账户和身份验证
通过管理服务器使用两步验证
Kaspersky Security Center Linux 为 Kaspersky Security Center Web Console 的用户提供两步验证,基于 RFC 6238 标准(TOTP:基于时间的一次性密码算法)。
为您自己的账户启用两步验证后,每次登录 Kaspersky Security Center Web Console 时,都需要输入用户名、密码和附加的一次性安全代码。要接收一次性安全代码,您必须在计算机或移动设备上安装认证应用程序。
有支持 RFC 6238 标准的软件和硬件验证器(令牌)。例如,软件验证器包括 Google Authenticator、Microsoft Authenticator、FreeOTP。
我们强烈建议不要在与管理服务器建立连接的同一台设备上安装验证器应用程序。您可以在移动设备上安装验证器应用程序。
对操作系统使用双重身份验证
我们建议使用令牌、智能卡或其他方法(如果可能)在管理服务器设备上使用多重身份验证 (MFA) 进行身份验证。
禁止保存管理员密码
如果您使用 Kaspersky Security Center Web Console,我们不建议在用户设备上安装的浏览器中保存管理员密码。
内部用户账户的身份验证
默认情况下,管理服务器内部用户账户的密码必须遵守以下规则:
密码必须是8 到 16 位字符长度。
密码必须包含以下组中三组的字符:
大写字母 (A-Z)
小写字母 (a-z)
数字 (0-9)
特殊字符 (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;)
密码不可以包含任何空格、Unicode 字符以及“.”和“@”按先后顺序的组合。
默认下,允许的最大密码输入尝试次数是 10。您可以更改允许的密码输入尝试次数。
Kaspersky Security Center Linux 用户可以输入无效密码的次数有限。达到限制后,用户账户被锁定一小时。
管理服务器的专用管理组
我们建议为管理服务器创建一个专门的管理组。授予该组特殊访问权限并为其创建特殊安全策略。
为避免故意降低管理服务器的安全级别,我们建议限制可以管理专用管理组的账户列表。
限制主管理员角色的分配
由 kladduser 实用程序创建的用户在管理服务器的访问控制列表 (ACL) 中被分配为主管理员角色。我们建议避免将主管理员角色分配给大量用户。
配置对应用程序功能的访问权限
我们建议为每个用户或用户组灵活配置对 Kaspersky Security Center Linux 功能的访问权限。
基于角色的访问控制允许通过使用一组预定义的权限创建标准用户角色并根据用户的职责范围将这些角色分配给用户。
基于角色的访问控制模型的主要优点:
- 易于管理
- 角色层级
- 最小特权方法
- 职责分离
您可以根据职位为某些员工分配内置角色,或创建全新的角色。
在配置角色时,注意与改变管理服务器设备保护状态和远程安装第三方软件相关的权限:
- 对管理组进行管理。
- 管理服务器操作。
- 远程安装。
- 更改用于存储事件和发送通知的参数。
此权限允许您设置在事件发生时在管理服务器设备上运行脚本或可执行模块的通知。
使用单独的账户进行远程安装应用程序
除了访问权限的基本区分外,我们建议限制所有账户(主管理员或其他专用账户除外)进行应用程序远程安装。
我们建议使用单独的账户进行远程安装应用程序。您可以分配角色或者权限给单独账户。
定期审核所有用户
我们建议对管理服务器设备上的所有用户进行定期审核。这使您能够应对与可能损害设备相关的某些类型的安全威胁。