Account e autenticazione

Utilizzo della verifica in due passaggi con Administration Server

Kaspersky Security Center Linux fornisce la verifica in due passaggi per gli utenti di Kaspersky Security Center Web Console, basata sullo standard RFC 6238 (TOTP: Time-Based One-Time Password Algorithm).

Quando la verifica in due passaggi è abilitata per il proprio account, ogni volta che si accede a Kaspersky Security Center Web Console è necessario immettere il nome utente, la password e un codice di sicurezza monouso aggiuntivo. Per ricevere un codice di sicurezza monouso è necessario installare un'applicazione di autenticazione nel computer o nel dispositivo mobile.

Esistono autenticatori software e hardware (token) che supportano lo standard RFC 6238. Ad esempio, gli autenticatori software includono Google Authenticator, Microsoft Authenticator, FreeOTP.

Si sconsiglia vivamente di installare l'applicazione di autenticazione nello stesso dispositivo da cui viene stabilita la connessione ad Administration Server. È possibile installare un'applicazione di autenticazione nel dispositivo mobile.

Utilizzo dell'autenticazione a due fattori per un sistema operativo

Si consiglia di utilizzare l'autenticazione a più fattori (MFA) per l'autenticazione nel dispositivo Administration Server utilizzando un token, una smart card o un altro metodo (se possibile).

Divieto di salvare la password amministratore

Se si utilizza Kaspersky Security Center Web Console, si sconsiglia di salvare la password amministratore nel browser installato nel dispositivo dell'utente.

Autenticazione di un account utente interno

Per impostazione predefinita, la password di un account utente interno di Administration Server deve rispettare le seguenti regole:

• La password deve avere una lunghezza compresa tra 8 e 16 caratteri.

• La password deve contenere caratteri da almeno tre dei gruppi elencati di seguito:

  • Lettere maiuscole (A-Z)

  • Lettere minuscole (a-z)

  • Numeri (0-9)

  • Caratteri speciali (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;)

• La password non deve contenere spazi, caratteri Unicode o la combinazione di "." e "@", quando "." si trova prima di "@".

Per impostazione predefinita, il numero massimo di tentativi di immissione della password consentiti è 10. È possibile modificare il numero di tentativi di immissione della password consentiti.

L’utente di Kaspersky Security Center Linux può immettere una password non valida un numero limitato di volte. Una volta raggiunto il limite, l'account utente viene bloccato per un'ora.

Gruppo di amministrazione dedicato per Administration Server

Si consiglia di creare un gruppo di amministrazione dedicato per Administration Server. Concedere a questo gruppo diritti di accesso speciali e creare un criterio di sicurezza speciale per lo stesso.

Per evitare di abbassare intenzionalmente il livello di sicurezza di Administration Server, si consiglia di limitare l'elenco degli account che possono gestire il gruppo di amministrazione dedicato.

Limitazione dell'assegnazione del ruolo di amministratore principale

All'utente creato dall'utilità kladduser viene assegnato il ruolo di amministratore principale nell'elenco di controllo degli accessi (ACL) di Administration Server. Si consiglia di evitare l'assegnazione del ruolo di amministratore principale a un numero elevato di utenti.

Configurazione dei diritti di accesso alle funzionalità dell'applicazione

Si consiglia di utilizzare una configurazione flessibile dei diritti di accesso alle funzionalità di Kaspersky Security Center Linux per ciascun utente o gruppo di utenti.

Il controllo degli accessi in base al ruolo consente la creazione di ruoli utente standard con un set di diritti predefinito e l'assegnazione di tali ruoli agli utenti sulla base dell'ambito delle relative mansioni lavorative.

Principali vantaggi del modello di controllo degli accessi in base al ruolo:

• Amministrazione semplificata
• Gerarchia dei ruoli
• Approccio con privilegio minimo
• Separazione dei compiti

È possibile assegnare ruoli predefiniti a determinati dipendenti in base alle loro posizioni o creare ruoli completamente nuovi.

Durante la configurazione dei ruoli, prestare attenzione ai privilegi associati alla modifica dello stato di protezione del dispositivo Administration Server e all'installazione remota di software di terzi:

• Gestione dei gruppi di amministrazione.
• Operazioni con Administration Server.
• Installazione remota.
• Modifica dei parametri per l’archiviazione di eventi e l’invio delle notifiche.

  Questo privilegio consente di impostare notifiche che eseguono uno script o un modulo eseguibile nel dispositivo Administration Server quando si verifica un evento.

Account separato per l'installazione remota delle applicazioni

Oltre alla differenziazione di base dei diritti di accesso, si consiglia di limitare l'installazione remota delle applicazioni per tutti gli account (ad eccezione dell'amministratore principale o di un altro account specializzato).

Si consiglia di utilizzare un account separato per l'installazione remota delle applicazioni. È possibile assegnare un ruolo o autorizzazioni all'account separato.

Controllo periodico di tutti gli utenti

Si consiglia di eseguire un controllo periodico di tutti gli utenti sul dispositivo Administration Server. In questo modo, è possibile rispondere a determinati tipi di minacce alla sicurezza associate alla possibile compromissione del dispositivo.