毒数据库更新方案
- 其他信息流
选择用于安装管理服务器的设备
我们建议将管理服务器安装在组织基础架构的专用服务器上。如果服务器上没有安装其他第三方软件,您可以根据 Kaspersky Security Center 的要求配置安全设置而不依赖于第三方软件的要求。
您可以在物理服务器或虚拟服务器上部署管理服务器。请确保所选设备满足硬件和软件要求。
管理服务器位置
管理服务器管理的设备可以位于如下位置:
在局域网 (LAN) 上
在互联网上
在隔离区域 (DMZ)
同时,管理服务器也可以位于不同的网段:工业网段、企业网段和 DMZ 网段。
如果您使用 Kaspersky Security Center 管理隔离网段的保护,我们建议在隔离区域 (DMZ) 的一个分段部署管理服务器。这使您可以组织适当的网络分段并最大程度地减少流向受保护分段的流量,同时保持完整的管理功能和更新交付。
限制将管理服务器安装在域控制器、终端服务器或用户设备上
我们强烈不建议将管理服务器安装在域控制器、终端服务器或用户设备上。
我们建议您提供网络关键节点的功能分离。这种方法允许您在节点出现故障或受到损害时保持不同系统的可操作性。同时,您可以为每个节点创建不同的安全策略。
例如,通常应用于域控制器的安全限制会显著降低管理服务器的性能,并导致无法使用管理服务器的某些功能。如果入侵者获得了对域控制器的特权访问,Active Directory 域服务 (AD DS) 数据库可以被修改、损坏或销毁。此外,所有由 Active Directory 管理的系统和账户都可能受到损坏。
用于安装和运行管理服务器的账户
我们建议在本地管理员账户下运行管理服务器安装,以避免使用域账户访问管理服务器数据库。所需账户及其权利集取决于所选的 DBMS 类型、DBMS 位置和管理服务器数据库创建方法。
在 Kaspersky Security Center 安装期间,程序会自动创建 KLAdmins 和 KLOperators 组。这些组被授予连接至管理服务器和处理管理服务器对象的权限。
根据安装 Kaspersky Security Center 时使用的账户类型,系统会创建如下所示的 KLAdmins 和 KLOperators 组:
- 如果应用程序是在域内包含的用户账户下安装的,则系统会在管理服务器上和包含管理服务器的域内同时创建这些组。
- 如果应用程序是在系统账户下安装的,则系统仅会在管理服务器设备上创建这些组。
为了避免在域中创建 KLAdmins 和 KLOperators 组并因此向管理服务器设备外的账户提供管理管理服务器的权限,我们建议在本地账户下安装 Kaspersky Security Center。
在管理服务器安装期间,选择用于启动管理服务器作为服务的账户。默认情况下,应用程序会创建一个名为 KL-AK-* 的本地账户,管理服务器服务(klserver 服务)将在该账户下运行。
如有必要,管理服务器服务可以在所选账户下运行。此账户必须被授予访问 DBMS 所需的权限。出于安全原因,请使用非特权账户来运行管理服务器服务。
为了避免使用不正确的账户设置,我们建议自动生成账户。
从域中排除管理服务器
如果您使用管理服务器来保护重要系统的设备组,我们不建议将管理服务器设备包含在域中(如果使用的话)。这可让您区分 Kaspersky Security Center 管理权限并防止访问管理服务器以防域账户受到损害。
请考虑到,如果您在工作组中包含的设备上安装管理服务器,则以下使用管理服务器的场景将不可用:
- 使用Kaspersky Security Center 故障转移集群
- 使用Windows Server 故障转移群集
- 在单独的设备上使用 SQL Server
仅当管理服务器和 SQL Server 包含在域中时,您才可以在单独的设备上使用 SQL Server。
- 使用管理服务器工具通过活动目录组策略远程安装
如果需要在工作组中包含的设备上安装管理服务器,您可以使用 Kaspersky Security Center Linux而不是 Kaspersky Security Center Windows 来避免安装管理服务器。