Podręcznik bezpieczeństwa systemu Microsoft Operations Manager

Transkrypt

Podręcznik
bezpieczeństwa systemu
Microsoft Operations
Manager 2005
Autor: James R. Morey
Kierownik programu: Lorenzo Rizzi
Opublikowano:
sierpień 2004 r.
Dotyczy: Microsoft Operations Manager 2005
Wersja dokumentu: wersja 1.0
Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy
dotyczących tej dokumentacji na adres [email protected].
Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych
społecznościach klientów.
MOM Community
Podziękowania
Główni recenzenci: Ian Jirka, Christopher Coy
Dodatkowi recenzenci: Doug Bradley, Travis Wright, Janaina Bueno
Redaktor prowadzący: Sandra Faucett
MOM Community
Spis treści iii
Spis treści
Zmiany z zakresu bezpieczeństwa w systemie MOM 2005...........................................6
Bezpieczeństwo nowych instalacji ............................................................................... 14
Bezpieczeństwo aktualizacji......................................................................................... 18
Konfigurowanie zabezpieczeń po aktualizacji .................................................. 19
Bezpieczeństwo wdrażania agentów ........................................................................... 22
Wdrażanie oparte na wykrywaniu...................................................................... 22
Wdrażanie ręczne ............................................................................................... 24
Bezpieczeństwo systemu Management Server........................................................... 26
Bezpieczeństwo baz danych MOM Database i Reporting Database ......................... 37
Bezpieczeństwo agentów.............................................................................................. 40
Korzystanie z dodatkowych zabezpieczeń ................................................................... 46
Zgodność ze standardem FIPS .......................................................................... 46
Korzystanie z systemu MOM w połączeniu z zaporami .................................... 47
Korzystanie z systemu MOM w niezaufanych domenach lub grupach roboczych
............................................................................................................................. 48
Korzystanie z systemu MOM w połączeniu z narzędziem IIS Lockdown ......... 49
Zgodność z technikami IPSec, SSL, OLEDB Encryption i podpisywaniem pakietów
SMB ..................................................................................................................... 50
IPSec — bezpieczny protokół IP.......................................................................... 50
Szyfrowanie SSL (Secure Sockets Layer) .......................................................... 56
Szyfrowanie OLEDB ............................................................................................ 57
Podpisywanie pakietów SMB ............................................................................. 57
Zabezpieczanie MOM bez Active Directory ....................................................... 57
Najlepsze procedury postępowania.............................................................................. 58
Redukcja zagrożeń w środowisku MOM 2005 ................................................. 58
MOM Community
iv
Spis treści
Redukcja zagrożeń w systemach operacyjnych Windows 2000 i
Windows Server 2003........................................................................................ 58
Wykrywanie prób ataku w MOM 2005 .............................................................. 60
Wykrywanie prób ataku w systemach Windows 2000 i Windows Server 200360
Zmiana haseł i kont w systemie MOM............................................................... 60
Zadania z zakresu bezpieczeństwa .............................................................................. 62
Management Server........................................................................................... 62
Agent ................................................................................................................... 68
MOM Database Server lub Reporting Server.................................................... 69
Dowolny komputer MOM.................................................................................... 70
Dodatkowe zasoby ......................................................................................................... 72
MOM Community
Spis treści 5
Witamy w Podręczniku bezpieczeństwa systemu Microsoft® Operations Manager 2005.
Podręcznik ten opracowano dla ostatecznej wersji systemu Microsoft Operations Manager
(MOM) 2005.
Informacje zawarte w niniejszym dokumencie, w tym adresy URL i inne odwołania do witryn
internetowych, mogą ulec zmianie bez uprzedzenia i mają charakter wyłącznie informacyjny.
Ryzyko związane z korzystaniem lub rezultatami korzystania z niniejszego dokumentu ponosi
użytkownik. Microsoft Corporation nie udziela żadnych gwarancji bezpośrednich ani
domniemanych.
Zawartość niniejszego podręcznika
•
Zmiany z zakresu bezpieczeństwa w systemie MOM 2005 — ten rozdział zawiera konkretne
zmiany związane z bezpieczeństwem, które wprowadzono w systemie MOM 2005 w
porównaniu z wersją MOM 2000 SP1.
•
Bezpieczeństwo nowych instalacji — w tym rozdziale opisano konkretne kwestie i
wymagania bezpieczeństwa dotyczące pierwszej instalacji systemu MOM 2005.
•
Bezpieczeństwo aktualizacji — w tym rozdziale opisano konkretne kwestie i wymagania
bezpieczeństwa dotyczące aktualizacji z wersji MOM 2000 SP1 do wersji MOM 2005.
•
Bezpieczeństwo wdrażania agentów — w tym rozdziale opisano konkretne kwestie i
wymagania bezpieczeństwa dotyczące wdrażania agentów MOM 2005 w środowisku
użytkownika.
•
Bezpieczeństwo systemu Management Server — ten rozdział zawiera informacje dotyczące
bezpieczeństwa systemów MOM Management Server, których nie omówiono w rozdziałach
dotyczących wdrażania i aktualizacji.
•
Bezpieczeństwo baz danych MOM Database i Reporting Database — ten rozdział zawiera
informacje dotyczące bezpieczeństwa baz danych MOM Database i Reporting Database,
których nie omówiono w rozdziałach dotyczących wdrażania i aktualizacji.
•
Bezpieczeństwo agentów — ten rozdział zawiera informacje dotyczące bezpieczeństwa
agentów, których nie omówiono w rozdziałach dotyczących wdrażania i aktualizacji.
•
Korzystanie z dodatkowych zabezpieczeń — ten rozdział zawiera ogólne informacje o
dodatkowych środkach bezpieczeństwa dotyczących systemu MOM 2005, w tym zaporach i
protokołach IPSec, SSL oraz SMB Packet Signing.
•
Najlepsze procedury postępowania — ten rozdział zawiera najlepsze procedury
postępowania z zakresu bezpieczeństwa. Pozwalają one zwiększyć poziom bezpieczeństwa
środowiska MOM i usprawnić jego monitorowanie. W rozdziale tym nie określono
natomiast, jak korzystać z systemu MOM w celu monitorowania bezpieczeństwa środowiska
informatycznego.
MOM Community
6 Podręcznik bezpieczeństwa systemu Microsoft Operations Manager 2005
Zadania z zakresu bezpieczeństwa — w tym rozdziale określono hierarchię wszystkich zadań z
zakresu bezpieczeństwa opisanych w tym podręczniku. Zawiera on również szczegółowe
procedury ich wykonania.
Dodatkowe zasoby — w tym rozdziale wymieniono dodatkowe zasoby. Zorganizowano go
według pozostałych rozdziałów niniejszego podręcznika.
Komentarze można wysyłać do zespołu ds. dokumentacji MOM: [email protected].
Ważne
Informacje zawarte w tym rozdziale opierają się na założeniu, że klient
zainstalował MOM 2005 w systemie Microsoft Windows® 2000 z
najnowszymi aktualizacjami i pakietami serwisowymi lub w systemie
Windows Server™ 2003, a także korzysta z systemu plików NTFS oraz
produktu Microsoft SQL Server™ 2000 z najnowszym pakietem serwisowym.
Większość podanych tu informacji zakłada istnienie środowiska Active
Directory®. Więcej informacji o wymaganiach dotyczących instalacji oraz
obsługiwanych konfiguracjach można znaleźć w Podręczniku wdrażania
systemu MOM 2005.
Niniejszy podręcznik nie zawiera informacji specyficznych dla systemów
Windows Server 2003 SP1 lub Windows® XP SP2. Informacje te zostaną
podane w innym miejscu.
Zmiany z zakresu bezpieczeństwa w
systemie MOM 2005
Ten rozdział zawiera informacje o różnicach między wersjami MOM 2000 SP1 i MOM 2005,
bezpośrednio lub pośrednio związanych z bezpieczeństwem. Opisano w nim również nowe
funkcje bezpieczeństwa wersji MOM 2005.
W wersji MOM 2000 SP1 usługa OnePoint (MOM) składała się z dwóch części: Consolidator i
Agent Manager. Posługiwała się kontem CAM (lub kontem DAS, jeżeli stosowano konto
połączone). Było to konto domenowe o uprawnieniach administracyjnych na wszystkich
komputerach z agentami oraz na serwerze MOM DCAM. W systemie MOM 2005 części te
zostały rozdzielone na dwa różne procesy: MOM Service i MOM Host. Każdy z tych procesów
posługuje się własnymi danymi uwierzytelniania. Poniższa tabela podaje odpowiedniki
terminologiczne z każdej z wersji MOM.
Tabela 1 Terminologia MOM 2005 odpowiadająca terminom MOM 2000
MOM Community
Nazwa w MOM 2000
Równoważna nazwa w MOM 2005
DCAM
Management Server
agent
agent
grupa konfiguracyjna (configuration group)
grupa administracyjna (management group)
DAS
DAS
konto DCAM
rozdzielone na: konto Management Server Action
Account oraz konto MOM Service Account.
Proces MOM Service
W systemie MOM 2005 proces MOM Service działa w kontekście Local System (w systemach
Windows 2000 lub Windows Server 2003) albo Network Service (tylko w systemie Windows
Server 2003). Nie służy do zarządzania agentami ani realizacji funkcji DAS (Data Access Service
— usługa dostępu do danych). Proces MOM Service odpowiada przede wszystkim za
komunikację między agentem a systemem MOM Management Server, a także za uruchamianie
agenta na komputerze zarządzanym.
Ważne
Nie można zmienić poświadczeń (credentials), którymi posługuje się proces
MOM Service. Może to spowodować utratę komunikacji z agentami oraz inne
problemy w środowisku MOM. Proces MOM Service nie uruchomi się w
kontekście innym niż Local System albo Network Service.
Usługa DAS
Funkcja konta DAS nie uległa znaczącym zmianom, za wyjątkiem utraty części uprawnień. Przy
aktualizacji z wersji MOM 2000 SP1 ustawienia konta DAS pozostają niezmienione. W efekcie
poziom uprawnień konta DAS jest wyższy niż to konieczne do jego funkcjonowania. Więcej
informacji o tych ustawieniach i procedurze obniżenia poziomu uprawnień konta DAS po
aktualizacji można znaleźć w rozdziale „Konfigurowanie zabezpieczeń po aktualizacji” w dalszej
części niniejszego podręcznika.
Proces MOM to MOM Product Connector (MMPC) również wykorzystuje konto DAS.
Action Account
Konto Action Account to nowe rozwiązanie w systemie MOM 2005. Służy do zbierania danych
operacyjnych z komputerów zarządzanych oraz do uruchamiania na tych komputerach
MOM Community
odpowiedzi i skryptów. Dotyczy to również agenta na komputerze z systemem Management
Server. W systemie MOM 2005 jest to odrębne konto, które umożliwia rozdzielenie kontekstu
procesu MOM Service od kontekstu odpowiedzi na komputerach zarządzanych, w tym również
agenta na komputerze z systemem Management Server.
Konto Action Account na komputerze z systemem Management Server może również służyć do
instalowania, odinstalowywania lub aktualizacji ustawień agentów na komputerach zdalnych.
Więcej informacji o koncie Action Account agenta można znaleźć w rozdziale „Bezpieczeństwo
agentów — konto Action Account” w tym podręczniku. Więcej informacji o koncie Action
Account systemu Management Server można znaleźć w rozdziale „Bezpieczeństwo systemu
Management Server — Action Account” w tym podręczniku.
Grupy zabezpieczeń
Podczas nowej instalacji program instalacyjny MOM tworzy wymienione poniżej grupy, a w
przypadku aktualizacji do MOM 2005 z wcześniejszej wersji zmienia nazwy grup MOM 2000
SP1. Podczas aktualizacji zachowywane są przydziały członkostwa ustalone w wersji
MOM 2000 SP1. Poniżej wymieniono grupy MOM 2005 i najbardziej do nich zbliżone grupy
MOM 2000 SP1 (w nawiasach):
•
MOM Service (OnePointOp System). Ta grupa jest przeznaczona do obsługi wewnętrznych
funkcji systemu MOM 2005. Nie należy dodawać do niej indywidualnych kont. Grupa ta jest
tworzona tylko w systemie Management Server i domyślnie nie ma żadnych członków (w
przypadku nowych instalacji). Po zainstalowaniu składnika MOM-to-MOM Product
Connector (MMPC) do grupy tej automatycznie dodawane jest konto DAS.
Uwaga
Program instalacyjny dodaje do tej grupy konto wykorzystywane na potrzeby
składnika MOM-to-MOM Product Connector (MMPC), aby zapewnić mu
niezbędny dostęp. Nie należy usuwać tego konta z grupy. To konto i konto
DAS powinny być jedynymi członkami tej grupy.
•
MOM Administrators (OnePointOp ConfgAdms). Członkowie tej grupy mogą wykonywać
wszystkie zadania w systemie MOM 2005, posługując się dowolną konsolą. Wyjątek
stanowią funkcje raportowe. Aby wykonywać te funkcje, niezbędne jest członkostwo w
grupie SC DW Reader. Grupa MOM Administrators tworzona jest wyłącznie w systemie
MOM Management Server. Domyślnie nie ma żadnych członków (w przypadku nowych
instalacji).
MOM Community
Uwaga
Członkowie lokalnych grup administracyjnych w systemie Management
Server mogą również wykonywać wszystkie operacje produktu MOM, tak
jakby byli członkami grupy MOM Administrators.
•
MOM Authors (OnePointOp Operators). Członkowie tej grupy mogą importować,
eksportować, tworzyć i modyfikować pakiety Management Pack za pomocą konsoli MOM
Administrator. Mogą także używać konsoli Operator i wykonywać za jej pomocą wszystkie
zadania. Nie mogą zmienić listy zarządzanych komputerów ani metody zarządzania. Grupa
ta istnienie wyłącznie na komputerze z systemem MOM Management Server. Domyślnie nie
ma żadnych członków (w przypadku nowych instalacji).
•
MOM Users (OnePointOp Users). Członkowie tej grupy mogą wykonywać dowolne
zadania z konsoli Operator, mieszczące się w przydzielonym im zakresie. Wyjątek stanowią
zadania Runtime Tasks. Mogą jednak korzystać tylko z konsoli Operator. Nie mają dostępu
do konsoli Administrator, której mogą używać tylko do otwarcia konsoli Operator. Grupa ta
istnienie wyłącznie na komputerze z systemem MOM Management Server. Domyślnie jej
jedynym członkiem jest konto DAS (w przypadku nowych instalacji).
•
SC DW DTS (w MOM 2000 SP1 nie było odpowiadającej jej grupy). Członkowie tej grupy
mogą wykonywać funkcje archiwizacji danych z systemu MOM 2005 Database Server do
bazy danych MOM 2005 Reporting Database. Grupa ta istnienie wyłącznie na komputerze z
systemem MOM Database Server. Domyślnie nie ma żadnych członków (w przypadku
nowych instalacji).
•
SC DW Reader (OnePointOp Reporting). Członkowie tej grupy mają dostęp do procesu
SQL Server Reporting Services w systemie MOM Reporting Server. Mogą wykonywać
funkcje raportowe, takie jak tworzenie, wyświetlanie i zapisywanie raportów. Członkowie
tej grupy mają uprawnienia do wykonywania operacji archiwizacji (DTS). Grupa ta istnienie
wyłącznie na komputerze z systemem MOM Reporting Database Server. Domyślnie nie ma
żadnych członków (w przypadku nowych instalacji).
MOM Community
Wskazówka
Aby zredukować nakład pracy administratorów, można utworzyć grupy
uniwersalne albo obejmujące całą domenę, a następnie dodać te grupy do
odpowiednich grup MOM. W ten sposób można uniwersalnie zarządzać
członkami grup.
Model ten może okazać się nieodpowiedni w środowiskach o wysokim
poziomie bezpieczeństwa albo w takich, gdzie uczestnictwo w grupach MOM
przydziela się według poszczególnych grup administracyjnych.
Uwierzytelnianie wzajemne
Jeżeli wykorzystuje się uwierzytelnianie wzajemne, to Management Server i agent
uwierzytelniają się nawzajem, używając protokołu Kerberos v5, zanim prześlą dane operacyjne
lub konfiguracyjne. Jest to nowa funkcja MOM 2005, wprowadzona w celu zwalczenia ataków
przez pośrednika (ang. man-in-the-middle attacks). Jeżeli włączy się uwierzytelnianie wzajemne,
to żaden z agentów MOM 2000 SP1 w grupie administracyjnej nie będzie mógł się
komunikować z systemem Management Server. Uwierzytelnianie wzajemne ustawia się dla całej
grupy administracyjnej. Ustawienia tego nie można przesłonić.
Blokowanie agentów starszej wersji
Za pomocą tej opcji można dopuszczać albo blokować komunikację ze strony agentów
MOM 2000 SP1. Ustawienie to nakazuje systemowi Management Server ignorować komunikaty
od agentów MOM 2000 i MOM 2000 SP1. Jeżeli włączy się uwierzytelnianie wzajemne, to
opcja ta zostanie uaktywniona automatycznie. Można jej jednak używać nawet wtedy, gdy
uwierzytelnianie wzajemne jest wyłączone. Ustawienie to nadaje się w stosunku do całej grupy
administracyjnej i nie można go przesłonić.
Rola proxy agenta
Ustawienie to dopuszcza albo blokuje przekazywanie przez agentów informacji z innych
komputerów lub urządzeń sieciowych do systemu Management Server. Jest to ustawienie
nadawane w stosunku do całej grupy administracyjnej, ale można je przesłaniać na poziomie
poszczególnych agentów.
Bezpieczny kanał komunikacyjny
Domyślnie komunikacja między agentem MOM 2005 a systemem Management Server jest
zawsze szyfrowana i podpisywana cyfrowo. Jeżeli włączone zostanie uwierzytelnianie
wzajemne, to komunikacja taka podlega także uwierzytelnianiu. Jeżeli uwierzytelnianie
MOM Community
wzajemne jest wyłączone, komunikaty wymieniane między agentami MOM 2000 SP1 a
systemem Management Server są domyślnie szyfrowane, tak jak w MOM 2000 (natomiast gdy
funkcja uwierzytelniania wzajemnego jest włączona, agenci MOM 2000 SP1 nie mogą
komunikować się z systemem Management Server). Tylko uwierzytelnianie wzajemne wymaga
relacji zaufania Active Directory.
Zadania
Zadania to nowa funkcja MOM 2005. Są to operacje administracyjne, które można z łatwością
uruchomić z konsoli Operator. Zadania uruchamia się w jednym z trzech systemów: w
komputerze, na którym pracuje konsola Operator; na komputerze z systemem MOM
Management Server albo na komputerze zarządzanym przez agenta. Zadania uruchamiane w
systemie Management Server lub na komputerze zarządzanym przez agenta posługują się
kontekstem konta Action Account systemu Management Server albo danego agenta. Zadania
konsoli pracują w ramach uprawnień zalogowanego użytkownika.
Inspekcja zadań
Inspekcja zadań automatycznie rejestruje informacje o zadaniach uruchamianych w środowisku
MOM oraz na agentach MOM 2005. Informacje te można wykorzystać do sprawdzania, kiedy
uruchomiono zadanie i kto je uruchomił. Te same informacje można również wyświetlić w
widoku Tasks Status konsoli Operator. Funkcja inspekcji zadań (Task Auditing) jest ważnym
środkiem bezpieczeństwa. Domyślnie jest ona włączona i nie można jej wyłączyć.
Odpowiedzi
Odpowiedzi to zadania, które MOM uruchamia automatycznie, gdy spełnione zostaną kryteria
reguł — np. z komputerów zarządzanych odebrane zostaną konkretne dane operacyjne.
Odpowiedzi te definiuje się za pomocą reguł. Mogą one być wywoływane w dwóch rodzajach
systemów: na komputerze zarządzanym albo w systemie Management Server (noszą wtedy
nazwę odpowiedzi serwerowych — Server-Side Responses). Odpowiedzi uruchamiane na
komputerze zarządzanym przez agenta posługują się kontekstem konta Action Account tego
agenta. Natomiast odpowiedzi uruchamiane w systemie Management Server posługują się
kontekstem konta Management Server Action Account.
Odpowiedzi różnią się od zadań tym, że inicjuje je sam program MOM, a nie osoba korzystająca
z konsoli Operator.
Odpowiedzi transferu plików (File Transfer Responses)
W systemie MOM 2005 można skonfigurować transmisję plików z serwera transferu plików do
agenta MOM 2005 lub z agenta MOM 2005 na serwer transferu plików. Odpowiedzi te są
wywoływane po spełnieniu kryteriów reguły. W przeciwieństwie do innych odpowiedzi, które
funkcjonują w kontekście konta Action Account danego agenta, odpowiedzi transferu plików
MOM Community
funkcjonują w kontekście Local System (w systemie Windows 2000 lub Windows Server 2003)
bądź Network Service (tylko w systemie Windows Server 2003). Więcej informacji na ten temat
można znaleźć w rozdziale Odpowiedzi transferu plików w sekcji tego podręcznika
zatytułowanej „Bezpieczeństwo systemu Management Server”.
Zarządzanie bez agentów
Nową funkcją MOM 2005 jest możliwość monitorowania komputerów bez instalowania na nich
agentów MOM. Nazywa się to zarządzaniem bez agentów (agentless management). Zarządzanie
bez agentów można stosować w przypadku komputerów znajdujących się w specyficznych
środowiskach, w których nie można zainstalować agenta, albo gdzie nie są potrzebne
rozbudowane funkcje administracyjne udostępniane przez agenta MOM.
Management Server komunikuje się z komputerami zarządzanymi bez agentów przez port RPC
(TCP 135) i zakres portów DCOM. Dlatego też zarządzanie bez agentów komputerem
znajdującym się poza zaporą nie jest obsługiwane. Jeżeli wykorzystuje się zarządzanie bez
agentów, to konto Action Account systemu Management Server musi mieć także uprawnienia
administratora lokalnego na komputerze zdalnym. Komputery te muszą zatem znajdować się w
tej samej domenie albo w domenach powiązanych relacją zaufania.
Reporting Database
Baza danych Reporting Database to nowa cecha MOM 2005. Jest to odrębna baza, w której
mieszczą się zarchiwizowane dane operacyjne. Baza ta generuje i udostępnia raporty do konsoli
Reporting. Rozdzielając funkcje raportowe od bazy danych MOM Database (OnePoint), udało
się uzyskać znaczny wzrost wydajności i zwiększenie poziomu bezpieczeństwa obu baz.
Konsole
W systemie MOM 2005 istnieją cztery konsole. Są to: konsola Administrator, konsola Operator
(nowość w wersji MOM 2005), konsola Web i konsola Reporting (nowość w wersji
MOM 2005). Za pomocą konsoli Administrator (dodatek snap-in do konsoli MMC) można
importować i eksportować pakiety Management Pack, zmieniać ustawienia grup komputerów,
konfigurować ustawienia globalne i wprowadzać inne zmiany konfiguracyjne. Konsola Operator
służy do monitorowania komputerów, reagowania na alarmy, przeglądania zdarzeń,
wykonywania zadań i realizacji innych czynności operacyjnych. Konsola Reporting
przeznaczona jest do wyświetlania i generowania raportów internetowych. Wykorzystuje do tego
celu usługę SQL Server Reporting Services.
Konsola Administrator i konsola Operator komunikują się z systemem Management Server przez
port RPC (TCP 135) i zakres portów DCOM. Dlatego nie można instalować tych konsol za
zaporą.
MOM Community
Uwaga
Skrypty utworzone za pomocą pakietu dla programistów SDK MOM
wykorzystują takie same uprawnienia, jakich użyłby użytkownik posługujący
się konsolą Administrator lub Operator. Pakiet SDK nie przyznaje skryptowi
dodatkowych praw dostępu, które mógłby mieć użytkownik wykonujący
zadanie z konsoli.
Konsola Web komunikuje się przez port TCP 1272 (domyślnie), a konsola Reporting przez port
HTTP 80 (domyślnie). Oznacza to, że z obu konsol można korzystać spoza zapory, a nawet przez
sieć rozległą. Można także stosować ochronę SSL (Secure Sockets Layer) w celu zaszyfrowania
przesyłanych danych. SSL używa portu 443 (numer tego portu definiuje użytkownik i może on
być inny niż 443).
Uwaga
Konsola Web wykorzystuje mechanizm uwierzytelniania Windows Integrated
i jest przeznaczona tylko do użytku w intranetach. Może nie funkcjonować
prawidłowo przy połączeniu przez Internet.
MOM Connector Framework
MOM Connector Framework (MCF) stanowi strukturę umożliwiającą utworzenie interfejsu typu
Product Connector między MOM 2005 a innymi aplikacjami administracyjnymi. Interfejsy
Product Connector wysyłają, odbierają i koordynują dane operacyjne pomiędzy MOM a takimi
aplikacjami. Interfejsy te trzeba opracować odrębnie dla każdego z produktów
administracyjnych. Więcej informacji o interfejsach Product Connector można znaleźć w
witrynie Microsoft Operations Manager Partners pod adresem
http://go.microsoft.com/fwlink/?linkid=32736.
Interfejsy wykorzystują usługę .NET Web Service, która komunikuje się przez port TCP 1271.
Oznacza to, że pomiędzy MOM a innymi aplikacjami administracyjnymi może znajdować się
zapora lub nawet sieć rozległa. Można także stosować ochronę SSL (Secure Sockets Layer) w
celu zaszyfrowania przesyłanych danych.
MOM to MOM Product Connector
Interfejs MOM-to-MOM Product Connector (MMPC) zapewnia strukturę umożliwiającą
stworzenie połączenia między różnymi grupami administracyjnymi MOM 2005 lub między
grupami konfiguracyjnymi MOM 2000 SP1 a grupami administracyjnymi MOM 2005.
MOM Community
Połączenie to ma na celu przekazywanie alarmów. Interfejsy wysyłają, odbierają i koordynują
dane o alarmach i wykrywaniu między różnymi środowiskami MOM. Domyślnie usługa MMPC
wykorzystuje konto DAS.
Ważne
Używanie produktu MOM 2005 w rozłącznej przestrzeni nazw DNS.
Aby wykryć komputery i zainstalować agentów metodą push w środowisku z rozłączną przestrzenią
nazw DNS (Disjointed DNS Namespace), należy:
•
- Posługując się kreatorem MOM Agent Install/uninstall podać nazwę w formacie
domena\nazwakomputera lub w formacie NetBIOS.
•
- Posługując się oknem dialogowym Create Computer Discovery Rule podać tylko nazwę
komputera w formacie NetBIOS albo, jeżeli MOM 2005 ma być wykorzystywany w rozłącznej
przestrzeni nazw, wpisać nazwę domeny i nazwę komputera w formacie NetBIOS. Wartości te
należy wpisać odpowiednio w pola Domain name i Computer name.
Nie są dostępne następujące funkcje:
•
uwierzytelnianie wzajemne
•
instalacja metodą push, jeżeli komputer docelowy wybiera się za pomocą funkcij przeglądania
(„Browse”)
•
instalacja metodą push, jeżeli używa się nazwy komputera w formacie DNS FQDN.
„Rozłączna przestrzeń nazw DNS” (disjointed DNS namespace) to taka infrastruktura DNS, która
zawiera przynajmniej dwie nazwy domeny DNS najwyższego poziomu. Więcej informacji na ten temat
można znaleźć w rozdziale „Configuring Name Resolution for Disjointed Namespaces” w
dokumentacji systemu Windows Server 2003, w części zatytułowanej Deploying Network Services.
Bezpieczeństwo nowych instalacji
W tym rozdziale omówiono kwestie bezpieczeństwa dotyczące nowych instalacji systemu
MOM 2005 Management Server i bazy danych MOM Database. Przygotowując się do instalacji
składników MOM Database i Management Server, należy utworzyć i skonfigurować dwa konta
bezpieczeństwa — konto DAS i konto Action Account dla systemu Management Server.
Wymogi bezpieczeństwa dotyczące wdrażania agentów podano w rozdziale „Bezpieczeństwo
wdrażania agentów” w niniejszym podręczniku.
MOM Community
Konto instalacyjne
W celu zainstalowania produktu MOM należy zalogować się jako administrator na wszystkich
komputerach, na których instalowane będą składniki.
Konto DAS
Domyślnie MOM dodaje konto podane podczas instalacji do grupy zabezpieczeń i roli
SQL Server odpowiednich dla usługi DAS.
Aby zmienić konto używane do obsługi DAS, należy wprowadzić następujące modyfikacje:
1.
Dodać konto do grupy MOM Users (Użytkownicy MOM) na komputerze z systemem
Management Server.
2.
Nadać kontu uprawnienie „Logowanie w trybie wsadowym”.
Uwaga
Jeżeli zainstalowano składniki MOM Connector Framework lub Product
Connector i używa się konta DAS (jest to ustawienie domyślne), to konto
takie wymaga również uprawnienia „Logowanie w trybie usługi”.
3.
Dodać konto do roli SQL Server “db_owner” w bazie danych OnePoint na komputerze z
systemem MOM Database Server.
4.
Zmienić ustawienie Identity aplikacji COM+ Microsoft Operations Manager Data Access
Server na komputerach z systemem Management Server należących do danej grupy
administracyjnej.
5.
Nadać kontu status SQL Server Security Login z dostępem do serwera ustawionym na
„Permit”.
Więcej informacji o koncie DAS można znaleźć w rozdziale „Bezpieczeństwo baz danych MOM
Database i Reporting Database” w tym podręczniku.
Używanie konta Network Service do obsługi DAS
Windows Server 2003 obsługuje konto Network Service. Jest to uprzednio zdefiniowane konto
lokalne, które służy do uruchamiania usługi i zapewniania dla niej kontekstu zabezpieczeń.
Nazwa tego konta to NT AUTHORITY\NetworkService. Konto Network Service ma
ograniczone prawa dostępu do komputera lokalnego oraz dysponuje dostępem uwierzytelnianym
(jako konto komputera) do zasobów sieciowych.
MOM Community
Uwaga
W systemie Windows Server 2003 dostępne jest również konto Local
System.
Workgroup Edition — konto DAS w systemie MOM 2005 Workgroup Edition
można uruchamiać w kontekście Local Service.
Konta tego można używać do obsługi kontekstu zabezpieczeń DAS, zamiast lokalnego lub
domenowego konta użytkownika. Używa się go w celu obniżenia poziomu uprawnień, w
kontekście których funkcjonuje DAS, a także aby uniknąć wygasania haseł wynikającego z
polityki.
Informacje o tym, jak używać konta Network Service do obsługi DAS, znajdują się w procedurze
“Aby użyć konta Network Service do obsługi DAS” w niniejszym podręczniku.
Ważne
Opcji tej można używać tylko wtedy, gdy Management Server pracuje w
systemie Windows Server 2003. Windows 2000 nie obsługuje konta
Network Service.
Konto Action Account systemu Management Server
Konto Action Account systemu Management Server odgrywa dwie role: monitorowanie samego
systemu Management Server oraz wdrażanie agentów na wykrytych komputerach, uruchamianie
zadań wykrywania i uaktualnianie ustawień agentów na takich komputerach. Szczegółowe
informacje o koncie Action Account systemu Management Server można znaleźć w rozdziale
“Bezpieczeństwo systemu Management Server — Action Account” w niniejszym podręczniku.
Monitorowanie systemu Management Server. Management Server również ma domyślnie
instalowanego agenta, który zbiera informacje i uruchamia odpowiedzi na komputerze z
systemem Management Server, posługując się kontem Action Account tego systemu. Aby
czynności te można było wykonać w instalacji domyślnej, konto Action Account musi mieć
przynajmniej następujące uprawnienia:
•
Musi być członkiem lokalnej grupy Sers (Użytkownicy).
•
Musi mieć dostęp do dzienników zdarzeń Windows.
MOM Community
•
Musi być członkiem lokalnej grupy „Performance Monitor Users” (użytkownicy monitora
wydajności).
•
Uprawnienie “Manage auditing and security log” (SeSecurityPrivilege).
•
Uprawnienie “Allow log on locally” (SeInteractiveLogonRight).
Ważne
Wymienione powyżej uprawnienia minimalne to najniższe uprawnienia
obsługiwane przez MOM 2005. Uprawnienia rzeczywiście niezbędne dla
konta Action Account będą uzależnione od tego, jakie pakiety Management
Pack zostały uruchomione i jak je skonfigurowano. Więcej informacji można
znaleźć w podręczniku do odpowiedniego pakietu Management Pack.
Konta o niskim poziomie uprawnień można używać tylko w systemie
Windows Server 2003. W Windows 2000 konto Action Account musi należeć
do grupy zabezpieczeń dla administratorów lokalnych.
Wdrażanie i uaktualnianie agentów za pomocą konta Action Account systemu
Management Server. System Management Server można skonfigurować w taki sposób, aby
wdrażał agentów na wykrytych komputerach i automatycznie uaktualniał ustawienia agentów.
Służy do tego konto Action Account systemu Management Server. Jeżeli użytkownik zdecyduje
się użyć systemu Management Server do wdrażania agentów na wykrytych komputerach albo do
uaktualniania ustawień agentów, to konto Management Server Action Account musi być kontem
domenowym o prawach administratora na tych komputerach. Można w tym celu użyć
domenowego konta użytkownika, które należy do grupy administratorów lokalnych na tych
komputerach. Nie zaleca się używania konta o wysokim poziomie uprawnień, np. konta
administratora domeny.
Wdrażanie i uaktualnianie agentów z procesem uwierzytelniania. Inną opcją wdrażania
agentów z systemu Management Server jest przeprowadzenie uwierzytelniania w momencie
instalacji tych agentów. Poświadczenia podawane do instalacji agentów muszą odpowiadać
uprawnieniom administratora na wykrytych komputerach. W tej metodzie konto Action Account
systemu Management Server nie musi mieć wysokiego poziomu uprawnień na innych
komputerach. Dzięki tej opcji wdrażania agenta można skonfigurować konto Management Server
Action Account jako lokalne konto użytkownika o niskim poziomie uprawnień (tylko w systemie
Windows Server 2003). Poświadczenia są przechowywane w bezpieczny sposób i usuwane po
zakończeniu procesu instalacji.
MOM Community
Bezpieczeństwo aktualizacji
W tym rozdziale omówiono kwestie bezpieczeństwa dotyczące aktualizacji z wersji MOM 2000
SP1 do wersji MOM 2005.
Przygotowanie do aktualizacji
System MOM 2005 używa wielu kontekstów zabezpieczeń dla składników, które w wersji
MOM 2000 SP1 posługiwały się kontami DAS lub CAM. Przed aktualizacją do wersji MOM
2005 należy utworzyć nowe konto Action Account dla systemu Management Server (wcześniej
DCAM). Więcej informacji na temat konta Action Account można znaleźć w rozdziale
“Bezpieczeństwo systemu Management Server — Action Account” niniejszego podręcznika.
Program instalacyjny MOM poprosi użytkownika o podanie informacji o koncie DAS, z którego
ma korzystać system MOM 2005. Można utworzyć nowe konto dla systemu MOM 2005 lub
posłużyć się tym samym kontem DAS, z którego korzystała wersja MOM 2000. Więcej
informacji na temat praw dostępu, jakie trzeba przydzielić dla konta DAS, można znaleźć w
rozdziale „Data Access Service (DAS)” lub w tabeli 3 w dalszej części niniejszego podręcznika.
Tryb mieszany
Podczas aktualizacji środowiska z wersji MOM 2000 SP1 do wersji MOM 2005 znajdzie się ono
przejściowo w „trybie mieszanym”. Na tym etapie do systemów MOM 2005 Management
Server, a potencjalnie także do serwerów DCAM MOM 2000 SP1, zgłaszać się będą zarówno
agenci MOM 2005, jak i MOM 2000 SP1. W Tabeli 1 przedstawiono zakres zgodności agentów
z systemem Management Server (lub DCAM):
Tabela 2 Zgodność agentów z systemem Management Server/DCAM
Agent
Serwer
Zgodność
MOM 2000 SP1
MOM 2000 SP1
Pełna zgodność
MOM 2000 SP1
2005
Pełna zgodność
2005
2005
Pełna zgodność
2005
MOM 2000 SP1
Jeżeli agent jest przydzielony również do serwera MOM 2000 SP1
(multihoming), to zapewnienie zgodności wymaga zastosowania
przejściowego pakietu Management Pack. Jeżeli nie, to taka
konfiguracja jest w pełni zgodna.
MOM Community
Uwierzytelnianie wzajemne jest wyłączane podczas aktualizacji
Jako że funkcja uwierzytelniania wzajemnego w MOM 2005 wymaga, aby zarówno
Management Server, jak i agent na zarządzanym komputerze posługiwały się wersją MOM 2005,
uwierzytelnianie to jest domyślnie wyłączane na czas trwania procesu aktualizacji.
Uwierzytelnianie wzajemne zwiększa bezpieczeństwo i może znacznie ograniczyć ataki przez
pośrednika (man-in-the-middle attacks) w środowisku MOM. Funkcję tę można włączyć dopiero
po aktualizacji wszystkich serwerów DCAM do systemów MOM 2005 Management Server, a
także aktualizacji wszystkich agentów w grupie administracyjnej (tj. grupie konfiguracyjnej) do
wersji MOM 2005.
Port komunikacyjny zostaje zachowany
Podczas procesu aktualizacji numer portu komunikacyjnego, czyli 1270, pozostaje bez zmian.
Jest to ustawienie dotyczące całej grupy administracyjnej.
Nie jest już obsługiwany port nieszyfrowany
Nieszyfrowany port 51515 jest wyłączany w procesie aktualizacji, a MOM 2005 już z niego nie
korzysta. Podczas aktualizacji agentów MOM 2000 SP1, które skonfigurowano do używania
wyłącznie portu nieszyfrowanego 51515, nie będą mogły komunikować się z systemem
MOM 2005 Management Server. Agentów tych trzeba skonfigurować do korzystania z
bezpiecznego portu komunikacyjnego 1270 albo zaktualizować do wersji MOM 2005. Agenci
MOM 2000 SP1 skonfigurowani tak, aby używali dowolnego z tych portów, będą mogli dalej
komunikować się z systemem Management Server, nie wymagając dodatkowych zmian
konfiguracyjnych (o ile wyłączona jest funkcja uwierzytelniania wzajemnego).
Blokowanie agentów starszych wersji
Podczas aktualizacji opcja Block Legacy Agents (blokowanie agentów starszych wersji) jest
wyłączona.
Konfigurowanie zabezpieczeń po aktualizacji
Jeżeli wymagają tego reguły zabezpieczeń, użytkownik może wprowadzić kilka zmian, które
zwiększą jeszcze poziom zabezpieczeń produktu MOM.
Konto DAS
Jeżeli podczas aktualizacji do wersji MOM 2005 użyto tego samego konta DAS co w wersji
MOM 2000 SP1, to program nie zmieni istniejących we wcześniejszej wersji uprawnień tego
konta i przydziałów do grup. Uprawnienia te są wyższe, niż jest to konieczne w przypadku
produktu MOM 2005. Można je zmienić, nie zakłócając funkcjonowania MOM 2005. Są to
następujące ustawienia:
MOM Community
Tabela 3 Uprawnienia konta DAS wymagane w systemie MOM 2005
Uprawnienia
Prawa administratora lokalnego
MOM 2000
MOM 2005
TAK
NIE
Działanie jako element systemu operacyjnego TAK
NIE
Tworzenie obiektu tokenowego
TAK
NIE
Logowanie w trybie wsadowym
TAK
NIE
Logowanie w trybie usługi
TAK
TAK1
Konto domenowe
TAK
TAK2
W produkcie SQL Server ma przydzieloną rolę
administratora systemu
NIE
NIE
Członek grupy MOM Users
TAK
TAK
Członek grupy MOM Service
Nd.
TAK3
Dostęp Db_owner do bazy danych OnePoint
TAK
TAK
TAK — konto DAS wymaga tego uprawnienia w określonej wersji MOM
NIE — konto DAS nie wymaga tego uprawnienia w określonej wersji MOM
1 — wymagane tylko w przypadku, gdy w systemie Management Server zainstalowany jest składnik MMPC.
2 — jeżeli konto DAS i baza danych MOM Database znajdują się na tym samym komputerze, to można użyć konta Local
Service (lub konta Network Service w systemie operacyjnym Windows Server 2003).
3 — tylko jeżeli zainstalowany jest składnik MMPC.
Po aktualizacji konta DAS i Local Administrator są członkami wszystkich grup MOM
Przypisania konta DAS i konta administratora lokalnego do grup są przenoszone z ich
odpowiedników w MOM 2000 SP1. Oznacza to, że konto DAS i konto administratora lokalnego
będą członkami nowych grup zabezpieczeń MOM 2005 (np. MOM Administrator, MOM
System, MOM Author, MOM User). Jako że MOM 2005 wymaga tylko, aby konto DAS
należało do grupy MOM Users, można usunąć je z innych grup. Można również usunąć konto
administratora lokalnego ze wszystkich grup (o ile członkowstwo w nich nie jest konieczne ze
względu na wymagania użytkownika).
Aby zmienić konto używane do obsługi DAS, należy wykonać następujące czynności:
1.
Przypisać nowe konto do grupy MOM Users w systemie Management Server.
2.
Dodać to konto do roli “db_owner” produktu SQL Server w bazie danych OnePoint.
MOM Community
3.
Nadać kontu status SQL Server Security Login z dostępem do serwera ustawionym na
„Permit”.
Więcej informacji o koncie DAS można znaleźć w rozdziale „Bezpieczeństwo baz danych MOM
Database i Reporting Database” niniejszego podręcznika.
Włączanie uwierzytelniania wzajemnego
Po zakończeniu aktualizacji całej grupy administracyjnej można zwiększyć poziom
bezpieczeństwa, włączając funkcję uwierzytelniania wzajemnego i blokując agentów ze
starszych wersji. Uwierzytelnianie wzajemne ustawia się dla całej grupy administracyjnej i nie
można go przesłaniać. Włączenie opcji Require mutual authentication spowoduje również
automatyczne włączenie opcji Block Legacy Agents.
Blokowanie agentów ze starszych wersji
Po zakończeniu aktualizacji całej grupy administracyjnej można zwiększyć poziom
bezpieczeństwa, blokując komunikację między agentami z wersji MOM 2000 i MOM 2000 SP1
a systemem Management Server. Służy do tego opcja Block Legacy Agent. Opcja ta jest
automatycznie włączana po uaktywnieniu uwierzytelniania wzajemnego, można ją jednak
włączyć także wtedy, gdy uwierzytelnianie wzajemne nie jest stosowane. Block Legacy Agents
to opcja ustawiana dla całej grupy administracyjnej i nie można jej przesłaniać.
Rola proxy agenta
Ustawienie Agent Proxying włącza lub blokuje przekazywanie przez agentów informacji z
innych komputerów lub urządzeń sieciowych do systemu Management Server. Jest to ustawienie
obowiązujące dla całej grupy administracyjnej, ale można je przesłaniać na poszczególnych
agentach.
Przekazywanie przez agentów informacji można wyłączyć po to, aby uniemożliwić intruzom
wykorzystanie słabiej zabezpieczonego urządzenia lub komputera w celu wysyłania danych do
systemu Management Server.
Uaktualnianie ustawień agentów
Po zakończeniu procesu aktualizacji należy zmienić port komunikacyjny, ustawienia
uwierzytelniania wzajemnego i inne ustawienia konfiguracyjne agentów. Ustawienia
zaktualizowanego agenta można zmienić za pomocą okna dialogowego Update Agent Settings.
Można również wykorzystać okno Add or Remove Programs na komputerze zarządzanym, jak
to opisano w procedurze „Aby zaktualizować agenta za zaporą” w niniejszym podręczniku.
MOM Community
Ważne
Jeżeli użytkownik zamierza używać odrębnego konta w roli Action Account na
każdym z agentów, nie można zaznaczyć wielu agentów i posłużyć się oknem
dialogowym Update Agent Settings. Konieczne jest użycie opcji tego okna
osobno dla każdego z agentów.
Za pomocą systemu Management Server nie można zmienić ustawień agentów znajdujących się
za zaporą oraz w niezaufanej domenie czy grupie roboczej lub dla której ustawiono poziom
kontroli na „None”. Informacje o zmianie ustawień na takich agentach zawiera procedura „Aby
zaktualizować agenta za zaporą” w niniejszym podręczniku.
Bezpieczeństwo wdrażania agentów
Instalacja (czyli wdrażanie) agentów wiąże się z kilkoma wymaganiami dotyczącymi
zabezpieczeń i konsekwencjami dla bezpieczeństwa. Użytkownik może wybrać kontekst
zabezpieczeń, w którym funkcjonuje agent. Agentów można wdrażać automatycznie, za pomocą
kreatora Add Computer Wizard na komputerze z systemem Management Server. Proces ten
nazywa się wdrażaniem opartym na wykrywaniu. Agentów można też wdrażać ręcznie, używając
kreatora Agent Installation Wizard na komputerze zdalnym.
Wdrażanie oparte na wykrywaniu
Wdrażanie oparte na wykrywaniu polega na użyciu kreatora Install/Uninstall Agents. Kreator
ten jest dostępny z konsoli MOM 2005 Administrator i służy do wyszukiwania komputerów w
sieci i instalowania na nich agentów. Management Server przeprowadzi proces wykrywania
komputerów na podstawie kryteriów wprowadzonych przez użytkownika w kreatorze. Zawsze
zainstaluje agentów (lub odinstaluje je) niezależnie od ustawień na karcie Automatic
Management w oknie właściwości systemu Management Server.
Gdy Management Server przeprowadza okresowy proces wykrywania nowych komputerów,
posługując się opcją Full Discovery, instaluje agentów lub umieszcza wykryte komputery w
folderze Pending Action. Zależy to od ustawień na karcie Automatic Management w oknie
właściwości systemu Management Server. Więcej informacji o tym ustawieniu i ogólnych
informacji o wdrażaniu agentów można znaleźć w Podręczniku wdrażania systemu MOM 2005.
MOM Community
Konto używane do wdrażania
W metodzie wdrażania opartego na wykrywaniu użytkownik może podać poświadczenia konta
lub posłużyć się kontem Action Account systemu Management Server. Użyte konto musi mieć
prawa administratora lokalnego na wszystkich komputerach, na których są wdrażani agenci.
Poświadczenia używane do instalacji agentów są szyfrowane przed przesłaniem, a po
wykorzystaniu usuwane.
Wymagania dotyczące wdrożenia
Management Server przesyła pliki niezbędne do zainstalowania agentów na komputerach
zdalnych lub uaktualnienia ustawień agenta po instalacji przez port SMB (Server Message Block)
— TCP/UDP 445 — i port RPC (TCP 135). Jeżeli porty te są zamknięte na komputerze z
systemem Management Server lub na jednym z komputerów docelowych albo jeżeli między
systemem Management Server a komputerem docelowym znajduje się zapora, to nie można
instalować agentów metodą wdrażania opartego na wykrywaniu. Należy wówczas albo otworzyć
te porty, albo zainstalować agentów ręcznie. Przy instalacji ręcznej porty te nie są potrzebne.
Wyłączenie usługi File and Printer Sharing for Microsoft Networks oraz Client for
Microsoft Networks powoduje zamknięcie portów SMB.
Ograniczenia przy wdrażaniu
Agentów MOM 2005 nie można automatycznie instalować ani aktualizować w wymienionych
poniżej okolicznościach. Niezbędna jest wówczas instalacja lub aktualizacja ręczna.
•
Między agentem a systemem Management Server znajduje się zapora, a niezbędnych portów
nie można otworzyć.
•
Komputer docelowy znajduje się w domenie z obsługą IPSec, natomiast Management Server
jest w domenie, w której nie włączono obsługi IPSec (zob. „Wdrażanie agentów w
domenach o różnych ustawieniach IPSec”).
•
Agent posługuje się procesem MOM 2000 RTM (należy wówczas ręcznie usunąć tego
agenta i zainstalować agenta MOM 2005 lub aktualizować tego agenta do wersji MOM 2000
SP1, a następnie do wersji MOM 2005).
•
Nie można instalować agentów na komputerach z systemem Windows NT® 4.0.
•
Nie można instalować agentów na wirtualnym serwerze Microsoft Cluster Services. Można
jednak zainstalować agenta na węźle fizycznym.
Więcej informacji o tych ograniczeniach można znaleźć w podręczniku MOM 2005 Supported
Configurations Guide.
MOM Community
Wdrażanie agentów w domenach o różnych ustawieniach IPSec
Jeżeli Management Server znajduje się w domenie, w której nie włączono obsługi IPSec, a
komputer docelowy w domenie z obsługą IPSec, to nie można korzystać z metody wdrażania
opartego na wykrywaniu (metoda push) ani monitorować agentów.
Aby zainstalować agentów metodą push i monitorować je w sytuacji, gdy Management Server
znajduje się w domenie z obsługą IPSec, a komputer docelowy w domenie bez obsługi IPSec,
należy skonfigurować komputer Management Server obsługujący IPSec jako system Boundary
Server (serwer graniczny). Serwer graniczny to komputer obsługujący IPSec, który przekazuje
ruch niechroniony przez IPSec między domenami obsługującymi ten protokół a takimi, które go
nie obsługują.
Aby umożliwić komunikację również klientom niekorzystającym z IPSec, należy użyć polityki
Server, a nie Secure Server. Ta polityka zawsze wymaga zabezpieczeń, ale dopuszcza
niezabezpieczoną komunikację z klientami. Jeżeli klient nie odpowiada na wywołanie
negocjacyjne IKE, system nie używa szyfrowania. Jeżeli klient w dowolnym momencie odpowie,
rozpoczną się negocjacje i muszą zostać pomyślnie zakończone. Jeżeli negocjacje nie powiodą
się, komunikacja zostanie zablokowana na minutę. Po tym czasie podjęta zostanie kolejna próba
negocjacji.
Aby przywrócić komputery do stanu poprzedniego, należy wyłączyć polityki Secure Server lub
Server i Client. Więcej informacji o ochronie IPSec i tej konfiguracji można znaleźć w
dokumentacji systemu Windows 2000 lub Windows Server 2003.
Bezpieczeństwo w trakcie wdrażania agentów
MOM domyślnie nie zabezpiecza plików i innych danych służących do wdrażania agentów.
Proces wdrażania wykorzystuje porty SMB i RPC (TCP 135), a także zakres portów DCOM. W
celu ochrony wdrażania agentów można użyć metody podpisywania pakietów SMB albo
protokołu IPSec. Więcej informacji można znaleźć w rozdziale „Podpisywanie pakietów SMB”
lub „IPSec — bezpieczny protokół IP” niniejszego podręcznika.
Wdrażanie ręczne
W pewnych sytuacjach konieczne może być ręczne zainstalowanie agentów. Poniżej omówiono
kilka istotnych aspektów ręcznej instalacji agentów związanych z bezpieczeństwem.
Odrzucanie nowych instalacji ręcznych agentów
Ustawienie Reject New Manual Agent Installations nakazuje systemom Management Server
ignorować agentów, którzy zostali zainstalowani ręcznie po włączeniu tej opcji. Opcja ta
zwiększa zakres kontroli nad środowiskiem MOM, pozwalając określić, kiedy agenci
MOM Community
zainstalowani ręcznie mogą komunikować się z systemem Management Server. Jest to
ustawienie nadawane dla całej grupy administracyjnej i nie można go przesłonić. Przed ręcznym
zainstalowaniem agentów trzeba wyłączyć tę opcję. Jeżeli użytkownik chce z niej korzystać, po
zainstalowaniu wszystkich agentów można ją ponownie włączyć. Informacje o tym, jak zmienić
to ustawienie, można znaleźć w procedurze „Aby włączyć lub wyłączyć opcję Reject new
manually installed agents” w niniejszym podręczniku.
Ważne
Opcja ta funkcjonuje tylko wtedy, gdy włączone jest uwierzytelnianie
wzajemne. W przeciwnym przypadku MOM ignoruje to ustawienie,
akceptując nowe, ręcznie zainstalowanych agentów.
Konto instalacyjne
Aby zainstalować agenta ręcznie, należy zalogować się na komputerze docelowym jako
administrator lokalny. Więcej informacji o ręcznym instalowaniu agentów można znaleźć w
Podręczniku wdrażania systemu Microsoft Operations Manager 2005.
Port systemu Management Server
Opcja Management Server Port określa, z jakiego portu agent będzie korzystał w celu
zainicjowania komunikacji z systemem Management Server. Ustawienie domyślne dla nowych
instalacji to 1270. Port 1270 zostaje również zachowany w przypadku aktualizacji agentów.
Poziom kontroli agenta
Opcja Agent Control Level określa, czy Management Server może aktualizować ustawienia
konfiguracyjne na komputerze zarządzanym. Poziom Full oznacza, że MOM będzie uaktualniać
konfigurację agentów wtedy, gdy potrzebna będzie aktualizacja. Do aktualizacji ustawień
konfiguracyjnych agenta służą porty RPC i SMB. Poziom None oznacza, że poniższe czynności
trzeba przeprowadzać ręcznie:
•
Management Server nie będzie próbował automatycznie odinstalować agenta.
•
Management Server nie nada agentowi statusu oczekującego na odinstalowanie.
•
Użytkownik nie może posłużyć się w odniesieniu do tych komputerów zadaniem Update
Agent Settings, dostępnym w konsoli Administrator.
•
Użytkownik nie może aktualizować tych agentów za pomocą konsoli Administrator.
•
Użytkownik nie może odinstalować tych agentów za pomocą konsoli Administrator.
MOM Community
•
Agenci nie zostaną automatycznie oznaczeni jako wymagający aktualizacji, gdy
uaktualniony zostanie Management Server.
•
Dla tych agentów nie można zdalnie instalować aktualizacji systemu MOM za pomocą
konsoli Administrator.
Konto Action Account agenta
Konto to służy do gromadzenia informacji o komputerze zarządzanym i do uruchamiania na nim
odpowiedzi. Więcej informacji na temat tego konta można znaleźć w podrozdziale „Action
Account” rozdziału „Bezpieczeństwo agentów” niniejszego podręcznika.
Konfiguracja Active Directory
To ustawienie określa, w jaki sposób agent będzie się uwierzytelniał w systemie Management
Server. Strona ta pojawia się tylko wtedy, gdy nie można wykryć ustawień uwierzytelniania
wzajemnego dla danej grupy administracyjnej. Po wybraniu opcji Yes agent zostanie
skonfigurowany tak, aby używał uwierzytelniania wzajemnego. Po wybraniu opcji No agent
zostanie skonfigurowany tak, aby nie uwierzytelniał się w systemie Management Server. Jeżeli to
ustawienie agenta różni się od ustawienia w systemie Management Server, to Management
Server wymusi (o ile będzie w stanie) własne ustawienie podczas kolejnej aktualizacji agenta.
Akceptacja instalacji agenta
W konsoli MOM Administrator nowy agent pojawi się w folderze Pending Actions. Aby system
MOM mógł rozpocząć zarządzanie komputerem, użytkownik musi kliknąć ten komputer prawym
przyciskiem myszy i wybrać opcję Accept. Jest to kolejny poziom zabezpieczenia tego procesu,
zwiększający zakres kontroli nad agentami instalowanymi ręcznie.
Zmiana ustawień na agentach za zaporą
Jeżeli agent znajduje się za zaporą albo w domenie czy grupie roboczej, z którą nie ma relacji
zaufania, to jego ustawienia trzeba zmieniać ręcznie. Czynność tę trzeba przeprowadzić
oddzielnie dla każdego agenta. Informacje o tym, jak zmienić ustawienia takich agentów,
zawiera procedura „Aby uaktualnić agenta za zaporą” w niniejszym podręczniku.
Bezpieczeństwo systemu Management
Server
Management Server w wersji MOM 2005 stanowi odpowiednik serwera DCAM w wersji
MOM 2000 SP1. Funkcje serwera DCAM rozdzielono na trzy odrębne części. Każda z tych
MOM Community
części może w MOM 2005 posługiwać się innymi danymi uwierzytelniania. Celem tej zmiany
jest zwiększenie bezpieczeństwa, skalowalności, elastyczności i dostępności produktu MOM. Te
trzy części zajmują się komunikacją z agentami, z bazą danych MOM, z agentem na tym samym
komputerze co system Management Server, a także z komputerami zarządzanymi bez użycia
agentów.
Nowym elementem MOM 2005 jest MOM Connector Framework (MCF). MCF umożliwia
odbieranie i wysyłanie danych do innych produktów administracyjnych.
Data Access Service (DAS)
Składnik DAS działa na tym samym komputerze co system Management Server i aktualizuje
informacje w bazie danych MOM Database (OnePoint). Komunikuje się z systemem MOM
Database Server w protokole OLEDB. Transmisja ta domyślnie nie jest szyfrowana, można
jednak zabezpieczyć te dane za pomocą techniki IPSec lub szyfrowania OLEDB Encryption
(SSL). Więcej informacji o korzystaniu z tych metod można znaleźć w rozdziale
„Konfigurowanie dodatkowych zabezpieczeń” niniejszego podręcznika.
Uwierzytelnianie i autoryzację dostępu do funkcji DAS obsługuje się za pomocą ról COM+.
Role te tworzy program instalacyjny i nie należy ich zmieniać.
Ważne
Podczas aktualizacji do wersji MOM 2005 uprawnienia konta DAS pozostają
takie same, jak to ustawiono w wersji MOM 2000 SP1. Oznacza to, że konto
DAS ma uprawnienia administratora lokalnego i dysponuje dużo większym
zakresem dostępu do baz danych, niż jest to konieczne. Należy zmienić te
ustawienia, dostosowując je do minimalnego poziomu uprawnień
wymaganego przez MOM 2005. Więcej informacji na ten temat można
znaleźć w rozdziale „Konfigurowanie zabezpieczeń po aktualizacji”
niniejszego podręcznika.
Zmiana konta DAS po instalacji
W dowolnej chwili można wybrać inne konto lub zmienić hasło do konta DAS. Jeżeli jednak
użytkownik wprowadzi te zmiany, to musi również wykonać następujące czynności:
•
Zmienić ustawienia konta na karcie Identity aplikacji COM+ Microsoft Operations Manager
Active Operations Data Access Service na komputerze z systemem Management Server.
•
Jeżeli używa się innego konta, trzeba również nadać mu status SQL Server Security Login z
dostępem do serwera ustawionym na „Permit”.
MOM Community
•
Nadać kontu prawo dostępu „db_owner” do bazy danych OnePoint w systemie MOM
Database Server (jeżeli używa się innego konta; program instalacyjny MOM domyślnie
przyznaje to prawo dostępu dla konta DAS).
•
Jeżeli zainstalowano również składnik MMPC, nowe konto należy dodać do grupy
zabezpieczeń MOM Service w systemie Management Server.
MOM Service (MOMService.exe)
Proces MOM Service składa się z elementu obsługującego komunikację z agentem oraz z agenta
w systemie Management Server. MOM Service pracuje w kontekście Local System (w
systemach operacyjnych Windows 2000 lub Windows Server 2003) oraz Network Service (tylko
w systemie operacyjnym Windows Server 2003). Nie należy zmieniać tego konta ani
wykorzystywać innego. W systemie operacyjnym Windows Server 2003 proces MOM Service
pracuje w kontekście Local System, jeżeli konto Action Account również uruchomiono w
kontekście Local System.
Ważne
MOM Service nie uruchomi się, jeżeli zmieniono poświadczenia na inne niż
Local System lub Network Service.
MOM Service uruchamia się jako proces MOMService.exe. W systemie Management Server
pracuje tylko jeden proces MOMService.exe naraz.
Proces MOMService.exe wykonuje następujące zadania:
•
dziennik zdarzeń aplikacji — odczyt / zapis
•
dziennik zdarzeń zabezpieczeń — odczyt / zapis
•
dostawca zdarzeń WMI (ten wątek procesu MOMService.exe posługuje się kontem
Action Account agenta) — odczyt
•
transfer plików — odbiór
•
transfer plików — wysyłanie (jeżeli używa się systemu operacyjnego Windows
Server 2003 lub Windows 2000, w którym zainstalowano produkt Background
Intelligent Transfer Service (BITS) 1.5).
Action Account
Konto Action Account to nowe rozwiązanie w systemie MOM 2005. Służy do zbierania danych
operacyjnych z komputera z systemem Management Server oraz do uruchamiania na tym
komputerze odpowiedzi. Może również służyć do instalowania agentów na komputerach
MOM Community
zdalnych oraz do aktualizacji ich ustawień. Jako że w systemie MOM 2005 zadania te
wykorzystują odrębne konto, możliwe jest rozdzielenie funkcji MOM Service od innych funkcji
systemu Management Server, takich jak odpowiedzi serwerowe (Server-Side Responses), oraz
funkcji zarządzania agentami, np. ich instalacji lub usuwania.
Z konta Action Account korzysta proces MOMHost.exe, a także niektóre wątki procesu
MOMService.exe. Jednocześnie może być uruchomionych kilka procesów MOMHost.exe.
Zarządzanie agentami
Konto Action Account systemu Management Server może służyć do instalowania i
odinstalowywania agentów na komputerach zdalnych oraz do aktualizacji ich ustawień. Jeżeli
użytkownik zdecyduje się korzystać z konta Action Account w tym celu, to musi to być konto
domenowe z uprawnieniami administratora na wszystkich komputerach docelowych, na których
instalowani będą agenci.
Zamiast używać konta o wysokim poziomie uprawnień, można skonfigurować konto Action
Account systemu Management Server z niskimi uprawnieniami i określić poświadczenia dla
instalacji agentów przeprowadzanej za pomocą kreatora Install/Uninstall Agent Wizard bądź
zainstalować agentów ręcznie. Więcej informacji na ten temat można znaleźć w podrozdziale
„Bezpieczeństwo wdrażania agentów” niniejszego podręcznika. Gdy trzeba aktualizować
ustawienia agentów, można wprowadzić odpowiednie poświadczenia w oknie dialogowym
Update Agent Settings konsoli MOM 2005 Administrator.
Zadania agenta w systemie Management Server
Konto Action Account na komputerze z systemem Management Server służy do gromadzenia
informacji o tym komputerze oraz do uruchamiania na nim odpowiedzi, nawet jeżeli użytkownik
nie zamierza korzystać z tego konta w celu zarządzania agentami. Konto uruchamia zadania
agentów w formie procesów MOMHost.exe. Ponieważ kilku dostawców danych lub kilka
odpowiedzi może pracować jednocześnie, MOM uruchamia je w osobnych procesach. W razie
awarii jednego z procesów metoda ta pozwala ochronić inne procesy MOMHost.exe. Dlatego też
na komputerze z systemem Management Server może działać jednocześnie wiele procesów
MOMHost.exe.
Proces MOMHost.exe wykonuje następujące zadania:
•
monitoruje i gromadzi dane dziennika zdarzeń Windows
•
monitoruje i gromadzi dane z liczników wydajności Windows
•
monitoruje i gromadzi dane WMI (Windows Management Instrumentation)
•
monitoruje i gromadzi dane z dzienników aplikacji, np. dzienników IIS
•
uruchamia odpowiedzi pakietów Management Pack, np. skrypty lub zadania wsadowe
MOM Community
•
uruchamia odpowiedzi w kodzie zarządzanym („kod zarządzany” to kod napisany z
wykorzystaniem struktur .NET Framework).
Rozdzielenie procesu MOMService od procesu MOMHost i wykorzystywanie wielu procesów
MOMHost oznacza, że błąd lub zatrzymanie skryptu działającego na komputerze z systemem
Management Server nie wpłynie negatywnie na funkcjonowanie procesu MOM Service ani
innych odpowiedzi uruchomionych na tym komputerze. Takie rozwiązanie zwiększa odporność
systemów Management Server i agentów MOM 2005.
Zmiana hasła do konta Action Account
Ponieważ Action Account musi być domenowym kontem użytkownika, aby uzyskać dostęp do
usług Active Directory, jego hasło może wygasnąć. Zmianę hasła może też wymusić polityka
globalna (Global Policy). Narzędzie SetActionAccount.exe w katalogu %Program
Files%\Microsoft Operations Manager 2005 umożliwia łatwą zmianę tego hasła. Poniżej
przedstawiono sposób korzystania z tego narzędzia:
SetActionAccount.exe <grupa administracyjna> [opcje]
Opcje:
-query //zwraca bieżące ustawienia konta Action Account dla danej grupy
administracyjnej.
-set <domain> <username> //ustawia konto Action Account dla danej grupy
administracyjnej. Uwaga — program zapyta o nowe hasło.
Uwaga — należy podać grupę administracyjną, nawet jeżeli agent nie korzysta z
multihomingu.
Uwaga
Aby ta zmiana lub inne zmiany uprawnień konta Action Account weszły w
życie, należy ponownie uruchomić usługę MOM Service na danym
komputerze.
Odpowiedzi serwerowe
W systemie MOM 2005 można zdefiniować kod nazywany „odpowiedziami serwerowymi”
(Server-Side Responses). Jest on uruchamiany na komputerze z systemem MOM Management
Server w reakcji na dane zebrane z komputerów zarządzanych. Jest to potencjalne zagrożenie,
ponieważ osoba potrafiąca sfałszować dane operacyjne może doprowadzić do wykonania
odpowiedzi serwerowej. Własne odpowiedzi serwerowe działają w ramach procesu
MOMHost.exe, natomiast inne odpowiedzi serwerowe — w ramach procesu MOMService.exe.
MOM Community
Opcja włączania i wyłączania odpowiedzi serwerowych dotyczy tylko odpowiedzi własnych. Jest
to ustawienie obowiązujące dla całej grupy administracyjnej. Domyślnie jest wyłączone,
zarówno w przypadku nowych instalacji, jak i aktualizacji do wersji MOM 2005. Jeżeli z takich
odpowiedzi własnych musi korzystać pakiet Management Pack, należy włączyć tę opcję. Żaden z
pakietów Management Pack dołączonych do produktu MOM 2005 nie wymaga użycia
odpowiedzi serwerowych. Opcja ta ma wpływ na następujące rodzaje odpowiedzi:
•
odpowiedzi skryptowe, które mają się uruchamiać na komputerze z systemem
Management Server
•
odpowiedzi-powiadomienia, gdy określone jest polecenie
•
odpowiedzi w postaci polecenia lub pliku wsadowego, które mają się uruchamiać z
komputera z systemem Management Server
•
odpowiedzi w kodzie zarządzanym.
Opcja ta nie ma wpływu na następujące odpowiedzi, które będą wykonywane zawsze:
•
wszystkie odpowiedzi, które mają się uruchamiać lokalnie na komputerze
zarządzanym
•
odpowiedzi-powiadomienia, które wykorzystują stronę Web lub pocztę elektroniczną
•
odpowiedzi polegające na aktualizacji zmiennych stanu
•
odpowiedzi pułapek SNMP.
Odpowiedzi transferu plików
MOM 2005 można skonfigurować tak, aby przenosił pliki z serwera File Transfer na komputer z
agentem MOM 2005 albo z komputera z agentem na serwer File Transfer. Pliki przenoszone są
w reakcji na uruchomienie zadania lub spełnienie kryteriów reguły. Odpowiedzi transferu plików
pracują w kontekście Local System (w systemie operacyjnym Windows 2000 lub Windows
Server 2003) lub Network Service (tylko w systemie Windows Server 2003), niezależnie od
uprawnień konta Action Account.
Uwaga
Konto Network Service (tylko w systemie Windows Server 2003) nie ma
dostatecznych uprawnień, aby uruchomić usługę BITS. Usługę tę można
uruchomić ręcznie lub skonfigurować ją tak, aby uruchamiała się
automatycznie.
MOM Community
Pobieranie
Odpowiedź transferu plików pobiera pliki z serwera File Transfer na komputer z agentem MOM
2005 w protokole HTTP. Pliki są pobierane do katalogu %Program Files%\Microsoft
Operations Manager 2005\Downloaded Files\<nazwa grupy administracyjnej>. Jako katalog
źródłowy dla tych plików można ustawić domyślny katalog wirtualny. W tym celu należy
skorzystać z okna ustawień globalnych Web Addresses w konsoli MOM Administrator.
Ustawienie to można przesłonić, podając inne katalogi wirtualne dla konkretnych zadań lub
odpowiedzi. Na serwerze źródłowym musi być uruchomiony system IIS 5.0 lub nowsza wersja, a
także włączona usługa BITS.
Uwaga
Podczas instalowania systemu MOM nie jest konfigurowany domyślny adres
URL wirtualnego katalogu serwera File Transfer. Jeżeli użytkownik nie poda
tego adresu URL w oknie ustawień globalnych, program wyświetli alarm „File
Transfer Response - Default global virtual directory not configured”
(„Odpowiedź transferu plików — nie skonfigurowano domyślnego katalogu
wirtualnego na poziomie globalnym”). Alarm ten będzie się pojawiał, dopóki
adres domyślny nie zostanie ustawiony.
Wysyłanie
Usługa transferu plików wysyła pliki z komputera zarządzanego do katalogu wirtualnego
podanego w ustawieniach globalnych Web Addresses, posługując się protokołem HTTP.
Ustawienie to można przesłonić, podając inne katalogi wirtualne dla konkretnych zadań lub
odpowiedzi. Usługa BITS wymaga uruchomienia programu IIS 5.0 w systemie operacyjnym
Windows 2000 Server oraz IIS 6.0 w systemach operacyjnych z rodziny Windows Server 2003.
BITS nie obsługuje wersji IIS 5.1 w Windows XP.
Pliki można wysyłać tylko w systemie operacyjnym Windows Server 2003. W systemie
Windows 2000 nie można korzystać z transferu plików w celu ich wysyłania, chyba że
zainstalowano usługę BITS (Background Intelligent Transfer Service) 1.5. Więcej informacji o
instalowaniu usługi BITS 1.5 w systemie operacyjnym Windows 2000 na komputerze z
systemem Management Server (lub na serwerze, na który są wysyłane pliki) można znaleźć w
witrynie Microsoft Download Center. Witrynę tę należy przeszukać, podając następujące
kryteria: “Background Intelligent Transfer Service Version 1.5” (Server Component). Więcej
informacji na temat instalowania usługi BITS 1.5 w systemie Windows 2000 na komputerze z
agentem MOM 2005 można znaleźć w witrynie Microsoft Download Center, przeszukując ją
zgodnie z następującymi kryteriami: “Background Intelligent Transfer Service Version 1.5”
(Client).
MOM Community
Uwaga
Niektóre instalacje IIS zawierają składnik filtrujący UrlScan. Jeżeli filtr
UrlScan jest włączony, administrator musi dodać do listy dozwolonych fraz
HTTP tego filtra słowo „BITS_POST”. W przeciwnym przypadku wysyłanie z
klientów BITS zakończy się niepowodzeniem. Szczegółowe informacje o
dodawaniu fraz do listy UrlScan można znaleźć w dokumentacji tego filtra.
Ustawianie uprawnień katalogów wirtualnych. Ze względów bezpieczeństwa BITS nie wysyła
plików do katalogu wirtualnego, dla którego włączono uprawnienia do skryptów i wykonywania.
Próba wysłania pliku do katalogu wirtualnego, dla którego ustawiono te uprawnienia, spowoduje
wygenerowanie błędu BG_E_SERVER_EXECUTE_ENABLED.
BITS nie wymaga, aby dla katalogu wirtualnego włączono uprawnienie do zapisu. Zaleca się
zatem wyłączenie tego uprawnienia.
Uwierzytelniony użytkownik (lub użytkownik Anonymous systemu IIS w przypadku
uwierzytelniania anonimowego) musi mieć uprawnienie do zmiany katalogu fizycznego, do
którego przypisany jest katalog wirtualny. Nie wystarczy przyznanie uprawnienia do zapisu.
Zabezpieczenie transferu plików
Takie transfery plików nie są domyślnie zabezpieczane. Aby zapewnić im ochronę, można
posłużyć się szyfrowaniem SSL (Secure Sockets Layer). Więcej informacji na temat stosowania
techniki SSL w systemie IIS można znaleźć w pomocy do produktu Internet Information
Services (IIS). Więcej informacji o korzystaniu z usługi BITS można znaleźć w witrynie MSDN
„Using BITS”, pod adresem http://go.microsoft.com/fwlink/?LinkId=942.
Ważne
Nie są obsługiwane odpowiedzi transferu plików korzystające z serwera
proxy.
Uwierzytelnianie wzajemne
Jest to nowa funkcja systemu MOM 2005. Wymaga ona, aby Management Server i agent
uwierzytelniły się wzajemnie, zanim rozpoczną komunikację. Używany jest do tego protokół
uwierzytelniania Kerberos v5, wchodzący w skład systemu operacyjnego Windows 2000,
Windows XP i Windows Server 2003.
MOM Community
Uwierzytelnianie wzajemne może ograniczyć ryzyko ataków przez pośrednika (man-in-themiddle). Przy tego typu atakach intruz podszywa się pod Management Server lub agenta, aby
komunikować się z drugim komputerem lub wykonywać na nim zadania. Uwierzytelnianie
wzajemne wymaga relacji zaufania Active Directory pomiędzy domeną, w której znajduje się
Management Server, a domeną agenta. Opcja uwierzytelniania wzajemnego obowiązuje dla całej
grupy administracyjnej i nie można jej przesłonić.
Jeżeli uwierzytelnianie wzajemne jest włączone, z systemami Management Server mogą
komunikować się tylko agenci MOM 2005. Agentów innych wersji nie będą mogły się
komunikować z tymi serwerami. Funkcja uwierzytelniania wzajemnego dotyczy tylko systemów
Management Server w wersji MOM 2005. Agenci zgłaszający się do serwerów DCAM wersji
MOM 2000 SP1 nie będą blokowani.
Bezpieczny kanał komunikacyjny
Domyślnie komunikacja między agentem MOM 2005 a systemem Management Server jest
zawsze szyfrowana i podpisywana elektronicznie. Jeżeli włączono uwierzytelnianie wzajemne, to
komunikacja ta jest również uwierzytelniana.
Jeżeli uwierzytelnianie wzajemne jest wyłączone, komunikaty wymieniane między agentami
MOM 2000 SP1 a systemem Management Server są domyślnie szyfrowane, tak jak w
MOM 2000. Gdy funkcja uwierzytelniania wzajemnego jest włączona, agenci MOM 2000 SP1
nie mogą komunikować się z systemem Management Server. Tylko uwierzytelnianie wzajemne
wymaga relacji zaufania Active Directory.
Ustawienia zabezpieczeń agenta i systemu Management Server
Jeżeli między ustawieniami zabezpieczeń agenta a analogicznymi ustawieniami systemu
Management Server wystąpi rozbieżność, to Management Server zsynchronizuje agentów
zgodnie ze swoimi ustawieniami. Nie dotyczy to ustawienia portu komunikacyjnego. Zmiana
portu komunikacyjnego została opisana w procedurze „Aby zaktualizować agenta za zaporą” w
niniejszym podręczniku.
Blokowanie agentów ze starszych wersji
Systemy Management Server w danej grupie administracyjnej można skonfigurować w taki
sposób, aby blokowały komunikację ze strony agentów MOM 2000 SP1. Block Legacy Agents
to opcja ustawiana dla całej grupy administracyjnej i nie można jej przesłaniać. Opcja ta jest
automatycznie włączana po uaktywnieniu uwierzytelniania wzajemnego.
Odrzucanie nowych agentów zainstalowanych ręcznie
Ustawienie Reject New Manually Installed Agents nakazuje systemowi Management Server
odrzucać dane wysyłane przez agentów, których zainstalowano ręcznie po włączeniu tej opcji, a
MOM Community
także nie wykrywać takich agentów. Nie dotyczy to agentów, które już wcześniej zostały
zainstalowane ręcznie i wykryte. Po włączeniu tej opcji agenci instalowani ręcznie nie będą się
pojawiać w konsoli MOM Administrator. Nie będzie też można zmienić statusu komputerów z
tymi agentami na „zarządzany przez agenta”, dopóki opcja ta nie zostanie wyłączona. Jest to
ustawienie obowiązujące dla całej grupy administracyjnej i nie można go przesłaniać. Informacje
o tym, jak wyłączyć to ustawienie i wykryć agentów zainstalowanych ręcznie, zawiera procedura
„Aby włączyć lub wyłączyć opcję Reject New Manually Installed Agents” w niniejszym
podręczniku.
Uwaga
Opcja ta funkcjonuje tylko wtedy, gdy włączone jest uwierzytelnianie
wzajemne. W przeciwnym przypadku MOM ignoruje to ustawienie,
akceptując nowe, ręcznie zainstalowanych agentów.
Bezpieczeństwo przy zarządzaniu bez agenta
Nową funkcją MOM 2005 jest możliwość monitorowania komputerów bez instalowania na nich
agenta MOM. Metoda ta nosi nazwę „zarządzania bez agentów”. Zarządzanie bez agentów
można stosować w przypadku komputerów znajdujących się w specyficznych środowiskach, w
których nie można zainstalować agenta, albo gdzie nie są potrzebne rozbudowane funkcje
administracyjne udostępniane przez agenta MOM.
Management Server komunikuje się z komputerami zarządzanymi bez agentów przez port RPC
(TCP 135) i zakres portów DCOM. Dlatego też zarządzanie bez agenta komputerem
znajdującym się poza zaporą nie jest obsługiwane. Jeżeli wykorzystuje się zarządzanie bez
agenta, to konto Action Account systemu Management Server musi mieć także uprawnienia
administratora lokalnego na komputerze zdalnym. Komputery te muszą zatem znajdować się w
tej samej domenie albo w domenach powiązanych relacją zaufania.
MOM Connector Framework oraz MMPC
Składniki MOM Connector Framework (MCF) oraz MOM-to-MOM Product Connector
(MMPC) to nowe elementy systemu MOM 2005. Umożliwiają one współużytkowanie i
synchronizowanie danych między środowiskami MOM 2005 i MOM 2000 SP1, między grupami
administracyjnymi MOM 2005, a także między systemem MOM 2005 a innymi programami do
zarządzania.
MCF jest usługą Web Service pracującą na komputerze z systemem Management Server i
komunikującą się przez port TCP 1271. Dlatego też interfejsów MCF można używać w
przypadku połączeń przechodzących przez zapory, a także przez sieć lokalną, sieć rozległą czy
nawet przez Internet.
MOM Community
MOM nie szyfruje połączeń MMPC ani MCF. Można jednak zastosować w tym celu
szyfrowanie SSL (Secure Sockets Layer). Więcej informacji o szyfrowaniu SSL można znaleźć
w dokumentacji produktu Internet Information Services (IIS). Połączenia te można również
zabezpieczyć za pomocą protokołu IPSec. Więcej informacji na temat stosowania IPSec można
znaleźć w rozdziale „IPSec — bezpieczny protokół IP” w niniejszym podręczniku.
Ważne
Jeżeli składnik MCF wykorzystuje połączenia „niezabezpieczone”, to należy
zastosować protokół SSL lub IPSec, aby ochronić przesyłane dane. Niektóre
z tych danych mogą mieć charakter poufny, np. informacje przesyłane w
wyniku zajścia zdarzeń albo alarmy.
Należy także pamiętać, że użycie SSL lub IPSec może nieco zmniejszyć
wydajność transmisji MCF.
Domyślnie system MOM wykorzystuje do obsługi składnika MMPC (MOM-to-MOM Product
Connector), czyli usługi MOMConn Service, konto DAS. Konto usługi MMPC musi należeć do
grupy zabezpieczeń MOM Service w źródłowej grupie administracyjnej. Jeżeli między źródłową
a docelową grupą administracyjną istnieje relacja zaufania Active Directory, to konto usługi
MMPC musi także należeć do grupy MOM Service w docelowej grupie administracyjnej. Jeżeli
nie ma relacji zaufania Active Directory, to należy przydzielić kontu usługi MMPC certyfikat
klienta i odwzorować je na konto należące do grupy zabezpieczeń MOM Service w docelowej
grupie administracyjnej.
Korzystanie z certyfikatów klienta i szyfrowania SSL do obsługi składników MCF lub
MMPC
Aby zwiększyć bezpieczeństwo danych przesyłanych podczas korzystania ze składników MCF
lub MMPC, można posłużyć się szyfrowaniem SSL i certyfikatami klienta. Informacje o
używaniu certyfikatów klienta do obsługi MMPC można znaleźć w procedurze „Aby korzystać z
certyfikatów klienta oraz techniki SSL w połączeniu ze składnikami MCF lub MMPC” w
Konfiguracja konsoli Web tylko do odczytu
Konsolę Web można skonfigurować w taki sposób, aby zapewniała dostęp tylko do odczytu.
Oznacza to, że będzie można wyświetlać dane operacyjne, ale nie będzie można uruchamiać
zadań ani wprowadzać zmian. Ustawienie to nie ma wpływu na zapis i odczyt w konsoli
Operator. Informacje o tym, jak skonfigurować konsolę Web tylko do odczytu, zawiera
procedura „Aby włączyć lub wyłączyć dostęp do konsoli Web w trybie tylko do odczytu” w
MOM Community
Bezpieczeństwo baz danych MOM
Database i Reporting Database
Te dwie bazy danych wykorzystywane przez system MOM są instalowane z dostatecznymi
zabezpieczeniami dostępu. Ich poziom można jednak zwiększyć, używając polityki IPSec lub
szyfrowania OLE DB. Techniki te pozwalają zaszyfrować dane przesyłane z bazy i do bazy.
Data Access Service (DAS)
MOM używa konta DAS do wykonywania następujących czynności:
•
wysyłania do bazy danych OnePoint zapytań o informacje, które są wyświetlane w
konsoli Administrator, konsoli Operator lub konsoli Web
•
wstawiania danych do bazy OnePoint, np. danych operacyjnych (alarmów, zdarzeń,
informacji o wydajności) oraz danych konfiguracyjnych
•
wykonywania procedur przechowywanych (dołączonych do produktu MOM 2005) w
bazie danych OnePoint
•
uruchamiania usługi MMPC, jeżeli ją zainstalowano.
Konto DAS nie wymaga dodatkowych uprawnień oprócz roli „db_owner” dla bazy danych
OnePoint oraz statusu SQL Server Security Login z dostępem ustawionym na „Permit”. Jeżeli
zainstalowano składnik MCF, to konto DAS musi również należeć do grup zabezpieczeń SC DW
DTS na komputerach MOM Reporting Server i MOM Database Server.
Wykorzystywanie konta Network Service do obsługi DAS
Windows Server 2003 obsługuje konto Network Service. Jest to uprzednio zdefiniowane konto
lokalne, które służy do uruchamiania usługi i zapewniania dla niej kontekstu zabezpieczeń.
Konto to nosi nazwę NT AUTHORITY\NetworkService. Konto Network Service ma
ograniczony dostęp do komputera lokalnego oraz dostęp uwierzytelniany (jako konto komputera)
do zasobów sieciowych.
Konta tego można użyć do obsługi kontekstu zabezpieczeń DAS, zamiast stosować lokalne lub
domenowe konto użytkownika. Pozwoli to obniżyć poziom uprawnień, którymi dysponuje
usługa DAS oraz uniknąć wygasania haseł wynikającego z polityki. Informacje o tym, jak użyć
konta Network Service do obsługi DAS, zawiera procedura „Aby użyć konta Network Service do
obsługi DAS” w niniejszym podręczniku.
MOM Community
Ważne
Metoda ta jest dostępna tylko wtedy, gdy komputer z systemem
Management Server wykorzystuje system operacyjny Windows Server 2003.
System Windows 2000 nie obsługuje konta Network Service.
Baza danych operacyjnych MOM
Baza MOM Database (OnePoint) przechowuje dane operacyjne systemu MOM. Systemy
Management Server komunikują się z nią przez port TCP/UDP 1433, wykorzystując technikę
OLEDB. MOM nie szyfruje tych danych, można je jednak zabezpieczyć, stosując protokół IPSec
lub szyfrowanie OLEDB Encryption. Więcej informacji na temat tych technik można znaleźć w
rozdziałach „IPSec — bezpieczny protokół IP” oraz „Szyfrowanie OLEDB” w niniejszym
podręczniku.
Zadania SQL w bazie danych MOM Database
MOM posługuje się kilkoma zadaniami serwerowymi SQL (SQL Server Job), obsługując bazę
danych MOM Database. Zadania te pracują w ramach poświadczeń konta logowania, z którego
instalowano bazę danych MOM Database. Konto to należy do grupy administratorów na
komputerze MOM Database Server. Poniższa tabela zawiera te zadania i uprawnienia, którymi
mogą się one posługiwać.
Tabela 4 Zadania serwerowe SQL używane przez produkt MOM 2005
Nazwa zadania
Uprawnienia
One Point — Update Statistics (uaktualnianie
danych statystycznych)
DBO lub sysadmin
One Point — Check Integrity (kontrola
integralności)
uprawnienie ‘execute’ do master..xp_sqlmaint
One Point — Reindex (reindeksowanie)
uprawnienie ‘execute’ do master..xp_sqlmaint
MOMX Partitioning and grooming (partycjonowanie db_datareader, db_datawriter, db_dlladmin,
i konsolidacja)
execute do wszystkich procedur przechowywanych
OnePoint
One Point — Computer Maintenance (serwisowanie db_datareader, db_datawriter, db_dlladmin,
komputera)
OnePoint
One Point —
db_datareader, db_datawriter, db_dlladmin,
MOM Community
TodayStatisticsUpdateComputersAndAlerts
OnePoint
One Point — TodayStatisticsUpdateEvents
OnePoint
One Point —
TodayStatisticsUpdatePerfmonRulesKB
OnePoint
One Point - Update Database (uaktualnianie bazy
danych)
OnePoint
Baza danych raportowych
Baza danych Reporting Database przechowuje zarchiwizowane dane operacyjne MOM i
dostarcza te informacje usłudze SQL Server Reporting Service. Dane są archiwizowane za
pomocą techniki DTS (Data Transformation Services) systemu SQL Server. Przesyłane są przez
port TCP/UDP 1433. Dane te nie są szyfrowane, ale można je zabezpieczyć, stosując protokół
IPSec lub OLEDB Encryption. Więcej informacji na temat tych technik można znaleźć w
rozdziałach „IPSec — bezpieczny protokół IP” lub „Szyfrowanie OLEDB” w niniejszym
podręczniku.
Zmiana haseł
Jeżeli zmieni się hasło jednego z kont należącego do grupy zabezpieczeń SCDW DTS na
komputerze MOM Reporting Server, trzeba replikować te zmiany do zaplanowanego zadania
DTS i usługi SCDW Data Source. Informacje o zmianie haseł zawierają procedury „Aby zmienić
hasło zaplanowanego zadania MOM Reporting” oraz „Aby zmienić hasło SCDW Data Source”
w niniejszym podręczniku.
Konsola Reporting
Składniki konsoli Reporting są instalowane na komputerze MOM Reporting Database Server.
Komunikują się z klientami Web przez port HTTP 80. Za pomocą konsoli Reporting można
wyświetlać, tworzyć i zapisywać raporty w bazie danych Reporting Database. Konsola stanowi
element instalacji Microsoft SQL Server Reporting Services. Z konsoli Reporting można
korzystać poza zaporą.
MOM nie szyfruje połączenia konsoli Reporting z klientem. Można jednak zastosować w tym
celu szyfrowanie SSL (Secure Sockets Layer).
MOM Community
Raportowanie przez zaporę ISA 2004
MOM 2005 umożliwia realizację funkcji raportowych przy połączeniach przechodzących przez
zaporę ISA (Internet Security and Acceleration Server) 2004. Jeżeli korzysta się z konsoli
Reporting przez zaporę ISA 2004, to do większości zastosowań trzeba otworzyć port HTTP 80
lub, jeżeli stosowane jest szyfrowanie SSL, port TTPS 443. Należy także skonfigurować funkcję
Web Publishing na zaporze ISA 2004. Więcej informacji o funkcji Web Publishing można
znaleźć w dokumentacji zapory ISA 2004.
Bezpieczeństwo agentów
Agenci MOM 2005 zostali rozszerzeni w stosunku do agentów z wersji MOM 2000 SP1.
Rozszerzenia te to m.in. odrębny kontekst konta dla procesu MOM Service i odpowiedzi na
komputerze z agentem. Niniejszy rozdział zawiera ogólne omówienie tych funkcji.
MOM Service (MOMService.exe)
MOM Service stanowi w przybliżeniu odpowiednik usługi OnePoint Service w wersji
MOM 2000 SP1. Obsługuje infrastrukturę agenta i komunikację z systemem Management
Server.
Usługa ta musi pracować w kontekście Local System (w Windows 2000 lub Windows
Server 2003) albo Network Service (tylko w systemie Windows Server 2003). Nie należy
zmieniać tego konta ani przypisywać do innego kontekstu.
MOM Service uruchamia się w postaci procesu MOMService.exe. Na komputerze z agentem w
pracuje tylko jeden proces MOMService.exe naraz.
Proces MOMService.exe wykonuje następujące zadania:
•
dziennik zdarzeń aplikacji — odczyt / zapis
•
dziennik zdarzeń zabezpieczeń — odczyt / zapis
•
dostawca zdarzeń WMI (ten wątek procesu MOMService.exe posługuje się kontem
Action Account agenta) — odczyt
•
transfer plików — odbiór
•
transfer plików — wysyłanie (jeżeli używa się systemu operacyjnego Windows
Server 2003 lub Windows 2000, w którym zainstalowano produkt Background
Intelligent Transfer Service (BITS) 1.5).
MOM Community
Konto Action Account
Konto Action Account agenta służy do zbierania danych operacyjnych z komputerów
zarządzanych oraz do uruchamiania na tych komputerach odpowiedzi. Z konta Action Account
korzystają procesy MOMHost.exe, a także niektóre wątki procesu MOMService.exe. Ponieważ
jednocześnie może pracować kilku dostawców danych lub kilka odpowiedzi, MOM uruchamia je
w osobnych procesach. W razie awarii jednego z procesów metoda ta pozwala ochronić inne
procesy MOMHost.exe. Dlatego też na komputerze z agentem może działać jednocześnie wiele
procesów MOMHost.exe.
Proces MOMHost.exe wykonuje następujące zadania:
•
monitoruje i gromadzi dane dziennika zdarzeń Windows
•
monitoruje i gromadzi dane z liczników wydajności Windows
•
monitoruje i gromadzi dane WMI (Windows Management Instrumentation)
•
monitoruje i gromadzi dane z dzienników aplikacji, np. dzienników IIS
•
uruchamia odpowiedzi pakietów Management Pack, np. skrypty lub pliki wsadowe
•
uruchamia odpowiedzi w kodzie zarządzanym („kod zarządzany” to kod napisany z
wykorzystaniem struktur .NET Framework).
Rozdzielenie procesu MOMService od procesu MOMHost i wykorzystywanie wielu procesów
MOMHost oznacza, że błąd lub zatrzymanie skryptu działającego na komputerze zarządzanym
nie wpłynie negatywnie na funkcjonowanie procesu MOM Service ani innych odpowiedzi
uruchomionych na tym komputerze. Takie rozwiązanie zwiększa odporność agentów
MOM 2005.
Używanie konta o niskim poziomie uprawnień
W pewnych okolicznościach można użyć w roli Action Account agenta konta o niskim poziomie
uprawnień. W systemie Windows 2000 konto Action Account musi należeć do grupy
administratorów lokalnych lub Local System. W systemie Windows Server 2003 konto to musi
mieć następujące uprawnienia minimalne:
•
należeć do lokalnej grupy Users
•
mieć dostęp do dzienników zdarzeń Windows
•
należeć do lokalnej grupy „Performance Monitor Users” (Użytkownicy monitora
wydajności)
•
mieć uprawnienie „Manage auditing and security log” (Zarządzanie inspekcją i
dziennikiem zabezpieczeń, SeSecurityPrivilege)
MOM Community
•
mieć uprawnienie „Allow log on locally” (Zezwalaj na logowanie lokalnie,
SeInteractiveLogonRight)
Ważne
Wymienione powyżej uprawnienia minimalne to najniższe uprawnienia
obsługiwane przez MOM 2005. Uprawnienia rzeczywiście niezbędne dla
konta Action Account będą uzależnione od tego, jakie pakiety Management
Pack zostały uruchomione i jak je skonfigurowano. Więcej informacji można
znaleźć w podręczniku do odpowiedniego pakietu Management Pack.
Konta o niskim poziomie uprawnień można używać tylko w systemie
Windows Server 2003. W Windows 2000 konto Action Account musi należeć
do grupy zabezpieczeń dla administratorów lokalnych lub Local System.
Do prawidłowego funkcjonowania pakietów Management Pack niezbędne może być dodanie
innych uprawnień konta Action Account. Program instalacyjny MOM instaluje domyślnie tylko
pakiet Microsoft Operations Manager 2005 Management Pack. Ten pakiet wymaga jedynie, aby
konto używane jako Action Account miało dostęp do następujących elementów:
Tabela 5 — Rodzaje dostępu wymagane przez pakiet MOM 2005 Management Pack
Zasób
Rodzaj
dostępu
Instrukcje
Dziennik zdarzeń Windows
Odczyt
W polityce Local Policy (lokalnej) lub Global Policy
(globalnej) należy przyznać kontu Action Account
uprawnienie „Manage auditing and security log”
(Zarządzanie inspekcją i dziennikiem zabezpieczeń).
Liczniki wydajności Windows
Odczyt
Konto Action Account musi należeć do grupy
zabezpieczeń Performance Monitor Users .
Pliki dziennika konkretnych
aplikacji
Odczyt
Action Account musi mieć dostęp w trybie do
odczytu do konkretnego pliku dziennika lub
katalogu. Więcej informacji o położeniu takich
plików dziennika można znaleźć w dokumentacji
poszczególnych produktów. Dokumentacja systemu
MOM nie zawiera tych informacji.
W przypadku korzystania z konta o niskim poziomie uprawnień nie można uruchamiać
odpowiedzi SNMP. Jeżeli odpowiedź SNMP jest niezbędna, należy jako Action Account agenta
wybrać konto o uprawnieniach na poziomie administratora.
MOM Community
Uwaga
Action Account musi należeć do grupy Administrators albo pracować w
kontekście Local System, aby system MOM mógł monitorować dzienniki
systemu Internet Information Services (IIS).
Używanie konta o wysokim poziomie uprawnień
Jeżeli dopuszczają to wymogi bezpieczeństwa, można posłużyć się także kontem o wysokim
poziomie uprawnień. Użycie konta o wysokim poziomie uprawnień zagwarantuje poprawną
pracę wszystkich funkcji w pakietach Management Pack.
Używanie konta domenowego
Chociaż można użyć jednego konta domenowego jako Action Account kilku agentów, firma
Microsoft nie zaleca takiej praktyki. Jeżeli bowiem poświadczenia dla tego konta zostaną
ujawnione, intruz będzie mógł za jego pomocą zaatakować wiele komputerów. Można też użyć
innego konta domenowego jako Action Account dla każdego agenta, ale polityka globalna może
wymuszać wygasanie haseł do tych kont. W takim przypadku zastosowanie konta lokalnego
może zredukować nakłady administracyjne.
Używanie konta Local System
Konto Action Account agenta można uruchamiać w kontekście Local System. Zapewnia to, że
wszystkie pakiety Management Pack będą posługiwać się właściwymi prawami użytkownika.
Jednak konto Local System ma uprawnienia na poziomie administracyjnym, zatem korzystanie z
niego może stanowić potencjalne zagrożenie dla bezpieczeństwa. Jeżeli intruz zdoła naruszyć
bezpieczeństwo procesów MOM, to posługując się kontekstem Local System będzie mógł
wykonać na komputerach zarządzanych dowolną czynność. W pewnych okolicznościach będzie
nawet w stanie zaatakować komputer z systemem Management Server. Dlatego też można
zdecydować się również na użycie konta o niższym poziomie uprawnień.
Zmiany hasła do konta Action Account
Narzędzie SetActionAccount.exe w katalogu %Program Files%\Microsoft Operations
Manager 2005 umożliwia łatwą zmianę tego hasła. Za jego pomocą można wybrać również inne
konto, które będzie pełniło rolę Action Account. Poniżej przedstawiono sposób korzystania z
tego narzędzia:
SetActionAccount.exe <grupa administracyjna> [opcje]
Opcje:
-query //zwraca bieżące ustawienia konta Action Account dla danej grupy
administracyjnej.
MOM Community
-set <domain> <username> //ustawia konto Action Account dla danej grupy
administracyjnej. Uwaga — program zapyta o nowe hasło.
Uwaga — należy podać grupę administracyjną, nawet jeżeli agent nie korzysta z
multihomingu.
Uwaga
Aby ta zmiana lub inne zmiany uprawnień konta Action Account weszły w
życie, należy ponownie uruchomić usługę MOM Service na danym
komputerze.
Rola proxy agenta
W systemie MOM 2005 agent może przekazywać dane w imieniu innego komputera lub
urządzenia sieciowego. Nazywa się to „rolą proxy agenta”. Jeżeli wyłączy się rolę proxy agenta,
(opcja Agent Proxying), to Management Server próbuje porównać dane nadsyłane z agenta z
nazwą tego agenta. Jeżeli nie będzie między nimi zgodności, to dane zostaną odrzucone, a
system zarejestruje zdarzenie. Funkcja ta ułatwia walkę z atakami, podczas których intruz
podszywa się pod agenta (lub wysyła do agenta informacje, które ten przekaże dalej), aby
przesłać dane do systemu Management Server. W przypadku agentów wykorzystujących
multihoming każda grupa administracyjna ma własne ustawienia roli proxy dla tego agenta.
Jest to ustawienie obowiązujące w całej grupie administracyjnej, ale można przesłaniać je na
poszczególnych agentach.
Uwaga
Jeżeli uwierzytelnianie wzajemne jest wyłączone, to opcja Agent Proxying
będzie ignorowana. Wszyscy agenci będą mogli pełnić rolę proxy, niezależnie
od wartości tej opcji.
Agenci wykorzystujący multihoming
Agent wykorzystujący multihoming to taki agent, który zgłasza się do więcej niż jednej grupy
administracyjnej (lub grupy konfiguracyjnej w wersji MOM 2000 SP1). Uzyskuje się to, tworząc
i uruchamiając wiele instancji składnika, który komunikuje się z systemem Management Server.
Pracują one w ramach pojedynczej instancji procesu MOM Service. Każda instancja składnika
komunikacyjnego działa odrębnie od innych. Jeżeli w jednej z nich wystąpi błąd, nie będzie miał
wpływu na działanie pozostałych.
MOM Community
Każda instancja pracuje w kontekście MOM Service dla danej grupy administracyjnej (jeżeli są
różne) i w ramach tego samego procesu MOM Service. Oznacza to, że awaria jednej z instancji
nie wpłynie na komunikację między agentem a inną grupą administracyjną. Jeżeli jednak
zatrzyma się proces MOM Service, to zatrzymywana jest również komunikacja ze wszystkimi
grupami administracyjnymi.
Jeżeli agent nie może komunikować się z jedną z grup administracyjnych, np. dlatego, że awarii
uległa łącząca te składniki sieć, to komunikacja z pozostałymi grupami administracyjnymi tego
agenta może zostać zachowana. Nie mogą istnieć dwaj agenci o takich samych ustawieniach
uwierzytelniania wzajemnego, zgłaszające się do tego samego systemu Management Server.
Agenci za zaporą
Jeżeli między komputerami zarządzanymi a komputerem z systemem Management Server
znajduje się zapora, to można otworzyć na niej port TCP/UDP 1270. Pozwoli to uzyskać
normalną komunikację między tymi składnikami. Jednak agentów takich trzeba ręcznie
instalować i aktualizować.
Funkcje uwierzytelniania wzajemnego oraz komunikacji podpisywanej i szyfrowanej będą
dostępne, jeżeli między domeną komputera z systemem Management Server a domeną, w której
znajduje się agent, istnieje pełna relacja zaufania Active Directory. Jeżeli taka relacja nie istnieje,
to dostępna jest tylko komunikacja podpisywana i szyfrowana.
Agenci w niezaufanej domenie czy grupie roboczej
Agentów można umieścić w domenach bądź grupach roboczych bez relacji zaufania. Jednak w
takim przypadku nie będzie dostępna funkcja uwierzytelniania wzajemnego, ponieważ pomiędzy
domeną systemu Management Server a domeną agenta nie istnieje dwustronna relacja zaufania.
Bezpieczny kanał komunikacyjny jest jednak nadal dostępny. Agentów trzeba instalować i
aktualizować ręcznie. Jeżeli Management Server skonfigurowano tak, aby wymagał
uwierzytelniania wzajemnego, to tacy agenci nie będą mogli się z nim komunikować.
Informacje o tym, jak zmienić ustawienia na agentach znajdujących się za zaporą, w domenie lub
grupie roboczej, z którą nie ma relacji zaufania, lub takie, których parametr Control Level
ustawiono na „None”, zawiera procedura „Aby uaktualnić agenta za zaporą” w niniejszym
podręczniku.
MOM Community
Korzystanie z dodatkowych
zabezpieczeń
Ten rozdział zawiera opis dodatkowych zabezpieczeń, takich jak zapory, IPSec, SSL i
podpisywanie pakietów SMB. Zabezpieczenia te pozwalają zwiększyć poziom bezpieczeństwa
środowiska MOM. Rozdział zawiera również informacje o ogólnych metodach redukcji zagrożeń
w środowisku MOM.
Zgodność ze standardem FIPS
Federal Information Processing Standard 140-1 (FIPS 140-1) i jego następca, FIPS 140-2, to
standardy opracowane przez władze USA. Normują one wdrażanie programów
kryptograficznych. Określają najlepsze procedury postępowania przy wdrażaniu algorytmów
kryptograficznych, posługiwaniu się kluczami i buforami danych oraz współpracy z systemem
operacyjnym. Funkcje IPSec i Encrypting Files System (EFS) w systemie Windows 2000,
Windows Server 2003 i Windows XP mogą wykorzystywać składnik Kernel Mode
Cryptographic Module, zgodny ze standardem FIPS-140-1. Funkcje te służą odpowiednio do
szyfrowania pakietów danych i zawartości przesyłanych plików. Należy je odpowiednio
skonfigurować, wybierając algorytmy zgodne ze standardami FIPS.
Moduł kryptograficzny zgodny ze standardami FIPS umożliwia wdrażanie systemów IPSec
(Internet Protocol Security) w standardzie FIPS 140-1. Wykorzystuje się do tego następujące
elementy:
•
klient i serwer wirtualnej sieci prywatnej L2TP (Layer Two Tunneling Protocol)/IPSec
•
tunele L2TP/IPSec dla połączeń między bramkami wirtualnych sieci prywatnych
•
tunele IPSec dla połączeń między bramkami wirtualnych sieci prywatnych
•
cały ruch sieciowy pomiędzy klientem a serwerem oraz między serwerami jest szyfrowany
techniką IPSec.
Aby używać zabezpieczeń zgodnych ze standardem FIPS 140-1, należy skonfigurować protokół
IPSec w polityce globalnej (Global Policy). Więcej informacji o korzystaniu z protokołu IPSec
można znaleźć w rozdziale „IPSec — bezpieczny protokół IP” niniejszego podręcznika. Więcej
informacji o regule globalnej można znaleźć w dokumentacji systemu Windows.
MOM Community
Algorytmów zgodnych ze standardem FIPS można również używać, włączając opcję System
cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing w
polityce globalnej (Global Policy) lub lokalnej (Local Policy).
Korzystanie z systemu MOM w połączeniu z zaporami
W środowisku informatycznym pomiędzy komputerami MOM mogą znajdować się zapory. W
zależności od topologii tego środowiska, taki podział może powodować problemy. W Tabeli 6
przedstawiono, kiedy można korzystać z zapory między komputerami MOM 2005, a kiedy jest to
niemożliwe.
Tabela 6 — Zgodność zapory z systemem MOM 2005
Połączenie
Zapora
Port, protokół lub uwagi
Management Server — komputer bez agenta
NIE
Port RPC (TCP 135) i zakres portów DCOM
Management Server — konsola Administrator
NIE
Management Server — konsola Operator
NIE
Management Server — Agent
OK
Port TCP/UDP 12701
Management Server — MOM Database
OK
OLEDB Tunneling, port 14332
Reporting Database — MOM Database
NIE
Port DTS (TCP 1433)
Reporting Database — konsola Reporting
OK
Port HTTP 80
Management Server — konsola Web
OK
Port TCP 1272
MMPC — MMPC
OK
Port TCP 1271
Grupa administracyjna — grupa
administracyjna
OK
Należy użyć składnika MOM to MOM Product
Connector
OK — na tym połączeniu można stosować zaporę
NIE — na tym połączeniu nie można stosować zapory
1 — Zadania administracyjne agenta (Agent Management Task) nie będą funkcjonować prawidłowo, jeżeli nie otworzy
się zakresu portów DCOM.
2 — konfigurowany przez użytkownika.
MOM Community
Korzystanie z systemu MOM w niezaufanych domenach lub grupach
roboczych
W środowisku informatycznym mogą występować domeny czy grupy robocze, między którymi
istnieją relacje zaufania, oraz takie, między którymi takich relacji nie ma. W zależności od
topologii tego środowiska taki podział może powodować problemy. W Tabeli 7 przedstawiono,
kiedy można korzystać z połączenia między komputerami MOM 2005 przechodzącego przez
barierę między domenami zaufanymi a niezaufanymi.
Tabela 7 — Zgodność domen bez relacji zaufania z systemem MOM 2005
Połączenie
Bez
zaufania
Uwagi
NIE
Konto Action Account systemu Management
Server musi mieć uprawnienia
administratora na komputerze zdalnym
NIE
NIE
OK
Management Server — MOM Database
NIE
NIE
OK
Port HTTP 80
OK
Port TCP 1272
MMPC — MMPC
OK
Port TCP 1271
Grupa administracyjna — grupa
administracyjna
NIE
MMPC Service musi mieć uprawnienia
administratora w obu grupach
Patrz uwaga poniżej.
OK — komunikacja z domeną niezaufaną jest możliwa
NIE — komunikacja z domeną niezaufaną [nie (w oryginale zapewne błąd, bo powtórzono to samo co przy OK. - BTInfo]
jest możliwa
MOM Community
Uwaga
Obsługa instalowania agentów poza granicą domen zaufanych,
W większości środowisk agentów można instalować metodą push w domenie
niezaufanej. Wyjątek stanowi kontroler domeny (Domain Controller). Ze
względu na wielką liczbę kombinacji konfiguracyjnych dostępnych w Active
Directory, nie wszystkie nich zostały dokładnie przetestowane. Dlatego też
instalacja agentów metodą push na komputerach docelowych może w
niektórych środowiskach nie działać prawidłowo. W takim przypadku należy
zainstalować tych agentów ręcznie.
Korzystanie z systemu MOM w połączeniu z narzędziem IIS
Lockdown
Kreator IIS Lockdown Wizard wyłącza niepotrzebne funkcje, redukując w ten sposób liczbę
punktów narażonych na atak intruza. Zastosowanie ustawień tego kreatora może wpłynąć na
niektóre funkcje systemu MOM. W tym podrozdziale opisano rodzaj efektów, jakie mogą
wystąpić, oraz zmiany, jakie trzeba wprowadzić, aby przywrócić prawidłowe funkcjonowanie
MOM po zastosowaniu tego narzędzia. Więcej informacji o narzędziu Lockdown można znaleźć
pod adresem http://go.microsoft.com/fwlink/?LinkId=32741.
Zastosowanie narzędzia Lockdown do komputera z systemem Management Server
Narzędzie Lockdown produktu IIS (Internet Information Services) można zastosować do
komputera z systemem Management Server. Nie zaburzy to w zasadzie funkcjonowania MOM, z
tym że jeśli narzędzie to wyłączy składnik ASP.NET, nie będzie działać konsola Web. Konsola
Web wykorzystuje bowiem ASP.NET do realizacji swoich podstawowych funkcji. Aby
korzystać z konsoli Web, należy po uruchomieniu narzędzia IIS Lockdown ponownie włączyć
ASP.NET. Więcej informacji o włączaniu i konfigurowaniu składnika ASP.NET można znaleźć
w dokumentacji produktu Internet Information Services.
Zastosowanie narzędzia Lockdown do komputera z systemem Reporting Server
Narzędzie Lockdown produktu IIS (Internet Information Services) można zastosować do
komputera z systemem MOM Reporting Server, nie zaburzając funkcjonowania MOM. Podczas
uruchamiania narzędzia trzeba jednak użyć szablonu FrontPage Extensions. Ponadto, jeżeli
składnik ASP.NET został wyłączony, to należy go ponownie włączyć, ponieważ konsola
Reporting wykorzystuje go do realizacji swoich funkcji. Więcej informacji o włączaniu i
konfigurowaniu składnika ASP.NET można znaleźć w dokumentacji produktu Internet
Information Services.
MOM Community
Zgodność z technikami IPSec, SSL, OLEDB Encryption i
podpisywaniem pakietów SMB
W tym rozdziale omówiono kilka dodatkowych metod zabezpieczeń, których można użyć w celu
ochrony środowiska MOM. Opisano także procedury ich stosowania. W Tabeli 8 wymieniono
dodatkowe techniki bezpieczeństwa, z których można korzystać.
Tabela 8 — Zgodność różnych protokołów bezpieczeństwa z systemem MOM
Połączenie
IPSec
OLE DB
Encryption
SSL
Podpisywanie
SMB
TAK
nie dotyczy
nie dotyczy
nie dotyczy
OK*
nie dotyczy
nie dotyczy
TAK
TAK
nie dotyczy
nie dotyczy
nie dotyczy
TAK
nie dotyczy
nie dotyczy
nie dotyczy
Management Server — baza danych
TAK
TAK
nie dotyczy
nie dotyczy
TAK
TAK
nie dotyczy
nie dotyczy
OK
nie dotyczy
TAK
nie dotyczy
OK
nie dotyczy
TAK
nie dotyczy
MCF — MCF
OK
NIE
TAK
nie dotyczy
Grupa administracyjna — grupa administracyjna
TAK
NIE
nie dotyczy
nie dotyczy
TAK — ta metoda działa, nie wymagając dalszej konfiguracji lub zmian innych funkcji
NIE — nie można korzystać z tej metody
OK — można korzystać z tej metody, ale wystąpią przy tym pewne problemy
nie dotyczy — metoda jest niedostępna lub nie ma zastosowania
* tylko jeżeli wyłączono uwierzytelnianie wzajemne.
IPSec — bezpieczny protokół IP
Niniejszy podrozdział zawiera informacje o korzystaniu z zabezpieczeń IPSec w połączeniu z
systemem MOM. Zawiera też procedury niezbędne do skonfigurowania protokołu IPSec do tego
celu.
MOM Community
Informacje o protokole IPSec
Internet Protocol Security (IPSec) to zestaw otwartych standardów, służący do zapewniania
poufności i bezpieczeństwa komunikacji w sieciach IP za pomocą usług kryptograficznych.
IPSec obsługuje uwierzytelnianie równorzędne na poziomie sieci, uwierzytelnianie pochodzenia
danych, ochronę integralności i poufności danych (szyfrowanie) oraz zabezpieczenie przed
retransmisją (replay protection). Implementacja IPSec stosowana przez firmę Microsoft opiera
się na standardach opracowanych przez zespół roboczy IETF (Internet Engineering Task Force)
ds. IPSec.
Protokół IPSec obsługują systemy operacyjne Windows Server 2003, Windows XP i
Windows 2000. Jest on również wbudowany w usługę Active Directory. Polityki IPSec można
przypisywać, posługując się konfiguracją polityki grupy (Group Policy) dla domen Active
Directory i jednostek organizacyjnych. Pozwala to przypisywać politykę IPSec na poziomie
domeny, lokalizacji albo jednostki organizacyjnej, co upraszcza wdrażanie tego zabezpieczenia.
Politykę IPSec można też wdrażać za pomocą przystawki (snap-in) IP Security Policies do
konsoli MMC na komputerze lokalnym. Potrzebne są do tego uprawnienia administratora na
każdym z komputerów, na którym ma zostać wdrożona polityka IPSec.
Integracja protokołu IPSec z systemami operacyjnymi Windows 2000 Server i
Windows Server 2003 jest dla administratorów sieci korzystna z wielu powodów, takich jak:
•
Otwarty standard branżowy. IPSec jest oparty na otwartych standardach branżowych i
jako taki stanowi alternatywę dla niestandardowych technologii bezpieczeństwa opartych na
protokole IP. Administratorzy sieci odnoszą korzyści z wynikającej z tego zgodności
operacyjnej.
•
Przejrzystość. Protokół IPSec funkcjonuje poniżej warstwy transportowej, pozostaje zatem
niewidoczny dla użytkowników i aplikacji. Oznacza to, że po wdrożeniu protokołu IPSec na
zaporze lub ruterze nie trzeba zmieniać aplikacji sieciowych na komputerze osobistym
użytkownika.
•
Uwierzytelnianie. Zaawansowane usługi uwierzytelniania nie dopuszczają do przyjęcia
danych od osoby używającej sfałszowanych informacji o tożsamości.
•
Poufność. Usługi poufności uniemożliwiają nieupoważnionym osobom dostęp do
wrażliwych danych, gdy są one transportowane pomiędzy komunikującymi się stronami.
•
Uwierzytelnianie pochodzenia i integralność danych. Do uwierzytelniania pochodzenia
danych i ochrony ich integralności służy kod HMAC (Hashed Message Authentication
Code), dołączany do każdego pakietu.
•
Dynamiczna zmiana kluczy. Dynamiczna zmiana kluczy podczas komunikacji eliminuje
ręczną rekonfigurację kluczy tajnych i chroni przed ich wykryciem.
MOM Community
•
Pełne zabezpieczenie łączy. Protokół IPSec systemu Windows 2000 zapewnia pełne
zabezpieczenie łączy dla użytkowników sieci prywatnej znajdujących się w tej samej
domenie lub w domenach zaufanych w obrębie firmy.
•
Scentralizowane zarządzanie. Administratorzy sieci stosują polityki IPSec, aby zapewnić
odpowiednie poziomy bezpieczeństwa według użytkowników, grup roboczych lub innych
kryteriów. Zarządzanie scentralizowane redukuje ogólne koszty administracyjne.
•
Elastyczność. Elastyczność protokołu IPSec systemu Windows 2000 pozwala na stosowanie
polityk zarówno w odniesieniu do całej firmy, jak i pojedynczej stacji roboczej.
Protokół IPSec konfiguruje się za pomocą polityk globalnych lub lokalnych, które definiują
metody uwierzytelniania, podpisywania i szyfrowania pakietów IP oraz blokowania pakietów dla
konkretnych hostów, zakresu hostów lub całej sieci.
Wymagania IPSec
IPSec wymaga korzystania z usługi Active Directory, protokołu Kerberos v5 i uwierzytelniania
wzajemnego. Nie można zatem używać techniki IPSec do ruchu sieciowego MOM, jeżeli nie
włączono funkcji uwierzytelniania wzajemnego lub jeżeli korzysta się z agentów ze starszych
wersji.
IPSec a zapora
Jeżeli między dwoma komputerami MOM znajduje się zapora, to konieczne może być
skonfigurowanie tunelu IPSec. Więcej informacji na ten temat zawierają następujące artykuły
Microsoft Knowledge Base: artykuł nr 252735, „How To Configure IPSec Tunneling in
Windows 2000” (Jak konfigurować tunele IPSec w Windows 2000) oraz artykuł nr 816514,
„How To Configure IPSec Tunneling in Windows Server 2003” (Jak konfigurować tunele IPSec
w systemie Windows Server 2003).
IPSec a NAT
Z protokołu IPSec można korzystać w połączeniu z urządzeniem NAT (Network Address
Translator) w następujących relacjach:
•
z Windows 2000 do Windows 2000 (tylko jeżeli w obu systemach zainstalowano
aktualizację L2TP/IPSec NAT-T)
•
z Windows 2000 do Windows XP (tylko jeżeli w obu systemach zainstalowano aktualizację
L2TP/IPSec NAT-T)
•
z Windows 2000 (z zainstalowaną aktualizacją L2TP/IPSec NAT-T Update) do systemu
Windows Server 2003
•
z systemu Windows Server 2003 do systemu Windows Server 2003.
MOM Community
Jeżeli na punktach krańcowych z systemem Windows 2000 i Windows XP nie zainstalowano
aktualizacji L2TP/IPSec NAT-T, nie można korzystać z protokołu IPSec dla połączeń
przechodzących przez urządzenie NAT. Bez tej aktualizacji urządzenie NAT nie może dokonać
translacji adresów IP w zabezpieczonych pakietach. Więcej informacji o instalowaniu tej
aktualizacji można znaleźć w artykule nr 818043 w witrynie Microsoft Support: „L2TP/IPSec
NAT-T Update for Windows XP and Windows 2000” (Aktualizacja L2TP/IPSec NAT-T dla
Windows XP i Windows 2000).
System Windows Server 2003 obsługuje protokół IPSec NAT Traversal (NAT-T). Protokół
IPSec NAT-T umożliwia translację ruchu zabezpieczonego IPSec przez urządzenie NAT.
IPSec a MOM
Stosując protokół IPSec, można zwiększyć poziom bezpieczeństwa środowiska MOM.
Połączenie między systemem Management Server a agentem jest domyślnie uwierzytelniane
wzajemnie i szyfrowane, a w środowiskach Active Directory także podpisywane elektronicznie.
Ważne
MOM Management Server znajdujący się w domenie bez IPSec nie może
instalować agentów metodą push na komputerze docelowym, który znajduje
się w domenie z obsługą IPSec. MOM Management Server znajdujący się w
domenie bez IPSec nie może monitorować agenta, który znajduje się w
domenie z obsługą IPSec. Aby korzystać z tych funkcji, należy skonfigurować
system Management Server obsługujący IPSec jako „serwer graniczny”
(Boundary Server). Więcej informacji na ten temat można znaleźć w rozdziale
„Wdrażanie agentów w domenach o różnych ustawieniach IPSec” w
Za pomocą tej metody można zwiększyć poziom bezpieczeństwa danych przepływających
między systemem Management Server a systemem MOM Database Server, między systemem
Management Server a konsolą Administrator lub Operator (jeżeli zainstalowano je na innym
komputerze) albo między systemem MOM Database Server a bazą MOM Reporting Database.
Ustawienia wszystkich tych połączeń przy korzystaniu z IPSec będą takie same (z
wyjątkiem adresu IP):
•
Filter Action. Require Security
•
Authentication Method. Kerberos V5 Protocol (domyślnie)
•
Connection Type. All network traffic (domyślnie)
•
Tunnel Setting. This rule does not specify an IPSec tunnel (domyślnie)
MOM Community
Protokołu IPSec można używać między następującymi parami komputerów:
•
Management Server i MOM Database Server
•
MOM Database Server i Reporting Database
•
Management Server i dowolny komputer zarządzany bez agenta
•
Management Server i konsole Administrator lub Operator (jeżeli zainstalowano je na innym
serwerze).
Uwaga
Komunikacja między agentem MOM 2005 a systemem Management Server
jest zabezpieczana domyślnie. Stosowanie IPSec nie jest tu potrzebne.
Protokołu IPSec można używać dla połączeń między poniższymi parami komputerów tylko
wtedy, gdy należą do tej samej domeny lub między ich domenami istnienie relacja zaufania:
•
MCF na komputerze Management Server i docelowa usługa MCF
•
Reporting Database i konsola Reporting.
Nie można stosować protokołu IPSec między wymienionymi poniżej parami komputerów,
jeżeli jest to dostęp przez Internet. Można jednak użyć dla tych połączeń szyfrowania SSL:
•
MCF na komputerze Management Server i docelowa usługa MCF
•
Reporting Database i konsola Reporting.
Protokół IPSec a agenci wykorzystujący multihoming lub nadmiarowe systemy
Management Server
Jeżeli agent zgłasza się do więcej niż jednej grupy administracyjnej lub w jednej grupie
administracyjnej występuje więcej niż jeden Management Server, to polityki IPSec trzeba
skonfigurować dla każdego połączenia między systemami Management Server a agentem.
Tworzenie polityki IPSec
IPSec konfiguruje się tworząc polityki i przypisując (uaktywniając) je. Polityka IPSec zawiera
przynajmniej jedną regułę. Reguła to zestaw list filtrowania, zadań podejmowanych w wyniku
działania filtrów, używanych metod uwierzytelniania, ustawień tuneli oraz rodzajów połączeń,
których dotyczy lista filtrów. Więcej informacji o politykach IPSec można znaleźć w
dokumentacji Windows. Informacje o tym, jak utworzyć polityki IPSec, zawiera procedura „Aby
utworzyć politykę, używając konkretnego adresu IP” w niniejszym podręczniku.
MOM Community
Ważne
Przed przypisaniem tej polityki należy na komputerze docelowym utworzyć
inną politykę, zawierającą takie same ustawienia. Komputer lokalny ma
pełnić rolę docelowego, a drugi komputer — źródłowego. Aby polityki te mogły
poprawnie funkcjonować, trzeba je uaktywnić na obu komputerach.
IPSec a DHCP — zarezerwowane adresy klientów
IPSec zarządza transportem między dwoma komputerami, które są identyfikowane wyłącznie
przez ich adresy IP. Jeżeli adresy te przydziela dynamicznie protokół DHCP (Dynamic Host
Configuration Protocol), to po ponownym przydziale lub zmianie adresów IP serwerów MOM
trzeba przekonfigurować polityki IPSec.
Oznacza to, że zmiana adresu IP komputera źródłowego lub docelowego spowoduje utratę
polityki IPSec skonfigurowanej dla oryginalnych serwerów. Polityka IPSec będzie działać nadal,
ale w odniesieniu do tych komputerów, które otrzymają adresy IP opisane w polityce.
Nawet jeżeli użyje się opcji My IP Address lub A Specific DNS Name (tylko
Windows Server 2003), aby ustawić adres IP w filtrze, to użyty zostanie rzeczywisty adres IP i
pozostanie on statyczny. IPSec nie przetłumaczy nazwy DNS przy korzystaniu z tych opcji.
Konkretny adres IP można zastrzec do stałego użytku dla konkretnego klienta DHCP. Służy do
tego funkcja rezerwacji adresów. Jeżeli w systemie istnieje wiele serwerów DHCP, w których
skonfigurowano zakres obejmujący zarezerwowane adresy IP, to na każdym z tych serwerów
trzeba powielić rezerwacje. W przeciwnym przypadku klient z rezerwacją może otrzymać inny
adres IP, jeżeli zgłosi się do innego serwera DHCP. Więcej informacji o rezerwacji adresów dla
klientów można znaleźć w dokumentacji Windows.
IPSec a maski podsieci
Zasady filtrowania można zdefiniować, używając maski podsieci zamiast konkretnego adresu IP.
Należy pamiętać o wybraniu jak najwęższej maski podsieci, która obejmie jednak wszystkie
potrzebne komputery. Jeżeli używa się maski podsieci, wszystkie adresy IP mieszczące się w
wyznaczonym przez nią zakresie będą podlegały zdefiniowanej polityce IPSec. Polityka ta może
jednak nie funkcjonować w odniesieniu do wszystkich komputerów w danym zakresie IP. Jeżeli
korzysta się z przydziału adresów IP przez serwer DHCP, to należy również pamiętać, że
komputery MOM, którym przydzielony zostanie adres spoza maski podsieci, nie będą podlegały
zdefiniowanej polityce.
Nawet przy korzystaniu z masek podsieci konieczne jest utworzenie na każdym komputerze
docelowym polityki dotyczącej jego połączenia z systemem Management Server.
MOM Community
IPSec w niezaufanych domenach lub grupach roboczych
Protokołu IPSec można używać między komputerami MOM w grupie roboczej, między
komputerem MOM w domenie zaufanej i komputerem MOM w domenie niezaufanej, a także
między komputerem MOM w domenie zaufanej a komputerem MOM w grupie roboczej. W tym
celu należy posłużyć się metodą shared key (klucza współużytkowanego) lub certyfikatami,
wykonując podane powyżej kroki. W kroku 19 [nie wiadomo, do czego się to odnosi, gdyż
„powyżej” nie ma żadnych kroków, w szczególności kroku 19. Prawdopodobnie błąd w
oryginale – BTInfo] należy wybrać jedną z tych dwóch opcji uwierzytelniania.
IPSec a SNMP
Jeżeli na komputerze uruchomiono usługę SNMP, należy dodać regułę zapobiegającą
blokowaniu komunikatów SNMP:
•
Wykaz IP Filter List powinien określać adres źródłowy i docelowy systemów
administracyjnych i agentów SNMP. Opcję typu protokołu (Protocol type) należy ustawić na
wartość UDP, do i z portów 161 i 162. Wymaga to użycia dwóch filtrów: jednego dla ruchu
UDP przychodzącego i wychodzącego na porcie 161, a drugiego dla ruchu UDP
przychodzącego i wychodzącego na porcie 162.
•
Opcję Filter Action należy ustawić na Permit. Zablokuje to negocjowanie zabezpieczeń i
spowoduje, że przepuszczany będzie cały ruch zgodny z wykazem IP Filter List.
Wyłączanie protokołu IPSec
Politykę IPSec można wyłączyć, cofając jej przypisanie. Polityka pozostanie na komputerach, ale
nie będzie aktywna. Można ją przypisać lub wyłączyć w dowolnym momencie. Informacje o
tym, jak wyłączyć politykę IPSec, zawiera procedura „Aby wyłączyć polityki IPSec” w
Szyfrowanie SSL (Secure Sockets Layer)
Technika Secure Sockets Layer (SSL) Encryption wykorzystuje certyfikat serwerowy, aby
utworzyć bezpieczny klucz sesji współużytkowany przez serwer i przeglądarkę klienta. Klucz ten
służy do symetrycznego szyfrowania i deszyfrowania. Przed włączeniem szyfrowania SSL
należy zainstalować certyfikat serwerowy. Więcej informacji o włączaniu szyfrowania SSL
można znaleźć w dokumentacji produktu Internet Information Services (IIS).
Za pomocą techniki SSL można chronić dane transmitowane do konsoli Reporting lub między
interfejsami MCF.
MOM Community
Szyfrowanie OLEDB
Technika OLEDB Encryption wykorzystuje szyfrowanie Secure Sockets Layer (SSL) w celu
zakodowania danych przekazywanych między klientami a nazwaną instancją systemu
SQL Server. Za pomocą tej metody można zaszyfrować dane przepływające między systemem
Management Server a komputerem MOM Database Server lub między komputerem Database
Server a bazą danych Reporting Database. Aby zastosować tę metodę, niezbędny jest certyfikat
serwerowy. Więcej informacji o stosowaniu techniki OLEDB Encryption do obsługi systemu
SQL Server 2000 można znaleźć w materiałach SQL Server 2000 Books Online oraz w artykule
nr 316898 Microsoft Knowledge Base, „How To Enable SSL Encryption for SQL Server 2000
with Microsoft Management Console” (Jak włączyć szyfrowanie SSL dla systemu SQL Server
2000 stosowane w połączeniu z konsolą Microsoft Management Konsole).
Ważne
Włączenie szyfrowania OLE DB dla produktu SQL Server powoduje
szyfrowanie całej komunikacji z konkretną instancją nazwaną systemu
SQL Server. Dotyczy to wszystkich klientów
Podpisywanie pakietów SMB
Chociaż w technice podpisywania pakietów SMB nie szyfruje się danych, to w pakietach
protokołu Server Message Block (SMB) są umieszczane podpisy elektroniczne. Gwarantuje to,
że dane nie zostaną zmodyfikowane podczas przepływu przez sieć. Management Server
wykorzystuje port SMB (TCP/UDP 445), aby dostarczyć pliki niezbędne do zainstalowania
agentów na komputerach zdalnych oraz do aktualizacji ustawień agentów po ich zainstalowaniu.
Aby skonfigurować tę metodę zabezpieczania, należy włączyć opcje Microsoft network client:
Digitally sign communications (always) oraz Microsoft network server: Digitally sign
communications (always). Opcje te konfigurują system Windows 2000 w taki sposób, że
wymaga on od serwera SMB podpisywania pakietów.
Włączenie obu opcji redukuje ryzyko ataków przez pośrednika (man-in-the-middle)
wykorzystujących pakiety SMB. Opcje te konfiguruje się za pomocą przystawki (snap-in) Global
lub Local Policy do konsoli MMC.
Zabezpieczanie MOM bez Active Directory
Jeżeli system MOM jest instalowany w środowisku, w którym nie wdrożono usługi Active
Directory albo relacji zaufania, to nie można stosować uwierzytelniania wzajemnego. Oznacza
MOM Community
to, że chociaż MOM będzie szyfrować ruch między komputerami z systemem Management
Server a agentami na komputerach zarządzanych, nie będzie w stanie uwierzytelnić tych
agentów. Intruz może zatem podszywać się pod agenta lub wykorzystać go, aby odebrać
zaszyfrowane dane, a potem je odszyfrować.
Aby zabezpieczyć komunikację między komputerami z systemem MOM Management Server a
agentami, można użyć dodatkowych metod, takich jak IPSec. Można wymusić podpisy i
szyfrowanie IPSec dla połączeń między adresem IP komputera z systemem Management Server
a adresami IP agentów. Można także włączyć szyfrowanie IPSec dla całego ruchu między
adresem IP komputera z systemem Management Server a podsiecią obejmującą agentów. Więcej
informacji o protokole IPSec można znaleźć w rozdziale „Stosowanie dodatkowych
zabezpieczeń” niniejszego podręcznika.
Najlepsze procedury postępowania
W tym rozdziale opisano ogólne metody redukcji zagrożeń i obszaru narażonego na ataki w
środowisku MOM. Rozdział obejmuje metody typowe dla MOM i typowe dla systemu
Windows, a także wskazówki dotyczące wykrywania prób ataku.
Redukcja zagrożeń w środowisku MOM 2005
•
Należy włączyć uwierzytelnianie wzajemne. Redukuje to ryzyko ataków przez pośrednika.
•
Należy włączyć podpisywanie pakietów SMB albo protokół IPSec. Te metody
uniemożliwiają zmianę informacji podczas przepływu przez sieć i mogą ograniczyć ryzyko
ataków przez pośrednika.
•
Jako konto Action Account agenta należy wybrać konto lokalne. Zmniejsza to ryzyko, że
intruz, który odgadnie hasło, posłuży się tym kontem do naruszenia bezpieczeństwa sieci.
•
W systemie Windows Server 2003 można użyć konta Action Account o niskim poziomie
uprawnień.
Redukcja zagrożeń w systemach operacyjnych Windows 2000 i
Windows Server 2003
•
Należy wyłączyć lub zatrzymać niepotrzebne usługi. Redukuje to obszar narażony na ataki,
czyli ilość uruchomionego kodu, który może stać się celem intruza.
MOM Community
Tabela 9 Usługi wymagane lub zalecane dla systemu MOM
Usługa
Serwer
Agent
Background Intelligent Transfer
Service (BITS)
PREF
COM+ System Application
WYM
Computer Browser
WYM 3
DNS Client
WYM
Error Reporting
PREF 1
PREF 1
Event Log
WYM
WYM
HTTP SSL
WYM 2
IISADMIN
WYM 2
Kerberos Key Distribution Center
WYM
Net Login
WYM
Remote Procedure Call
RED
Remote Registry
Security Account Manager
Baza
danych
Reporting
Server
PREF
WYM
WYM
WYM
WYM
WYM
WYM
Windows Installer
WYM
WYM — usługa jest WYMAGANA
PREF — usługa zalecana (preferowana) dla systemu MOM
1 — potrzebna tylko wtedy, gdy używana jest funkcja Operational Data Reporting.
2 — tylko jeżeli używane są składniki MMPC lub MCF.
3 — tylko jeżeli w środowisku nie stosuje się Active Directory.
Uwaga
Są to jedynie usługi zalecane lub wymagane dla systemu MOM. Inne usługi
mogą być niezbędne lub zalecane do pracy systemu Windows.
•
Sterowniki systemowe, których wymaga MOM
•
sterownik protokołu RMCast Protocol
•
sterownik protokołu TCP/IP
MOM Community
•
•
•
sterownik HTTP
•
sterownik IPSEC.
Ustawienia polityki zabezpieczeń związane z bezpieczeństwem MOM:
•
opcja Microsoft network client: Digitally sign communications (always) - SMB packet
signing
•
różne reguły w politykach IPSec (jeżeli stosuje się protokół IPSec).
Zawsze należy używać polityk wymuszających stosowanie trudnych do odgadnięcia haseł.
Wykrywanie prób ataku w MOM 2005
•
Należy przeglądać wykaz członków grup zabezpieczeń MOM, sprawdzając, czy do grup o
wyższym poziomie uprawnień nie dodano nieupoważnionych uczestników. Należy też
sprawdzić, czy do grupy MOM Service nie dodano kont indywidualnych.
•
Należy przeglądać konta SQL Logon używane przez MOM, sprawdzając, czy nie dodano do
nich nieupoważnionych użytkowników. To samo dotyczy roli System Administrator dla
bazy danych.
•
Należy gromadzić i archiwizować wszystkie zdarzenia z dziennika zabezpieczeń Windows
(z wyjątkiem Object Access). Może to wytworzyć wielką liczbę zdarzeń dotyczących
zabezpieczeń, które szybko zapełnią bazę MOM Database. Jeżeli użytkownik zdecyduje się
na to, warto często archiwizować zdarzenia dotyczące zabezpieczeń i zwiększyć
częstotliwość konsolidacji bazy danych MOM Database.
Wykrywanie prób ataku w systemach Windows 2000 i
Windows Server 2003
•
Należy włączyć inspekcję zabezpieczeń (dla wszystkich zdarzeń z wyjątkiem Object
Access).
•
Należy zainstalować i skonfigurować właściwe pakiety Management Pack (tzn. upewnić się,
czy włączono reguły zabezpieczeń).
Zmiana haseł i kont w systemie MOM
Zmiana haseł do kont MOM może wynikać z polityki zabezpieczeń wymuszającej częste
wygasanie i regularną wymianę takich haseł. Oto najlepsza kolejność czynności do wykonania w
takiej sytuacji:
MOM Community
Zmiana hasła do konta Action Account systemu Management Server
1.
Hasło do tego konta należy zmieniać na komputerze lokalnym lub w domenie lokalnej.
Jeżeli jest to konto lokalne, można posłużyć się przystawką (snap-in) Local Users and
Groups (Użytkownicy i grupy lokalne). Jeżeli jest to hasło domenowe, można użyć
przystawki Active Directory Users and Computers (Użytkownicy i komputery Active
Direktory).
2.
Hasło, z którego korzysta MOM, należy zmieniać za pomocą narzędzia
SetActionAccount.exe. Instrukcje korzystania z tego narzędzia zawiera podrozdział „Zmiana
hasła do konta Action Account” w niniejszym podręczniku.
3.
Na komputerze z systemem Management Server należy ponownie uruchomić usługę MOM
Service.
Zmiana hasła do konta Action Account agenta MOM
1.
Direktory).
2.
Hasło, z którego korzysta MOM, należy zmieniać za pomocą narzędzia
SetActionAccount.exe. Instrukcje korzystania z tego narzędzia zawiera podrozdział „Zmiana
hasła do konta Action Account” w niniejszym podręczniku.
3.
Na komputerze zarządzanym należy ponownie uruchomić usługę MOM Service.
Zmiana hasła do konta DAS
1.
Direktory).
2.
Należy aktualizować hasło tożsamości (Identity) aplikacji COM+ Microsoft Operations
Manager Data Access Server. Służy do tego przystawka Component Services.
3.
Aplikację COM+ należy zatrzymać, a następnie uruchomić ponownie.
MOM Community
Uwaga
Zmieniając jednocześnie konto Action Account systemu Management Server
i konto DAS, należy najpierw zmodyfikować konto Action Account, potem
konto DAS, a następnie zatrzymać usługę MOM Service przed zatrzymaniem
aplikacji COM+. Uruchomienie usługi MOM Service spowoduje również
uruchomienie aplikacji COM+.
Jeżeli usługa MOM Service nie uruchomi się, przyczyną może być
nieprawidłowa zmiana konta DAS lub wygaśnięcie hasła.
Zmiana konta DAS
Konto, którego MOM używa do obsługi DAS (Data Access Service), można zmienić. Musi to
być konto domenowe o przynajmniej następujących właściwościach:
•
Musi należeć do grupy MOM Users na komputerze z systemem Management Server.
•
Musi mieć status SQL Server Logon z dostępem do serwera ustawionym na „Permit” oraz
prawem dostępu „db_owner” (DBO) do bazy danych OnePoint na komputerze MOM
Database Server.
•
Musi mieć status SQL Server Security Logon z dostępem do serwera ustawionym na
„Permit”
•
Jeżeli zainstalowano składnik MMPC korzystając z konta DAS, to konto DAS musi również
należeć do grup zabezpieczeń SC DW DTS na komputerach MOM Reporting Server i MOM
Database Server.
Zadania z zakresu bezpieczeństwa
Ten rozdział zawiera wszystkie procedury niezbędne do zabezpieczenia produktu MOM.
Procedury podzielono według tego, na którym komputerze MOM są realizowane.
Management Server
Aby wyłączyć lub włączyć uwierzytelnianie wzajemne:
1.
Otwórz konsolę Administrator MOM 2005 i przejdź do okna Administration / Global
Settings.
MOM Community
2.
Otwórz okno Security Properties.
3.
Na karcie Security w oknie the Security Properties wyłącz opcję Mutual Authentication
required.
[Aby włączyć uwierzytelnianie wzajemne, należy natomiast zaznaczyć to pole wyboru.]
4.
Kliknij prawym przyciskiem myszy folder Management Pack. Kliknij opcję Commit
Configuration Change.
5.
Ponownie uruchom usługę MOM Service na wszystkich komputerach z systemem
Management Server w danej grupie administracyjnej.
6.
Zmień to ustawienie na wszystkich agentach, uruchamiając program instalacyjny Microsoft
Operations Manager 2005 Agent z okna Dodaj lub usuń programy na komputerach z
agentami.
Aby wyłączyć lub włączyć opcję Block Legacy Agents:
1.
Settings.
2.
3.
Na karcie Security w oknie the Security Properties wyłącz opcję Mutual Authentication
required.
4.
Wyłącz pole wyboru Block legacy agents.
[Aby zablokować agentów ze starszych wersji, należy natomiast zaznaczyć to pole wyboru]
5.
Kliknij prawym przyciskiem myszy folder Management Pack w konsoli Administrator.
Kliknij opcję Commit Configuration Change.
6.
Ponownie uruchom usługę MOM Service na komputerze z systemem Management Server.
Aby wyłączyć lub włączyć opcję Reject New Manually Installed Agents:
1.
Settings.
2.
Otwórz okno Management Server Properties.
3.
Na karcie Agent Install wyłącz pole wyboru the Reject new manual agent installations.
[Aby włączyć odrzucanie nowych ręcznie zainstalowanych agentów, należy zaznaczyć to
pole wyboru.]
4.
Kliknij prawym przyciskiem myszy folder Management Pack w konsoli Administrator.
Kliknij opcję Commit Configuration Change.
MOM Community
5.
Ponownie uruchom usługę MOM Service na komputerze z systemem Management Server.
Aby wyłączyć lub włączyć rolę proxy agenta w oknie Global Agent Settings:
1.
Settings.
2.
Otwórz okno Agent Properties.
3.
Na karcie Security okna dialogowego Agent Properties wyłącz opcję Allow agent to
proxy for other computer or network devices.
[Aby włączyć rolę proxy agenta, należy zaznaczyć to pole wyboru.]
Aby włączyć lub wyłączyć odpowiedzi serwerowe:
1.
Settings.
2.
3.
Na karcie Security wyłącz pole wyboru Disable execution of custom responses on
Management Servers.
[Aby wyłączyć odpowiedzi serwerowe, należy zaznaczyć to pole wyboru.]
4.
Naciśnij przycisk OK.
Aby włączyć lub wyłączyć dostęp do konsoli Web w trybie tylko do odczytu:
1.
Na serwerze z aplikacją konsoli Web systemu Microsoft Operations Manager 2005 otwórz w
edytorze tekstu plik %INSTALLDRIVE%\ Program Files\Microsoft Operations
Manager 2005\WebConsole\web.config.
2.
W pozycji <appSettings> zmień wpis “” na “<add
key="Readonly" value="true"/>”.
3.
Zatrzymaj i ponownie uruchom konsolę Web systemu Microsoft Operations Manager 2005
w przystawce (snap-in) Internet Information Services.
Aby zaktualizować ustawienia konkretnego agenta MOM 2005 (wewnątrz zapory):
1.
Otwórz konsolę Administrator MOM 2005 i rozwiń element Administration.
2.
Rozwiń element Computers i kliknij element Agent-Managed Computers.
3.
Na panelu rezultatów kliknij prawym przyciskiem myszy komputer zarządzany przez agenta.
Wybierz opcję Synchronize Communication Settings.
MOM Community
Uwaga
Można zaznaczyć naraz wszystkich agentów, którzy mają zostać
zaktualizowane, a następnie wprowadzić w nich zmiany za pomocą
opisanego tu okna dialogowego.
4.
W oknie dialogowym Update Agent Settings Task w sekcji Which account do you want
to use to update the agent settings zaznacz opcję Management Server Action Account
lub opcję Other i podaj poświadczenia z uprawnieniami administratora na komputerach, na
których znajdują się agenci.
Uwaga
Jeżeli zaznaczono wiele agentów, to poświadczenia podawane dla konta
służącego do aktualizacji ustawień agentów muszą obejmować uprawnienia
administratora lokalnego na wszystkich komputerach z agentami.
5.
W sekcji Which account do you want to use for the Agent Action Account zaznacz opcję
Local System lub opcję Other i podaj poświadczenia dla konta, które ma uprawnienie „Log
on as a batch job” (Logowanie w trybie wsadowym) na komputerze z agentem.
Uwaga
Jeżeli zaznaczono wiele agentów, to należy podać poświadczenia dla konta
domenowego, które będzie kontem Action Account na wszystkich agentach
(czyli wszyscy agenci będą korzystać z tego samego konta) albo użyć konta
Local System na każdym agencie. Jeżeli nie poda się konta, to domyślnie
użyte zostanie konto Local System. Opcja ta przesłania ustawienia bieżące.
6.
Aby zmienić opcję Identity w aplikacji COM+ DAS:
1.
Na komputerze z systemem Management Server otwórz przystawkę (snap-in) Component
Services.
2.
Przejdź do aplikacji Microsoft Operations Manager Data Access Server i otwórz w niej okno
Properties.
3.
Na karcie Identity wpisz konta <domena\nazwa użytkownika> w pole tekstowe User.
MOM Community
4.
Wpisz hasło w pola tekstowe Password i Confirm password.
5.
6.
Kliknij aplikację prawym przyciskiem myszy i wybierz opcję Shut down.
7.
Gdy aplikacja się zamknie, kliknij ją prawym przyciskiem myszy i wybierz opcję Start.
Aby użyć konta Network Service do obsługi DAS
Proces ten wymaga wykonania procedur zarówno na komputerze z systemem MOM Database
Server, jak i na komputerze z systemem MOM Management Server.
Ważne
Operację tę można przeprowadzić tylko wtedy, gdy Management Server
pracuje w systemie operacyjnym Windows Server 2003. Windows 2000 nie
obsługuje konta Network Service.
Na komputerze z systemem MOM Database Server:
1.
Na komputerze MOM Database Server sprawdź, czy zarejestrowano nazwę MSSQLSvc
Service Principal Name, posługując się składnią „setspn.exe -L <SQL Server FQDN>" w
wierszu poleceń, gdzie <SQL Server FQDN> to nazwa domeny (FQDN) instancji systemu
MOM Database Server.
2.
W programie SQL Server Enterprise Manager otwórz folder OnePoint.
3.
Dodaj nowego użytkownika bazy danych, klikając prawym przyciskiem myszy element
Users w folderze bazy danych OnePoint i wybierając polecenie New Database User.
4.
W oknie dialogowym Database Users - New User wpisz nazwę komputera w pole tekstowe
Login Name. Nazwy komputera podaje się w formacie: domena\nazwakomputera$. Nie
zapomnij o dodaniu na końcu znaku „$”.
5.
Przyznaj kontu użytkownika należącemu do tego komputera rolę db_owner i naciśnij
przycisk OK.
6.
Przejdź do folderu Security i odszukaj instancję SQL Server.
7.
Dodaj nowy SQL Server Login, klikając prawym przyciskiem myszy folder Logins i
wybierając polecenie New Login.
8.
Na karcie General w oknie dialogowym SQL Server Properties - New Login wpisz nazwę
komputera w pole tekstowe Name. Nazwy komputera podaje się w formacie:
domena\nazwakomputera$. Nie zapomnij o dodaniu na końcu znaku „$”.
MOM Community
9.
Na karcie Database Access przyznaj komputerowi prawo dostępu db_owner do bazy danych
OnePoint, zaznaczając pole wyboru Permit obok bazy OnePoint oraz pole wyboru
db_owner, znajdujące się poniżej.
10. Naciśnij przycisk OK.
Na komputerze z systemem Management Server
1.
Zatrzymaj usługę MOM Service na komputerze z systemem Management Server.
2.
W przystawce (snap-in) Component Services rozwiń element Component Services /
Computers / My Computer / COM+ Applications.
3.
Kliknij prawym przyciskiem myszy element Microsoft Operations Manager Data Access
Server i wybierz opcję Shut Down.
4.
Gdy aplikacja się zatrzyma, otwórz jej właściwości.
5.
Na karcie Identity zaznacz opcje System Account i Network Service, a następnie naciśnij
przycisk OK.
6.
Uruchom MOM Service.
7.
Po uruchomieniu MOM Service otwórz konsolę MOM Administrator i sprawdź, czy nie
pojawiły się błędy usługi DAS.
Aby korzystać z certyfikatów klienta oraz techniki SSL w połączeniu ze składnikami
MCF lub MMPC:
1.
Uzyskaj certyfikat serwerowy w formacie kodowania Base-64. Zainstaluj ten certyfikat na
docelowym komputerze z systemem Management Server. Więcej informacji o uzyskiwaniu
certyfikatów serwerowych można znaleźć w pomocy do produktu Internet Information
Services (IIS).
Uwaga
Jeżeli masz już certyfikat serwerowy, nie musisz wykonywać tej czynności.
2.
Uzyskaj przynajmniej jeden certyfikat klienta w formacie DER. Więcej informacji o
uzyskiwaniu certyfikatów klienta można znaleźć w pomocy do produktu Internet
Information Services (IIS).
3.
W katalogu DATADIR utwórz podkatalog o nazwie „ConnectorService” (jeżeli taki
podkatalog jeszcze nie istnieje). Katalog DATADIR jest określony w kluczu rejestru
MOM Community
HKEY_LOCAL_MACHINE\SOFTWARE\Mission Critical Software\OnePoint. Domyślnie
znajduje się w lokalizacji %dysk instalacji%\Documents and Settings\All Users\Application
Data\Microsoft\Microsoft Operations Manager\.
4.
Zmień nazwę certyfikatu na „ClientCertificate.cer” i skopiuj go na źródłowe komputery z
systemem Management Server, umieszczając w katalogu ConnectorService.
5.
Na komputerze z systemem Management Server właściwym dla docelowej grupy
administracyjnej otwórz produkt IIS Manager, kliknij prawym przyciskiem myszy witrynę
Web Microsoft Operations Manager 2005 Connector Framework i kliknij Properties.
6.
Na karcie Directory Security naciśnij przycisk Edit w sekcji Secure communications.
Jeżeli przycisk Edit jest niedostępny, należy zainstalować certyfikat serwerowy.
7.
W oknie dialogowym Secure Communications zaznacz pole wyboru Require secure
channel (SSL).
8.
W sekcji Client certificates zaznacz opcję Require client certificates.
9.
Zaznacz pole wyboru Enable client certificate mapping.
10. Naciśnij przycisk Edit, aby skonfigurować mapowanie certyfikatu dla klienta. Zmapuj
certyfikat na konto DAS (lub konto używane przez usługę MOM to MOM Connector, jeśli
korzysta ona z innego konta). Więcej informacji tym, jak wykonać mapowanie, można
znaleźć w pomocy do produktu Internet Information Services (IIS).
Agent
Aby aktualizować agenta za zaporą:
1.
Na komputerze zarządzanym otwórz okno Dodaj lub usuń programy.
2.
Zaznacz Microsoft Operations Manager 2005 Agent i naciśnij przycisk Zmień.
3.
Na stronie Welcome kreatora instalacji Microsoft Operations Manager 2005 Agent Setup
Wizard naciśnij przycisk Next.
4.
Na stronie Program Maintenance zaznacz opcję Modify, a następnie naciśnij przycisk
Next.
5.
Na stronie Manage Agent Configuration Settings zaznacz opcję Modify Management
group option, zaznacz grupę administracyjną, a następnie naciśnij przycisk Next.
6.
Na stronie Agent Configuration wpisz numer bezpiecznego portu w pole Management
Server Secure Port, jeżeli trzeba zmienić ten port na agencie. Naciśnij przycisk Next.
MOM Community
7.
Na stronie MOM Action Account zaznacz opcję Local System lub wybierz opcję Domain
or Local Account i podaj poświadczenia. Naciśnij przycisk Next.
8.
Na stronie Active Directory Configuration wybierz opcję Yes, jeżeli dla całej grupy
administracyjnej obowiązuje uwierzytelnianie wzajemne, a między domeną danego agenta a
domeną, w której znajduje się Management Server, istnieje dwustronna relacja zaufania. W
przeciwnym razie wybierz opcję No.
9.
Naciśnij przycisk Next.
Uwaga
Jeżeli w całej grupie administracyjnej obowiązuje uwierzytelnianie wzajemne
i wybierze się opcję No, to agent nie będzie mógł komunikować się z
systemem Management Server.
10. Na stronie Ready to Install naciśnij przycisk Install.
11. Po wprowadzeniu zmian w agencie naciśnij przycisk Finish.
Aby przesłonić ustawienia dla danego agenta
1.
W konsoli MOM Administrator rozwiń element Administration.
2.
Kliknij element Agent-Managed Computers lub All Computers. W panelu po prawej
stronie otwórz okno Properties dla agenta na zarządzanym komputerze.
3.
Na karcie Security okna dialogowego Agent Properties wyłącz pole wyboru Use global
settings.
4.
Zmień ustawienie pola wyboru Allow agent to Proxy for other Computer or Network
Devices.
MOM Database Server lub Reporting Server
Aby zmienić hasło zaplanowanego zadania MOM Reporting:
1.
Naciśnij przycisk Start, wybierz polecenie Ustawienia, Panel sterowania, Zaplanowane
zadania, a następnie kliknij zadanie SystemCenterDTSPackage Task.
2.
W oknie dialogowym właściwości SystemCenterDTSPackage Task otwórz kartę Zadanie.
Wpisz nazwę nowego konta w formacie domena\nazwa w pole tekstowe Uruchom jako.
3.
Naciśnij przycisk Ustaw hasło.
MOM Community
4.
W oknie dialogowym Ustawianie hasła wpisz i potwierdź hasło, a następnie naciśnij
przycisk OK.
5.
Naciśnij przycisk OK, aby zakończyć wprowadzanie zmiany.
Aby zmienić hasło SCDW Data Source:
1.
W konsoli MOM Reporting Console otwórz stronę Home i kliknij opcję SCDW.
2.
Na stronie Properties zaznacz pola wyboru Credentials stored securely in the report
server oraz Use Windows credentials when connecting to the data source.
3.
Wpisz nową nazwę w formacie domena\nazwa użytkownika w pole tekstowe User name.
Wpisz hasło w pole tekstowe Password.
4.
Naciśnij przycisk Apply.
Dowolny komputer MOM
Aby utworzyć politykę, używając konkretnego adresu IP:
1.
W przystawce (snap-in) IPSec kliknij prawym przyciskiem myszy w drzewie konsoli albo
na panelu rezultatów. Wybierz opcję Create IP Security Policy.
2.
W kreatorze IP Security Policy Wizard naciśnij przycisk Next.
3.
Wpisz nazwę i (opcjonalnie) opis polityki. Polityka stanowi kontener dla filtrów i reguł.
4.
Wyłącz pole wyboru Activate the default response rule, a następnie naciśnij przycisk
Next.
5.
Sprawdź, czy zaznaczone jest pole wyboru Edit properties, a następnie naciśnij przycisk
Finish.
6.
W oknie dialogowym Policy Name Properties wyłącz pole wyboru Dynamic IP Security
Rule.
7.
Wyłącz pole wyboru Use Add Wizard, a następnie naciśnij przycisk Add, aby dodać nową
regułę.
8.
Na karcie IP Filter List w oknie dialogowym New Rule Properties naciśnij przycisk Add.
9.
W oknie dialogowym IP Filter List wpisz nazwę i (opcjonalnie) opis listy filtrów.
10. Naciśnij przycisk Add, aby utworzyć listę filtrów.
11. W oknie dialogowym Filter Properties wybierz opcję My IP Address z listy rozwijanej
(jeżeli pracujesz na tym komputerze, dla którego ma zostać utworzona reguła; jeżeli nie, to
MOM Community
należy podać adres IP tego komputera). Spowoduje to dodanie do listy filtrów adresu IP
komputera, na którym jesteś zalogowany.
12. Wybierz opcję Specific IP Address z listy rozwijanej i wpisz adres IP.
[Alternatywnie] Wybierz opcję A specific DNS Name i wpisz nazwę DNS.
[Alternatywnie] Wybierz opcję A specific IP subnet i wpisz adres IP oraz definicję
podsieci.
[Alternatywnie] (tylko Windows Server 2003) Wybierz jedną z pozostałych opcji. Służą one
do dynamicznego wykrywania adresu IP.
13. Zaznacz pole wyboru Mirrored. Ta opcja automatycznie tworzy dwa filtry — jeden dla
ruchu przychodzącego, a drugi dla wychodzącego.
14. Na karcie Protocol wybierz opcję Any.
Uwaga
Aby zwiększyć bezpieczeństwo tej reguły, można zawęzić zakres dozwolonych
protokołów — o ile wiadomo, jakie protokoły będą wykorzystywane.
15. [Opcjonalnie] Na karcie Description podaj opis filtra.
16. Naciśnij przycisk OK. Jeżeli pojawi się okno Security Warning, naciśnij przycisk Yes.
Okno to informuje, że nazwa DNS zostanie przekształcona na adres IP tylko raz i nie będzie
aktualizowana, jeżeli adres IP ulegnie zmianie.
17. Na karcie IP Filter List zaznacz nową listę filtrów.
18. Na karcie Filter Action zaznacz opcję Require Security.
19. Na karcie Authentication Methods wybierz domyślny protokół Kerberos (Kerberos v5).
20. Na karcie Tunnel Settings zaznacz opcję This rule does not specify an IPSec tunnel.
Jeżeli polityka ma obowiązywać dla połączeń przechodzących przez zaporę, to użycie tunelu
może okazać się konieczne. Więcej informacji na ten temat można znaleźć w podrozdziale
„IPSec a zapora” niniejszego podręcznika.
21. Na karcie Connection Type zaznacz opcję All network connections.
22. W oknie dialogowym New IP Security Policy zaznacz nową politykę, a następnie naciśnij
przycisk OK (lub Close, jeżeli jest to jedyna dostępna możliwość).
23. Aby dodać więcej reguł, należy powtórzyć kroki 8-22. Za pomocą pojedynczej polityki na
komputerze z systemem Management Server można zarządzać wszystkimi jego
MOM Community
połączeniami z różnymi komputerami MOM — wystarczy dodać reguły dotyczące tych
połączeń.
Aby wyłączyć polityki IPSec:
1.
W przystawce (snap-in) IP Security Policies zaznacz politykę na panelu rezultatów.
2.
Naciśnij przycisk Action, a następnie przycisk Un-Assign. Spowoduje to natychmiastowe
wyłączenie polityki.
Dodatkowe zasoby
Active Directory
http://go.microsoft.com/fwlink/?LinkId=32742
IPSec — bezpieczny protokół IP
Szyfrowanie OLE DB
Podpisywanie pakietów SMB
Protokół Kerberos v5
Zapory
Bezpieczeństwo systemu SQL Server
MOM Community
MOM Community

Podręcznik bezpieczeństwa systemu Microsoft Operations Manager

Transkrypt

Podobne dokumenty

Oryginał JOM BOGOC Jombogoc, nic mi nie trzeba, Gdy momwiater

Kalkulator FOR - sprawdzpodatki.pl

regulamin - Szkolny Portal Konkursowy

Zestaw pytań nr 2 – ETAP II

zapisz jako pdf

Informacja ()

Koniec wsparcia dla Windows Server 2003