Guida all'hardening

Kaspersky Security Center è progettato per l'esecuzione centralizzata delle attività di base di amministrazione e manutenzione nella rete di un'organizzazione. L'applicazione fornisce all'amministratore l'accesso a informazioni dettagliate sul livello di sicurezza della rete dell'organizzazione. Kaspersky Security Center consente di configurare tutti i componenti della protezione creati utilizzando le applicazioni Kaspersky.

Kaspersky Security Center Administration Server ha accesso completo alla gestione della protezione dei dispositivi client ed è il componente più importante del sistema di sicurezza dell'organizzazione. Pertanto, per Administration Server sono necessari metodi di protezione avanzati.

Prima della configurazione, creare una copia di backup di Kaspersky Security Center Administration Server utilizzando l'attività Backup dei dati di Administration Server o l'utilità klbackup e salvarla in una posizione sicura.

Nella Guida all'hardening, sono descritti i suggerimenti e le caratteristiche della configurazione di Kaspersky Security Center e dei suoi componenti, intesi a ridurre i rischi di compromissione.

La Guida all'hardening contiene le seguenti informazioni:

• Selezione dell'architettura di Administration Server
• Configurazione di una connessione sicura ad Administration Server
• Configurazione degli account per l'accesso ad Administration Server
• Gestione della protezione di Administration Server
• Gestione della protezione dei dispositivi client
• Configurazione della protezione per le applicazioni gestite
• Manutenzione di Administration Server
• Trasferimento di informazioni ad applicazioni di terzi
• Suggerimenti sulla sicurezza per i sistemi informativi di terze parti

Distribuzione di Administration Server

Architettura di Administration Server

In generale, la scelta di un'architettura di gestione centralizzata dipende dalla posizione dei dispositivi protetti, dall'accesso da reti adiacenti, dagli schemi di distribuzione degli aggiornamenti del database e così via.

Nella fase iniziale dello sviluppo dell'architettura, si consiglia di familiarizzare con i componenti di Kaspersky Security Center e con le modalità di interazione tra essi, così come con gli schemi per il traffico dati e l'utilizzo delle porte.

Sulla base di queste informazioni, è possibile formare un'architettura che specifichi:

• La posizione di Administration Server e le connessioni di rete
• L'organizzazione delle aree di lavoro dell'amministratore e i metodi di connessione ad Administration Server
• I metodi di distribuzione per Network Agent e il software di protezione
• L'utilizzo dei punti di distribuzione
• L'utilizzo di Administration Server virtuali
• L'utilizzo di una gerarchia di Administration Server
• Lo schema di aggiornamento del database anti-virus
• Altri flussi informativi

Selezione di un dispositivo per l'installazione di Administration Server

Si consiglia di installare Administration Server in un server dedicato nell'infrastruttura dell'organizzazione. Se nel server non è installato altro software di terzi, è possibile configurare le impostazioni di sicurezza in base ai requisiti di Kaspersky Security Center, senza dipendere dai requisiti del software di terzi.

È possibile distribuire Administration Server in un server fisico o in un server virtuale. Verificare che il dispositivo selezionato soddisfi i requisiti hardware e software.

Posizione dell'Administration Server

I dispositivi gestiti da Administration Server possono essere posizionati come segue:

• Su una rete locale (LAN)

• Su internet

• Nella zona perimetrale (DMZ)

Al contempo, Administration Server può trovarsi anche in diversi segmenti: industriale, aziendale e DMZ.

Se si utilizza Kaspersky Security Center per gestire la protezione di un segmento di rete isolato, si consiglia di distribuire Administration Server in un segmento della zona perimetrale (DMZ). In questo modo, è possibile organizzare una corretta segmentazione della rete e ridurre al minimo il flusso di traffico verso il segmento protetto, mantenendo al contempo le funzionalità di gestione completa e la distribuzione degli aggiornamenti.

Limitazione della distribuzione di Administration Server in un controller di dominio, un server terminal o un dispositivo utente

Si sconsiglia vivamente di installare Administration Server in un controller di dominio, un server terminal o un dispositivo utente.

Si consiglia di fornire la separazione funzionale dei nodi chiave di rete. Questo approccio consente di mantenere l'operatività di diversi sistemi quando un nodo si guasta o è compromesso. Al contempo, è possibile creare diversi criteri di sicurezza per ciascun nodo.

Ad esempio, le limitazioni di sicurezza generalmente applicate a un controller di dominio possono ridurre significativamente le prestazioni di Administration Server e rendere impossibile l'utilizzo di alcune funzionalità di Administration Server. Se un intruso ottiene l'accesso privilegiato al controller di dominio, il database di AD DS (Active Directory Domain Services) può essere modificato, danneggiato o distrutto. Inoltre, tutti i sistemi e gli account gestiti da Active Directory possono essere compromessi.

Account per l'installazione e l'esecuzione di Administration Server

Si consiglia di eseguire l'installazione di Administration Server con un account amministratore locale per evitare di utilizzare account di dominio per accedere al database di Administration Server. Un set di account richiesti e i loro diritti dipende dal tipo di DBMS selezionato, dalla posizione del DBMS e dal metodo di creazione del database di Administration Server.

Durante l'installazione di Kaspersky Security Center vengono creati automaticamente i gruppi KLAdmins e KLOperators. A questi gruppi vengono concesse le autorizzazioni per la connessione ad Administration Server e per l'elaborazione dei relativi oggetti.

A seconda del tipo di account utilizzato per l'installazione di Kaspersky Security Center, i gruppi KLAdmins e KLOperators vengono creati come segue:

• Se l'applicazione è installata tramite un account utente incluso in un dominio, i gruppi vengono creati sia nel dispositivo Administration Server che nel dominio che include l'Administration Server.
• Se l'applicazione è installata tramite un account di sistema, i gruppi vengono creati soltanto nel dispositivo Administration Server.

Per evitare di creare i gruppi KLAdmins e KLOperators nel dominio e, di conseguenza, fornire i privilegi per gestire Administration Server a un account esterno al dispositivo Administration Server, si consiglia di installare Kaspersky Security Center con un account locale.

Durante l'installazione di Administration Server, selezionare l'account che verrà utilizzato per avviare Administration Server come servizio. Per impostazione predefinita, l'applicazione crea un account locale denominato KL-AK-*, con il quale verrà eseguito il servizio Administration Server (il servizio klserver).

Se necessario, il servizio Administration Server può essere eseguito con l'account selezionato. A questo account devono essere concessi i diritti richiesti per accedere al DBMS. Per motivi di sicurezza, utilizzare un account senza privilegi per eseguire il servizio Administration Server.

Per evitare l'uso di impostazioni dell'account errate, si consiglia di generare l'account automaticamente.

Esclusione di Administration Server da un dominio

Se si utilizza Administration Server per proteggere gruppi di dispositivi di importanza critica, si sconsiglia di includere il dispositivo Administration Server nel dominio. In questo modo, è possibile differenziare i diritti di gestione di Kaspersky Security Center e impedire l'accesso ad Administration Server nel caso in cui l'account di dominio venga compromesso.

Tenere presente che se si installa Administration Server in un dispositivo incluso nel gruppo di lavoro, i seguenti scenari di utilizzo di Administration Server non saranno disponibili:

• Utilizzo di un cluster di failover Kaspersky Security Center
• Utilizzo di un cluster di failover di Windows Server
• Utilizzo di SQL Server in un dispositivo separato

  È possibile utilizzare SQL Server in un dispositivo separato solo se Administration Server e SQL Server sono inclusi nel dominio.

• Installazione remota con gli strumenti di Administration Server tramite i criteri di gruppo di Active Directory

Se è necessario disconnettere Administration Server dal dominio Active Directory, attenersi alla procedura descritta nell'argomento: Come modificare il nome di Kaspersky Security Center.

Se è necessario installare Administration Server in un dispositivo incluso nel gruppo di lavoro, è possibile utilizzare anche Kaspersky Security Center Linux anziché Kaspersky Security Center Windows.

Sicurezza della connessione

Utilizzo di TLS

Si consiglia di vietare le connessioni non sicure ad Administration Server. Ad esempio, è possibile vietare le connessioni che utilizzano HTTP nelle impostazioni di Administration Server.

Si noti che, per impostazione predefinita, diverse porte HTTP di Administration Server sono chiuse. La porta rimanente viene utilizzata per il server Web di Administration Server (8060). Questa porta può essere limitata dalle impostazioni del firewall del dispositivo Administration Server.

Impostazioni TLS rigorose

Si consiglia di utilizzare il protocollo TLS versione 1.2 e successive e di limitare o vietare gli algoritmi di criptaggio non sicuri.

È possibile configurare i protocolli di criptaggio (TLS) utilizzati da Administration Server. Si noti che al momento del rilascio di una versione di Administration Server, le impostazioni del protocollo di criptaggio sono configurate per impostazione predefinita per garantire un trasferimento sicuro dei dati.

Limitazione dell'accesso al database di Administration Server

Si consiglia di limitare l'accesso al database di Administration Server. Ad esempio, concedere l'accesso solo dal dispositivo Administration Server. In questo modo, si riduce la probabilità che il database di Administration Server venga compromesso a causa di vulnerabilità note.

È possibile configurare i parametri in base alle istruzioni operative del database utilizzato, nonché fornire porte chiuse sui firewall.

Divieto di autenticazione remota tramite account Windows

È possibile utilizzare il contrassegno LP_RestrictRemoteOsAuth per vietare le connessioni SSPI da indirizzi remoti. Questo contrassegno consente di vietare l'autenticazione remota in Administration Server utilizzando account Windows locali o di dominio.

Per commutare il contrassegno LP_RestrictRemoteOsAuth nella modalità di divieto delle connessioni dagli indirizzi remoti:

1. Eseguire il prompt dei comandi di Windows con diritti di amministratore, quindi modificare la directory corrente nella directory con l'utilità klscflag. L'utilità klscflag si trova nella cartella in cui è installato Administration Server. Il percorso di installazione predefinito è <Disco>:\Programmi (x86)\ Kaspersky Lab\ Kaspersky Security Center.
2. Eseguire il comando riportato di seguito nella riga di comando per specificare il valore del contrassegno LP_RestrictRemoteOsAuth:

   klscflag.exe -fset -pv .core/.independent -s KLLIM -n LP_RestrictRemoteOsAuth -t d -v 1

3. Riavviare il servizio Administration Server.

Il contrassegno LP_RestrictRemoteOsAuth non funziona se l'autenticazione remota viene eseguita tramite Kaspersky Security Center Web Console o Administration Console installato nel dispositivo Administration Server.

Autenticazione di Microsoft SQL Server

Se Kaspersky Security Center utilizza Microsoft SQL Server come DBMS, è necessario proteggere i dati di Kaspersky Security Center trasferiti da o verso il database e i dati archiviati nel database da accessi non autorizzati. A tale scopo, è necessario fornire comunicazione sicura tra Kaspersky Security Center e SQL Server. Il modo più affidabile per garantire comunicazioni sicure è installare Kaspersky Security Center e SQL Server nello stesso dispositivo e utilizzare il meccanismo di memoria condivisa per entrambe le applicazioni. In tutti gli altri casi, è consigliabile utilizzare un certificato SSL/TLS per autenticare l'istanza di SQL Server.

In genere, Administration Server può indirizzare SQL Server tramite i seguenti provider:

• SQLOLEDB tramite TCP/IP o Named Pipe

  Questo provider è installato nel sistema operativo Windows e utilizzato per impostazione predefinita.

• MSOLEDBSQL tramite TCP/IP, Named Pipe o Memoria condivisa

  Se si desidera utilizzare questo provider, è necessario installarlo nel dispositivo con Administration Server, quindi impostare il valore 1 sulla variabile di ambiente globale KLDBADO_UseMSOLEDBSQL.

• MSOLEDBSQL19 utilizzando TCP/IP, Named Pipe o Memoria condivisa

  Se si desidera utilizzare questo provider, è necessario installarlo nel dispositivo con Administration Server, quindi impostare il valore 1 sulla variabile di ambiente globale KLDBADO_UseMSOLEDBSQL e il valore MSOLEDBSQL19 nella variabile di ambiente globale KLDBADO_ProviderName.

Inoltre, prima di utilizzare TCP/IP, Named Pipe o Memoria condivisa, verificare che il protocollo richiesto sia abilitato.

Configurazione di una lista di indirizzi IP consentiti per la connessione ad Administration Server

Per impostazione predefinita, gli utenti possono accedere a Kaspersky Security Center da qualsiasi dispositivo in cui possono aprire Kaspersky Security Center Web Console o in cui è installata Administration Console basata su MMC. Tuttavia, è possibile configurare Administration Server in modo che gli utenti possano connettersi ad esso solo da dispositivi con indirizzi IP consentiti. In questo caso, anche se un utente malintenzionato sottrae un account Kaspersky Security Center, sarà in grado di accedere a Kaspersky Security Center solo dagli indirizzi IP presenti nella lista consentiti.

Account e autenticazione

Prima di eseguire i seguenti passaggi, creare una copia di backup di Kaspersky Security Center Administration Server utilizzando Backup dei dati di Administration Server o l'utilità klbackup e salvarla in una posizione sicura.

Utilizzo della verifica in due passaggi con Administration Server

Kaspersky Security Center fornisce la verifica in due passaggi per gli utenti di Kaspersky Security Center Web Console e Administration Console, basata sullo standard RFC 6238 (algoritmo TOTP, Time-based One-time Password).

Quando la verifica in due passaggi è abilitata per il proprio account, ogni volta che si accede a Kaspersky Security Center Web Console o Administration Console è necessario immettere il nome utente, la password e un codice di sicurezza monouso aggiuntivo. Se si utilizza l'autenticazione del dominio per il proprio account, è sufficiente immettere un codice di sicurezza monouso aggiuntivo. Per ricevere un codice di sicurezza monouso è necessario installare un'app di autenticazione nel computer o nel dispositivo mobile.

Esistono autenticatori software e hardware (token) che supportano lo standard RFC 6238. Ad esempio, gli autenticatori software includono Google Authenticator, Microsoft Authenticator, FreeOTP.

Si sconsiglia vivamente di installare l'app di autenticazione nello stesso dispositivo da cui viene stabilita la connessione ad Administration Server. È possibile installare un'app di autenticazione nel dispositivo mobile.

Utilizzo dell'autenticazione a due fattori per un sistema operativo

Si consiglia di utilizzare l'autenticazione a più fattori (MFA) per l'autenticazione nel dispositivo Administration Server utilizzando un token, una smart card o un altro metodo (se possibile).

Divieto di salvare la password amministratore

Se si utilizza Administration Console, si sconsiglia di salvare la password dell'amministratore nella finestra di dialogo di connessione di Administration Server.

Se si utilizza Kaspersky Security Center Web Console, si sconsiglia di salvare la password amministratore nel browser installato nel dispositivo dell'utente.

Autenticazione di un account utente interno

Per impostazione predefinita, la password di un account utente interno di Administration Server deve rispettare le seguenti regole:

• La password deve avere una lunghezza compresa tra 8 e 16 caratteri.

• La password deve contenere caratteri da almeno tre dei gruppi elencati di seguito:

  • Lettere maiuscole (A-Z)

  • Lettere minuscole (a-z)

  • Numeri (0-9)

  • Caratteri speciali (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;)

• La password non deve contenere spazi, caratteri Unicode o la combinazione di "." e "@", quando "." si trova prima di "@".

Per impostazione predefinita, il numero massimo di tentativi di immissione della password consentiti è 10. È possibile modificare il numero di tentativi di immissione della password consentiti.

L'utente di Kaspersky Security Center può immettere una password non valida un numero limitato di volte. Una volta raggiunto il limite, l'account utente viene bloccato per un'ora.

Gruppo di amministrazione dedicato per Administration Server

Si consiglia di creare un gruppo di amministrazione dedicato per Administration Server. Concedere a questo gruppo diritti di accesso speciali e creare un criterio di sicurezza speciale per lo stesso.

Per evitare di abbassare intenzionalmente il livello di sicurezza di Administration Server, si consiglia di limitare l'elenco degli account che possono gestire il gruppo di amministrazione dedicato.

I gruppi KLAdmins e KLOperators

Durante l'installazione di Kaspersky Security Center vengono creati automaticamente i gruppi KLAdmins e KLOperators. Al gruppo KLAdmins vengono concessi tutti i diritti di accesso. Al gruppo KLOperators sono concessi solo i diritti di lettura ed esecuzione. I diritti concessi al gruppo KLAdmins sono bloccati.

È possibile visualizzare i gruppi KLAdmins e KLOperators e apportare modifiche a questi utilizzando gli strumenti di amministrazione standard del sistema operativo.

Quando si sviluppano i regolamenti per l'utilizzo di Administration Server, è necessario determinare se lo specialista della sicurezza delle informazioni richiede l'accesso completo (e l'inclusione nel gruppo KLAdmins) per eseguire le attività standard.

La maggior parte delle attività amministrative di base può essere distribuita tra reparti aziendali (o diversi dipendenti dello stesso reparto) e di conseguenza tra diversi account. In Kaspersky Security Center, è inoltre possibile impostare la differenziazione dell'accesso ai gruppi di amministrazione. Di conseguenza, è possibile implementare uno scenario in cui l'autorizzazione per gli account del gruppo KLAdmins sarà anomala e potrebbe essere considerata un incidente.

Se Kaspersky Security Center è stato installato con un account di sistema, i gruppi vengono creati solo nel dispositivo Administration Server. In questo caso, si consiglia di verificare che nel gruppo siano incluse solo le voci create durante l'installazione di Kaspersky Security Center. Si sconsiglia di aggiungere gli eventuali gruppi al gruppo KLAdmins (locale e/o di dominio) creato automaticamente durante l'installazione di Kaspersky Security Center. È inoltre necessario limitare i diritti per modificare questo gruppo. Il gruppo KLAdmins deve includere solo singoli account senza privilegi.

Se l'installazione è stata eseguita con un account utente di dominio, i gruppi KLAdmins e KLOperators vengono creati sia in Administration Server che nel dominio che include Administration Server. Si consiglia un approccio simile come l'installazione di un account locale.

Limitazione dell'appartenenza al ruolo di amministratore principale

Si consiglia di limitare l'appartenenza al ruolo di amministratore principale.

Per impostazione predefinita, dopo l'installazione di Administration Server, il ruolo di amministratore principale viene assegnato al gruppo di amministratori locali e al gruppo KLAdmins creato. È utile per la gestione, ma è fondamentale dal punto di vista della sicurezza, poiché il ruolo di amministratore principale ha una vasta gamma di privilegi. L'assegnazione di questo ruolo agli utenti dovrebbe essere strettamente regolamentata.

Gli amministratori locali possono essere esclusi dall'elenco di utenti con privilegi di amministratore di Kaspersky Security Center. Il ruolo di amministratore principale non può essere rimosso dal gruppo KLAdmins. È possibile includere nel gruppo KLAdmins gli account che verranno utilizzati per gestire Administration Server.

Se si utilizza l'autenticazione del dominio, si consiglia di limitare i privilegi degli account amministratore di dominio in Kaspersky Security Center. Per impostazione predefinita, questi account hanno il ruolo di amministratore principale. Inoltre, un amministratore di dominio può includere il proprio account nel gruppo KLAdmins per ottenere il ruolo di amministratore principale. Per evitare questo, nelle impostazioni di sicurezza di Kaspersky Security Center è possibile aggiungere il gruppo Domain Users e quindi definire le relative regole di divieto. Queste regole devono avere la precedenza su quelle di autorizzazione.

È inoltre possibile utilizzare i ruoli utente predefiniti con un set di diritti già configurato.

Configurazione dei diritti di accesso alle funzionalità dell'applicazione

Si consiglia di utilizzare una configurazione flessibile dei diritti di accesso alle funzionalità di Kaspersky Security Center per ciascun utente o gruppo di utenti.

Il controllo degli accessi in base al ruolo consente la creazione di ruoli utente standard con un set di diritti predefinito e l'assegnazione di tali ruoli agli utenti sulla base dell'ambito delle relative mansioni lavorative.

Principali vantaggi del modello di controllo degli accessi in base al ruolo:

• Amministrazione semplificata
• Gerarchia dei ruoli
• Approccio con privilegio minimo
• Separazione dei compiti

È possibile assegnare ruoli predefiniti a determinati dipendenti in base alle loro posizioni o creare ruoli completamente nuovi.

Durante la configurazione dei ruoli, prestare attenzione ai privilegi associati alla modifica dello stato della protezione del dispositivo Administration Server e all'installazione remota di software di terzi:

• Gestione dei gruppi di amministrazione.
• Operazioni con Administration Server.
• Installazione remota.
• Modifica dei parametri per l’archiviazione di eventi e l’invio delle notifiche.

  Questo privilegio consente di impostare notifiche che eseguono uno script o un modulo eseguibile nel dispositivo Administration Server quando si verifica un evento.

Account separato per l'installazione remota delle applicazioni

Oltre alla differenziazione di base dei diritti di accesso, si consiglia di limitare l'installazione remota delle applicazioni per tutti gli account (ad eccezione dell'amministratore principale o di un altro account specializzato).

Si consiglia di utilizzare un account separato per l'installazione remota delle applicazioni. È possibile assegnare un ruolo o autorizzazioni all'account separato.

Protezione degli accessi privilegiati di Windows

Si consiglia di consultare i suggerimenti di Microsoft per garantire la sicurezza degli accessi privilegiati. Per visualizzare questi suggerimenti, consultare l'articolo Protezione degli accessi privilegiati.

Utilizzo di un account MSA (Managed Service Account) o di account gMSA (group Managed Service Account) per eseguire il servizio Administration Server

Active Directory dispone di un tipo speciale di account per l'esecuzione sicura dei servizi, denominati MSA/gMSA. Kaspersky Security Center supporta gli account MSA e gli account gMSA. Se nel dominio vengono utilizzati questi tipi di account, è possibile selezionarne uno come account del servizio Administration Server.

Controllo periodico di tutti gli utenti e delle azioni degli utenti

Si consiglia di eseguire un controllo periodico di tutti gli utenti sul dispositivo Administration Server. In questo modo, è possibile rispondere a determinati tipi di minacce alla sicurezza associate alla possibile compromissione del dispositivo.

È inoltre possibile monitorare le azioni degli utenti, ad esempio la connessione e la disconnessione da Administration Server, la connessione ad Administration Server con un errore e la modifica degli oggetti (per gli oggetti che supportano la gestione delle revisioni).

Gestione della protezione di Administration Server

Selezione di un software di protezione di Administration Server

A seconda del tipo di distribuzione di Administration Server e della strategia di protezione generale, selezionare l'applicazione per proteggere il dispositivo Administration Server.

Se si distribuisce Administration Server in un dispositivo dedicato, si consiglia di selezionare l'applicazione Kaspersky Endpoint Security per proteggere il dispositivo Administration Server. In questo modo, è possibile applicare tutte le tecnologie disponibili per proteggere il dispositivo Administration Server, inclusi i moduli di analisi del comportamento.

Se Administration Server è installato in un dispositivo esistente nell'infrastruttura ed è stato utilizzato in precedenza per altre attività, si consiglia di prendere in considerazione il seguente software di protezione:

• Kaspersky Industrial CyberSecurity for Nodes. Si consiglia di installare questa applicazione nei dispositivi inclusi in una rete industriale. Kaspersky Industrial CyberSecurity for Nodes è un'applicazione che dispone di certificati di compatibilità con vari produttori di software industriale.
• Prodotti di sicurezza suggeriti. Se Administration Server è installato in un dispositivo con altro software, si consiglia di consultare i suggerimenti del fornitore del software sulla compatibilità delle soluzioni di sicurezza (potrebbero già essere disponibili suggerimenti per la selezione di una soluzione di sicurezza e potrebbe essere necessario configurare l'area attendibile).

Creazione di un criterio di sicurezza separato per l'applicazione di protezione

Si consiglia di creare un criterio di sicurezza separato per l'applicazione che protegge il dispositivo Administration Server. Questo criterio deve essere diverso dal criterio di sicurezza per i dispositivi client. In questo modo, è possibile specificare le impostazioni di sicurezza più appropriate per Administration Server, senza influire sul livello di protezione di altri dispositivi.

Si consiglia di dividere i dispositivi in gruppi e quindi di inserire il dispositivo Administration Server in un gruppo separato per il quale è possibile creare criteri di sicurezza speciali.

Moduli di protezione

In assenza di suggerimenti speciali da parte del fornitore del software di terzi installato nello stesso dispositivo di Administration Server, si consiglia di attivare e configurare tutti i moduli di protezione disponibili (dopo aver verificato il funzionamento di tali moduli di protezione per un certo periodo di tempo).

Configurazione del firewall del dispositivo Administration Server

Nel dispositivo Administration Server, si consiglia di configurare il firewall in modo da limitare il numero di dispositivi da cui gli amministratori possono connettersi ad Administration Server tramite Administration Console o Kaspersky Security Center Web Console.

Per impostazione predefinita, Administration Server utilizza la porta 13291 per ricevere connessioni da Administration Console e la porta 13299 per ricevere connessioni da Kaspersky Security Center Web Console. Si consiglia di limitare il numero di dispositivi da cui è possibile gestire Administration Server utilizzando queste porte.

Gestione della protezione dei dispositivi client

Limitazione dell'aggiunta di chiavi di licenza ai pacchetti di installazione

I pacchetti di installazione sono archiviati nella cartella condivisa di Administration Server, nella sottocartella Pacchetti. Se si aggiunge una chiave di licenza a un pacchetto di installazione, la chiave di licenza potrebbe essere compromessa poiché i diritti di accesso in lettura condivisi sono abilitati per l'archivio dei pacchetti di installazione.

Per evitare di compromettere la chiave di licenza, si sconsiglia di aggiungere chiavi di licenza ai pacchetti di installazione.

Si consiglia di utilizzare la distribuzione automatica delle chiavi di licenza ai dispositivi gestiti, la distribuzione tramite l'attività Aggiungi chiave di licenza per un'applicazione gestita e aggiungere manualmente un codice di attivazione o un file chiave ai dispositivi.

Regole automatiche per lo spostamento dei dispositivi tra i gruppi di amministrazione

Si consiglia di limitare l'uso delle regole automatiche per lo spostamento dei dispositivi tra i gruppi di amministrazione.

Se si utilizzano regole automatiche per lo spostamento dei dispositivi, ciò potrebbe comportare la propagazione di criteri che forniscono più privilegi al dispositivo spostato rispetto a quelli di cui disponeva prima del riposizionamento.

Inoltre, lo spostamento di un dispositivo client in un altro gruppo di amministrazione può comportare la propagazione delle impostazioni dei criteri. Queste impostazioni dei criteri potrebbero non essere appropriate per la distribuzione a dispositivi guest e non attendibili.

Questo suggerimento non si applica all'allocazione iniziale una tantum dei dispositivi ai gruppi di amministrazione.

Requisiti di sicurezza per i punti di distribuzione e i gateway di connessione

I dispositivi con Network Agent installato possono fungere da punto di distribuzione ed eseguire le seguenti funzioni:

• Distribuire gli aggiornamenti e i pacchetti di installazione ricevuti da Administration Server ai dispositivi client all'interno del gruppo.
• Eseguire l'installazione remota di software di terzi e applicazioni Kaspersky nei dispositivi client.
• Eseguire il polling della rete per rilevare nuovi dispositivi e aggiornare le informazioni sui dispositivi esistenti. Il punto di distribuzione può utilizzare gli stessi metodi di rilevamento dei dispositivi di Administration Server.

Posizionamento dei punti di distribuzione sulla rete dell'organizzazione utilizzati per:

• Riduzione del carico su Administration Server
• Ottimizzazione del traffico
• Concessione all'Administration Server dell'accesso ai dispositivi in parti difficili da raggiungere della rete

Tenendo conto delle capacità disponibili, si consiglia di proteggere i dispositivi che fungono da punti di distribuzione da qualsiasi tipo di accesso non autorizzato (anche fisico).

Limitazione dell'assegnazione automatica dei punti di distribuzione

Per semplificare l'amministrazione e assicurare l'operatività della rete, si consiglia di utilizzare l'assegnazione automatica dei punti di distribuzione. Tuttavia, per le reti industriali e le reti di piccole dimensioni, si consiglia di evitare l'assegnazione automatica dei punti di distribuzione, poiché, ad esempio, le informazioni private degli account utilizzati per il push delle attività di installazione remota possono essere trasferite ai punti di distribuzione tramite il sistema operativo.

Per le reti industriali e le reti di piccole dimensioni, è possibile assegnare manualmente i dispositivi in modo che fungano da punti di distribuzione.

È inoltre possibile visualizzare il Rapporto sull'attività dei punti di distribuzione.

Configurazione della protezione per le applicazioni gestite

Criteri delle applicazioni gestite

Si consiglia di creare un criterio per ogni tipo di applicazione utilizzata e componente di Kaspersky Security Center (Network Agent, Kaspersky Endpoint Security for Windows, Kaspersky Endpoint Agent e altri). Questo criterio deve essere applicato a tutti i dispositivi gestiti (il gruppo di amministrazione principale) o a un gruppo separato in cui i nuovi dispositivi gestiti vengono automaticamente spostati in base alle regole di spostamento configurate.

Indicazione della password per disabilitare la protezione e disinstallare l'applicazione

Per impedire agli intrusi di disabilitare le applicazioni di protezione Kaspersky, si consiglia vivamente di abilitare la protezione tramite password per disabilitare la protezione e disinstallare le applicazioni di protezione Kaspersky. È possibile impostare la password, ad esempio, per Kaspersky Endpoint Security for Windows, Kaspersky Security for Windows Server, Network Agent e altre applicazioni Kaspersky. Dopo aver abilitato la protezione tramite password, si consiglia di bloccare queste impostazioni chiudendo il "lucchetto".

Specificazione della password per la connessione manuale di un dispositivo client ad Administration Server (utilità klmover)

L'utilità klmover consente di connettere manualmente un dispositivo client ad Administration Server. Quando si installa Network Agent su un dispositivo client, l'utilità viene automaticamente copiata nella cartella di installazione di Network Agent.

Per impedire agli intrusi di spostare i dispositivi fuori dal controllo di Administration Server, si consiglia di abilitare la protezione tramite password per l'esecuzione dell'utilità klmover. Per abilitare la protezione con password, selezionare l'opzione Usa password di disinstallazione nelle impostazioni dei criteri di Network Agent.

L'utilità klmover richiede i diritti di amministratore locale. La protezione tramite password per l'esecuzione dell'utilità klmover può essere omessa per i dispositivi utilizzati senza diritti di amministratore locale.

L'abilitazione dell'opzione Usa password di disinstallazione abilita anche la protezione con password per lo strumento Cleaner (cleaner.exe).

Utilizzo di Kaspersky Security Network

In tutti i criteri delle applicazioni gestite e nelle proprietà di Administration Server, si consiglia di abilitare l'uso di Kaspersky Security Network (KSN) e di accettare l'Informativa KSN. Quando si aggiorna o si effettua l'upgrade di Administration Server, è possibile accettare l'Informativa KSN aggiornata. In alcuni casi, quando l'uso dei servizi cloud è vietato dalla legge o da altri regolamenti, è possibile disabilitare KSN.

Scansione regolare dei dispositivi gestiti

Per tutti i gruppi di dispositivi, si consiglia di creare un'attività che esegua periodicamente una scansione completa dei dispositivi.

Individuazione di nuovi dispositivi

Si consiglia di configurare correttamente le impostazioni di rilevamento dei dispositivi: impostare l'integrazione con Active Directory e specificare gli intervalli di indirizzi IP per il rilevamento di nuovi dispositivi.

Per motivi di sicurezza, è possibile utilizzare il gruppo di amministrazione predefinito che include tutti i nuovi dispositivi e i criteri predefiniti che interessano questo gruppo.

Selezione di una cartella condivisa

Se si distribuisce Administration Server nel dispositivo in cui viene eseguito Windows con la selezione di una cartella condivisa esistente (utilizzata, ad esempio, per l'inserimento dei pacchetti di installazione e l'archiviazione dei database aggiornati), si consiglia di verificare che i diritti di lettura siano concessi al gruppo Everyone, e i diritti di scrittura sono concessi al gruppo KLAdmins.

Manutenzione di Administration Server

Copia di backup dei dati di Administration Server

Backup dei dati consente di ripristinare i dati di Administration Server senza perdita di dati.

Le impostazioni dell'attività di backup dei dati possono essere modificate come segue:

• La frequenza di backup aumenta
• Viene specificata una directory speciale per il salvataggio delle copie
• Le password per le copie di backup sono state modificate

Se si archiviano copie di backup in una directory speciale, diversa dalla directory predefinita, si consiglia di limitare l'elenco di controllo di accesso (ACL, Access Control List) per questa directory. Gli account di Administration Server e gli account del database di Administration Server devono disporre dell'accesso in scrittura per questa directory.

Manutenzione di Administration Server

La manutenzione di Administration Server consente di ridurre il volume del database e migliorare le prestazioni e l'affidabilità delle operazioni dell'applicazione. È consigliabile eseguire la manutenzione di Administration Server almeno ogni settimana.

La manutenzione di Administration Server viene eseguita tramite un'attività specializzata. Durante la manutenzione di Administration Server, l'applicazione esegue le azioni seguenti:

• Verifica se sono presenti errori nel database
• Riorganizza gli indici del database
• Aggiorna le statistiche del database
• Riduce le dimensioni del database (se necessario)

Installazione degli aggiornamenti del sistema operativo e degli aggiornamenti software di terzi

Si consiglia vivamente di installare periodicamente gli aggiornamenti software per il sistema operativo e il software di terzi nel dispositivo Administration Server.

I dispositivi client non richiedono una connessione continua ad Administration Server, quindi è possibile riavviare il dispositivo Administration Server in modo sicuro dopo aver installato gli aggiornamenti. Tutti gli eventi registrati nei dispositivi client durante il periodo di inattività di Administration Server vengono inviati ad esso dopo il ripristino della connessione.

Trasferimento di eventi a sistemi di terzi

Monitoraggio e generazione dei rapporti

Per una risposta tempestiva agli incidenti di sicurezza, si consiglia di configurare le funzionalità di monitoraggio e generazione dei rapporti.

Esportazione di eventi nei sistemi SIEM

Per il rilevamento rapido degli incidenti prima che si verifichino danni significativi, si consiglia di utilizzare l'esportazione degli eventi in un sistema SIEM.

Notifiche e-mail degli eventi di controllo

Kaspersky Security Center consente di ricevere informazioni sugli eventi che si verificano durante l'esecuzione di Administration Server e delle applicazioni Kaspersky installate nei dispositivi gestiti. Per una risposta tempestiva alle emergenze, si consiglia di configurare Administration Server in modo che invii notifiche sugli eventi di controllo, gli eventi critici, gli eventi di errore e gli avvisi pubblicati.

Poiché questi eventi sono eventi interni al sistema, è prevedibile che se ne verifichino pochi; si tratta di una situazione abbastanza normale per la posta.