Podręcznik bezpieczeństwa systemu Microsoft Operations Manager
Transkrypt
Podręcznik bezpieczeństwa systemu Microsoft Operations Manager
Podręcznik bezpieczeństwa systemu Microsoft Operations Manager 2005 Autor: James R. Morey Kierownik programu: Lorenzo Rizzi Opublikowano: sierpień 2004 r. Dotyczy: Microsoft Operations Manager 2005 Wersja dokumentu: wersja 1.0 Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community Podziękowania Główni recenzenci: Ian Jirka, Christopher Coy Dodatkowi recenzenci: Doug Bradley, Travis Wright, Janaina Bueno Redaktor prowadzący: Sandra Faucett Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community Spis treści iii Spis treści Zmiany z zakresu bezpieczeństwa w systemie MOM 2005...........................................6 Bezpieczeństwo nowych instalacji ............................................................................... 14 Bezpieczeństwo aktualizacji......................................................................................... 18 Konfigurowanie zabezpieczeń po aktualizacji .................................................. 19 Bezpieczeństwo wdrażania agentów ........................................................................... 22 Wdrażanie oparte na wykrywaniu...................................................................... 22 Wdrażanie ręczne ............................................................................................... 24 Bezpieczeństwo systemu Management Server........................................................... 26 Bezpieczeństwo baz danych MOM Database i Reporting Database ......................... 37 Bezpieczeństwo agentów.............................................................................................. 40 Korzystanie z dodatkowych zabezpieczeń ................................................................... 46 Zgodność ze standardem FIPS .......................................................................... 46 Korzystanie z systemu MOM w połączeniu z zaporami .................................... 47 Korzystanie z systemu MOM w niezaufanych domenach lub grupach roboczych ............................................................................................................................. 48 Korzystanie z systemu MOM w połączeniu z narzędziem IIS Lockdown ......... 49 Zgodność z technikami IPSec, SSL, OLEDB Encryption i podpisywaniem pakietów SMB ..................................................................................................................... 50 IPSec — bezpieczny protokół IP.......................................................................... 50 Szyfrowanie SSL (Secure Sockets Layer) .......................................................... 56 Szyfrowanie OLEDB ............................................................................................ 57 Podpisywanie pakietów SMB ............................................................................. 57 Zabezpieczanie MOM bez Active Directory ....................................................... 57 Najlepsze procedury postępowania.............................................................................. 58 Redukcja zagrożeń w środowisku MOM 2005 ................................................. 58 Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community iv Spis treści Redukcja zagrożeń w systemach operacyjnych Windows 2000 i Windows Server 2003........................................................................................ 58 Wykrywanie prób ataku w MOM 2005 .............................................................. 60 Wykrywanie prób ataku w systemach Windows 2000 i Windows Server 200360 Zmiana haseł i kont w systemie MOM............................................................... 60 Zadania z zakresu bezpieczeństwa .............................................................................. 62 Management Server........................................................................................... 62 Agent ................................................................................................................... 68 MOM Database Server lub Reporting Server.................................................... 69 Dowolny komputer MOM.................................................................................... 70 Dodatkowe zasoby ......................................................................................................... 72 Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community Spis treści 5 Witamy w Podręczniku bezpieczeństwa systemu Microsoft® Operations Manager 2005. Podręcznik ten opracowano dla ostatecznej wersji systemu Microsoft Operations Manager (MOM) 2005. Informacje zawarte w niniejszym dokumencie, w tym adresy URL i inne odwołania do witryn internetowych, mogą ulec zmianie bez uprzedzenia i mają charakter wyłącznie informacyjny. Ryzyko związane z korzystaniem lub rezultatami korzystania z niniejszego dokumentu ponosi użytkownik. Microsoft Corporation nie udziela żadnych gwarancji bezpośrednich ani domniemanych. Zawartość niniejszego podręcznika • Zmiany z zakresu bezpieczeństwa w systemie MOM 2005 — ten rozdział zawiera konkretne zmiany związane z bezpieczeństwem, które wprowadzono w systemie MOM 2005 w porównaniu z wersją MOM 2000 SP1. • Bezpieczeństwo nowych instalacji — w tym rozdziale opisano konkretne kwestie i wymagania bezpieczeństwa dotyczące pierwszej instalacji systemu MOM 2005. • Bezpieczeństwo aktualizacji — w tym rozdziale opisano konkretne kwestie i wymagania bezpieczeństwa dotyczące aktualizacji z wersji MOM 2000 SP1 do wersji MOM 2005. • Bezpieczeństwo wdrażania agentów — w tym rozdziale opisano konkretne kwestie i wymagania bezpieczeństwa dotyczące wdrażania agentów MOM 2005 w środowisku użytkownika. • Bezpieczeństwo systemu Management Server — ten rozdział zawiera informacje dotyczące bezpieczeństwa systemów MOM Management Server, których nie omówiono w rozdziałach dotyczących wdrażania i aktualizacji. • Bezpieczeństwo baz danych MOM Database i Reporting Database — ten rozdział zawiera informacje dotyczące bezpieczeństwa baz danych MOM Database i Reporting Database, których nie omówiono w rozdziałach dotyczących wdrażania i aktualizacji. • Bezpieczeństwo agentów — ten rozdział zawiera informacje dotyczące bezpieczeństwa agentów, których nie omówiono w rozdziałach dotyczących wdrażania i aktualizacji. • Korzystanie z dodatkowych zabezpieczeń — ten rozdział zawiera ogólne informacje o dodatkowych środkach bezpieczeństwa dotyczących systemu MOM 2005, w tym zaporach i protokołach IPSec, SSL oraz SMB Packet Signing. • Najlepsze procedury postępowania — ten rozdział zawiera najlepsze procedury postępowania z zakresu bezpieczeństwa. Pozwalają one zwiększyć poziom bezpieczeństwa środowiska MOM i usprawnić jego monitorowanie. W rozdziale tym nie określono natomiast, jak korzystać z systemu MOM w celu monitorowania bezpieczeństwa środowiska informatycznego. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community 6 Podręcznik bezpieczeństwa systemu Microsoft Operations Manager 2005 Zadania z zakresu bezpieczeństwa — w tym rozdziale określono hierarchię wszystkich zadań z zakresu bezpieczeństwa opisanych w tym podręczniku. Zawiera on również szczegółowe procedury ich wykonania. Dodatkowe zasoby — w tym rozdziale wymieniono dodatkowe zasoby. Zorganizowano go według pozostałych rozdziałów niniejszego podręcznika. Komentarze można wysyłać do zespołu ds. dokumentacji MOM: [email protected]. Ważne Informacje zawarte w tym rozdziale opierają się na założeniu, że klient zainstalował MOM 2005 w systemie Microsoft Windows® 2000 z najnowszymi aktualizacjami i pakietami serwisowymi lub w systemie Windows Server™ 2003, a także korzysta z systemu plików NTFS oraz produktu Microsoft SQL Server™ 2000 z najnowszym pakietem serwisowym. Większość podanych tu informacji zakłada istnienie środowiska Active Directory®. Więcej informacji o wymaganiach dotyczących instalacji oraz obsługiwanych konfiguracjach można znaleźć w Podręczniku wdrażania systemu MOM 2005. Niniejszy podręcznik nie zawiera informacji specyficznych dla systemów Windows Server 2003 SP1 lub Windows® XP SP2. Informacje te zostaną podane w innym miejscu. Zmiany z zakresu bezpieczeństwa w systemie MOM 2005 Ten rozdział zawiera informacje o różnicach między wersjami MOM 2000 SP1 i MOM 2005, bezpośrednio lub pośrednio związanych z bezpieczeństwem. Opisano w nim również nowe funkcje bezpieczeństwa wersji MOM 2005. W wersji MOM 2000 SP1 usługa OnePoint (MOM) składała się z dwóch części: Consolidator i Agent Manager. Posługiwała się kontem CAM (lub kontem DAS, jeżeli stosowano konto połączone). Było to konto domenowe o uprawnieniach administracyjnych na wszystkich komputerach z agentami oraz na serwerze MOM DCAM. W systemie MOM 2005 części te zostały rozdzielone na dwa różne procesy: MOM Service i MOM Host. Każdy z tych procesów posługuje się własnymi danymi uwierzytelniania. Poniższa tabela podaje odpowiedniki terminologiczne z każdej z wersji MOM. Tabela 1 Terminologia MOM 2005 odpowiadająca terminom MOM 2000 Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community Nazwa w MOM 2000 Równoważna nazwa w MOM 2005 DCAM Management Server agent agent grupa konfiguracyjna (configuration group) grupa administracyjna (management group) DAS DAS konto DCAM rozdzielone na: konto Management Server Action Account oraz konto MOM Service Account. Proces MOM Service W systemie MOM 2005 proces MOM Service działa w kontekście Local System (w systemach Windows 2000 lub Windows Server 2003) albo Network Service (tylko w systemie Windows Server 2003). Nie służy do zarządzania agentami ani realizacji funkcji DAS (Data Access Service — usługa dostępu do danych). Proces MOM Service odpowiada przede wszystkim za komunikację między agentem a systemem MOM Management Server, a także za uruchamianie agenta na komputerze zarządzanym. Ważne Nie można zmienić poświadczeń (credentials), którymi posługuje się proces MOM Service. Może to spowodować utratę komunikacji z agentami oraz inne problemy w środowisku MOM. Proces MOM Service nie uruchomi się w kontekście innym niż Local System albo Network Service. Usługa DAS Funkcja konta DAS nie uległa znaczącym zmianom, za wyjątkiem utraty części uprawnień. Przy aktualizacji z wersji MOM 2000 SP1 ustawienia konta DAS pozostają niezmienione. W efekcie poziom uprawnień konta DAS jest wyższy niż to konieczne do jego funkcjonowania. Więcej informacji o tych ustawieniach i procedurze obniżenia poziomu uprawnień konta DAS po aktualizacji można znaleźć w rozdziale „Konfigurowanie zabezpieczeń po aktualizacji” w dalszej części niniejszego podręcznika. Proces MOM to MOM Product Connector (MMPC) również wykorzystuje konto DAS. Action Account Konto Action Account to nowe rozwiązanie w systemie MOM 2005. Służy do zbierania danych operacyjnych z komputerów zarządzanych oraz do uruchamiania na tych komputerach Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community 8 Podręcznik bezpieczeństwa systemu Microsoft Operations Manager 2005 odpowiedzi i skryptów. Dotyczy to również agenta na komputerze z systemem Management Server. W systemie MOM 2005 jest to odrębne konto, które umożliwia rozdzielenie kontekstu procesu MOM Service od kontekstu odpowiedzi na komputerach zarządzanych, w tym również agenta na komputerze z systemem Management Server. Konto Action Account na komputerze z systemem Management Server może również służyć do instalowania, odinstalowywania lub aktualizacji ustawień agentów na komputerach zdalnych. Więcej informacji o koncie Action Account agenta można znaleźć w rozdziale „Bezpieczeństwo agentów — konto Action Account” w tym podręczniku. Więcej informacji o koncie Action Account systemu Management Server można znaleźć w rozdziale „Bezpieczeństwo systemu Management Server — Action Account” w tym podręczniku. Grupy zabezpieczeń Podczas nowej instalacji program instalacyjny MOM tworzy wymienione poniżej grupy, a w przypadku aktualizacji do MOM 2005 z wcześniejszej wersji zmienia nazwy grup MOM 2000 SP1. Podczas aktualizacji zachowywane są przydziały członkostwa ustalone w wersji MOM 2000 SP1. Poniżej wymieniono grupy MOM 2005 i najbardziej do nich zbliżone grupy MOM 2000 SP1 (w nawiasach): • MOM Service (OnePointOp System). Ta grupa jest przeznaczona do obsługi wewnętrznych funkcji systemu MOM 2005. Nie należy dodawać do niej indywidualnych kont. Grupa ta jest tworzona tylko w systemie Management Server i domyślnie nie ma żadnych członków (w przypadku nowych instalacji). Po zainstalowaniu składnika MOM-to-MOM Product Connector (MMPC) do grupy tej automatycznie dodawane jest konto DAS. Uwaga Program instalacyjny dodaje do tej grupy konto wykorzystywane na potrzeby składnika MOM-to-MOM Product Connector (MMPC), aby zapewnić mu niezbędny dostęp. Nie należy usuwać tego konta z grupy. To konto i konto DAS powinny być jedynymi członkami tej grupy. • MOM Administrators (OnePointOp ConfgAdms). Członkowie tej grupy mogą wykonywać wszystkie zadania w systemie MOM 2005, posługując się dowolną konsolą. Wyjątek stanowią funkcje raportowe. Aby wykonywać te funkcje, niezbędne jest członkostwo w grupie SC DW Reader. Grupa MOM Administrators tworzona jest wyłącznie w systemie MOM Management Server. Domyślnie nie ma żadnych członków (w przypadku nowych instalacji). Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community Uwaga Członkowie lokalnych grup administracyjnych w systemie Management Server mogą również wykonywać wszystkie operacje produktu MOM, tak jakby byli członkami grupy MOM Administrators. • MOM Authors (OnePointOp Operators). Członkowie tej grupy mogą importować, eksportować, tworzyć i modyfikować pakiety Management Pack za pomocą konsoli MOM Administrator. Mogą także używać konsoli Operator i wykonywać za jej pomocą wszystkie zadania. Nie mogą zmienić listy zarządzanych komputerów ani metody zarządzania. Grupa ta istnienie wyłącznie na komputerze z systemem MOM Management Server. Domyślnie nie ma żadnych członków (w przypadku nowych instalacji). • MOM Users (OnePointOp Users). Członkowie tej grupy mogą wykonywać dowolne zadania z konsoli Operator, mieszczące się w przydzielonym im zakresie. Wyjątek stanowią zadania Runtime Tasks. Mogą jednak korzystać tylko z konsoli Operator. Nie mają dostępu do konsoli Administrator, której mogą używać tylko do otwarcia konsoli Operator. Grupa ta istnienie wyłącznie na komputerze z systemem MOM Management Server. Domyślnie jej jedynym członkiem jest konto DAS (w przypadku nowych instalacji). • SC DW DTS (w MOM 2000 SP1 nie było odpowiadającej jej grupy). Członkowie tej grupy mogą wykonywać funkcje archiwizacji danych z systemu MOM 2005 Database Server do bazy danych MOM 2005 Reporting Database. Grupa ta istnienie wyłącznie na komputerze z systemem MOM Database Server. Domyślnie nie ma żadnych członków (w przypadku nowych instalacji). • SC DW Reader (OnePointOp Reporting). Członkowie tej grupy mają dostęp do procesu SQL Server Reporting Services w systemie MOM Reporting Server. Mogą wykonywać funkcje raportowe, takie jak tworzenie, wyświetlanie i zapisywanie raportów. Członkowie tej grupy mają uprawnienia do wykonywania operacji archiwizacji (DTS). Grupa ta istnienie wyłącznie na komputerze z systemem MOM Reporting Database Server. Domyślnie nie ma żadnych członków (w przypadku nowych instalacji). Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community 10 Podręcznik bezpieczeństwa systemu Microsoft Operations Manager 2005 Wskazówka Aby zredukować nakład pracy administratorów, można utworzyć grupy uniwersalne albo obejmujące całą domenę, a następnie dodać te grupy do odpowiednich grup MOM. W ten sposób można uniwersalnie zarządzać członkami grup. Model ten może okazać się nieodpowiedni w środowiskach o wysokim poziomie bezpieczeństwa albo w takich, gdzie uczestnictwo w grupach MOM przydziela się według poszczególnych grup administracyjnych. Uwierzytelnianie wzajemne Jeżeli wykorzystuje się uwierzytelnianie wzajemne, to Management Server i agent uwierzytelniają się nawzajem, używając protokołu Kerberos v5, zanim prześlą dane operacyjne lub konfiguracyjne. Jest to nowa funkcja MOM 2005, wprowadzona w celu zwalczenia ataków przez pośrednika (ang. man-in-the-middle attacks). Jeżeli włączy się uwierzytelnianie wzajemne, to żaden z agentów MOM 2000 SP1 w grupie administracyjnej nie będzie mógł się komunikować z systemem Management Server. Uwierzytelnianie wzajemne ustawia się dla całej grupy administracyjnej. Ustawienia tego nie można przesłonić. Blokowanie agentów starszej wersji Za pomocą tej opcji można dopuszczać albo blokować komunikację ze strony agentów MOM 2000 SP1. Ustawienie to nakazuje systemowi Management Server ignorować komunikaty od agentów MOM 2000 i MOM 2000 SP1. Jeżeli włączy się uwierzytelnianie wzajemne, to opcja ta zostanie uaktywniona automatycznie. Można jej jednak używać nawet wtedy, gdy uwierzytelnianie wzajemne jest wyłączone. Ustawienie to nadaje się w stosunku do całej grupy administracyjnej i nie można go przesłonić. Rola proxy agenta Ustawienie to dopuszcza albo blokuje przekazywanie przez agentów informacji z innych komputerów lub urządzeń sieciowych do systemu Management Server. Jest to ustawienie nadawane w stosunku do całej grupy administracyjnej, ale można je przesłaniać na poziomie poszczególnych agentów. Bezpieczny kanał komunikacyjny Domyślnie komunikacja między agentem MOM 2005 a systemem Management Server jest zawsze szyfrowana i podpisywana cyfrowo. Jeżeli włączone zostanie uwierzytelnianie wzajemne, to komunikacja taka podlega także uwierzytelnianiu. Jeżeli uwierzytelnianie Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community wzajemne jest wyłączone, komunikaty wymieniane między agentami MOM 2000 SP1 a systemem Management Server są domyślnie szyfrowane, tak jak w MOM 2000 (natomiast gdy funkcja uwierzytelniania wzajemnego jest włączona, agenci MOM 2000 SP1 nie mogą komunikować się z systemem Management Server). Tylko uwierzytelnianie wzajemne wymaga relacji zaufania Active Directory. Zadania Zadania to nowa funkcja MOM 2005. Są to operacje administracyjne, które można z łatwością uruchomić z konsoli Operator. Zadania uruchamia się w jednym z trzech systemów: w komputerze, na którym pracuje konsola Operator; na komputerze z systemem MOM Management Server albo na komputerze zarządzanym przez agenta. Zadania uruchamiane w systemie Management Server lub na komputerze zarządzanym przez agenta posługują się kontekstem konta Action Account systemu Management Server albo danego agenta. Zadania konsoli pracują w ramach uprawnień zalogowanego użytkownika. Inspekcja zadań Inspekcja zadań automatycznie rejestruje informacje o zadaniach uruchamianych w środowisku MOM oraz na agentach MOM 2005. Informacje te można wykorzystać do sprawdzania, kiedy uruchomiono zadanie i kto je uruchomił. Te same informacje można również wyświetlić w widoku Tasks Status konsoli Operator. Funkcja inspekcji zadań (Task Auditing) jest ważnym środkiem bezpieczeństwa. Domyślnie jest ona włączona i nie można jej wyłączyć. Odpowiedzi Odpowiedzi to zadania, które MOM uruchamia automatycznie, gdy spełnione zostaną kryteria reguł — np. z komputerów zarządzanych odebrane zostaną konkretne dane operacyjne. Odpowiedzi te definiuje się za pomocą reguł. Mogą one być wywoływane w dwóch rodzajach systemów: na komputerze zarządzanym albo w systemie Management Server (noszą wtedy nazwę odpowiedzi serwerowych — Server-Side Responses). Odpowiedzi uruchamiane na komputerze zarządzanym przez agenta posługują się kontekstem konta Action Account tego agenta. Natomiast odpowiedzi uruchamiane w systemie Management Server posługują się kontekstem konta Management Server Action Account. Odpowiedzi różnią się od zadań tym, że inicjuje je sam program MOM, a nie osoba korzystająca z konsoli Operator. Odpowiedzi transferu plików (File Transfer Responses) W systemie MOM 2005 można skonfigurować transmisję plików z serwera transferu plików do agenta MOM 2005 lub z agenta MOM 2005 na serwer transferu plików. Odpowiedzi te są wywoływane po spełnieniu kryteriów reguły. W przeciwieństwie do innych odpowiedzi, które funkcjonują w kontekście konta Action Account danego agenta, odpowiedzi transferu plików Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community 12 Podręcznik bezpieczeństwa systemu Microsoft Operations Manager 2005 funkcjonują w kontekście Local System (w systemie Windows 2000 lub Windows Server 2003) bądź Network Service (tylko w systemie Windows Server 2003). Więcej informacji na ten temat można znaleźć w rozdziale Odpowiedzi transferu plików w sekcji tego podręcznika zatytułowanej „Bezpieczeństwo systemu Management Server”. Zarządzanie bez agentów Nową funkcją MOM 2005 jest możliwość monitorowania komputerów bez instalowania na nich agentów MOM. Nazywa się to zarządzaniem bez agentów (agentless management). Zarządzanie bez agentów można stosować w przypadku komputerów znajdujących się w specyficznych środowiskach, w których nie można zainstalować agenta, albo gdzie nie są potrzebne rozbudowane funkcje administracyjne udostępniane przez agenta MOM. Management Server komunikuje się z komputerami zarządzanymi bez agentów przez port RPC (TCP 135) i zakres portów DCOM. Dlatego też zarządzanie bez agentów komputerem znajdującym się poza zaporą nie jest obsługiwane. Jeżeli wykorzystuje się zarządzanie bez agentów, to konto Action Account systemu Management Server musi mieć także uprawnienia administratora lokalnego na komputerze zdalnym. Komputery te muszą zatem znajdować się w tej samej domenie albo w domenach powiązanych relacją zaufania. Reporting Database Baza danych Reporting Database to nowa cecha MOM 2005. Jest to odrębna baza, w której mieszczą się zarchiwizowane dane operacyjne. Baza ta generuje i udostępnia raporty do konsoli Reporting. Rozdzielając funkcje raportowe od bazy danych MOM Database (OnePoint), udało się uzyskać znaczny wzrost wydajności i zwiększenie poziomu bezpieczeństwa obu baz. Konsole W systemie MOM 2005 istnieją cztery konsole. Są to: konsola Administrator, konsola Operator (nowość w wersji MOM 2005), konsola Web i konsola Reporting (nowość w wersji MOM 2005). Za pomocą konsoli Administrator (dodatek snap-in do konsoli MMC) można importować i eksportować pakiety Management Pack, zmieniać ustawienia grup komputerów, konfigurować ustawienia globalne i wprowadzać inne zmiany konfiguracyjne. Konsola Operator służy do monitorowania komputerów, reagowania na alarmy, przeglądania zdarzeń, wykonywania zadań i realizacji innych czynności operacyjnych. Konsola Reporting przeznaczona jest do wyświetlania i generowania raportów internetowych. Wykorzystuje do tego celu usługę SQL Server Reporting Services. Konsola Administrator i konsola Operator komunikują się z systemem Management Server przez port RPC (TCP 135) i zakres portów DCOM. Dlatego nie można instalować tych konsol za zaporą. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community Uwaga Skrypty utworzone za pomocą pakietu dla programistów SDK MOM wykorzystują takie same uprawnienia, jakich użyłby użytkownik posługujący się konsolą Administrator lub Operator. Pakiet SDK nie przyznaje skryptowi dodatkowych praw dostępu, które mógłby mieć użytkownik wykonujący zadanie z konsoli. Konsola Web komunikuje się przez port TCP 1272 (domyślnie), a konsola Reporting przez port HTTP 80 (domyślnie). Oznacza to, że z obu konsol można korzystać spoza zapory, a nawet przez sieć rozległą. Można także stosować ochronę SSL (Secure Sockets Layer) w celu zaszyfrowania przesyłanych danych. SSL używa portu 443 (numer tego portu definiuje użytkownik i może on być inny niż 443). Uwaga Konsola Web wykorzystuje mechanizm uwierzytelniania Windows Integrated i jest przeznaczona tylko do użytku w intranetach. Może nie funkcjonować prawidłowo przy połączeniu przez Internet. MOM Connector Framework MOM Connector Framework (MCF) stanowi strukturę umożliwiającą utworzenie interfejsu typu Product Connector między MOM 2005 a innymi aplikacjami administracyjnymi. Interfejsy Product Connector wysyłają, odbierają i koordynują dane operacyjne pomiędzy MOM a takimi aplikacjami. Interfejsy te trzeba opracować odrębnie dla każdego z produktów administracyjnych. Więcej informacji o interfejsach Product Connector można znaleźć w witrynie Microsoft Operations Manager Partners pod adresem http://go.microsoft.com/fwlink/?linkid=32736. Interfejsy wykorzystują usługę .NET Web Service, która komunikuje się przez port TCP 1271. Oznacza to, że pomiędzy MOM a innymi aplikacjami administracyjnymi może znajdować się zapora lub nawet sieć rozległa. Można także stosować ochronę SSL (Secure Sockets Layer) w celu zaszyfrowania przesyłanych danych. MOM to MOM Product Connector Interfejs MOM-to-MOM Product Connector (MMPC) zapewnia strukturę umożliwiającą stworzenie połączenia między różnymi grupami administracyjnymi MOM 2005 lub między grupami konfiguracyjnymi MOM 2000 SP1 a grupami administracyjnymi MOM 2005. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community 14 Podręcznik bezpieczeństwa systemu Microsoft Operations Manager 2005 Połączenie to ma na celu przekazywanie alarmów. Interfejsy wysyłają, odbierają i koordynują dane o alarmach i wykrywaniu między różnymi środowiskami MOM. Domyślnie usługa MMPC wykorzystuje konto DAS. Ważne Używanie produktu MOM 2005 w rozłącznej przestrzeni nazw DNS. Aby wykryć komputery i zainstalować agentów metodą push w środowisku z rozłączną przestrzenią nazw DNS (Disjointed DNS Namespace), należy: • - Posługując się kreatorem MOM Agent Install/uninstall podać nazwę w formacie domena\nazwakomputera lub w formacie NetBIOS. • - Posługując się oknem dialogowym Create Computer Discovery Rule podać tylko nazwę komputera w formacie NetBIOS albo, jeżeli MOM 2005 ma być wykorzystywany w rozłącznej przestrzeni nazw, wpisać nazwę domeny i nazwę komputera w formacie NetBIOS. Wartości te należy wpisać odpowiednio w pola Domain name i Computer name. Nie są dostępne następujące funkcje: • uwierzytelnianie wzajemne • instalacja metodą push, jeżeli komputer docelowy wybiera się za pomocą funkcij przeglądania („Browse”) • instalacja metodą push, jeżeli używa się nazwy komputera w formacie DNS FQDN. „Rozłączna przestrzeń nazw DNS” (disjointed DNS namespace) to taka infrastruktura DNS, która zawiera przynajmniej dwie nazwy domeny DNS najwyższego poziomu. Więcej informacji na ten temat można znaleźć w rozdziale „Configuring Name Resolution for Disjointed Namespaces” w dokumentacji systemu Windows Server 2003, w części zatytułowanej Deploying Network Services. Bezpieczeństwo nowych instalacji W tym rozdziale omówiono kwestie bezpieczeństwa dotyczące nowych instalacji systemu MOM 2005 Management Server i bazy danych MOM Database. Przygotowując się do instalacji składników MOM Database i Management Server, należy utworzyć i skonfigurować dwa konta bezpieczeństwa — konto DAS i konto Action Account dla systemu Management Server. Wymogi bezpieczeństwa dotyczące wdrażania agentów podano w rozdziale „Bezpieczeństwo wdrażania agentów” w niniejszym podręczniku. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community Konto instalacyjne W celu zainstalowania produktu MOM należy zalogować się jako administrator na wszystkich komputerach, na których instalowane będą składniki. Konto DAS Domyślnie MOM dodaje konto podane podczas instalacji do grupy zabezpieczeń i roli SQL Server odpowiednich dla usługi DAS. Aby zmienić konto używane do obsługi DAS, należy wprowadzić następujące modyfikacje: 1. Dodać konto do grupy MOM Users (Użytkownicy MOM) na komputerze z systemem Management Server. 2. Nadać kontu uprawnienie „Logowanie w trybie wsadowym”. Uwaga Jeżeli zainstalowano składniki MOM Connector Framework lub Product Connector i używa się konta DAS (jest to ustawienie domyślne), to konto takie wymaga również uprawnienia „Logowanie w trybie usługi”. 3. Dodać konto do roli SQL Server “db_owner” w bazie danych OnePoint na komputerze z systemem MOM Database Server. 4. Zmienić ustawienie Identity aplikacji COM+ Microsoft Operations Manager Data Access Server na komputerach z systemem Management Server należących do danej grupy administracyjnej. 5. Nadać kontu status SQL Server Security Login z dostępem do serwera ustawionym na „Permit”. Więcej informacji o koncie DAS można znaleźć w rozdziale „Bezpieczeństwo baz danych MOM Database i Reporting Database” w tym podręczniku. Używanie konta Network Service do obsługi DAS Windows Server 2003 obsługuje konto Network Service. Jest to uprzednio zdefiniowane konto lokalne, które służy do uruchamiania usługi i zapewniania dla niej kontekstu zabezpieczeń. Nazwa tego konta to NT AUTHORITY\NetworkService. Konto Network Service ma ograniczone prawa dostępu do komputera lokalnego oraz dysponuje dostępem uwierzytelnianym (jako konto komputera) do zasobów sieciowych. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community 16 Podręcznik bezpieczeństwa systemu Microsoft Operations Manager 2005 Uwaga W systemie Windows Server 2003 dostępne jest również konto Local System. Workgroup Edition — konto DAS w systemie MOM 2005 Workgroup Edition można uruchamiać w kontekście Local Service. Konta tego można używać do obsługi kontekstu zabezpieczeń DAS, zamiast lokalnego lub domenowego konta użytkownika. Używa się go w celu obniżenia poziomu uprawnień, w kontekście których funkcjonuje DAS, a także aby uniknąć wygasania haseł wynikającego z polityki. Informacje o tym, jak używać konta Network Service do obsługi DAS, znajdują się w procedurze “Aby użyć konta Network Service do obsługi DAS” w niniejszym podręczniku. Ważne Opcji tej można używać tylko wtedy, gdy Management Server pracuje w systemie Windows Server 2003. Windows 2000 nie obsługuje konta Network Service. Konto Action Account systemu Management Server Konto Action Account systemu Management Server odgrywa dwie role: monitorowanie samego systemu Management Server oraz wdrażanie agentów na wykrytych komputerach, uruchamianie zadań wykrywania i uaktualnianie ustawień agentów na takich komputerach. Szczegółowe informacje o koncie Action Account systemu Management Server można znaleźć w rozdziale “Bezpieczeństwo systemu Management Server — Action Account” w niniejszym podręczniku. Monitorowanie systemu Management Server. Management Server również ma domyślnie instalowanego agenta, który zbiera informacje i uruchamia odpowiedzi na komputerze z systemem Management Server, posługując się kontem Action Account tego systemu. Aby czynności te można było wykonać w instalacji domyślnej, konto Action Account musi mieć przynajmniej następujące uprawnienia: • Musi być członkiem lokalnej grupy Sers (Użytkownicy). • Musi mieć dostęp do dzienników zdarzeń Windows. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community • Musi być członkiem lokalnej grupy „Performance Monitor Users” (użytkownicy monitora wydajności). • Uprawnienie “Manage auditing and security log” (SeSecurityPrivilege). • Uprawnienie “Allow log on locally” (SeInteractiveLogonRight). Ważne Wymienione powyżej uprawnienia minimalne to najniższe uprawnienia obsługiwane przez MOM 2005. Uprawnienia rzeczywiście niezbędne dla konta Action Account będą uzależnione od tego, jakie pakiety Management Pack zostały uruchomione i jak je skonfigurowano. Więcej informacji można znaleźć w podręczniku do odpowiedniego pakietu Management Pack. Konta o niskim poziomie uprawnień można używać tylko w systemie Windows Server 2003. W Windows 2000 konto Action Account musi należeć do grupy zabezpieczeń dla administratorów lokalnych. Wdrażanie i uaktualnianie agentów za pomocą konta Action Account systemu Management Server. System Management Server można skonfigurować w taki sposób, aby wdrażał agentów na wykrytych komputerach i automatycznie uaktualniał ustawienia agentów. Służy do tego konto Action Account systemu Management Server. Jeżeli użytkownik zdecyduje się użyć systemu Management Server do wdrażania agentów na wykrytych komputerach albo do uaktualniania ustawień agentów, to konto Management Server Action Account musi być kontem domenowym o prawach administratora na tych komputerach. Można w tym celu użyć domenowego konta użytkownika, które należy do grupy administratorów lokalnych na tych komputerach. Nie zaleca się używania konta o wysokim poziomie uprawnień, np. konta administratora domeny. Wdrażanie i uaktualnianie agentów z procesem uwierzytelniania. Inną opcją wdrażania agentów z systemu Management Server jest przeprowadzenie uwierzytelniania w momencie instalacji tych agentów. Poświadczenia podawane do instalacji agentów muszą odpowiadać uprawnieniom administratora na wykrytych komputerach. W tej metodzie konto Action Account systemu Management Server nie musi mieć wysokiego poziomu uprawnień na innych komputerach. Dzięki tej opcji wdrażania agenta można skonfigurować konto Management Server Action Account jako lokalne konto użytkownika o niskim poziomie uprawnień (tylko w systemie Windows Server 2003). Poświadczenia są przechowywane w bezpieczny sposób i usuwane po zakończeniu procesu instalacji. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community 18 Podręcznik bezpieczeństwa systemu Microsoft Operations Manager 2005 Bezpieczeństwo aktualizacji W tym rozdziale omówiono kwestie bezpieczeństwa dotyczące aktualizacji z wersji MOM 2000 SP1 do wersji MOM 2005. Przygotowanie do aktualizacji System MOM 2005 używa wielu kontekstów zabezpieczeń dla składników, które w wersji MOM 2000 SP1 posługiwały się kontami DAS lub CAM. Przed aktualizacją do wersji MOM 2005 należy utworzyć nowe konto Action Account dla systemu Management Server (wcześniej DCAM). Więcej informacji na temat konta Action Account można znaleźć w rozdziale “Bezpieczeństwo systemu Management Server — Action Account” niniejszego podręcznika. Program instalacyjny MOM poprosi użytkownika o podanie informacji o koncie DAS, z którego ma korzystać system MOM 2005. Można utworzyć nowe konto dla systemu MOM 2005 lub posłużyć się tym samym kontem DAS, z którego korzystała wersja MOM 2000. Więcej informacji na temat praw dostępu, jakie trzeba przydzielić dla konta DAS, można znaleźć w rozdziale „Data Access Service (DAS)” lub w tabeli 3 w dalszej części niniejszego podręcznika. Tryb mieszany Podczas aktualizacji środowiska z wersji MOM 2000 SP1 do wersji MOM 2005 znajdzie się ono przejściowo w „trybie mieszanym”. Na tym etapie do systemów MOM 2005 Management Server, a potencjalnie także do serwerów DCAM MOM 2000 SP1, zgłaszać się będą zarówno agenci MOM 2005, jak i MOM 2000 SP1. W Tabeli 1 przedstawiono zakres zgodności agentów z systemem Management Server (lub DCAM): Tabela 2 Zgodność agentów z systemem Management Server/DCAM Agent Serwer Zgodność MOM 2000 SP1 MOM 2000 SP1 Pełna zgodność MOM 2000 SP1 2005 Pełna zgodność 2005 2005 Pełna zgodność 2005 MOM 2000 SP1 Jeżeli agent jest przydzielony również do serwera MOM 2000 SP1 (multihoming), to zapewnienie zgodności wymaga zastosowania przejściowego pakietu Management Pack. Jeżeli nie, to taka konfiguracja jest w pełni zgodna. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community Uwierzytelnianie wzajemne jest wyłączane podczas aktualizacji Jako że funkcja uwierzytelniania wzajemnego w MOM 2005 wymaga, aby zarówno Management Server, jak i agent na zarządzanym komputerze posługiwały się wersją MOM 2005, uwierzytelnianie to jest domyślnie wyłączane na czas trwania procesu aktualizacji. Uwierzytelnianie wzajemne zwiększa bezpieczeństwo i może znacznie ograniczyć ataki przez pośrednika (man-in-the-middle attacks) w środowisku MOM. Funkcję tę można włączyć dopiero po aktualizacji wszystkich serwerów DCAM do systemów MOM 2005 Management Server, a także aktualizacji wszystkich agentów w grupie administracyjnej (tj. grupie konfiguracyjnej) do wersji MOM 2005. Port komunikacyjny zostaje zachowany Podczas procesu aktualizacji numer portu komunikacyjnego, czyli 1270, pozostaje bez zmian. Jest to ustawienie dotyczące całej grupy administracyjnej. Nie jest już obsługiwany port nieszyfrowany Nieszyfrowany port 51515 jest wyłączany w procesie aktualizacji, a MOM 2005 już z niego nie korzysta. Podczas aktualizacji agentów MOM 2000 SP1, które skonfigurowano do używania wyłącznie portu nieszyfrowanego 51515, nie będą mogły komunikować się z systemem MOM 2005 Management Server. Agentów tych trzeba skonfigurować do korzystania z bezpiecznego portu komunikacyjnego 1270 albo zaktualizować do wersji MOM 2005. Agenci MOM 2000 SP1 skonfigurowani tak, aby używali dowolnego z tych portów, będą mogli dalej komunikować się z systemem Management Server, nie wymagając dodatkowych zmian konfiguracyjnych (o ile wyłączona jest funkcja uwierzytelniania wzajemnego). Blokowanie agentów starszych wersji Podczas aktualizacji opcja Block Legacy Agents (blokowanie agentów starszych wersji) jest wyłączona. Konfigurowanie zabezpieczeń po aktualizacji Jeżeli wymagają tego reguły zabezpieczeń, użytkownik może wprowadzić kilka zmian, które zwiększą jeszcze poziom zabezpieczeń produktu MOM. Konto DAS Jeżeli podczas aktualizacji do wersji MOM 2005 użyto tego samego konta DAS co w wersji MOM 2000 SP1, to program nie zmieni istniejących we wcześniejszej wersji uprawnień tego konta i przydziałów do grup. Uprawnienia te są wyższe, niż jest to konieczne w przypadku produktu MOM 2005. Można je zmienić, nie zakłócając funkcjonowania MOM 2005. Są to następujące ustawienia: Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community 20 Podręcznik bezpieczeństwa systemu Microsoft Operations Manager 2005 Tabela 3 Uprawnienia konta DAS wymagane w systemie MOM 2005 Uprawnienia Prawa administratora lokalnego MOM 2000 MOM 2005 TAK NIE Działanie jako element systemu operacyjnego TAK NIE Tworzenie obiektu tokenowego TAK NIE Logowanie w trybie wsadowym TAK NIE Logowanie w trybie usługi TAK TAK1 Konto domenowe TAK TAK2 W produkcie SQL Server ma przydzieloną rolę administratora systemu NIE NIE Członek grupy MOM Users TAK TAK Członek grupy MOM Service Nd. TAK3 Dostęp Db_owner do bazy danych OnePoint TAK TAK TAK — konto DAS wymaga tego uprawnienia w określonej wersji MOM NIE — konto DAS nie wymaga tego uprawnienia w określonej wersji MOM 1 — wymagane tylko w przypadku, gdy w systemie Management Server zainstalowany jest składnik MMPC. 2 — jeżeli konto DAS i baza danych MOM Database znajdują się na tym samym komputerze, to można użyć konta Local Service (lub konta Network Service w systemie operacyjnym Windows Server 2003). 3 — tylko jeżeli zainstalowany jest składnik MMPC. Po aktualizacji konta DAS i Local Administrator są członkami wszystkich grup MOM Przypisania konta DAS i konta administratora lokalnego do grup są przenoszone z ich odpowiedników w MOM 2000 SP1. Oznacza to, że konto DAS i konto administratora lokalnego będą członkami nowych grup zabezpieczeń MOM 2005 (np. MOM Administrator, MOM System, MOM Author, MOM User). Jako że MOM 2005 wymaga tylko, aby konto DAS należało do grupy MOM Users, można usunąć je z innych grup. Można również usunąć konto administratora lokalnego ze wszystkich grup (o ile członkowstwo w nich nie jest konieczne ze względu na wymagania użytkownika). Aby zmienić konto używane do obsługi DAS, należy wykonać następujące czynności: 1. Przypisać nowe konto do grupy MOM Users w systemie Management Server. 2. Dodać to konto do roli “db_owner” produktu SQL Server w bazie danych OnePoint. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community 3. Nadać kontu status SQL Server Security Login z dostępem do serwera ustawionym na „Permit”. Więcej informacji o koncie DAS można znaleźć w rozdziale „Bezpieczeństwo baz danych MOM Database i Reporting Database” niniejszego podręcznika. Włączanie uwierzytelniania wzajemnego Po zakończeniu aktualizacji całej grupy administracyjnej można zwiększyć poziom bezpieczeństwa, włączając funkcję uwierzytelniania wzajemnego i blokując agentów ze starszych wersji. Uwierzytelnianie wzajemne ustawia się dla całej grupy administracyjnej i nie można go przesłaniać. Włączenie opcji Require mutual authentication spowoduje również automatyczne włączenie opcji Block Legacy Agents. Blokowanie agentów ze starszych wersji Po zakończeniu aktualizacji całej grupy administracyjnej można zwiększyć poziom bezpieczeństwa, blokując komunikację między agentami z wersji MOM 2000 i MOM 2000 SP1 a systemem Management Server. Służy do tego opcja Block Legacy Agent. Opcja ta jest automatycznie włączana po uaktywnieniu uwierzytelniania wzajemnego, można ją jednak włączyć także wtedy, gdy uwierzytelnianie wzajemne nie jest stosowane. Block Legacy Agents to opcja ustawiana dla całej grupy administracyjnej i nie można jej przesłaniać. Rola proxy agenta Ustawienie Agent Proxying włącza lub blokuje przekazywanie przez agentów informacji z innych komputerów lub urządzeń sieciowych do systemu Management Server. Jest to ustawienie obowiązujące dla całej grupy administracyjnej, ale można je przesłaniać na poszczególnych agentach. Przekazywanie przez agentów informacji można wyłączyć po to, aby uniemożliwić intruzom wykorzystanie słabiej zabezpieczonego urządzenia lub komputera w celu wysyłania danych do systemu Management Server. Uaktualnianie ustawień agentów Po zakończeniu procesu aktualizacji należy zmienić port komunikacyjny, ustawienia uwierzytelniania wzajemnego i inne ustawienia konfiguracyjne agentów. Ustawienia zaktualizowanego agenta można zmienić za pomocą okna dialogowego Update Agent Settings. Można również wykorzystać okno Add or Remove Programs na komputerze zarządzanym, jak to opisano w procedurze „Aby zaktualizować agenta za zaporą” w niniejszym podręczniku. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community 22 Podręcznik bezpieczeństwa systemu Microsoft Operations Manager 2005 Ważne Jeżeli użytkownik zamierza używać odrębnego konta w roli Action Account na każdym z agentów, nie można zaznaczyć wielu agentów i posłużyć się oknem dialogowym Update Agent Settings. Konieczne jest użycie opcji tego okna osobno dla każdego z agentów. Za pomocą systemu Management Server nie można zmienić ustawień agentów znajdujących się za zaporą oraz w niezaufanej domenie czy grupie roboczej lub dla której ustawiono poziom kontroli na „None”. Informacje o zmianie ustawień na takich agentach zawiera procedura „Aby zaktualizować agenta za zaporą” w niniejszym podręczniku. Bezpieczeństwo wdrażania agentów Instalacja (czyli wdrażanie) agentów wiąże się z kilkoma wymaganiami dotyczącymi zabezpieczeń i konsekwencjami dla bezpieczeństwa. Użytkownik może wybrać kontekst zabezpieczeń, w którym funkcjonuje agent. Agentów można wdrażać automatycznie, za pomocą kreatora Add Computer Wizard na komputerze z systemem Management Server. Proces ten nazywa się wdrażaniem opartym na wykrywaniu. Agentów można też wdrażać ręcznie, używając kreatora Agent Installation Wizard na komputerze zdalnym. Wdrażanie oparte na wykrywaniu Wdrażanie oparte na wykrywaniu polega na użyciu kreatora Install/Uninstall Agents. Kreator ten jest dostępny z konsoli MOM 2005 Administrator i służy do wyszukiwania komputerów w sieci i instalowania na nich agentów. Management Server przeprowadzi proces wykrywania komputerów na podstawie kryteriów wprowadzonych przez użytkownika w kreatorze. Zawsze zainstaluje agentów (lub odinstaluje je) niezależnie od ustawień na karcie Automatic Management w oknie właściwości systemu Management Server. Gdy Management Server przeprowadza okresowy proces wykrywania nowych komputerów, posługując się opcją Full Discovery, instaluje agentów lub umieszcza wykryte komputery w folderze Pending Action. Zależy to od ustawień na karcie Automatic Management w oknie właściwości systemu Management Server. Więcej informacji o tym ustawieniu i ogólnych informacji o wdrażaniu agentów można znaleźć w Podręczniku wdrażania systemu MOM 2005. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community Konto używane do wdrażania W metodzie wdrażania opartego na wykrywaniu użytkownik może podać poświadczenia konta lub posłużyć się kontem Action Account systemu Management Server. Użyte konto musi mieć prawa administratora lokalnego na wszystkich komputerach, na których są wdrażani agenci. Poświadczenia używane do instalacji agentów są szyfrowane przed przesłaniem, a po wykorzystaniu usuwane. Wymagania dotyczące wdrożenia Management Server przesyła pliki niezbędne do zainstalowania agentów na komputerach zdalnych lub uaktualnienia ustawień agenta po instalacji przez port SMB (Server Message Block) — TCP/UDP 445 — i port RPC (TCP 135). Jeżeli porty te są zamknięte na komputerze z systemem Management Server lub na jednym z komputerów docelowych albo jeżeli między systemem Management Server a komputerem docelowym znajduje się zapora, to nie można instalować agentów metodą wdrażania opartego na wykrywaniu. Należy wówczas albo otworzyć te porty, albo zainstalować agentów ręcznie. Przy instalacji ręcznej porty te nie są potrzebne. Wyłączenie usługi File and Printer Sharing for Microsoft Networks oraz Client for Microsoft Networks powoduje zamknięcie portów SMB. Ograniczenia przy wdrażaniu Agentów MOM 2005 nie można automatycznie instalować ani aktualizować w wymienionych poniżej okolicznościach. Niezbędna jest wówczas instalacja lub aktualizacja ręczna. • Między agentem a systemem Management Server znajduje się zapora, a niezbędnych portów nie można otworzyć. • Komputer docelowy znajduje się w domenie z obsługą IPSec, natomiast Management Server jest w domenie, w której nie włączono obsługi IPSec (zob. „Wdrażanie agentów w domenach o różnych ustawieniach IPSec”). • Agent posługuje się procesem MOM 2000 RTM (należy wówczas ręcznie usunąć tego agenta i zainstalować agenta MOM 2005 lub aktualizować tego agenta do wersji MOM 2000 SP1, a następnie do wersji MOM 2005). • Nie można instalować agentów na komputerach z systemem Windows NT® 4.0. • Nie można instalować agentów na wirtualnym serwerze Microsoft Cluster Services. Można jednak zainstalować agenta na węźle fizycznym. Więcej informacji o tych ograniczeniach można znaleźć w podręczniku MOM 2005 Supported Configurations Guide. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community 24 Podręcznik bezpieczeństwa systemu Microsoft Operations Manager 2005 Wdrażanie agentów w domenach o różnych ustawieniach IPSec Jeżeli Management Server znajduje się w domenie, w której nie włączono obsługi IPSec, a komputer docelowy w domenie z obsługą IPSec, to nie można korzystać z metody wdrażania opartego na wykrywaniu (metoda push) ani monitorować agentów. Aby zainstalować agentów metodą push i monitorować je w sytuacji, gdy Management Server znajduje się w domenie z obsługą IPSec, a komputer docelowy w domenie bez obsługi IPSec, należy skonfigurować komputer Management Server obsługujący IPSec jako system Boundary Server (serwer graniczny). Serwer graniczny to komputer obsługujący IPSec, który przekazuje ruch niechroniony przez IPSec między domenami obsługującymi ten protokół a takimi, które go nie obsługują. Aby umożliwić komunikację również klientom niekorzystającym z IPSec, należy użyć polityki Server, a nie Secure Server. Ta polityka zawsze wymaga zabezpieczeń, ale dopuszcza niezabezpieczoną komunikację z klientami. Jeżeli klient nie odpowiada na wywołanie negocjacyjne IKE, system nie używa szyfrowania. Jeżeli klient w dowolnym momencie odpowie, rozpoczną się negocjacje i muszą zostać pomyślnie zakończone. Jeżeli negocjacje nie powiodą się, komunikacja zostanie zablokowana na minutę. Po tym czasie podjęta zostanie kolejna próba negocjacji. Aby przywrócić komputery do stanu poprzedniego, należy wyłączyć polityki Secure Server lub Server i Client. Więcej informacji o ochronie IPSec i tej konfiguracji można znaleźć w dokumentacji systemu Windows 2000 lub Windows Server 2003. Bezpieczeństwo w trakcie wdrażania agentów MOM domyślnie nie zabezpiecza plików i innych danych służących do wdrażania agentów. Proces wdrażania wykorzystuje porty SMB i RPC (TCP 135), a także zakres portów DCOM. W celu ochrony wdrażania agentów można użyć metody podpisywania pakietów SMB albo protokołu IPSec. Więcej informacji można znaleźć w rozdziale „Podpisywanie pakietów SMB” lub „IPSec — bezpieczny protokół IP” niniejszego podręcznika. Wdrażanie ręczne W pewnych sytuacjach konieczne może być ręczne zainstalowanie agentów. Poniżej omówiono kilka istotnych aspektów ręcznej instalacji agentów związanych z bezpieczeństwem. Odrzucanie nowych instalacji ręcznych agentów Ustawienie Reject New Manual Agent Installations nakazuje systemom Management Server ignorować agentów, którzy zostali zainstalowani ręcznie po włączeniu tej opcji. Opcja ta zwiększa zakres kontroli nad środowiskiem MOM, pozwalając określić, kiedy agenci Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community zainstalowani ręcznie mogą komunikować się z systemem Management Server. Jest to ustawienie nadawane dla całej grupy administracyjnej i nie można go przesłonić. Przed ręcznym zainstalowaniem agentów trzeba wyłączyć tę opcję. Jeżeli użytkownik chce z niej korzystać, po zainstalowaniu wszystkich agentów można ją ponownie włączyć. Informacje o tym, jak zmienić to ustawienie, można znaleźć w procedurze „Aby włączyć lub wyłączyć opcję Reject new manually installed agents” w niniejszym podręczniku. Ważne Opcja ta funkcjonuje tylko wtedy, gdy włączone jest uwierzytelnianie wzajemne. W przeciwnym przypadku MOM ignoruje to ustawienie, akceptując nowe, ręcznie zainstalowanych agentów. Konto instalacyjne Aby zainstalować agenta ręcznie, należy zalogować się na komputerze docelowym jako administrator lokalny. Więcej informacji o ręcznym instalowaniu agentów można znaleźć w Podręczniku wdrażania systemu Microsoft Operations Manager 2005. Port systemu Management Server Opcja Management Server Port określa, z jakiego portu agent będzie korzystał w celu zainicjowania komunikacji z systemem Management Server. Ustawienie domyślne dla nowych instalacji to 1270. Port 1270 zostaje również zachowany w przypadku aktualizacji agentów. Poziom kontroli agenta Opcja Agent Control Level określa, czy Management Server może aktualizować ustawienia konfiguracyjne na komputerze zarządzanym. Poziom Full oznacza, że MOM będzie uaktualniać konfigurację agentów wtedy, gdy potrzebna będzie aktualizacja. Do aktualizacji ustawień konfiguracyjnych agenta służą porty RPC i SMB. Poziom None oznacza, że poniższe czynności trzeba przeprowadzać ręcznie: • Management Server nie będzie próbował automatycznie odinstalować agenta. • Management Server nie nada agentowi statusu oczekującego na odinstalowanie. • Użytkownik nie może posłużyć się w odniesieniu do tych komputerów zadaniem Update Agent Settings, dostępnym w konsoli Administrator. • Użytkownik nie może aktualizować tych agentów za pomocą konsoli Administrator. • Użytkownik nie może odinstalować tych agentów za pomocą konsoli Administrator. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community 26 Podręcznik bezpieczeństwa systemu Microsoft Operations Manager 2005 • Agenci nie zostaną automatycznie oznaczeni jako wymagający aktualizacji, gdy uaktualniony zostanie Management Server. • Dla tych agentów nie można zdalnie instalować aktualizacji systemu MOM za pomocą konsoli Administrator. Konto Action Account agenta Konto to służy do gromadzenia informacji o komputerze zarządzanym i do uruchamiania na nim odpowiedzi. Więcej informacji na temat tego konta można znaleźć w podrozdziale „Action Account” rozdziału „Bezpieczeństwo agentów” niniejszego podręcznika. Konfiguracja Active Directory To ustawienie określa, w jaki sposób agent będzie się uwierzytelniał w systemie Management Server. Strona ta pojawia się tylko wtedy, gdy nie można wykryć ustawień uwierzytelniania wzajemnego dla danej grupy administracyjnej. Po wybraniu opcji Yes agent zostanie skonfigurowany tak, aby używał uwierzytelniania wzajemnego. Po wybraniu opcji No agent zostanie skonfigurowany tak, aby nie uwierzytelniał się w systemie Management Server. Jeżeli to ustawienie agenta różni się od ustawienia w systemie Management Server, to Management Server wymusi (o ile będzie w stanie) własne ustawienie podczas kolejnej aktualizacji agenta. Akceptacja instalacji agenta W konsoli MOM Administrator nowy agent pojawi się w folderze Pending Actions. Aby system MOM mógł rozpocząć zarządzanie komputerem, użytkownik musi kliknąć ten komputer prawym przyciskiem myszy i wybrać opcję Accept. Jest to kolejny poziom zabezpieczenia tego procesu, zwiększający zakres kontroli nad agentami instalowanymi ręcznie. Zmiana ustawień na agentach za zaporą Jeżeli agent znajduje się za zaporą albo w domenie czy grupie roboczej, z którą nie ma relacji zaufania, to jego ustawienia trzeba zmieniać ręcznie. Czynność tę trzeba przeprowadzić oddzielnie dla każdego agenta. Informacje o tym, jak zmienić ustawienia takich agentów, zawiera procedura „Aby uaktualnić agenta za zaporą” w niniejszym podręczniku. Bezpieczeństwo systemu Management Server Management Server w wersji MOM 2005 stanowi odpowiednik serwera DCAM w wersji MOM 2000 SP1. Funkcje serwera DCAM rozdzielono na trzy odrębne części. Każda z tych Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community części może w MOM 2005 posługiwać się innymi danymi uwierzytelniania. Celem tej zmiany jest zwiększenie bezpieczeństwa, skalowalności, elastyczności i dostępności produktu MOM. Te trzy części zajmują się komunikacją z agentami, z bazą danych MOM, z agentem na tym samym komputerze co system Management Server, a także z komputerami zarządzanymi bez użycia agentów. Nowym elementem MOM 2005 jest MOM Connector Framework (MCF). MCF umożliwia odbieranie i wysyłanie danych do innych produktów administracyjnych. Data Access Service (DAS) Składnik DAS działa na tym samym komputerze co system Management Server i aktualizuje informacje w bazie danych MOM Database (OnePoint). Komunikuje się z systemem MOM Database Server w protokole OLEDB. Transmisja ta domyślnie nie jest szyfrowana, można jednak zabezpieczyć te dane za pomocą techniki IPSec lub szyfrowania OLEDB Encryption (SSL). Więcej informacji o korzystaniu z tych metod można znaleźć w rozdziale „Konfigurowanie dodatkowych zabezpieczeń” niniejszego podręcznika. Uwierzytelnianie i autoryzację dostępu do funkcji DAS obsługuje się za pomocą ról COM+. Role te tworzy program instalacyjny i nie należy ich zmieniać. Ważne Podczas aktualizacji do wersji MOM 2005 uprawnienia konta DAS pozostają takie same, jak to ustawiono w wersji MOM 2000 SP1. Oznacza to, że konto DAS ma uprawnienia administratora lokalnego i dysponuje dużo większym zakresem dostępu do baz danych, niż jest to konieczne. Należy zmienić te ustawienia, dostosowując je do minimalnego poziomu uprawnień wymaganego przez MOM 2005. Więcej informacji na ten temat można znaleźć w rozdziale „Konfigurowanie zabezpieczeń po aktualizacji” niniejszego podręcznika. Zmiana konta DAS po instalacji W dowolnej chwili można wybrać inne konto lub zmienić hasło do konta DAS. Jeżeli jednak użytkownik wprowadzi te zmiany, to musi również wykonać następujące czynności: • Zmienić ustawienia konta na karcie Identity aplikacji COM+ Microsoft Operations Manager Active Operations Data Access Service na komputerze z systemem Management Server. • Jeżeli używa się innego konta, trzeba również nadać mu status SQL Server Security Login z dostępem do serwera ustawionym na „Permit”. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community 28 Podręcznik bezpieczeństwa systemu Microsoft Operations Manager 2005 • Nadać kontu prawo dostępu „db_owner” do bazy danych OnePoint w systemie MOM Database Server (jeżeli używa się innego konta; program instalacyjny MOM domyślnie przyznaje to prawo dostępu dla konta DAS). • Jeżeli zainstalowano również składnik MMPC, nowe konto należy dodać do grupy zabezpieczeń MOM Service w systemie Management Server. MOM Service (MOMService.exe) Proces MOM Service składa się z elementu obsługującego komunikację z agentem oraz z agenta w systemie Management Server. MOM Service pracuje w kontekście Local System (w systemach operacyjnych Windows 2000 lub Windows Server 2003) oraz Network Service (tylko w systemie operacyjnym Windows Server 2003). Nie należy zmieniać tego konta ani wykorzystywać innego. W systemie operacyjnym Windows Server 2003 proces MOM Service pracuje w kontekście Local System, jeżeli konto Action Account również uruchomiono w kontekście Local System. Ważne MOM Service nie uruchomi się, jeżeli zmieniono poświadczenia na inne niż Local System lub Network Service. MOM Service uruchamia się jako proces MOMService.exe. W systemie Management Server pracuje tylko jeden proces MOMService.exe naraz. Proces MOMService.exe wykonuje następujące zadania: • dziennik zdarzeń aplikacji — odczyt / zapis • dziennik zdarzeń zabezpieczeń — odczyt / zapis • dostawca zdarzeń WMI (ten wątek procesu MOMService.exe posługuje się kontem Action Account agenta) — odczyt • transfer plików — odbiór • transfer plików — wysyłanie (jeżeli używa się systemu operacyjnego Windows Server 2003 lub Windows 2000, w którym zainstalowano produkt Background Intelligent Transfer Service (BITS) 1.5). Action Account Konto Action Account to nowe rozwiązanie w systemie MOM 2005. Służy do zbierania danych operacyjnych z komputera z systemem Management Server oraz do uruchamiania na tym komputerze odpowiedzi. Może również służyć do instalowania agentów na komputerach Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community zdalnych oraz do aktualizacji ich ustawień. Jako że w systemie MOM 2005 zadania te wykorzystują odrębne konto, możliwe jest rozdzielenie funkcji MOM Service od innych funkcji systemu Management Server, takich jak odpowiedzi serwerowe (Server-Side Responses), oraz funkcji zarządzania agentami, np. ich instalacji lub usuwania. Z konta Action Account korzysta proces MOMHost.exe, a także niektóre wątki procesu MOMService.exe. Jednocześnie może być uruchomionych kilka procesów MOMHost.exe. Zarządzanie agentami Konto Action Account systemu Management Server może służyć do instalowania i odinstalowywania agentów na komputerach zdalnych oraz do aktualizacji ich ustawień. Jeżeli użytkownik zdecyduje się korzystać z konta Action Account w tym celu, to musi to być konto domenowe z uprawnieniami administratora na wszystkich komputerach docelowych, na których instalowani będą agenci. Zamiast używać konta o wysokim poziomie uprawnień, można skonfigurować konto Action Account systemu Management Server z niskimi uprawnieniami i określić poświadczenia dla instalacji agentów przeprowadzanej za pomocą kreatora Install/Uninstall Agent Wizard bądź zainstalować agentów ręcznie. Więcej informacji na ten temat można znaleźć w podrozdziale „Bezpieczeństwo wdrażania agentów” niniejszego podręcznika. Gdy trzeba aktualizować ustawienia agentów, można wprowadzić odpowiednie poświadczenia w oknie dialogowym Update Agent Settings konsoli MOM 2005 Administrator. Zadania agenta w systemie Management Server Konto Action Account na komputerze z systemem Management Server służy do gromadzenia informacji o tym komputerze oraz do uruchamiania na nim odpowiedzi, nawet jeżeli użytkownik nie zamierza korzystać z tego konta w celu zarządzania agentami. Konto uruchamia zadania agentów w formie procesów MOMHost.exe. Ponieważ kilku dostawców danych lub kilka odpowiedzi może pracować jednocześnie, MOM uruchamia je w osobnych procesach. W razie awarii jednego z procesów metoda ta pozwala ochronić inne procesy MOMHost.exe. Dlatego też na komputerze z systemem Management Server może działać jednocześnie wiele procesów MOMHost.exe. Proces MOMHost.exe wykonuje następujące zadania: • monitoruje i gromadzi dane dziennika zdarzeń Windows • monitoruje i gromadzi dane z liczników wydajności Windows • monitoruje i gromadzi dane WMI (Windows Management Instrumentation) • monitoruje i gromadzi dane z dzienników aplikacji, np. dzienników IIS • uruchamia odpowiedzi pakietów Management Pack, np. skrypty lub zadania wsadowe Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community 30 Podręcznik bezpieczeństwa systemu Microsoft Operations Manager 2005 • uruchamia odpowiedzi w kodzie zarządzanym („kod zarządzany” to kod napisany z wykorzystaniem struktur .NET Framework). Rozdzielenie procesu MOMService od procesu MOMHost i wykorzystywanie wielu procesów MOMHost oznacza, że błąd lub zatrzymanie skryptu działającego na komputerze z systemem Management Server nie wpłynie negatywnie na funkcjonowanie procesu MOM Service ani innych odpowiedzi uruchomionych na tym komputerze. Takie rozwiązanie zwiększa odporność systemów Management Server i agentów MOM 2005. Zmiana hasła do konta Action Account Ponieważ Action Account musi być domenowym kontem użytkownika, aby uzyskać dostęp do usług Active Directory, jego hasło może wygasnąć. Zmianę hasła może też wymusić polityka globalna (Global Policy). Narzędzie SetActionAccount.exe w katalogu %Program Files%\Microsoft Operations Manager 2005 umożliwia łatwą zmianę tego hasła. Poniżej przedstawiono sposób korzystania z tego narzędzia: SetActionAccount.exe <grupa administracyjna> [opcje] Opcje: -query //zwraca bieżące ustawienia konta Action Account dla danej grupy administracyjnej. -set <domain> <username> //ustawia konto Action Account dla danej grupy administracyjnej. Uwaga — program zapyta o nowe hasło. Uwaga — należy podać grupę administracyjną, nawet jeżeli agent nie korzysta z multihomingu. Uwaga Aby ta zmiana lub inne zmiany uprawnień konta Action Account weszły w życie, należy ponownie uruchomić usługę MOM Service na danym komputerze. Odpowiedzi serwerowe W systemie MOM 2005 można zdefiniować kod nazywany „odpowiedziami serwerowymi” (Server-Side Responses). Jest on uruchamiany na komputerze z systemem MOM Management Server w reakcji na dane zebrane z komputerów zarządzanych. Jest to potencjalne zagrożenie, ponieważ osoba potrafiąca sfałszować dane operacyjne może doprowadzić do wykonania odpowiedzi serwerowej. Własne odpowiedzi serwerowe działają w ramach procesu MOMHost.exe, natomiast inne odpowiedzi serwerowe — w ramach procesu MOMService.exe. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community Opcja włączania i wyłączania odpowiedzi serwerowych dotyczy tylko odpowiedzi własnych. Jest to ustawienie obowiązujące dla całej grupy administracyjnej. Domyślnie jest wyłączone, zarówno w przypadku nowych instalacji, jak i aktualizacji do wersji MOM 2005. Jeżeli z takich odpowiedzi własnych musi korzystać pakiet Management Pack, należy włączyć tę opcję. Żaden z pakietów Management Pack dołączonych do produktu MOM 2005 nie wymaga użycia odpowiedzi serwerowych. Opcja ta ma wpływ na następujące rodzaje odpowiedzi: • odpowiedzi skryptowe, które mają się uruchamiać na komputerze z systemem Management Server • odpowiedzi-powiadomienia, gdy określone jest polecenie • odpowiedzi w postaci polecenia lub pliku wsadowego, które mają się uruchamiać z komputera z systemem Management Server • odpowiedzi w kodzie zarządzanym. Opcja ta nie ma wpływu na następujące odpowiedzi, które będą wykonywane zawsze: • wszystkie odpowiedzi, które mają się uruchamiać lokalnie na komputerze zarządzanym • odpowiedzi-powiadomienia, które wykorzystują stronę Web lub pocztę elektroniczną • odpowiedzi polegające na aktualizacji zmiennych stanu • odpowiedzi pułapek SNMP. Odpowiedzi transferu plików MOM 2005 można skonfigurować tak, aby przenosił pliki z serwera File Transfer na komputer z agentem MOM 2005 albo z komputera z agentem na serwer File Transfer. Pliki przenoszone są w reakcji na uruchomienie zadania lub spełnienie kryteriów reguły. Odpowiedzi transferu plików pracują w kontekście Local System (w systemie operacyjnym Windows 2000 lub Windows Server 2003) lub Network Service (tylko w systemie Windows Server 2003), niezależnie od uprawnień konta Action Account. Uwaga Konto Network Service (tylko w systemie Windows Server 2003) nie ma dostatecznych uprawnień, aby uruchomić usługę BITS. Usługę tę można uruchomić ręcznie lub skonfigurować ją tak, aby uruchamiała się automatycznie. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community 32 Podręcznik bezpieczeństwa systemu Microsoft Operations Manager 2005 Pobieranie Odpowiedź transferu plików pobiera pliki z serwera File Transfer na komputer z agentem MOM 2005 w protokole HTTP. Pliki są pobierane do katalogu %Program Files%\Microsoft Operations Manager 2005\Downloaded Files\<nazwa grupy administracyjnej>. Jako katalog źródłowy dla tych plików można ustawić domyślny katalog wirtualny. W tym celu należy skorzystać z okna ustawień globalnych Web Addresses w konsoli MOM Administrator. Ustawienie to można przesłonić, podając inne katalogi wirtualne dla konkretnych zadań lub odpowiedzi. Na serwerze źródłowym musi być uruchomiony system IIS 5.0 lub nowsza wersja, a także włączona usługa BITS. Uwaga Podczas instalowania systemu MOM nie jest konfigurowany domyślny adres URL wirtualnego katalogu serwera File Transfer. Jeżeli użytkownik nie poda tego adresu URL w oknie ustawień globalnych, program wyświetli alarm „File Transfer Response - Default global virtual directory not configured” („Odpowiedź transferu plików — nie skonfigurowano domyślnego katalogu wirtualnego na poziomie globalnym”). Alarm ten będzie się pojawiał, dopóki adres domyślny nie zostanie ustawiony. Wysyłanie Usługa transferu plików wysyła pliki z komputera zarządzanego do katalogu wirtualnego podanego w ustawieniach globalnych Web Addresses, posługując się protokołem HTTP. Ustawienie to można przesłonić, podając inne katalogi wirtualne dla konkretnych zadań lub odpowiedzi. Usługa BITS wymaga uruchomienia programu IIS 5.0 w systemie operacyjnym Windows 2000 Server oraz IIS 6.0 w systemach operacyjnych z rodziny Windows Server 2003. BITS nie obsługuje wersji IIS 5.1 w Windows XP. Pliki można wysyłać tylko w systemie operacyjnym Windows Server 2003. W systemie Windows 2000 nie można korzystać z transferu plików w celu ich wysyłania, chyba że zainstalowano usługę BITS (Background Intelligent Transfer Service) 1.5. Więcej informacji o instalowaniu usługi BITS 1.5 w systemie operacyjnym Windows 2000 na komputerze z systemem Management Server (lub na serwerze, na który są wysyłane pliki) można znaleźć w witrynie Microsoft Download Center. Witrynę tę należy przeszukać, podając następujące kryteria: “Background Intelligent Transfer Service Version 1.5” (Server Component). Więcej informacji na temat instalowania usługi BITS 1.5 w systemie Windows 2000 na komputerze z agentem MOM 2005 można znaleźć w witrynie Microsoft Download Center, przeszukując ją zgodnie z następującymi kryteriami: “Background Intelligent Transfer Service Version 1.5” (Client). Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community Uwaga Niektóre instalacje IIS zawierają składnik filtrujący UrlScan. Jeżeli filtr UrlScan jest włączony, administrator musi dodać do listy dozwolonych fraz HTTP tego filtra słowo „BITS_POST”. W przeciwnym przypadku wysyłanie z klientów BITS zakończy się niepowodzeniem. Szczegółowe informacje o dodawaniu fraz do listy UrlScan można znaleźć w dokumentacji tego filtra. Ustawianie uprawnień katalogów wirtualnych. Ze względów bezpieczeństwa BITS nie wysyła plików do katalogu wirtualnego, dla którego włączono uprawnienia do skryptów i wykonywania. Próba wysłania pliku do katalogu wirtualnego, dla którego ustawiono te uprawnienia, spowoduje wygenerowanie błędu BG_E_SERVER_EXECUTE_ENABLED. BITS nie wymaga, aby dla katalogu wirtualnego włączono uprawnienie do zapisu. Zaleca się zatem wyłączenie tego uprawnienia. Uwierzytelniony użytkownik (lub użytkownik Anonymous systemu IIS w przypadku uwierzytelniania anonimowego) musi mieć uprawnienie do zmiany katalogu fizycznego, do którego przypisany jest katalog wirtualny. Nie wystarczy przyznanie uprawnienia do zapisu. Zabezpieczenie transferu plików Takie transfery plików nie są domyślnie zabezpieczane. Aby zapewnić im ochronę, można posłużyć się szyfrowaniem SSL (Secure Sockets Layer). Więcej informacji na temat stosowania techniki SSL w systemie IIS można znaleźć w pomocy do produktu Internet Information Services (IIS). Więcej informacji o korzystaniu z usługi BITS można znaleźć w witrynie MSDN „Using BITS”, pod adresem http://go.microsoft.com/fwlink/?LinkId=942. Ważne Nie są obsługiwane odpowiedzi transferu plików korzystające z serwera proxy. Uwierzytelnianie wzajemne Jest to nowa funkcja systemu MOM 2005. Wymaga ona, aby Management Server i agent uwierzytelniły się wzajemnie, zanim rozpoczną komunikację. Używany jest do tego protokół uwierzytelniania Kerberos v5, wchodzący w skład systemu operacyjnego Windows 2000, Windows XP i Windows Server 2003. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community 34 Podręcznik bezpieczeństwa systemu Microsoft Operations Manager 2005 Uwierzytelnianie wzajemne może ograniczyć ryzyko ataków przez pośrednika (man-in-themiddle). Przy tego typu atakach intruz podszywa się pod Management Server lub agenta, aby komunikować się z drugim komputerem lub wykonywać na nim zadania. Uwierzytelnianie wzajemne wymaga relacji zaufania Active Directory pomiędzy domeną, w której znajduje się Management Server, a domeną agenta. Opcja uwierzytelniania wzajemnego obowiązuje dla całej grupy administracyjnej i nie można jej przesłonić. Jeżeli uwierzytelnianie wzajemne jest włączone, z systemami Management Server mogą komunikować się tylko agenci MOM 2005. Agentów innych wersji nie będą mogły się komunikować z tymi serwerami. Funkcja uwierzytelniania wzajemnego dotyczy tylko systemów Management Server w wersji MOM 2005. Agenci zgłaszający się do serwerów DCAM wersji MOM 2000 SP1 nie będą blokowani. Bezpieczny kanał komunikacyjny Domyślnie komunikacja między agentem MOM 2005 a systemem Management Server jest zawsze szyfrowana i podpisywana elektronicznie. Jeżeli włączono uwierzytelnianie wzajemne, to komunikacja ta jest również uwierzytelniana. Jeżeli uwierzytelnianie wzajemne jest wyłączone, komunikaty wymieniane między agentami MOM 2000 SP1 a systemem Management Server są domyślnie szyfrowane, tak jak w MOM 2000. Gdy funkcja uwierzytelniania wzajemnego jest włączona, agenci MOM 2000 SP1 nie mogą komunikować się z systemem Management Server. Tylko uwierzytelnianie wzajemne wymaga relacji zaufania Active Directory. Ustawienia zabezpieczeń agenta i systemu Management Server Jeżeli między ustawieniami zabezpieczeń agenta a analogicznymi ustawieniami systemu Management Server wystąpi rozbieżność, to Management Server zsynchronizuje agentów zgodnie ze swoimi ustawieniami. Nie dotyczy to ustawienia portu komunikacyjnego. Zmiana portu komunikacyjnego została opisana w procedurze „Aby zaktualizować agenta za zaporą” w niniejszym podręczniku. Blokowanie agentów ze starszych wersji Systemy Management Server w danej grupie administracyjnej można skonfigurować w taki sposób, aby blokowały komunikację ze strony agentów MOM 2000 SP1. Block Legacy Agents to opcja ustawiana dla całej grupy administracyjnej i nie można jej przesłaniać. Opcja ta jest automatycznie włączana po uaktywnieniu uwierzytelniania wzajemnego. Odrzucanie nowych agentów zainstalowanych ręcznie Ustawienie Reject New Manually Installed Agents nakazuje systemowi Management Server odrzucać dane wysyłane przez agentów, których zainstalowano ręcznie po włączeniu tej opcji, a Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community także nie wykrywać takich agentów. Nie dotyczy to agentów, które już wcześniej zostały zainstalowane ręcznie i wykryte. Po włączeniu tej opcji agenci instalowani ręcznie nie będą się pojawiać w konsoli MOM Administrator. Nie będzie też można zmienić statusu komputerów z tymi agentami na „zarządzany przez agenta”, dopóki opcja ta nie zostanie wyłączona. Jest to ustawienie obowiązujące dla całej grupy administracyjnej i nie można go przesłaniać. Informacje o tym, jak wyłączyć to ustawienie i wykryć agentów zainstalowanych ręcznie, zawiera procedura „Aby włączyć lub wyłączyć opcję Reject New Manually Installed Agents” w niniejszym podręczniku. Uwaga Opcja ta funkcjonuje tylko wtedy, gdy włączone jest uwierzytelnianie wzajemne. W przeciwnym przypadku MOM ignoruje to ustawienie, akceptując nowe, ręcznie zainstalowanych agentów. Bezpieczeństwo przy zarządzaniu bez agenta Nową funkcją MOM 2005 jest możliwość monitorowania komputerów bez instalowania na nich agenta MOM. Metoda ta nosi nazwę „zarządzania bez agentów”. Zarządzanie bez agentów można stosować w przypadku komputerów znajdujących się w specyficznych środowiskach, w których nie można zainstalować agenta, albo gdzie nie są potrzebne rozbudowane funkcje administracyjne udostępniane przez agenta MOM. Management Server komunikuje się z komputerami zarządzanymi bez agentów przez port RPC (TCP 135) i zakres portów DCOM. Dlatego też zarządzanie bez agenta komputerem znajdującym się poza zaporą nie jest obsługiwane. Jeżeli wykorzystuje się zarządzanie bez agenta, to konto Action Account systemu Management Server musi mieć także uprawnienia administratora lokalnego na komputerze zdalnym. Komputery te muszą zatem znajdować się w tej samej domenie albo w domenach powiązanych relacją zaufania. MOM Connector Framework oraz MMPC Składniki MOM Connector Framework (MCF) oraz MOM-to-MOM Product Connector (MMPC) to nowe elementy systemu MOM 2005. Umożliwiają one współużytkowanie i synchronizowanie danych między środowiskami MOM 2005 i MOM 2000 SP1, między grupami administracyjnymi MOM 2005, a także między systemem MOM 2005 a innymi programami do zarządzania. MCF jest usługą Web Service pracującą na komputerze z systemem Management Server i komunikującą się przez port TCP 1271. Dlatego też interfejsów MCF można używać w przypadku połączeń przechodzących przez zapory, a także przez sieć lokalną, sieć rozległą czy nawet przez Internet. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community 36 Podręcznik bezpieczeństwa systemu Microsoft Operations Manager 2005 MOM nie szyfruje połączeń MMPC ani MCF. Można jednak zastosować w tym celu szyfrowanie SSL (Secure Sockets Layer). Więcej informacji o szyfrowaniu SSL można znaleźć w dokumentacji produktu Internet Information Services (IIS). Połączenia te można również zabezpieczyć za pomocą protokołu IPSec. Więcej informacji na temat stosowania IPSec można znaleźć w rozdziale „IPSec — bezpieczny protokół IP” w niniejszym podręczniku. Ważne Jeżeli składnik MCF wykorzystuje połączenia „niezabezpieczone”, to należy zastosować protokół SSL lub IPSec, aby ochronić przesyłane dane. Niektóre z tych danych mogą mieć charakter poufny, np. informacje przesyłane w wyniku zajścia zdarzeń albo alarmy. Należy także pamiętać, że użycie SSL lub IPSec może nieco zmniejszyć wydajność transmisji MCF. Domyślnie system MOM wykorzystuje do obsługi składnika MMPC (MOM-to-MOM Product Connector), czyli usługi MOMConn Service, konto DAS. Konto usługi MMPC musi należeć do grupy zabezpieczeń MOM Service w źródłowej grupie administracyjnej. Jeżeli między źródłową a docelową grupą administracyjną istnieje relacja zaufania Active Directory, to konto usługi MMPC musi także należeć do grupy MOM Service w docelowej grupie administracyjnej. Jeżeli nie ma relacji zaufania Active Directory, to należy przydzielić kontu usługi MMPC certyfikat klienta i odwzorować je na konto należące do grupy zabezpieczeń MOM Service w docelowej grupie administracyjnej. Korzystanie z certyfikatów klienta i szyfrowania SSL do obsługi składników MCF lub MMPC Aby zwiększyć bezpieczeństwo danych przesyłanych podczas korzystania ze składników MCF lub MMPC, można posłużyć się szyfrowaniem SSL i certyfikatami klienta. Informacje o używaniu certyfikatów klienta do obsługi MMPC można znaleźć w procedurze „Aby korzystać z certyfikatów klienta oraz techniki SSL w połączeniu ze składnikami MCF lub MMPC” w niniejszym podręczniku. Konfiguracja konsoli Web tylko do odczytu Konsolę Web można skonfigurować w taki sposób, aby zapewniała dostęp tylko do odczytu. Oznacza to, że będzie można wyświetlać dane operacyjne, ale nie będzie można uruchamiać zadań ani wprowadzać zmian. Ustawienie to nie ma wpływu na zapis i odczyt w konsoli Operator. Informacje o tym, jak skonfigurować konsolę Web tylko do odczytu, zawiera procedura „Aby włączyć lub wyłączyć dostęp do konsoli Web w trybie tylko do odczytu” w niniejszym podręczniku. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community Bezpieczeństwo baz danych MOM Database i Reporting Database Te dwie bazy danych wykorzystywane przez system MOM są instalowane z dostatecznymi zabezpieczeniami dostępu. Ich poziom można jednak zwiększyć, używając polityki IPSec lub szyfrowania OLE DB. Techniki te pozwalają zaszyfrować dane przesyłane z bazy i do bazy. Data Access Service (DAS) MOM używa konta DAS do wykonywania następujących czynności: • wysyłania do bazy danych OnePoint zapytań o informacje, które są wyświetlane w konsoli Administrator, konsoli Operator lub konsoli Web • wstawiania danych do bazy OnePoint, np. danych operacyjnych (alarmów, zdarzeń, informacji o wydajności) oraz danych konfiguracyjnych • wykonywania procedur przechowywanych (dołączonych do produktu MOM 2005) w bazie danych OnePoint • uruchamiania usługi MMPC, jeżeli ją zainstalowano. Konto DAS nie wymaga dodatkowych uprawnień oprócz roli „db_owner” dla bazy danych OnePoint oraz statusu SQL Server Security Login z dostępem ustawionym na „Permit”. Jeżeli zainstalowano składnik MCF, to konto DAS musi również należeć do grup zabezpieczeń SC DW DTS na komputerach MOM Reporting Server i MOM Database Server. Wykorzystywanie konta Network Service do obsługi DAS Windows Server 2003 obsługuje konto Network Service. Jest to uprzednio zdefiniowane konto lokalne, które służy do uruchamiania usługi i zapewniania dla niej kontekstu zabezpieczeń. Konto to nosi nazwę NT AUTHORITY\NetworkService. Konto Network Service ma ograniczony dostęp do komputera lokalnego oraz dostęp uwierzytelniany (jako konto komputera) do zasobów sieciowych. Konta tego można użyć do obsługi kontekstu zabezpieczeń DAS, zamiast stosować lokalne lub domenowe konto użytkownika. Pozwoli to obniżyć poziom uprawnień, którymi dysponuje usługa DAS oraz uniknąć wygasania haseł wynikającego z polityki. Informacje o tym, jak użyć konta Network Service do obsługi DAS, zawiera procedura „Aby użyć konta Network Service do obsługi DAS” w niniejszym podręczniku. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community 38 Podręcznik bezpieczeństwa systemu Microsoft Operations Manager 2005 Ważne Metoda ta jest dostępna tylko wtedy, gdy komputer z systemem Management Server wykorzystuje system operacyjny Windows Server 2003. System Windows 2000 nie obsługuje konta Network Service. Baza danych operacyjnych MOM Baza MOM Database (OnePoint) przechowuje dane operacyjne systemu MOM. Systemy Management Server komunikują się z nią przez port TCP/UDP 1433, wykorzystując technikę OLEDB. MOM nie szyfruje tych danych, można je jednak zabezpieczyć, stosując protokół IPSec lub szyfrowanie OLEDB Encryption. Więcej informacji na temat tych technik można znaleźć w rozdziałach „IPSec — bezpieczny protokół IP” oraz „Szyfrowanie OLEDB” w niniejszym podręczniku. Zadania SQL w bazie danych MOM Database MOM posługuje się kilkoma zadaniami serwerowymi SQL (SQL Server Job), obsługując bazę danych MOM Database. Zadania te pracują w ramach poświadczeń konta logowania, z którego instalowano bazę danych MOM Database. Konto to należy do grupy administratorów na komputerze MOM Database Server. Poniższa tabela zawiera te zadania i uprawnienia, którymi mogą się one posługiwać. Tabela 4 Zadania serwerowe SQL używane przez produkt MOM 2005 Nazwa zadania Uprawnienia One Point — Update Statistics (uaktualnianie danych statystycznych) DBO lub sysadmin One Point — Check Integrity (kontrola integralności) uprawnienie ‘execute’ do master..xp_sqlmaint One Point — Reindex (reindeksowanie) uprawnienie ‘execute’ do master..xp_sqlmaint MOMX Partitioning and grooming (partycjonowanie db_datareader, db_datawriter, db_dlladmin, i konsolidacja) execute do wszystkich procedur przechowywanych OnePoint One Point — Computer Maintenance (serwisowanie db_datareader, db_datawriter, db_dlladmin, komputera) execute do wszystkich procedur przechowywanych OnePoint One Point — db_datareader, db_datawriter, db_dlladmin, Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community TodayStatisticsUpdateComputersAndAlerts execute do wszystkich procedur przechowywanych OnePoint One Point — TodayStatisticsUpdateEvents db_datareader, db_datawriter, db_dlladmin, execute do wszystkich procedur przechowywanych OnePoint One Point — TodayStatisticsUpdatePerfmonRulesKB db_datareader, db_datawriter, db_dlladmin, execute do wszystkich procedur przechowywanych OnePoint One Point - Update Database (uaktualnianie bazy danych) db_datareader, db_datawriter, db_dlladmin, execute do wszystkich procedur przechowywanych OnePoint Baza danych raportowych Baza danych Reporting Database przechowuje zarchiwizowane dane operacyjne MOM i dostarcza te informacje usłudze SQL Server Reporting Service. Dane są archiwizowane za pomocą techniki DTS (Data Transformation Services) systemu SQL Server. Przesyłane są przez port TCP/UDP 1433. Dane te nie są szyfrowane, ale można je zabezpieczyć, stosując protokół IPSec lub OLEDB Encryption. Więcej informacji na temat tych technik można znaleźć w rozdziałach „IPSec — bezpieczny protokół IP” lub „Szyfrowanie OLEDB” w niniejszym podręczniku. Zmiana haseł Jeżeli zmieni się hasło jednego z kont należącego do grupy zabezpieczeń SCDW DTS na komputerze MOM Reporting Server, trzeba replikować te zmiany do zaplanowanego zadania DTS i usługi SCDW Data Source. Informacje o zmianie haseł zawierają procedury „Aby zmienić hasło zaplanowanego zadania MOM Reporting” oraz „Aby zmienić hasło SCDW Data Source” w niniejszym podręczniku. Konsola Reporting Składniki konsoli Reporting są instalowane na komputerze MOM Reporting Database Server. Komunikują się z klientami Web przez port HTTP 80. Za pomocą konsoli Reporting można wyświetlać, tworzyć i zapisywać raporty w bazie danych Reporting Database. Konsola stanowi element instalacji Microsoft SQL Server Reporting Services. Z konsoli Reporting można korzystać poza zaporą. MOM nie szyfruje połączenia konsoli Reporting z klientem. Można jednak zastosować w tym celu szyfrowanie SSL (Secure Sockets Layer). Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community 40 Podręcznik bezpieczeństwa systemu Microsoft Operations Manager 2005 Raportowanie przez zaporę ISA 2004 MOM 2005 umożliwia realizację funkcji raportowych przy połączeniach przechodzących przez zaporę ISA (Internet Security and Acceleration Server) 2004. Jeżeli korzysta się z konsoli Reporting przez zaporę ISA 2004, to do większości zastosowań trzeba otworzyć port HTTP 80 lub, jeżeli stosowane jest szyfrowanie SSL, port TTPS 443. Należy także skonfigurować funkcję Web Publishing na zaporze ISA 2004. Więcej informacji o funkcji Web Publishing można znaleźć w dokumentacji zapory ISA 2004. Bezpieczeństwo agentów Agenci MOM 2005 zostali rozszerzeni w stosunku do agentów z wersji MOM 2000 SP1. Rozszerzenia te to m.in. odrębny kontekst konta dla procesu MOM Service i odpowiedzi na komputerze z agentem. Niniejszy rozdział zawiera ogólne omówienie tych funkcji. MOM Service (MOMService.exe) MOM Service stanowi w przybliżeniu odpowiednik usługi OnePoint Service w wersji MOM 2000 SP1. Obsługuje infrastrukturę agenta i komunikację z systemem Management Server. Usługa ta musi pracować w kontekście Local System (w Windows 2000 lub Windows Server 2003) albo Network Service (tylko w systemie Windows Server 2003). Nie należy zmieniać tego konta ani przypisywać do innego kontekstu. MOM Service uruchamia się w postaci procesu MOMService.exe. Na komputerze z agentem w pracuje tylko jeden proces MOMService.exe naraz. Proces MOMService.exe wykonuje następujące zadania: • dziennik zdarzeń aplikacji — odczyt / zapis • dziennik zdarzeń zabezpieczeń — odczyt / zapis • dostawca zdarzeń WMI (ten wątek procesu MOMService.exe posługuje się kontem Action Account agenta) — odczyt • transfer plików — odbiór • transfer plików — wysyłanie (jeżeli używa się systemu operacyjnego Windows Server 2003 lub Windows 2000, w którym zainstalowano produkt Background Intelligent Transfer Service (BITS) 1.5). Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community Konto Action Account Konto Action Account agenta służy do zbierania danych operacyjnych z komputerów zarządzanych oraz do uruchamiania na tych komputerach odpowiedzi. Z konta Action Account korzystają procesy MOMHost.exe, a także niektóre wątki procesu MOMService.exe. Ponieważ jednocześnie może pracować kilku dostawców danych lub kilka odpowiedzi, MOM uruchamia je w osobnych procesach. W razie awarii jednego z procesów metoda ta pozwala ochronić inne procesy MOMHost.exe. Dlatego też na komputerze z agentem może działać jednocześnie wiele procesów MOMHost.exe. Proces MOMHost.exe wykonuje następujące zadania: • monitoruje i gromadzi dane dziennika zdarzeń Windows • monitoruje i gromadzi dane z liczników wydajności Windows • monitoruje i gromadzi dane WMI (Windows Management Instrumentation) • monitoruje i gromadzi dane z dzienników aplikacji, np. dzienników IIS • uruchamia odpowiedzi pakietów Management Pack, np. skrypty lub pliki wsadowe • uruchamia odpowiedzi w kodzie zarządzanym („kod zarządzany” to kod napisany z wykorzystaniem struktur .NET Framework). Rozdzielenie procesu MOMService od procesu MOMHost i wykorzystywanie wielu procesów MOMHost oznacza, że błąd lub zatrzymanie skryptu działającego na komputerze zarządzanym nie wpłynie negatywnie na funkcjonowanie procesu MOM Service ani innych odpowiedzi uruchomionych na tym komputerze. Takie rozwiązanie zwiększa odporność agentów MOM 2005. Używanie konta o niskim poziomie uprawnień W pewnych okolicznościach można użyć w roli Action Account agenta konta o niskim poziomie uprawnień. W systemie Windows 2000 konto Action Account musi należeć do grupy administratorów lokalnych lub Local System. W systemie Windows Server 2003 konto to musi mieć następujące uprawnienia minimalne: • należeć do lokalnej grupy Users • mieć dostęp do dzienników zdarzeń Windows • należeć do lokalnej grupy „Performance Monitor Users” (Użytkownicy monitora wydajności) • mieć uprawnienie „Manage auditing and security log” (Zarządzanie inspekcją i dziennikiem zabezpieczeń, SeSecurityPrivilege) Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community 42 Podręcznik bezpieczeństwa systemu Microsoft Operations Manager 2005 • mieć uprawnienie „Allow log on locally” (Zezwalaj na logowanie lokalnie, SeInteractiveLogonRight) Ważne Wymienione powyżej uprawnienia minimalne to najniższe uprawnienia obsługiwane przez MOM 2005. Uprawnienia rzeczywiście niezbędne dla konta Action Account będą uzależnione od tego, jakie pakiety Management Pack zostały uruchomione i jak je skonfigurowano. Więcej informacji można znaleźć w podręczniku do odpowiedniego pakietu Management Pack. Konta o niskim poziomie uprawnień można używać tylko w systemie Windows Server 2003. W Windows 2000 konto Action Account musi należeć do grupy zabezpieczeń dla administratorów lokalnych lub Local System. Do prawidłowego funkcjonowania pakietów Management Pack niezbędne może być dodanie innych uprawnień konta Action Account. Program instalacyjny MOM instaluje domyślnie tylko pakiet Microsoft Operations Manager 2005 Management Pack. Ten pakiet wymaga jedynie, aby konto używane jako Action Account miało dostęp do następujących elementów: Tabela 5 — Rodzaje dostępu wymagane przez pakiet MOM 2005 Management Pack Zasób Rodzaj dostępu Instrukcje Dziennik zdarzeń Windows Odczyt W polityce Local Policy (lokalnej) lub Global Policy (globalnej) należy przyznać kontu Action Account uprawnienie „Manage auditing and security log” (Zarządzanie inspekcją i dziennikiem zabezpieczeń). Liczniki wydajności Windows Odczyt Konto Action Account musi należeć do grupy zabezpieczeń Performance Monitor Users . Pliki dziennika konkretnych aplikacji Odczyt Action Account musi mieć dostęp w trybie do odczytu do konkretnego pliku dziennika lub katalogu. Więcej informacji o położeniu takich plików dziennika można znaleźć w dokumentacji poszczególnych produktów. Dokumentacja systemu MOM nie zawiera tych informacji. W przypadku korzystania z konta o niskim poziomie uprawnień nie można uruchamiać odpowiedzi SNMP. Jeżeli odpowiedź SNMP jest niezbędna, należy jako Action Account agenta wybrać konto o uprawnieniach na poziomie administratora. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community Uwaga Action Account musi należeć do grupy Administrators albo pracować w kontekście Local System, aby system MOM mógł monitorować dzienniki systemu Internet Information Services (IIS). Używanie konta o wysokim poziomie uprawnień Jeżeli dopuszczają to wymogi bezpieczeństwa, można posłużyć się także kontem o wysokim poziomie uprawnień. Użycie konta o wysokim poziomie uprawnień zagwarantuje poprawną pracę wszystkich funkcji w pakietach Management Pack. Używanie konta domenowego Chociaż można użyć jednego konta domenowego jako Action Account kilku agentów, firma Microsoft nie zaleca takiej praktyki. Jeżeli bowiem poświadczenia dla tego konta zostaną ujawnione, intruz będzie mógł za jego pomocą zaatakować wiele komputerów. Można też użyć innego konta domenowego jako Action Account dla każdego agenta, ale polityka globalna może wymuszać wygasanie haseł do tych kont. W takim przypadku zastosowanie konta lokalnego może zredukować nakłady administracyjne. Używanie konta Local System Konto Action Account agenta można uruchamiać w kontekście Local System. Zapewnia to, że wszystkie pakiety Management Pack będą posługiwać się właściwymi prawami użytkownika. Jednak konto Local System ma uprawnienia na poziomie administracyjnym, zatem korzystanie z niego może stanowić potencjalne zagrożenie dla bezpieczeństwa. Jeżeli intruz zdoła naruszyć bezpieczeństwo procesów MOM, to posługując się kontekstem Local System będzie mógł wykonać na komputerach zarządzanych dowolną czynność. W pewnych okolicznościach będzie nawet w stanie zaatakować komputer z systemem Management Server. Dlatego też można zdecydować się również na użycie konta o niższym poziomie uprawnień. Zmiany hasła do konta Action Account Narzędzie SetActionAccount.exe w katalogu %Program Files%\Microsoft Operations Manager 2005 umożliwia łatwą zmianę tego hasła. Za jego pomocą można wybrać również inne konto, które będzie pełniło rolę Action Account. Poniżej przedstawiono sposób korzystania z tego narzędzia: SetActionAccount.exe <grupa administracyjna> [opcje] Opcje: -query //zwraca bieżące ustawienia konta Action Account dla danej grupy administracyjnej. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community 44 Podręcznik bezpieczeństwa systemu Microsoft Operations Manager 2005 -set <domain> <username> //ustawia konto Action Account dla danej grupy administracyjnej. Uwaga — program zapyta o nowe hasło. Uwaga — należy podać grupę administracyjną, nawet jeżeli agent nie korzysta z multihomingu. Uwaga Aby ta zmiana lub inne zmiany uprawnień konta Action Account weszły w życie, należy ponownie uruchomić usługę MOM Service na danym komputerze. Rola proxy agenta W systemie MOM 2005 agent może przekazywać dane w imieniu innego komputera lub urządzenia sieciowego. Nazywa się to „rolą proxy agenta”. Jeżeli wyłączy się rolę proxy agenta, (opcja Agent Proxying), to Management Server próbuje porównać dane nadsyłane z agenta z nazwą tego agenta. Jeżeli nie będzie między nimi zgodności, to dane zostaną odrzucone, a system zarejestruje zdarzenie. Funkcja ta ułatwia walkę z atakami, podczas których intruz podszywa się pod agenta (lub wysyła do agenta informacje, które ten przekaże dalej), aby przesłać dane do systemu Management Server. W przypadku agentów wykorzystujących multihoming każda grupa administracyjna ma własne ustawienia roli proxy dla tego agenta. Jest to ustawienie obowiązujące w całej grupie administracyjnej, ale można przesłaniać je na poszczególnych agentach. Uwaga Jeżeli uwierzytelnianie wzajemne jest wyłączone, to opcja Agent Proxying będzie ignorowana. Wszyscy agenci będą mogli pełnić rolę proxy, niezależnie od wartości tej opcji. Agenci wykorzystujący multihoming Agent wykorzystujący multihoming to taki agent, który zgłasza się do więcej niż jednej grupy administracyjnej (lub grupy konfiguracyjnej w wersji MOM 2000 SP1). Uzyskuje się to, tworząc i uruchamiając wiele instancji składnika, który komunikuje się z systemem Management Server. Pracują one w ramach pojedynczej instancji procesu MOM Service. Każda instancja składnika komunikacyjnego działa odrębnie od innych. Jeżeli w jednej z nich wystąpi błąd, nie będzie miał wpływu na działanie pozostałych. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community Każda instancja pracuje w kontekście MOM Service dla danej grupy administracyjnej (jeżeli są różne) i w ramach tego samego procesu MOM Service. Oznacza to, że awaria jednej z instancji nie wpłynie na komunikację między agentem a inną grupą administracyjną. Jeżeli jednak zatrzyma się proces MOM Service, to zatrzymywana jest również komunikacja ze wszystkimi grupami administracyjnymi. Jeżeli agent nie może komunikować się z jedną z grup administracyjnych, np. dlatego, że awarii uległa łącząca te składniki sieć, to komunikacja z pozostałymi grupami administracyjnymi tego agenta może zostać zachowana. Nie mogą istnieć dwaj agenci o takich samych ustawieniach uwierzytelniania wzajemnego, zgłaszające się do tego samego systemu Management Server. Agenci za zaporą Jeżeli między komputerami zarządzanymi a komputerem z systemem Management Server znajduje się zapora, to można otworzyć na niej port TCP/UDP 1270. Pozwoli to uzyskać normalną komunikację między tymi składnikami. Jednak agentów takich trzeba ręcznie instalować i aktualizować. Funkcje uwierzytelniania wzajemnego oraz komunikacji podpisywanej i szyfrowanej będą dostępne, jeżeli między domeną komputera z systemem Management Server a domeną, w której znajduje się agent, istnieje pełna relacja zaufania Active Directory. Jeżeli taka relacja nie istnieje, to dostępna jest tylko komunikacja podpisywana i szyfrowana. Agenci w niezaufanej domenie czy grupie roboczej Agentów można umieścić w domenach bądź grupach roboczych bez relacji zaufania. Jednak w takim przypadku nie będzie dostępna funkcja uwierzytelniania wzajemnego, ponieważ pomiędzy domeną systemu Management Server a domeną agenta nie istnieje dwustronna relacja zaufania. Bezpieczny kanał komunikacyjny jest jednak nadal dostępny. Agentów trzeba instalować i aktualizować ręcznie. Jeżeli Management Server skonfigurowano tak, aby wymagał uwierzytelniania wzajemnego, to tacy agenci nie będą mogli się z nim komunikować. Informacje o tym, jak zmienić ustawienia na agentach znajdujących się za zaporą, w domenie lub grupie roboczej, z którą nie ma relacji zaufania, lub takie, których parametr Control Level ustawiono na „None”, zawiera procedura „Aby uaktualnić agenta za zaporą” w niniejszym podręczniku. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community 46 Podręcznik bezpieczeństwa systemu Microsoft Operations Manager 2005 Korzystanie z dodatkowych zabezpieczeń Ten rozdział zawiera opis dodatkowych zabezpieczeń, takich jak zapory, IPSec, SSL i podpisywanie pakietów SMB. Zabezpieczenia te pozwalają zwiększyć poziom bezpieczeństwa środowiska MOM. Rozdział zawiera również informacje o ogólnych metodach redukcji zagrożeń w środowisku MOM. Zgodność ze standardem FIPS Federal Information Processing Standard 140-1 (FIPS 140-1) i jego następca, FIPS 140-2, to standardy opracowane przez władze USA. Normują one wdrażanie programów kryptograficznych. Określają najlepsze procedury postępowania przy wdrażaniu algorytmów kryptograficznych, posługiwaniu się kluczami i buforami danych oraz współpracy z systemem operacyjnym. Funkcje IPSec i Encrypting Files System (EFS) w systemie Windows 2000, Windows Server 2003 i Windows XP mogą wykorzystywać składnik Kernel Mode Cryptographic Module, zgodny ze standardem FIPS-140-1. Funkcje te służą odpowiednio do szyfrowania pakietów danych i zawartości przesyłanych plików. Należy je odpowiednio skonfigurować, wybierając algorytmy zgodne ze standardami FIPS. Moduł kryptograficzny zgodny ze standardami FIPS umożliwia wdrażanie systemów IPSec (Internet Protocol Security) w standardzie FIPS 140-1. Wykorzystuje się do tego następujące elementy: • klient i serwer wirtualnej sieci prywatnej L2TP (Layer Two Tunneling Protocol)/IPSec • tunele L2TP/IPSec dla połączeń między bramkami wirtualnych sieci prywatnych • tunele IPSec dla połączeń między bramkami wirtualnych sieci prywatnych • cały ruch sieciowy pomiędzy klientem a serwerem oraz między serwerami jest szyfrowany techniką IPSec. Aby używać zabezpieczeń zgodnych ze standardem FIPS 140-1, należy skonfigurować protokół IPSec w polityce globalnej (Global Policy). Więcej informacji o korzystaniu z protokołu IPSec można znaleźć w rozdziale „IPSec — bezpieczny protokół IP” niniejszego podręcznika. Więcej informacji o regule globalnej można znaleźć w dokumentacji systemu Windows. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community Algorytmów zgodnych ze standardem FIPS można również używać, włączając opcję System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing w polityce globalnej (Global Policy) lub lokalnej (Local Policy). Korzystanie z systemu MOM w połączeniu z zaporami W środowisku informatycznym pomiędzy komputerami MOM mogą znajdować się zapory. W zależności od topologii tego środowiska, taki podział może powodować problemy. W Tabeli 6 przedstawiono, kiedy można korzystać z zapory między komputerami MOM 2005, a kiedy jest to niemożliwe. Tabela 6 — Zgodność zapory z systemem MOM 2005 Połączenie Zapora Port, protokół lub uwagi Management Server — komputer bez agenta NIE Port RPC (TCP 135) i zakres portów DCOM Management Server — konsola Administrator NIE Port RPC (TCP 135) i zakres portów DCOM Management Server — konsola Operator NIE Port RPC (TCP 135) i zakres portów DCOM Management Server — Agent OK Port TCP/UDP 12701 Management Server — MOM Database OK OLEDB Tunneling, port 14332 Reporting Database — MOM Database NIE Port DTS (TCP 1433) Reporting Database — konsola Reporting OK Port HTTP 80 Management Server — konsola Web OK Port TCP 1272 MMPC — MMPC OK Port TCP 1271 Grupa administracyjna — grupa administracyjna OK Należy użyć składnika MOM to MOM Product Connector OK — na tym połączeniu można stosować zaporę NIE — na tym połączeniu nie można stosować zapory 1 — Zadania administracyjne agenta (Agent Management Task) nie będą funkcjonować prawidłowo, jeżeli nie otworzy się zakresu portów DCOM. 2 — konfigurowany przez użytkownika. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community 48 Podręcznik bezpieczeństwa systemu Microsoft Operations Manager 2005 Korzystanie z systemu MOM w niezaufanych domenach lub grupach roboczych W środowisku informatycznym mogą występować domeny czy grupy robocze, między którymi istnieją relacje zaufania, oraz takie, między którymi takich relacji nie ma. W zależności od topologii tego środowiska taki podział może powodować problemy. W Tabeli 7 przedstawiono, kiedy można korzystać z połączenia między komputerami MOM 2005 przechodzącego przez barierę między domenami zaufanymi a niezaufanymi. Tabela 7 — Zgodność domen bez relacji zaufania z systemem MOM 2005 Połączenie Bez zaufania Uwagi Management Server — komputer bez agenta NIE Konto Action Account systemu Management Server musi mieć uprawnienia administratora na komputerze zdalnym Management Server — konsola Administrator NIE Management Server — konsola Operator NIE Management Server — Agent OK Management Server — MOM Database NIE Reporting Database — MOM Database NIE Reporting Database — konsola Reporting OK Port HTTP 80 Management Server — konsola Web OK Port TCP 1272 MMPC — MMPC OK Port TCP 1271 Grupa administracyjna — grupa administracyjna NIE MMPC Service musi mieć uprawnienia administratora w obu grupach Patrz uwaga poniżej. OK — komunikacja z domeną niezaufaną jest możliwa NIE — komunikacja z domeną niezaufaną [nie (w oryginale zapewne błąd, bo powtórzono to samo co przy OK. - BTInfo] jest możliwa Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community Uwaga Obsługa instalowania agentów poza granicą domen zaufanych, W większości środowisk agentów można instalować metodą push w domenie niezaufanej. Wyjątek stanowi kontroler domeny (Domain Controller). Ze względu na wielką liczbę kombinacji konfiguracyjnych dostępnych w Active Directory, nie wszystkie nich zostały dokładnie przetestowane. Dlatego też instalacja agentów metodą push na komputerach docelowych może w niektórych środowiskach nie działać prawidłowo. W takim przypadku należy zainstalować tych agentów ręcznie. Korzystanie z systemu MOM w połączeniu z narzędziem IIS Lockdown Kreator IIS Lockdown Wizard wyłącza niepotrzebne funkcje, redukując w ten sposób liczbę punktów narażonych na atak intruza. Zastosowanie ustawień tego kreatora może wpłynąć na niektóre funkcje systemu MOM. W tym podrozdziale opisano rodzaj efektów, jakie mogą wystąpić, oraz zmiany, jakie trzeba wprowadzić, aby przywrócić prawidłowe funkcjonowanie MOM po zastosowaniu tego narzędzia. Więcej informacji o narzędziu Lockdown można znaleźć pod adresem http://go.microsoft.com/fwlink/?LinkId=32741. Zastosowanie narzędzia Lockdown do komputera z systemem Management Server Narzędzie Lockdown produktu IIS (Internet Information Services) można zastosować do komputera z systemem Management Server. Nie zaburzy to w zasadzie funkcjonowania MOM, z tym że jeśli narzędzie to wyłączy składnik ASP.NET, nie będzie działać konsola Web. Konsola Web wykorzystuje bowiem ASP.NET do realizacji swoich podstawowych funkcji. Aby korzystać z konsoli Web, należy po uruchomieniu narzędzia IIS Lockdown ponownie włączyć ASP.NET. Więcej informacji o włączaniu i konfigurowaniu składnika ASP.NET można znaleźć w dokumentacji produktu Internet Information Services. Zastosowanie narzędzia Lockdown do komputera z systemem Reporting Server Narzędzie Lockdown produktu IIS (Internet Information Services) można zastosować do komputera z systemem MOM Reporting Server, nie zaburzając funkcjonowania MOM. Podczas uruchamiania narzędzia trzeba jednak użyć szablonu FrontPage Extensions. Ponadto, jeżeli składnik ASP.NET został wyłączony, to należy go ponownie włączyć, ponieważ konsola Reporting wykorzystuje go do realizacji swoich funkcji. Więcej informacji o włączaniu i konfigurowaniu składnika ASP.NET można znaleźć w dokumentacji produktu Internet Information Services. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community 50 Podręcznik bezpieczeństwa systemu Microsoft Operations Manager 2005 Zgodność z technikami IPSec, SSL, OLEDB Encryption i podpisywaniem pakietów SMB W tym rozdziale omówiono kilka dodatkowych metod zabezpieczeń, których można użyć w celu ochrony środowiska MOM. Opisano także procedury ich stosowania. W Tabeli 8 wymieniono dodatkowe techniki bezpieczeństwa, z których można korzystać. Tabela 8 — Zgodność różnych protokołów bezpieczeństwa z systemem MOM Połączenie IPSec OLE DB Encryption SSL Podpisywanie SMB Management Server — komputer bez agenta TAK nie dotyczy nie dotyczy nie dotyczy Management Server — Agent OK* nie dotyczy nie dotyczy TAK Management Server — konsola Administrator TAK nie dotyczy nie dotyczy nie dotyczy Management Server — konsola Operator TAK nie dotyczy nie dotyczy nie dotyczy Management Server — baza danych TAK TAK nie dotyczy nie dotyczy Reporting Database — MOM Database TAK TAK nie dotyczy nie dotyczy Management Server — konsola Web OK nie dotyczy TAK nie dotyczy Reporting Database — konsola Reporting OK nie dotyczy TAK nie dotyczy MCF — MCF OK NIE TAK nie dotyczy Grupa administracyjna — grupa administracyjna TAK NIE nie dotyczy nie dotyczy TAK — ta metoda działa, nie wymagając dalszej konfiguracji lub zmian innych funkcji NIE — nie można korzystać z tej metody OK — można korzystać z tej metody, ale wystąpią przy tym pewne problemy nie dotyczy — metoda jest niedostępna lub nie ma zastosowania * tylko jeżeli wyłączono uwierzytelnianie wzajemne. IPSec — bezpieczny protokół IP Niniejszy podrozdział zawiera informacje o korzystaniu z zabezpieczeń IPSec w połączeniu z systemem MOM. Zawiera też procedury niezbędne do skonfigurowania protokołu IPSec do tego celu. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community Informacje o protokole IPSec Internet Protocol Security (IPSec) to zestaw otwartych standardów, służący do zapewniania poufności i bezpieczeństwa komunikacji w sieciach IP za pomocą usług kryptograficznych. IPSec obsługuje uwierzytelnianie równorzędne na poziomie sieci, uwierzytelnianie pochodzenia danych, ochronę integralności i poufności danych (szyfrowanie) oraz zabezpieczenie przed retransmisją (replay protection). Implementacja IPSec stosowana przez firmę Microsoft opiera się na standardach opracowanych przez zespół roboczy IETF (Internet Engineering Task Force) ds. IPSec. Protokół IPSec obsługują systemy operacyjne Windows Server 2003, Windows XP i Windows 2000. Jest on również wbudowany w usługę Active Directory. Polityki IPSec można przypisywać, posługując się konfiguracją polityki grupy (Group Policy) dla domen Active Directory i jednostek organizacyjnych. Pozwala to przypisywać politykę IPSec na poziomie domeny, lokalizacji albo jednostki organizacyjnej, co upraszcza wdrażanie tego zabezpieczenia. Politykę IPSec można też wdrażać za pomocą przystawki (snap-in) IP Security Policies do konsoli MMC na komputerze lokalnym. Potrzebne są do tego uprawnienia administratora na każdym z komputerów, na którym ma zostać wdrożona polityka IPSec. Integracja protokołu IPSec z systemami operacyjnymi Windows 2000 Server i Windows Server 2003 jest dla administratorów sieci korzystna z wielu powodów, takich jak: • Otwarty standard branżowy. IPSec jest oparty na otwartych standardach branżowych i jako taki stanowi alternatywę dla niestandardowych technologii bezpieczeństwa opartych na protokole IP. Administratorzy sieci odnoszą korzyści z wynikającej z tego zgodności operacyjnej. • Przejrzystość. Protokół IPSec funkcjonuje poniżej warstwy transportowej, pozostaje zatem niewidoczny dla użytkowników i aplikacji. Oznacza to, że po wdrożeniu protokołu IPSec na zaporze lub ruterze nie trzeba zmieniać aplikacji sieciowych na komputerze osobistym użytkownika. • Uwierzytelnianie. Zaawansowane usługi uwierzytelniania nie dopuszczają do przyjęcia danych od osoby używającej sfałszowanych informacji o tożsamości. • Poufność. Usługi poufności uniemożliwiają nieupoważnionym osobom dostęp do wrażliwych danych, gdy są one transportowane pomiędzy komunikującymi się stronami. • Uwierzytelnianie pochodzenia i integralność danych. Do uwierzytelniania pochodzenia danych i ochrony ich integralności służy kod HMAC (Hashed Message Authentication Code), dołączany do każdego pakietu. • Dynamiczna zmiana kluczy. Dynamiczna zmiana kluczy podczas komunikacji eliminuje ręczną rekonfigurację kluczy tajnych i chroni przed ich wykryciem. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community 52 Podręcznik bezpieczeństwa systemu Microsoft Operations Manager 2005 • Pełne zabezpieczenie łączy. Protokół IPSec systemu Windows 2000 zapewnia pełne zabezpieczenie łączy dla użytkowników sieci prywatnej znajdujących się w tej samej domenie lub w domenach zaufanych w obrębie firmy. • Scentralizowane zarządzanie. Administratorzy sieci stosują polityki IPSec, aby zapewnić odpowiednie poziomy bezpieczeństwa według użytkowników, grup roboczych lub innych kryteriów. Zarządzanie scentralizowane redukuje ogólne koszty administracyjne. • Elastyczność. Elastyczność protokołu IPSec systemu Windows 2000 pozwala na stosowanie polityk zarówno w odniesieniu do całej firmy, jak i pojedynczej stacji roboczej. Protokół IPSec konfiguruje się za pomocą polityk globalnych lub lokalnych, które definiują metody uwierzytelniania, podpisywania i szyfrowania pakietów IP oraz blokowania pakietów dla konkretnych hostów, zakresu hostów lub całej sieci. Wymagania IPSec IPSec wymaga korzystania z usługi Active Directory, protokołu Kerberos v5 i uwierzytelniania wzajemnego. Nie można zatem używać techniki IPSec do ruchu sieciowego MOM, jeżeli nie włączono funkcji uwierzytelniania wzajemnego lub jeżeli korzysta się z agentów ze starszych wersji. IPSec a zapora Jeżeli między dwoma komputerami MOM znajduje się zapora, to konieczne może być skonfigurowanie tunelu IPSec. Więcej informacji na ten temat zawierają następujące artykuły Microsoft Knowledge Base: artykuł nr 252735, „How To Configure IPSec Tunneling in Windows 2000” (Jak konfigurować tunele IPSec w Windows 2000) oraz artykuł nr 816514, „How To Configure IPSec Tunneling in Windows Server 2003” (Jak konfigurować tunele IPSec w systemie Windows Server 2003). IPSec a NAT Z protokołu IPSec można korzystać w połączeniu z urządzeniem NAT (Network Address Translator) w następujących relacjach: • z Windows 2000 do Windows 2000 (tylko jeżeli w obu systemach zainstalowano aktualizację L2TP/IPSec NAT-T) • z Windows 2000 do Windows XP (tylko jeżeli w obu systemach zainstalowano aktualizację L2TP/IPSec NAT-T) • z Windows 2000 (z zainstalowaną aktualizacją L2TP/IPSec NAT-T Update) do systemu Windows Server 2003 • z systemu Windows Server 2003 do systemu Windows Server 2003. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community Jeżeli na punktach krańcowych z systemem Windows 2000 i Windows XP nie zainstalowano aktualizacji L2TP/IPSec NAT-T, nie można korzystać z protokołu IPSec dla połączeń przechodzących przez urządzenie NAT. Bez tej aktualizacji urządzenie NAT nie może dokonać translacji adresów IP w zabezpieczonych pakietach. Więcej informacji o instalowaniu tej aktualizacji można znaleźć w artykule nr 818043 w witrynie Microsoft Support: „L2TP/IPSec NAT-T Update for Windows XP and Windows 2000” (Aktualizacja L2TP/IPSec NAT-T dla Windows XP i Windows 2000). System Windows Server 2003 obsługuje protokół IPSec NAT Traversal (NAT-T). Protokół IPSec NAT-T umożliwia translację ruchu zabezpieczonego IPSec przez urządzenie NAT. IPSec a MOM Stosując protokół IPSec, można zwiększyć poziom bezpieczeństwa środowiska MOM. Połączenie między systemem Management Server a agentem jest domyślnie uwierzytelniane wzajemnie i szyfrowane, a w środowiskach Active Directory także podpisywane elektronicznie. Ważne MOM Management Server znajdujący się w domenie bez IPSec nie może instalować agentów metodą push na komputerze docelowym, który znajduje się w domenie z obsługą IPSec. MOM Management Server znajdujący się w domenie bez IPSec nie może monitorować agenta, który znajduje się w domenie z obsługą IPSec. Aby korzystać z tych funkcji, należy skonfigurować system Management Server obsługujący IPSec jako „serwer graniczny” (Boundary Server). Więcej informacji na ten temat można znaleźć w rozdziale „Wdrażanie agentów w domenach o różnych ustawieniach IPSec” w niniejszym podręczniku. Za pomocą tej metody można zwiększyć poziom bezpieczeństwa danych przepływających między systemem Management Server a systemem MOM Database Server, między systemem Management Server a konsolą Administrator lub Operator (jeżeli zainstalowano je na innym komputerze) albo między systemem MOM Database Server a bazą MOM Reporting Database. Ustawienia wszystkich tych połączeń przy korzystaniu z IPSec będą takie same (z wyjątkiem adresu IP): • Filter Action. Require Security • Authentication Method. Kerberos V5 Protocol (domyślnie) • Connection Type. All network traffic (domyślnie) • Tunnel Setting. This rule does not specify an IPSec tunnel (domyślnie) Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community 54 Podręcznik bezpieczeństwa systemu Microsoft Operations Manager 2005 Protokołu IPSec można używać między następującymi parami komputerów: • Management Server i MOM Database Server • MOM Database Server i Reporting Database • Management Server i dowolny komputer zarządzany bez agenta • Management Server i konsole Administrator lub Operator (jeżeli zainstalowano je na innym serwerze). Uwaga Komunikacja między agentem MOM 2005 a systemem Management Server jest zabezpieczana domyślnie. Stosowanie IPSec nie jest tu potrzebne. Protokołu IPSec można używać dla połączeń między poniższymi parami komputerów tylko wtedy, gdy należą do tej samej domeny lub między ich domenami istnienie relacja zaufania: • MCF na komputerze Management Server i docelowa usługa MCF • Reporting Database i konsola Reporting. Nie można stosować protokołu IPSec między wymienionymi poniżej parami komputerów, jeżeli jest to dostęp przez Internet. Można jednak użyć dla tych połączeń szyfrowania SSL: • MCF na komputerze Management Server i docelowa usługa MCF • Reporting Database i konsola Reporting. Protokół IPSec a agenci wykorzystujący multihoming lub nadmiarowe systemy Management Server Jeżeli agent zgłasza się do więcej niż jednej grupy administracyjnej lub w jednej grupie administracyjnej występuje więcej niż jeden Management Server, to polityki IPSec trzeba skonfigurować dla każdego połączenia między systemami Management Server a agentem. Tworzenie polityki IPSec IPSec konfiguruje się tworząc polityki i przypisując (uaktywniając) je. Polityka IPSec zawiera przynajmniej jedną regułę. Reguła to zestaw list filtrowania, zadań podejmowanych w wyniku działania filtrów, używanych metod uwierzytelniania, ustawień tuneli oraz rodzajów połączeń, których dotyczy lista filtrów. Więcej informacji o politykach IPSec można znaleźć w dokumentacji Windows. Informacje o tym, jak utworzyć polityki IPSec, zawiera procedura „Aby utworzyć politykę, używając konkretnego adresu IP” w niniejszym podręczniku. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community Ważne Przed przypisaniem tej polityki należy na komputerze docelowym utworzyć inną politykę, zawierającą takie same ustawienia. Komputer lokalny ma pełnić rolę docelowego, a drugi komputer — źródłowego. Aby polityki te mogły poprawnie funkcjonować, trzeba je uaktywnić na obu komputerach. IPSec a DHCP — zarezerwowane adresy klientów IPSec zarządza transportem między dwoma komputerami, które są identyfikowane wyłącznie przez ich adresy IP. Jeżeli adresy te przydziela dynamicznie protokół DHCP (Dynamic Host Configuration Protocol), to po ponownym przydziale lub zmianie adresów IP serwerów MOM trzeba przekonfigurować polityki IPSec. Oznacza to, że zmiana adresu IP komputera źródłowego lub docelowego spowoduje utratę polityki IPSec skonfigurowanej dla oryginalnych serwerów. Polityka IPSec będzie działać nadal, ale w odniesieniu do tych komputerów, które otrzymają adresy IP opisane w polityce. Nawet jeżeli użyje się opcji My IP Address lub A Specific DNS Name (tylko Windows Server 2003), aby ustawić adres IP w filtrze, to użyty zostanie rzeczywisty adres IP i pozostanie on statyczny. IPSec nie przetłumaczy nazwy DNS przy korzystaniu z tych opcji. Konkretny adres IP można zastrzec do stałego użytku dla konkretnego klienta DHCP. Służy do tego funkcja rezerwacji adresów. Jeżeli w systemie istnieje wiele serwerów DHCP, w których skonfigurowano zakres obejmujący zarezerwowane adresy IP, to na każdym z tych serwerów trzeba powielić rezerwacje. W przeciwnym przypadku klient z rezerwacją może otrzymać inny adres IP, jeżeli zgłosi się do innego serwera DHCP. Więcej informacji o rezerwacji adresów dla klientów można znaleźć w dokumentacji Windows. IPSec a maski podsieci Zasady filtrowania można zdefiniować, używając maski podsieci zamiast konkretnego adresu IP. Należy pamiętać o wybraniu jak najwęższej maski podsieci, która obejmie jednak wszystkie potrzebne komputery. Jeżeli używa się maski podsieci, wszystkie adresy IP mieszczące się w wyznaczonym przez nią zakresie będą podlegały zdefiniowanej polityce IPSec. Polityka ta może jednak nie funkcjonować w odniesieniu do wszystkich komputerów w danym zakresie IP. Jeżeli korzysta się z przydziału adresów IP przez serwer DHCP, to należy również pamiętać, że komputery MOM, którym przydzielony zostanie adres spoza maski podsieci, nie będą podlegały zdefiniowanej polityce. Nawet przy korzystaniu z masek podsieci konieczne jest utworzenie na każdym komputerze docelowym polityki dotyczącej jego połączenia z systemem Management Server. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community 56 Podręcznik bezpieczeństwa systemu Microsoft Operations Manager 2005 IPSec w niezaufanych domenach lub grupach roboczych Protokołu IPSec można używać między komputerami MOM w grupie roboczej, między komputerem MOM w domenie zaufanej i komputerem MOM w domenie niezaufanej, a także między komputerem MOM w domenie zaufanej a komputerem MOM w grupie roboczej. W tym celu należy posłużyć się metodą shared key (klucza współużytkowanego) lub certyfikatami, wykonując podane powyżej kroki. W kroku 19 [nie wiadomo, do czego się to odnosi, gdyż „powyżej” nie ma żadnych kroków, w szczególności kroku 19. Prawdopodobnie błąd w oryginale – BTInfo] należy wybrać jedną z tych dwóch opcji uwierzytelniania. IPSec a SNMP Jeżeli na komputerze uruchomiono usługę SNMP, należy dodać regułę zapobiegającą blokowaniu komunikatów SNMP: • Wykaz IP Filter List powinien określać adres źródłowy i docelowy systemów administracyjnych i agentów SNMP. Opcję typu protokołu (Protocol type) należy ustawić na wartość UDP, do i z portów 161 i 162. Wymaga to użycia dwóch filtrów: jednego dla ruchu UDP przychodzącego i wychodzącego na porcie 161, a drugiego dla ruchu UDP przychodzącego i wychodzącego na porcie 162. • Opcję Filter Action należy ustawić na Permit. Zablokuje to negocjowanie zabezpieczeń i spowoduje, że przepuszczany będzie cały ruch zgodny z wykazem IP Filter List. Wyłączanie protokołu IPSec Politykę IPSec można wyłączyć, cofając jej przypisanie. Polityka pozostanie na komputerach, ale nie będzie aktywna. Można ją przypisać lub wyłączyć w dowolnym momencie. Informacje o tym, jak wyłączyć politykę IPSec, zawiera procedura „Aby wyłączyć polityki IPSec” w niniejszym podręczniku. Szyfrowanie SSL (Secure Sockets Layer) Technika Secure Sockets Layer (SSL) Encryption wykorzystuje certyfikat serwerowy, aby utworzyć bezpieczny klucz sesji współużytkowany przez serwer i przeglądarkę klienta. Klucz ten służy do symetrycznego szyfrowania i deszyfrowania. Przed włączeniem szyfrowania SSL należy zainstalować certyfikat serwerowy. Więcej informacji o włączaniu szyfrowania SSL można znaleźć w dokumentacji produktu Internet Information Services (IIS). Za pomocą techniki SSL można chronić dane transmitowane do konsoli Reporting lub między interfejsami MCF. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community Szyfrowanie OLEDB Technika OLEDB Encryption wykorzystuje szyfrowanie Secure Sockets Layer (SSL) w celu zakodowania danych przekazywanych między klientami a nazwaną instancją systemu SQL Server. Za pomocą tej metody można zaszyfrować dane przepływające między systemem Management Server a komputerem MOM Database Server lub między komputerem Database Server a bazą danych Reporting Database. Aby zastosować tę metodę, niezbędny jest certyfikat serwerowy. Więcej informacji o stosowaniu techniki OLEDB Encryption do obsługi systemu SQL Server 2000 można znaleźć w materiałach SQL Server 2000 Books Online oraz w artykule nr 316898 Microsoft Knowledge Base, „How To Enable SSL Encryption for SQL Server 2000 with Microsoft Management Console” (Jak włączyć szyfrowanie SSL dla systemu SQL Server 2000 stosowane w połączeniu z konsolą Microsoft Management Konsole). Ważne Włączenie szyfrowania OLE DB dla produktu SQL Server powoduje szyfrowanie całej komunikacji z konkretną instancją nazwaną systemu SQL Server. Dotyczy to wszystkich klientów Podpisywanie pakietów SMB Chociaż w technice podpisywania pakietów SMB nie szyfruje się danych, to w pakietach protokołu Server Message Block (SMB) są umieszczane podpisy elektroniczne. Gwarantuje to, że dane nie zostaną zmodyfikowane podczas przepływu przez sieć. Management Server wykorzystuje port SMB (TCP/UDP 445), aby dostarczyć pliki niezbędne do zainstalowania agentów na komputerach zdalnych oraz do aktualizacji ustawień agentów po ich zainstalowaniu. Aby skonfigurować tę metodę zabezpieczania, należy włączyć opcje Microsoft network client: Digitally sign communications (always) oraz Microsoft network server: Digitally sign communications (always). Opcje te konfigurują system Windows 2000 w taki sposób, że wymaga on od serwera SMB podpisywania pakietów. Włączenie obu opcji redukuje ryzyko ataków przez pośrednika (man-in-the-middle) wykorzystujących pakiety SMB. Opcje te konfiguruje się za pomocą przystawki (snap-in) Global lub Local Policy do konsoli MMC. Zabezpieczanie MOM bez Active Directory Jeżeli system MOM jest instalowany w środowisku, w którym nie wdrożono usługi Active Directory albo relacji zaufania, to nie można stosować uwierzytelniania wzajemnego. Oznacza Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community 58 Podręcznik bezpieczeństwa systemu Microsoft Operations Manager 2005 to, że chociaż MOM będzie szyfrować ruch między komputerami z systemem Management Server a agentami na komputerach zarządzanych, nie będzie w stanie uwierzytelnić tych agentów. Intruz może zatem podszywać się pod agenta lub wykorzystać go, aby odebrać zaszyfrowane dane, a potem je odszyfrować. Aby zabezpieczyć komunikację między komputerami z systemem MOM Management Server a agentami, można użyć dodatkowych metod, takich jak IPSec. Można wymusić podpisy i szyfrowanie IPSec dla połączeń między adresem IP komputera z systemem Management Server a adresami IP agentów. Można także włączyć szyfrowanie IPSec dla całego ruchu między adresem IP komputera z systemem Management Server a podsiecią obejmującą agentów. Więcej informacji o protokole IPSec można znaleźć w rozdziale „Stosowanie dodatkowych zabezpieczeń” niniejszego podręcznika. Najlepsze procedury postępowania W tym rozdziale opisano ogólne metody redukcji zagrożeń i obszaru narażonego na ataki w środowisku MOM. Rozdział obejmuje metody typowe dla MOM i typowe dla systemu Windows, a także wskazówki dotyczące wykrywania prób ataku. Redukcja zagrożeń w środowisku MOM 2005 • Należy włączyć uwierzytelnianie wzajemne. Redukuje to ryzyko ataków przez pośrednika. • Należy włączyć podpisywanie pakietów SMB albo protokół IPSec. Te metody uniemożliwiają zmianę informacji podczas przepływu przez sieć i mogą ograniczyć ryzyko ataków przez pośrednika. • Jako konto Action Account agenta należy wybrać konto lokalne. Zmniejsza to ryzyko, że intruz, który odgadnie hasło, posłuży się tym kontem do naruszenia bezpieczeństwa sieci. • W systemie Windows Server 2003 można użyć konta Action Account o niskim poziomie uprawnień. Redukcja zagrożeń w systemach operacyjnych Windows 2000 i Windows Server 2003 • Należy wyłączyć lub zatrzymać niepotrzebne usługi. Redukuje to obszar narażony na ataki, czyli ilość uruchomionego kodu, który może stać się celem intruza. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community Tabela 9 Usługi wymagane lub zalecane dla systemu MOM Usługa Serwer Agent Background Intelligent Transfer Service (BITS) PREF COM+ System Application WYM Computer Browser WYM 3 DNS Client WYM Error Reporting PREF 1 PREF 1 Event Log WYM WYM HTTP SSL WYM 2 IISADMIN WYM 2 Kerberos Key Distribution Center WYM Net Login WYM Remote Procedure Call RED Remote Registry Security Account Manager Baza danych Reporting Server PREF WYM WYM WYM WYM WYM WYM Windows Installer WYM WYM — usługa jest WYMAGANA PREF — usługa zalecana (preferowana) dla systemu MOM 1 — potrzebna tylko wtedy, gdy używana jest funkcja Operational Data Reporting. 2 — tylko jeżeli używane są składniki MMPC lub MCF. 3 — tylko jeżeli w środowisku nie stosuje się Active Directory. Uwaga Są to jedynie usługi zalecane lub wymagane dla systemu MOM. Inne usługi mogą być niezbędne lub zalecane do pracy systemu Windows. • Sterowniki systemowe, których wymaga MOM • sterownik protokołu RMCast Protocol • sterownik protokołu TCP/IP Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community 60 Podręcznik bezpieczeństwa systemu Microsoft Operations Manager 2005 • • • sterownik HTTP • sterownik IPSEC. Ustawienia polityki zabezpieczeń związane z bezpieczeństwem MOM: • opcja Microsoft network client: Digitally sign communications (always) - SMB packet signing • różne reguły w politykach IPSec (jeżeli stosuje się protokół IPSec). Zawsze należy używać polityk wymuszających stosowanie trudnych do odgadnięcia haseł. Wykrywanie prób ataku w MOM 2005 • Należy przeglądać wykaz członków grup zabezpieczeń MOM, sprawdzając, czy do grup o wyższym poziomie uprawnień nie dodano nieupoważnionych uczestników. Należy też sprawdzić, czy do grupy MOM Service nie dodano kont indywidualnych. • Należy przeglądać konta SQL Logon używane przez MOM, sprawdzając, czy nie dodano do nich nieupoważnionych użytkowników. To samo dotyczy roli System Administrator dla bazy danych. • Należy gromadzić i archiwizować wszystkie zdarzenia z dziennika zabezpieczeń Windows (z wyjątkiem Object Access). Może to wytworzyć wielką liczbę zdarzeń dotyczących zabezpieczeń, które szybko zapełnią bazę MOM Database. Jeżeli użytkownik zdecyduje się na to, warto często archiwizować zdarzenia dotyczące zabezpieczeń i zwiększyć częstotliwość konsolidacji bazy danych MOM Database. Wykrywanie prób ataku w systemach Windows 2000 i Windows Server 2003 • Należy włączyć inspekcję zabezpieczeń (dla wszystkich zdarzeń z wyjątkiem Object Access). • Należy zainstalować i skonfigurować właściwe pakiety Management Pack (tzn. upewnić się, czy włączono reguły zabezpieczeń). Zmiana haseł i kont w systemie MOM Zmiana haseł do kont MOM może wynikać z polityki zabezpieczeń wymuszającej częste wygasanie i regularną wymianę takich haseł. Oto najlepsza kolejność czynności do wykonania w takiej sytuacji: Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community Zmiana hasła do konta Action Account systemu Management Server 1. Hasło do tego konta należy zmieniać na komputerze lokalnym lub w domenie lokalnej. Jeżeli jest to konto lokalne, można posłużyć się przystawką (snap-in) Local Users and Groups (Użytkownicy i grupy lokalne). Jeżeli jest to hasło domenowe, można użyć przystawki Active Directory Users and Computers (Użytkownicy i komputery Active Direktory). 2. Hasło, z którego korzysta MOM, należy zmieniać za pomocą narzędzia SetActionAccount.exe. Instrukcje korzystania z tego narzędzia zawiera podrozdział „Zmiana hasła do konta Action Account” w niniejszym podręczniku. 3. Na komputerze z systemem Management Server należy ponownie uruchomić usługę MOM Service. Zmiana hasła do konta Action Account agenta MOM 1. Hasło do tego konta należy zmieniać na komputerze lokalnym lub w domenie lokalnej. Jeżeli jest to konto lokalne, można posłużyć się przystawką (snap-in) Local Users and Groups (Użytkownicy i grupy lokalne). Jeżeli jest to hasło domenowe, można użyć przystawki Active Directory Users and Computers (Użytkownicy i komputery Active Direktory). 2. Hasło, z którego korzysta MOM, należy zmieniać za pomocą narzędzia SetActionAccount.exe. Instrukcje korzystania z tego narzędzia zawiera podrozdział „Zmiana hasła do konta Action Account” w niniejszym podręczniku. 3. Na komputerze zarządzanym należy ponownie uruchomić usługę MOM Service. Zmiana hasła do konta DAS 1. Hasło do tego konta należy zmieniać na komputerze lokalnym lub w domenie lokalnej. Jeżeli jest to konto lokalne, można posłużyć się przystawką (snap-in) Local Users and Groups (Użytkownicy i grupy lokalne). Jeżeli jest to hasło domenowe, można użyć przystawki Active Directory Users and Computers (Użytkownicy i komputery Active Direktory). 2. Należy aktualizować hasło tożsamości (Identity) aplikacji COM+ Microsoft Operations Manager Data Access Server. Służy do tego przystawka Component Services. 3. Aplikację COM+ należy zatrzymać, a następnie uruchomić ponownie. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community 62 Podręcznik bezpieczeństwa systemu Microsoft Operations Manager 2005 Uwaga Zmieniając jednocześnie konto Action Account systemu Management Server i konto DAS, należy najpierw zmodyfikować konto Action Account, potem konto DAS, a następnie zatrzymać usługę MOM Service przed zatrzymaniem aplikacji COM+. Uruchomienie usługi MOM Service spowoduje również uruchomienie aplikacji COM+. Jeżeli usługa MOM Service nie uruchomi się, przyczyną może być nieprawidłowa zmiana konta DAS lub wygaśnięcie hasła. Zmiana konta DAS Konto, którego MOM używa do obsługi DAS (Data Access Service), można zmienić. Musi to być konto domenowe o przynajmniej następujących właściwościach: • Musi należeć do grupy MOM Users na komputerze z systemem Management Server. • Musi mieć status SQL Server Logon z dostępem do serwera ustawionym na „Permit” oraz prawem dostępu „db_owner” (DBO) do bazy danych OnePoint na komputerze MOM Database Server. • Musi mieć status SQL Server Security Logon z dostępem do serwera ustawionym na „Permit” • Jeżeli zainstalowano składnik MMPC korzystając z konta DAS, to konto DAS musi również należeć do grup zabezpieczeń SC DW DTS na komputerach MOM Reporting Server i MOM Database Server. Zadania z zakresu bezpieczeństwa Ten rozdział zawiera wszystkie procedury niezbędne do zabezpieczenia produktu MOM. Procedury podzielono według tego, na którym komputerze MOM są realizowane. Management Server Aby wyłączyć lub włączyć uwierzytelnianie wzajemne: 1. Otwórz konsolę Administrator MOM 2005 i przejdź do okna Administration / Global Settings. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community 2. Otwórz okno Security Properties. 3. Na karcie Security w oknie the Security Properties wyłącz opcję Mutual Authentication required. [Aby włączyć uwierzytelnianie wzajemne, należy natomiast zaznaczyć to pole wyboru.] 4. Kliknij prawym przyciskiem myszy folder Management Pack. Kliknij opcję Commit Configuration Change. 5. Ponownie uruchom usługę MOM Service na wszystkich komputerach z systemem Management Server w danej grupie administracyjnej. 6. Zmień to ustawienie na wszystkich agentach, uruchamiając program instalacyjny Microsoft Operations Manager 2005 Agent z okna Dodaj lub usuń programy na komputerach z agentami. Aby wyłączyć lub włączyć opcję Block Legacy Agents: 1. Otwórz konsolę Administrator MOM 2005 i przejdź do okna Administration / Global Settings. 2. Otwórz okno Security Properties. 3. Na karcie Security w oknie the Security Properties wyłącz opcję Mutual Authentication required. 4. Wyłącz pole wyboru Block legacy agents. [Aby zablokować agentów ze starszych wersji, należy natomiast zaznaczyć to pole wyboru] 5. Kliknij prawym przyciskiem myszy folder Management Pack w konsoli Administrator. Kliknij opcję Commit Configuration Change. 6. Ponownie uruchom usługę MOM Service na komputerze z systemem Management Server. Aby wyłączyć lub włączyć opcję Reject New Manually Installed Agents: 1. Otwórz konsolę Administrator MOM 2005 i przejdź do okna Administration / Global Settings. 2. Otwórz okno Management Server Properties. 3. Na karcie Agent Install wyłącz pole wyboru the Reject new manual agent installations. [Aby włączyć odrzucanie nowych ręcznie zainstalowanych agentów, należy zaznaczyć to pole wyboru.] 4. Kliknij prawym przyciskiem myszy folder Management Pack w konsoli Administrator. Kliknij opcję Commit Configuration Change. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community 64 Podręcznik bezpieczeństwa systemu Microsoft Operations Manager 2005 5. Ponownie uruchom usługę MOM Service na komputerze z systemem Management Server. Aby wyłączyć lub włączyć rolę proxy agenta w oknie Global Agent Settings: 1. Otwórz konsolę Administrator MOM 2005 i przejdź do okna Administration / Global Settings. 2. Otwórz okno Agent Properties. 3. Na karcie Security okna dialogowego Agent Properties wyłącz opcję Allow agent to proxy for other computer or network devices. [Aby włączyć rolę proxy agenta, należy zaznaczyć to pole wyboru.] Aby włączyć lub wyłączyć odpowiedzi serwerowe: 1. Otwórz konsolę Administrator MOM 2005 i przejdź do okna Administration / Global Settings. 2. Otwórz okno Security Properties. 3. Na karcie Security wyłącz pole wyboru Disable execution of custom responses on Management Servers. [Aby wyłączyć odpowiedzi serwerowe, należy zaznaczyć to pole wyboru.] 4. Naciśnij przycisk OK. Aby włączyć lub wyłączyć dostęp do konsoli Web w trybie tylko do odczytu: 1. Na serwerze z aplikacją konsoli Web systemu Microsoft Operations Manager 2005 otwórz w edytorze tekstu plik %INSTALLDRIVE%\ Program Files\Microsoft Operations Manager 2005\WebConsole\web.config. 2. W pozycji <appSettings> zmień wpis “<!--add key="Readonly" value="true"/-->” na “<add key="Readonly" value="true"/>”. 3. Zatrzymaj i ponownie uruchom konsolę Web systemu Microsoft Operations Manager 2005 w przystawce (snap-in) Internet Information Services. Aby zaktualizować ustawienia konkretnego agenta MOM 2005 (wewnątrz zapory): 1. Otwórz konsolę Administrator MOM 2005 i rozwiń element Administration. 2. Rozwiń element Computers i kliknij element Agent-Managed Computers. 3. Na panelu rezultatów kliknij prawym przyciskiem myszy komputer zarządzany przez agenta. Wybierz opcję Synchronize Communication Settings. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community Uwaga Można zaznaczyć naraz wszystkich agentów, którzy mają zostać zaktualizowane, a następnie wprowadzić w nich zmiany za pomocą opisanego tu okna dialogowego. 4. W oknie dialogowym Update Agent Settings Task w sekcji Which account do you want to use to update the agent settings zaznacz opcję Management Server Action Account lub opcję Other i podaj poświadczenia z uprawnieniami administratora na komputerach, na których znajdują się agenci. Uwaga Jeżeli zaznaczono wiele agentów, to poświadczenia podawane dla konta służącego do aktualizacji ustawień agentów muszą obejmować uprawnienia administratora lokalnego na wszystkich komputerach z agentami. 5. W sekcji Which account do you want to use for the Agent Action Account zaznacz opcję Local System lub opcję Other i podaj poświadczenia dla konta, które ma uprawnienie „Log on as a batch job” (Logowanie w trybie wsadowym) na komputerze z agentem. Uwaga Jeżeli zaznaczono wiele agentów, to należy podać poświadczenia dla konta domenowego, które będzie kontem Action Account na wszystkich agentach (czyli wszyscy agenci będą korzystać z tego samego konta) albo użyć konta Local System na każdym agencie. Jeżeli nie poda się konta, to domyślnie użyte zostanie konto Local System. Opcja ta przesłania ustawienia bieżące. 6. Naciśnij przycisk OK. Aby zmienić opcję Identity w aplikacji COM+ DAS: 1. Na komputerze z systemem Management Server otwórz przystawkę (snap-in) Component Services. 2. Przejdź do aplikacji Microsoft Operations Manager Data Access Server i otwórz w niej okno Properties. 3. Na karcie Identity wpisz konta <domena\nazwa użytkownika> w pole tekstowe User. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community 66 Podręcznik bezpieczeństwa systemu Microsoft Operations Manager 2005 4. Wpisz hasło w pola tekstowe Password i Confirm password. 5. Naciśnij przycisk OK. 6. Kliknij aplikację prawym przyciskiem myszy i wybierz opcję Shut down. 7. Gdy aplikacja się zamknie, kliknij ją prawym przyciskiem myszy i wybierz opcję Start. Aby użyć konta Network Service do obsługi DAS Proces ten wymaga wykonania procedur zarówno na komputerze z systemem MOM Database Server, jak i na komputerze z systemem MOM Management Server. Ważne Operację tę można przeprowadzić tylko wtedy, gdy Management Server pracuje w systemie operacyjnym Windows Server 2003. Windows 2000 nie obsługuje konta Network Service. Na komputerze z systemem MOM Database Server: 1. Na komputerze MOM Database Server sprawdź, czy zarejestrowano nazwę MSSQLSvc Service Principal Name, posługując się składnią „setspn.exe -L <SQL Server FQDN>" w wierszu poleceń, gdzie <SQL Server FQDN> to nazwa domeny (FQDN) instancji systemu MOM Database Server. 2. W programie SQL Server Enterprise Manager otwórz folder OnePoint. 3. Dodaj nowego użytkownika bazy danych, klikając prawym przyciskiem myszy element Users w folderze bazy danych OnePoint i wybierając polecenie New Database User. 4. W oknie dialogowym Database Users - New User wpisz nazwę komputera w pole tekstowe Login Name. Nazwy komputera podaje się w formacie: domena\nazwakomputera$. Nie zapomnij o dodaniu na końcu znaku „$”. 5. Przyznaj kontu użytkownika należącemu do tego komputera rolę db_owner i naciśnij przycisk OK. 6. Przejdź do folderu Security i odszukaj instancję SQL Server. 7. Dodaj nowy SQL Server Login, klikając prawym przyciskiem myszy folder Logins i wybierając polecenie New Login. 8. Na karcie General w oknie dialogowym SQL Server Properties - New Login wpisz nazwę komputera w pole tekstowe Name. Nazwy komputera podaje się w formacie: domena\nazwakomputera$. Nie zapomnij o dodaniu na końcu znaku „$”. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community 9. Na karcie Database Access przyznaj komputerowi prawo dostępu db_owner do bazy danych OnePoint, zaznaczając pole wyboru Permit obok bazy OnePoint oraz pole wyboru db_owner, znajdujące się poniżej. 10. Naciśnij przycisk OK. Na komputerze z systemem Management Server 1. Zatrzymaj usługę MOM Service na komputerze z systemem Management Server. 2. W przystawce (snap-in) Component Services rozwiń element Component Services / Computers / My Computer / COM+ Applications. 3. Kliknij prawym przyciskiem myszy element Microsoft Operations Manager Data Access Server i wybierz opcję Shut Down. 4. Gdy aplikacja się zatrzyma, otwórz jej właściwości. 5. Na karcie Identity zaznacz opcje System Account i Network Service, a następnie naciśnij przycisk OK. 6. Uruchom MOM Service. 7. Po uruchomieniu MOM Service otwórz konsolę MOM Administrator i sprawdź, czy nie pojawiły się błędy usługi DAS. Aby korzystać z certyfikatów klienta oraz techniki SSL w połączeniu ze składnikami MCF lub MMPC: 1. Uzyskaj certyfikat serwerowy w formacie kodowania Base-64. Zainstaluj ten certyfikat na docelowym komputerze z systemem Management Server. Więcej informacji o uzyskiwaniu certyfikatów serwerowych można znaleźć w pomocy do produktu Internet Information Services (IIS). Uwaga Jeżeli masz już certyfikat serwerowy, nie musisz wykonywać tej czynności. 2. Uzyskaj przynajmniej jeden certyfikat klienta w formacie DER. Więcej informacji o uzyskiwaniu certyfikatów klienta można znaleźć w pomocy do produktu Internet Information Services (IIS). 3. W katalogu DATADIR utwórz podkatalog o nazwie „ConnectorService” (jeżeli taki podkatalog jeszcze nie istnieje). Katalog DATADIR jest określony w kluczu rejestru Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community 68 Podręcznik bezpieczeństwa systemu Microsoft Operations Manager 2005 HKEY_LOCAL_MACHINE\SOFTWARE\Mission Critical Software\OnePoint. Domyślnie znajduje się w lokalizacji %dysk instalacji%\Documents and Settings\All Users\Application Data\Microsoft\Microsoft Operations Manager\. 4. Zmień nazwę certyfikatu na „ClientCertificate.cer” i skopiuj go na źródłowe komputery z systemem Management Server, umieszczając w katalogu ConnectorService. 5. Na komputerze z systemem Management Server właściwym dla docelowej grupy administracyjnej otwórz produkt IIS Manager, kliknij prawym przyciskiem myszy witrynę Web Microsoft Operations Manager 2005 Connector Framework i kliknij Properties. 6. Na karcie Directory Security naciśnij przycisk Edit w sekcji Secure communications. Jeżeli przycisk Edit jest niedostępny, należy zainstalować certyfikat serwerowy. 7. W oknie dialogowym Secure Communications zaznacz pole wyboru Require secure channel (SSL). 8. W sekcji Client certificates zaznacz opcję Require client certificates. 9. Zaznacz pole wyboru Enable client certificate mapping. 10. Naciśnij przycisk Edit, aby skonfigurować mapowanie certyfikatu dla klienta. Zmapuj certyfikat na konto DAS (lub konto używane przez usługę MOM to MOM Connector, jeśli korzysta ona z innego konta). Więcej informacji tym, jak wykonać mapowanie, można znaleźć w pomocy do produktu Internet Information Services (IIS). Agent Aby aktualizować agenta za zaporą: 1. Na komputerze zarządzanym otwórz okno Dodaj lub usuń programy. 2. Zaznacz Microsoft Operations Manager 2005 Agent i naciśnij przycisk Zmień. 3. Na stronie Welcome kreatora instalacji Microsoft Operations Manager 2005 Agent Setup Wizard naciśnij przycisk Next. 4. Na stronie Program Maintenance zaznacz opcję Modify, a następnie naciśnij przycisk Next. 5. Na stronie Manage Agent Configuration Settings zaznacz opcję Modify Management group option, zaznacz grupę administracyjną, a następnie naciśnij przycisk Next. 6. Na stronie Agent Configuration wpisz numer bezpiecznego portu w pole Management Server Secure Port, jeżeli trzeba zmienić ten port na agencie. Naciśnij przycisk Next. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community 7. Na stronie MOM Action Account zaznacz opcję Local System lub wybierz opcję Domain or Local Account i podaj poświadczenia. Naciśnij przycisk Next. 8. Na stronie Active Directory Configuration wybierz opcję Yes, jeżeli dla całej grupy administracyjnej obowiązuje uwierzytelnianie wzajemne, a między domeną danego agenta a domeną, w której znajduje się Management Server, istnieje dwustronna relacja zaufania. W przeciwnym razie wybierz opcję No. 9. Naciśnij przycisk Next. Uwaga Jeżeli w całej grupie administracyjnej obowiązuje uwierzytelnianie wzajemne i wybierze się opcję No, to agent nie będzie mógł komunikować się z systemem Management Server. 10. Na stronie Ready to Install naciśnij przycisk Install. 11. Po wprowadzeniu zmian w agencie naciśnij przycisk Finish. Aby przesłonić ustawienia dla danego agenta 1. W konsoli MOM Administrator rozwiń element Administration. 2. Kliknij element Agent-Managed Computers lub All Computers. W panelu po prawej stronie otwórz okno Properties dla agenta na zarządzanym komputerze. 3. Na karcie Security okna dialogowego Agent Properties wyłącz pole wyboru Use global settings. 4. Zmień ustawienie pola wyboru Allow agent to Proxy for other Computer or Network Devices. MOM Database Server lub Reporting Server Aby zmienić hasło zaplanowanego zadania MOM Reporting: 1. Naciśnij przycisk Start, wybierz polecenie Ustawienia, Panel sterowania, Zaplanowane zadania, a następnie kliknij zadanie SystemCenterDTSPackage Task. 2. W oknie dialogowym właściwości SystemCenterDTSPackage Task otwórz kartę Zadanie. Wpisz nazwę nowego konta w formacie domena\nazwa w pole tekstowe Uruchom jako. 3. Naciśnij przycisk Ustaw hasło. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community 70 Podręcznik bezpieczeństwa systemu Microsoft Operations Manager 2005 4. W oknie dialogowym Ustawianie hasła wpisz i potwierdź hasło, a następnie naciśnij przycisk OK. 5. Naciśnij przycisk OK, aby zakończyć wprowadzanie zmiany. Aby zmienić hasło SCDW Data Source: 1. W konsoli MOM Reporting Console otwórz stronę Home i kliknij opcję SCDW. 2. Na stronie Properties zaznacz pola wyboru Credentials stored securely in the report server oraz Use Windows credentials when connecting to the data source. 3. Wpisz nową nazwę w formacie domena\nazwa użytkownika w pole tekstowe User name. Wpisz hasło w pole tekstowe Password. 4. Naciśnij przycisk Apply. Dowolny komputer MOM Aby utworzyć politykę, używając konkretnego adresu IP: 1. W przystawce (snap-in) IPSec kliknij prawym przyciskiem myszy w drzewie konsoli albo na panelu rezultatów. Wybierz opcję Create IP Security Policy. 2. W kreatorze IP Security Policy Wizard naciśnij przycisk Next. 3. Wpisz nazwę i (opcjonalnie) opis polityki. Polityka stanowi kontener dla filtrów i reguł. 4. Wyłącz pole wyboru Activate the default response rule, a następnie naciśnij przycisk Next. 5. Sprawdź, czy zaznaczone jest pole wyboru Edit properties, a następnie naciśnij przycisk Finish. 6. W oknie dialogowym Policy Name Properties wyłącz pole wyboru Dynamic IP Security Rule. 7. Wyłącz pole wyboru Use Add Wizard, a następnie naciśnij przycisk Add, aby dodać nową regułę. 8. Na karcie IP Filter List w oknie dialogowym New Rule Properties naciśnij przycisk Add. 9. W oknie dialogowym IP Filter List wpisz nazwę i (opcjonalnie) opis listy filtrów. 10. Naciśnij przycisk Add, aby utworzyć listę filtrów. 11. W oknie dialogowym Filter Properties wybierz opcję My IP Address z listy rozwijanej (jeżeli pracujesz na tym komputerze, dla którego ma zostać utworzona reguła; jeżeli nie, to Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community należy podać adres IP tego komputera). Spowoduje to dodanie do listy filtrów adresu IP komputera, na którym jesteś zalogowany. 12. Wybierz opcję Specific IP Address z listy rozwijanej i wpisz adres IP. [Alternatywnie] Wybierz opcję A specific DNS Name i wpisz nazwę DNS. [Alternatywnie] Wybierz opcję A specific IP subnet i wpisz adres IP oraz definicję podsieci. [Alternatywnie] (tylko Windows Server 2003) Wybierz jedną z pozostałych opcji. Służą one do dynamicznego wykrywania adresu IP. 13. Zaznacz pole wyboru Mirrored. Ta opcja automatycznie tworzy dwa filtry — jeden dla ruchu przychodzącego, a drugi dla wychodzącego. 14. Na karcie Protocol wybierz opcję Any. Uwaga Aby zwiększyć bezpieczeństwo tej reguły, można zawęzić zakres dozwolonych protokołów — o ile wiadomo, jakie protokoły będą wykorzystywane. 15. [Opcjonalnie] Na karcie Description podaj opis filtra. 16. Naciśnij przycisk OK. Jeżeli pojawi się okno Security Warning, naciśnij przycisk Yes. Okno to informuje, że nazwa DNS zostanie przekształcona na adres IP tylko raz i nie będzie aktualizowana, jeżeli adres IP ulegnie zmianie. 17. Na karcie IP Filter List zaznacz nową listę filtrów. 18. Na karcie Filter Action zaznacz opcję Require Security. 19. Na karcie Authentication Methods wybierz domyślny protokół Kerberos (Kerberos v5). 20. Na karcie Tunnel Settings zaznacz opcję This rule does not specify an IPSec tunnel. Jeżeli polityka ma obowiązywać dla połączeń przechodzących przez zaporę, to użycie tunelu może okazać się konieczne. Więcej informacji na ten temat można znaleźć w podrozdziale „IPSec a zapora” niniejszego podręcznika. 21. Na karcie Connection Type zaznacz opcję All network connections. 22. W oknie dialogowym New IP Security Policy zaznacz nową politykę, a następnie naciśnij przycisk OK (lub Close, jeżeli jest to jedyna dostępna możliwość). 23. Aby dodać więcej reguł, należy powtórzyć kroki 8-22. Za pomocą pojedynczej polityki na komputerze z systemem Management Server można zarządzać wszystkimi jego Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community 72 Podręcznik bezpieczeństwa systemu Microsoft Operations Manager 2005 połączeniami z różnymi komputerami MOM — wystarczy dodać reguły dotyczące tych połączeń. Aby wyłączyć polityki IPSec: 1. W przystawce (snap-in) IP Security Policies zaznacz politykę na panelu rezultatów. 2. Naciśnij przycisk Action, a następnie przycisk Un-Assign. Spowoduje to natychmiastowe wyłączenie polityki. Dodatkowe zasoby Active Directory http://go.microsoft.com/fwlink/?LinkId=32742 http://go.microsoft.com/fwlink/?LinkId=32744 http://go.microsoft.com/fwlink/?LinkId=32746 IPSec — bezpieczny protokół IP http://go.microsoft.com/fwlink/?LinkId=32747 http://go.microsoft.com/fwlink/?LinkId=32747 Szyfrowanie OLE DB http://go.microsoft.com/fwlink/?LinkId=32750 http://go.microsoft.com/fwlink/?LinkId=32751 Podpisywanie pakietów SMB http://go.microsoft.com/fwlink/?LinkId=32752 Protokół Kerberos v5 http://go.microsoft.com/fwlink/?LinkId=32785 Zapory http://go.microsoft.com/fwlink/?LinkId=32753 Bezpieczeństwo systemu SQL Server http://go.microsoft.com/fwlink/?LinkId=32755 Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów. MOM Community