Podręcznik bezpieczeństwa systemu Microsoft Operations Manager 2005

Podręcznik bezpieczeństwa systemu Microsoft Operations Manager 2005 Autor: James R. Morey Kierownik programu: Lorenzo Rizzi Opublikowano: sierpień 2004 r. Dotyczy: Microsoft Operations Manager 2005 Wersja dokumentu: wersja 1.0

Podziękowania Główni recenzenci: Ian Jirka, Christopher Coy Dodatkowi recenzenci: Doug Bradley, Travis Wright, Janaina Bueno Redaktor prowadzący: Sandra Faucett

Spis treści iii Spis treści Zmiany z zakresu bezpieczeństwa w systemie MOM 2005...6 Bezpieczeństwo nowych instalacji... 14 Bezpieczeństwo aktualizacji... 18 Konfigurowanie zabezpieczeń po aktualizacji... 19 Bezpieczeństwo wdrażania agentów... 22 Wdrażanie oparte na wykrywaniu... 22 Wdrażanie ręczne... 24 Bezpieczeństwo systemu Management Server... 26 Bezpieczeństwo baz danych MOM Database i Reporting Database... 37 Bezpieczeństwo agentów... 40 Korzystanie z dodatkowych zabezpieczeń... 46 Zgodność ze standardem FIPS... 46 Korzystanie z systemu MOM w połączeniu z zaporami... 47 Korzystanie z systemu MOM w niezaufanych domenach lub grupach roboczych... 48 Korzystanie z systemu MOM w połączeniu z narzędziem IIS Lockdown... 49 Zgodność z technikami IPSec, SSL, OLEDB Encryption i podpisywaniem pakietów SMB... 50 IPSec bezpieczny protokół IP... 50 Szyfrowanie SSL (Secure Sockets Layer)... 56 Szyfrowanie OLEDB... 57 Podpisywanie pakietów SMB... 57 Zabezpieczanie MOM bez Active Directory... 57 Najlepsze procedury postępowania... 58 Redukcja zagrożeń w środowisku MOM 2005... 58

iv Spis treści Redukcja zagrożeń w systemach operacyjnych Windows 2000 i Windows Server 2003... 58 Wykrywanie prób ataku w MOM 2005... 60 Wykrywanie prób ataku w systemach Windows 2000 i Windows Server 200360 Zmiana haseł i kont w systemie MOM... 60 Zadania z zakresu bezpieczeństwa... 62 Management Server... 62 Agent... 68 MOM Database Server lub Reporting Server... 69 Dowolny komputer MOM... 70 Dodatkowe zasoby... 72

Spis treści 5 Witamy w Podręczniku bezpieczeństwa systemu Microsoft Operations Manager 2005. Podręcznik ten opracowano dla ostatecznej wersji systemu Microsoft Operations Manager (MOM) 2005. Informacje zawarte w niniejszym dokumencie, w tym adresy URL i inne odwołania do witryn internetowych, mogą ulec zmianie bez uprzedzenia i mają charakter wyłącznie informacyjny. Ryzyko związane z korzystaniem lub rezultatami korzystania z niniejszego dokumentu ponosi użytkownik. Microsoft Corporation nie udziela żadnych gwarancji bezpośrednich ani domniemanych. Zawartość niniejszego podręcznika Zmiany z zakresu bezpieczeństwa w systemie MOM 2005 ten rozdział zawiera konkretne zmiany związane z bezpieczeństwem, które wprowadzono w systemie MOM 2005 w porównaniu z wersją MOM 2000 SP1. Bezpieczeństwo nowych instalacji w tym rozdziale opisano konkretne kwestie i wymagania bezpieczeństwa dotyczące pierwszej instalacji systemu MOM 2005. Bezpieczeństwo aktualizacji w tym rozdziale opisano konkretne kwestie i wymagania bezpieczeństwa dotyczące aktualizacji z wersji MOM 2000 SP1 do wersji MOM 2005. Bezpieczeństwo wdrażania agentów w tym rozdziale opisano konkretne kwestie i wymagania bezpieczeństwa dotyczące wdrażania agentów MOM 2005 w środowisku użytkownika. Bezpieczeństwo systemu Management Server ten rozdział zawiera informacje dotyczące bezpieczeństwa systemów MOM Management Server, których nie omówiono w rozdziałach dotyczących wdrażania i aktualizacji. Bezpieczeństwo baz danych MOM Database i Reporting Database ten rozdział zawiera informacje dotyczące bezpieczeństwa baz danych MOM Database i Reporting Database, których nie omówiono w rozdziałach dotyczących wdrażania i aktualizacji. Bezpieczeństwo agentów ten rozdział zawiera informacje dotyczące bezpieczeństwa agentów, których nie omówiono w rozdziałach dotyczących wdrażania i aktualizacji. Korzystanie z dodatkowych zabezpieczeń ten rozdział zawiera ogólne informacje o dodatkowych środkach bezpieczeństwa dotyczących systemu MOM 2005, w tym zaporach i protokołach IPSec, SSL oraz SMB Packet Signing. Najlepsze procedury postępowania ten rozdział zawiera najlepsze procedury postępowania z zakresu bezpieczeństwa. Pozwalają one zwiększyć poziom bezpieczeństwa środowiska MOM i usprawnić jego monitorowanie. W rozdziale tym nie określono natomiast, jak korzystać z systemu MOM w celu monitorowania bezpieczeństwa środowiska informatycznego.

6 Podręcznik bezpieczeństwa systemu Microsoft Operations Manager 2005 Zadania z zakresu bezpieczeństwa w tym rozdziale określono hierarchię wszystkich zadań z zakresu bezpieczeństwa opisanych w tym podręczniku. Zawiera on również szczegółowe procedury ich wykonania. Dodatkowe zasoby w tym rozdziale wymieniono dodatkowe zasoby. Zorganizowano go według pozostałych rozdziałów niniejszego podręcznika. Komentarze można wysyłać do zespołu ds. dokumentacji MOM: momdocs@microsoft.com. Ważne Informacje zawarte w tym rozdziale opierają się na założeniu, że klient zainstalował MOM 2005 w systemie Microsoft Windows 2000 z najnowszymi aktualizacjami i pakietami serwisowymi lub w systemie Windows Server 2003, a także korzysta z systemu plików NTFS oraz produktu Microsoft SQL Server 2000 z najnowszym pakietem serwisowym. Większość podanych tu informacji zakłada istnienie środowiska Active Directory. Więcej informacji o wymaganiach dotyczących instalacji oraz obsługiwanych konfiguracjach można znaleźć w Podręczniku wdrażania systemu MOM 2005. Niniejszy podręcznik nie zawiera informacji specyficznych dla systemów Windows Server 2003 SP1 lub Windows XP SP2. Informacje te zostaną podane w innym miejscu. Zmiany z zakresu bezpieczeństwa w systemie MOM 2005 Ten rozdział zawiera informacje o różnicach między wersjami MOM 2000 SP1 i MOM 2005, bezpośrednio lub pośrednio związanych z bezpieczeństwem. Opisano w nim również nowe funkcje bezpieczeństwa wersji MOM 2005. W wersji MOM 2000 SP1 usługa OnePoint (MOM) składała się z dwóch części: Consolidator i Agent Manager. Posługiwała się kontem CAM (lub kontem DAS, jeżeli stosowano konto połączone). Było to konto domenowe o uprawnieniach administracyjnych na wszystkich komputerach z agentami oraz na serwerze MOM DCAM. W systemie MOM 2005 części te zostały rozdzielone na dwa różne procesy: MOM Service i MOM Host. Każdy z tych procesów posługuje się własnymi danymi uwierzytelniania. Poniższa tabela podaje odpowiedniki terminologiczne z każdej z wersji MOM. Tabela 1 Terminologia MOM 2005 odpowiadająca terminom MOM 2000

Nazwa w MOM 2000 Równoważna nazwa w MOM 2005 DCAM agent grupa konfiguracyjna (configuration group) DAS konto DCAM Management Server agent grupa administracyjna (management group) DAS rozdzielone na: konto Management Server Action Account oraz konto MOM Service Account. Proces MOM Service W systemie MOM 2005 proces MOM Service działa w kontekście Local System (w systemach Windows 2000 lub Windows Server 2003) albo Network Service (tylko w systemie Windows Server 2003). Nie służy do zarządzania agentami ani realizacji funkcji DAS (Data Access Service usługa dostępu do danych). Proces MOM Service odpowiada przede wszystkim za komunikację między agentem a systemem MOM Management Server, a także za uruchamianie agenta na komputerze zarządzanym. Ważne Nie można zmienić poświadczeń (credentials), którymi posługuje się proces MOM Service. Może to spowodować utratę komunikacji z agentami oraz inne problemy w środowisku MOM. Proces MOM Service nie uruchomi się w kontekście innym niż Local System albo Network Service. Usługa DAS Funkcja konta DAS nie uległa znaczącym zmianom, za wyjątkiem utraty części uprawnień. Przy aktualizacji z wersji MOM 2000 SP1 ustawienia konta DAS pozostają niezmienione. W efekcie poziom uprawnień konta DAS jest wyższy niż to konieczne do jego funkcjonowania. Więcej informacji o tych ustawieniach i procedurze obniżenia poziomu uprawnień konta DAS po aktualizacji można znaleźć w rozdziale Konfigurowanie zabezpieczeń po aktualizacji w dalszej części niniejszego podręcznika. Proces MOM to MOM Product Connector (MMPC) również wykorzystuje konto DAS. Action Account Konto Action Account to nowe rozwiązanie w systemie MOM 2005. Służy do zbierania danych operacyjnych z komputerów zarządzanych oraz do uruchamiania na tych komputerach

8 Podręcznik bezpieczeństwa systemu Microsoft Operations Manager 2005 odpowiedzi i skryptów. Dotyczy to również agenta na komputerze z systemem Management Server. W systemie MOM 2005 jest to odrębne konto, które umożliwia rozdzielenie kontekstu procesu MOM Service od kontekstu odpowiedzi na komputerach zarządzanych, w tym również agenta na komputerze z systemem Management Server. Konto Action Account na komputerze z systemem Management Server może również służyć do instalowania, odinstalowywania lub aktualizacji ustawień agentów na komputerach zdalnych. Więcej informacji o koncie Action Account agenta można znaleźć w rozdziale Bezpieczeństwo agentów konto Action Account w tym podręczniku. Więcej informacji o koncie Action Account systemu Management Server można znaleźć w rozdziale Bezpieczeństwo systemu Management Server Action Account w tym podręczniku. Grupy zabezpieczeń Podczas nowej instalacji program instalacyjny MOM tworzy wymienione poniżej grupy, a w przypadku aktualizacji do MOM 2005 z wcześniejszej wersji zmienia nazwy grup MOM 2000 SP1. Podczas aktualizacji zachowywane są przydziały członkostwa ustalone w wersji MOM 2000 SP1. Poniżej wymieniono grupy MOM 2005 i najbardziej do nich zbliżone grupy MOM 2000 SP1 (w nawiasach): MOM Service (OnePointOp System). Ta grupa jest przeznaczona do obsługi wewnętrznych funkcji systemu MOM 2005. Nie należy dodawać do niej indywidualnych kont. Grupa ta jest tworzona tylko w systemie Management Server i domyślnie nie ma żadnych członków (w przypadku nowych instalacji). Po zainstalowaniu składnika MOM-to-MOM Product Connector (MMPC) do grupy tej automatycznie dodawane jest konto DAS. Uwaga Program instalacyjny dodaje do tej grupy konto wykorzystywane na potrzeby składnika MOM-to-MOM Product Connector (MMPC), aby zapewnić mu niezbędny dostęp. Nie należy usuwać tego konta z grupy. To konto i konto DAS powinny być jedynymi członkami tej grupy. MOM Administrators (OnePointOp ConfgAdms). Członkowie tej grupy mogą wykonywać wszystkie zadania w systemie MOM 2005, posługując się dowolną konsolą. Wyjątek stanowią funkcje raportowe. Aby wykonywać te funkcje, niezbędne jest członkostwo w grupie SC DW Reader. Grupa MOM Administrators tworzona jest wyłącznie w systemie MOM Management Server. Domyślnie nie ma żadnych członków (w przypadku nowych instalacji).

Uwaga Członkowie lokalnych grup administracyjnych w systemie Management Server mogą również wykonywać wszystkie operacje produktu MOM, tak jakby byli członkami grupy MOM Administrators. MOM Authors (OnePointOp Operators). Członkowie tej grupy mogą importować, eksportować, tworzyć i modyfikować pakiety Management Pack za pomocą konsoli MOM Administrator. Mogą także używać konsoli Operator i wykonywać za jej pomocą wszystkie zadania. Nie mogą zmienić listy zarządzanych komputerów ani metody zarządzania. Grupa ta istnienie wyłącznie na komputerze z systemem MOM Management Server. Domyślnie nie ma żadnych członków (w przypadku nowych instalacji). MOM Users (OnePointOp Users). Członkowie tej grupy mogą wykonywać dowolne zadania z konsoli Operator, mieszczące się w przydzielonym im zakresie. Wyjątek stanowią zadania Runtime Tasks. Mogą jednak korzystać tylko z konsoli Operator. Nie mają dostępu do konsoli Administrator, której mogą używać tylko do otwarcia konsoli Operator. Grupa ta istnienie wyłącznie na komputerze z systemem MOM Management Server. Domyślnie jej jedynym członkiem jest konto DAS (w przypadku nowych instalacji). SC DW DTS (w MOM 2000 SP1 nie było odpowiadającej jej grupy). Członkowie tej grupy mogą wykonywać funkcje archiwizacji danych z systemu MOM 2005 Database Server do bazy danych MOM 2005 Reporting Database. Grupa ta istnienie wyłącznie na komputerze z systemem MOM Database Server. Domyślnie nie ma żadnych członków (w przypadku nowych instalacji). SC DW Reader (OnePointOp Reporting). Członkowie tej grupy mają dostęp do procesu SQL Server Reporting Services w systemie MOM Reporting Server. Mogą wykonywać funkcje raportowe, takie jak tworzenie, wyświetlanie i zapisywanie raportów. Członkowie tej grupy mają uprawnienia do wykonywania operacji archiwizacji (DTS). Grupa ta istnienie wyłącznie na komputerze z systemem MOM Reporting Database Server. Domyślnie nie ma żadnych członków (w przypadku nowych instalacji).

10 Podręcznik bezpieczeństwa systemu Microsoft Operations Manager 2005 Wskazówka Aby zredukować nakład pracy administratorów, można utworzyć grupy uniwersalne albo obejmujące całą domenę, a następnie dodać te grupy do odpowiednich grup MOM. W ten sposób można uniwersalnie zarządzać członkami grup. Model ten może okazać się nieodpowiedni w środowiskach o wysokim poziomie bezpieczeństwa albo w takich, gdzie uczestnictwo w grupach MOM przydziela się według poszczególnych grup administracyjnych. Uwierzytelnianie wzajemne Jeżeli wykorzystuje się uwierzytelnianie wzajemne, to Management Server i agent uwierzytelniają się nawzajem, używając protokołu Kerberos v5, zanim prześlą dane operacyjne lub konfiguracyjne. Jest to nowa funkcja MOM 2005, wprowadzona w celu zwalczenia ataków przez pośrednika (ang. man-in-the-middle attacks). Jeżeli włączy się uwierzytelnianie wzajemne, to żaden z agentów MOM 2000 SP1 w grupie administracyjnej nie będzie mógł się komunikować z systemem Management Server. Uwierzytelnianie wzajemne ustawia się dla całej grupy administracyjnej. Ustawienia tego nie można przesłonić. Blokowanie agentów starszej wersji Za pomocą tej opcji można dopuszczać albo blokować komunikację ze strony agentów MOM 2000 SP1. Ustawienie to nakazuje systemowi Management Server ignorować komunikaty od agentów MOM 2000 i MOM 2000 SP1. Jeżeli włączy się uwierzytelnianie wzajemne, to opcja ta zostanie uaktywniona automatycznie. Można jej jednak używać nawet wtedy, gdy uwierzytelnianie wzajemne jest wyłączone. Ustawienie to nadaje się w stosunku do całej grupy administracyjnej i nie można go przesłonić. Rola proxy agenta Ustawienie to dopuszcza albo blokuje przekazywanie przez agentów informacji z innych komputerów lub urządzeń sieciowych do systemu Management Server. Jest to ustawienie nadawane w stosunku do całej grupy administracyjnej, ale można je przesłaniać na poziomie poszczególnych agentów. Bezpieczny kanał komunikacyjny Domyślnie komunikacja między agentem MOM 2005 a systemem Management Server jest zawsze szyfrowana i podpisywana cyfrowo. Jeżeli włączone zostanie uwierzytelnianie wzajemne, to komunikacja taka podlega także uwierzytelnianiu. Jeżeli uwierzytelnianie

wzajemne jest wyłączone, komunikaty wymieniane między agentami MOM 2000 SP1 a systemem Management Server są domyślnie szyfrowane, tak jak w MOM 2000 (natomiast gdy funkcja uwierzytelniania wzajemnego jest włączona, agenci MOM 2000 SP1 nie mogą komunikować się z systemem Management Server). Tylko uwierzytelnianie wzajemne wymaga relacji zaufania Active Directory. Zadania Zadania to nowa funkcja MOM 2005. Są to operacje administracyjne, które można z łatwością uruchomić z konsoli Operator. Zadania uruchamia się w jednym z trzech systemów: w komputerze, na którym pracuje konsola Operator; na komputerze z systemem MOM Management Server albo na komputerze zarządzanym przez agenta. Zadania uruchamiane w systemie Management Server lub na komputerze zarządzanym przez agenta posługują się kontekstem konta Action Account systemu Management Server albo danego agenta. Zadania konsoli pracują w ramach uprawnień zalogowanego użytkownika. Inspekcja zadań Odpowiedzi Inspekcja zadań automatycznie rejestruje informacje o zadaniach uruchamianych w środowisku MOM oraz na agentach MOM 2005. Informacje te można wykorzystać do sprawdzania, kiedy uruchomiono zadanie i kto je uruchomił. Te same informacje można również wyświetlić w widoku Tasks Status konsoli Operator. Funkcja inspekcji zadań (Task Auditing) jest ważnym środkiem bezpieczeństwa. Domyślnie jest ona włączona i nie można jej wyłączyć. Odpowiedzi to zadania, które MOM uruchamia automatycznie, gdy spełnione zostaną kryteria reguł np. z komputerów zarządzanych odebrane zostaną konkretne dane operacyjne. Odpowiedzi te definiuje się za pomocą reguł. Mogą one być wywoływane w dwóch rodzajach systemów: na komputerze zarządzanym albo w systemie Management Server (noszą wtedy nazwę odpowiedzi serwerowych Server-Side Responses). Odpowiedzi uruchamiane na komputerze zarządzanym przez agenta posługują się kontekstem konta Action Account tego agenta. Natomiast odpowiedzi uruchamiane w systemie Management Server posługują się kontekstem konta Management Server Action Account. Odpowiedzi różnią się od zadań tym, że inicjuje je sam program MOM, a nie osoba korzystająca z konsoli Operator. Odpowiedzi transferu plików (File Transfer Responses) W systemie MOM 2005 można skonfigurować transmisję plików z serwera transferu plików do agenta MOM 2005 lub z agenta MOM 2005 na serwer transferu plików. Odpowiedzi te są wywoływane po spełnieniu kryteriów reguły. W przeciwieństwie do innych odpowiedzi, które funkcjonują w kontekście konta Action Account danego agenta, odpowiedzi transferu plików

12 Podręcznik bezpieczeństwa systemu Microsoft Operations Manager 2005 funkcjonują w kontekście Local System (w systemie Windows 2000 lub Windows Server 2003) bądź Network Service (tylko w systemie Windows Server 2003). Więcej informacji na ten temat można znaleźć w rozdziale Odpowiedzi transferu plików w sekcji tego podręcznika zatytułowanej Bezpieczeństwo systemu Management Server. Zarządzanie bez agentów Nową funkcją MOM 2005 jest możliwość monitorowania komputerów bez instalowania na nich agentów MOM. Nazywa się to zarządzaniem bez agentów (agentless management). Zarządzanie bez agentów można stosować w przypadku komputerów znajdujących się w specyficznych środowiskach, w których nie można zainstalować agenta, albo gdzie nie są potrzebne rozbudowane funkcje administracyjne udostępniane przez agenta MOM. Management Server komunikuje się z komputerami zarządzanymi bez agentów przez port RPC (TCP 135) i zakres portów DCOM. Dlatego też zarządzanie bez agentów komputerem znajdującym się poza zaporą nie jest obsługiwane. Jeżeli wykorzystuje się zarządzanie bez agentów, to konto Action Account systemu Management Server musi mieć także uprawnienia administratora lokalnego na komputerze zdalnym. Komputery te muszą zatem znajdować się w tej samej domenie albo w domenach powiązanych relacją zaufania. Reporting Database Konsole Baza danych Reporting Database to nowa cecha MOM 2005. Jest to odrębna baza, w której mieszczą się zarchiwizowane dane operacyjne. Baza ta generuje i udostępnia raporty do konsoli Reporting. Rozdzielając funkcje raportowe od bazy danych MOM Database (OnePoint), udało się uzyskać znaczny wzrost wydajności i zwiększenie poziomu bezpieczeństwa obu baz. W systemie MOM 2005 istnieją cztery konsole. Są to: konsola Administrator, konsola Operator (nowość w wersji MOM 2005), konsola Web i konsola Reporting (nowość w wersji MOM 2005). Za pomocą konsoli Administrator (dodatek snap-in do konsoli MMC) można importować i eksportować pakiety Management Pack, zmieniać ustawienia grup komputerów, konfigurować ustawienia globalne i wprowadzać inne zmiany konfiguracyjne. Konsola Operator służy do monitorowania komputerów, reagowania na alarmy, przeglądania zdarzeń, wykonywania zadań i realizacji innych czynności operacyjnych. Konsola Reporting przeznaczona jest do wyświetlania i generowania raportów internetowych. Wykorzystuje do tego celu usługę SQL Server Reporting Services. Konsola Administrator i konsola Operator komunikują się z systemem Management Server przez port RPC (TCP 135) i zakres portów DCOM. Dlatego nie można instalować tych konsol za zaporą.

Uwaga Skrypty utworzone za pomocą pakietu dla programistów SDK MOM wykorzystują takie same uprawnienia, jakich użyłby użytkownik posługujący się konsolą Administrator lub Operator. Pakiet SDK nie przyznaje skryptowi dodatkowych praw dostępu, które mógłby mieć użytkownik wykonujący zadanie z konsoli. Konsola Web komunikuje się przez port TCP 1272 (domyślnie), a konsola Reporting przez port HTTP 80 (domyślnie). Oznacza to, że z obu konsol można korzystać spoza zapory, a nawet przez sieć rozległą. Można także stosować ochronę SSL (Secure Sockets Layer) w celu zaszyfrowania przesyłanych danych. SSL używa portu 443 (numer tego portu definiuje użytkownik i może on być inny niż 443). Uwaga Konsola Web wykorzystuje mechanizm uwierzytelniania Windows Integrated i jest przeznaczona tylko do użytku w intranetach. Może nie funkcjonować prawidłowo przy połączeniu przez Internet. MOM Connector Framework MOM Connector Framework (MCF) stanowi strukturę umożliwiającą utworzenie interfejsu typu Product Connector między MOM 2005 a innymi aplikacjami administracyjnymi. Interfejsy Product Connector wysyłają, odbierają i koordynują dane operacyjne pomiędzy MOM a takimi aplikacjami. Interfejsy te trzeba opracować odrębnie dla każdego z produktów administracyjnych. Więcej informacji o interfejsach Product Connector można znaleźć w witrynie Microsoft Operations Manager Partners pod adresem http://go.microsoft.com/fwlink/?linkid=32736. Interfejsy wykorzystują usługę.net Web Service, która komunikuje się przez port TCP 1271. Oznacza to, że pomiędzy MOM a innymi aplikacjami administracyjnymi może znajdować się zapora lub nawet sieć rozległa. Można także stosować ochronę SSL (Secure Sockets Layer) w celu zaszyfrowania przesyłanych danych. MOM to MOM Product Connector Interfejs MOM-to-MOM Product Connector (MMPC) zapewnia strukturę umożliwiającą stworzenie połączenia między różnymi grupami administracyjnymi MOM 2005 lub między grupami konfiguracyjnymi MOM 2000 SP1 a grupami administracyjnymi MOM 2005.

14 Podręcznik bezpieczeństwa systemu Microsoft Operations Manager 2005 Połączenie to ma na celu przekazywanie alarmów. Interfejsy wysyłają, odbierają i koordynują dane o alarmach i wykrywaniu między różnymi środowiskami MOM. Domyślnie usługa MMPC wykorzystuje konto DAS. Ważne Używanie produktu MOM 2005 w rozłącznej przestrzeni nazw DNS. Aby wykryć komputery i zainstalować agentów metodą push w środowisku z rozłączną przestrzenią nazw DNS (Disjointed DNS Namespace), należy: - Posługując się kreatorem MOM Agent Install/uninstall podać nazwę w formacie domena\nazwakomputera lub w formacie NetBIOS. - Posługując się oknem dialogowym Create Computer Discovery Rule podać tylko nazwę komputera w formacie NetBIOS albo, jeżeli MOM 2005 ma być wykorzystywany w rozłącznej przestrzeni nazw, wpisać nazwę domeny i nazwę komputera w formacie NetBIOS. Wartości te należy wpisać odpowiednio w pola Domain name i Computer name. Nie są dostępne następujące funkcje: uwierzytelnianie wzajemne instalacja metodą push, jeżeli komputer docelowy wybiera się za pomocą funkcij przeglądania ( Browse ) instalacja metodą push, jeżeli używa się nazwy komputera w formacie DNS FQDN. Rozłączna przestrzeń nazw DNS (disjointed DNS namespace) to taka infrastruktura DNS, która zawiera przynajmniej dwie nazwy domeny DNS najwyższego poziomu. Więcej informacji na ten temat można znaleźć w rozdziale Configuring Name Resolution for Disjointed Namespaces w dokumentacji systemu Windows Server 2003, w części zatytułowanej Deploying Network Services. Bezpieczeństwo nowych instalacji W tym rozdziale omówiono kwestie bezpieczeństwa dotyczące nowych instalacji systemu MOM 2005 Management Server i bazy danych MOM Database. Przygotowując się do instalacji składników MOM Database i Management Server, należy utworzyć i skonfigurować dwa konta bezpieczeństwa konto DAS i konto Action Account dla systemu Management Server. Wymogi bezpieczeństwa dotyczące wdrażania agentów podano w rozdziale Bezpieczeństwo wdrażania agentów w niniejszym podręczniku.

Konto instalacyjne W celu zainstalowania produktu MOM należy zalogować się jako administrator na wszystkich komputerach, na których instalowane będą składniki. Konto DAS Domyślnie MOM dodaje konto podane podczas instalacji do grupy zabezpieczeń i roli SQL Server odpowiednich dla usługi DAS. Aby zmienić konto używane do obsługi DAS, należy wprowadzić następujące modyfikacje: 1. Dodać konto do grupy MOM Users (Użytkownicy MOM) na komputerze z systemem Management Server. 2. Nadać kontu uprawnienie Logowanie w trybie wsadowym. Uwaga Jeżeli zainstalowano składniki MOM Connector Framework lub Product Connector i używa się konta DAS (jest to ustawienie domyślne), to konto takie wymaga również uprawnienia Logowanie w trybie usługi. 3. Dodać konto do roli SQL Server db_owner w bazie danych OnePoint na komputerze z systemem MOM Database Server. 4. Zmienić ustawienie Identity aplikacji COM+ Microsoft Operations Manager Data Access Server na komputerach z systemem Management Server należących do danej grupy administracyjnej. 5. Nadać kontu status SQL Server Security Login z dostępem do serwera ustawionym na Permit. Więcej informacji o koncie DAS można znaleźć w rozdziale Bezpieczeństwo baz danych MOM Database i Reporting Database w tym podręczniku. Używanie konta Network Service do obsługi DAS Windows Server 2003 obsługuje konto Network Service. Jest to uprzednio zdefiniowane konto lokalne, które służy do uruchamiania usługi i zapewniania dla niej kontekstu zabezpieczeń. Nazwa tego konta to NT AUTHORITY\NetworkService. Konto Network Service ma ograniczone prawa dostępu do komputera lokalnego oraz dysponuje dostępem uwierzytelnianym (jako konto komputera) do zasobów sieciowych.

16 Podręcznik bezpieczeństwa systemu Microsoft Operations Manager 2005 Uwaga W systemie Windows Server 2003 dostępne jest również konto Local System. Workgroup Edition konto DAS w systemie MOM 2005 Workgroup Edition można uruchamiać w kontekście Local Service. Konta tego można używać do obsługi kontekstu zabezpieczeń DAS, zamiast lokalnego lub domenowego konta użytkownika. Używa się go w celu obniżenia poziomu uprawnień, w kontekście których funkcjonuje DAS, a także aby uniknąć wygasania haseł wynikającego z polityki. Informacje o tym, jak używać konta Network Service do obsługi DAS, znajdują się w procedurze Aby użyć konta Network Service do obsługi DAS w niniejszym podręczniku. Ważne Opcji tej można używać tylko wtedy, gdy Management Server pracuje w systemie Windows Server 2003. Windows 2000 nie obsługuje konta Network Service. Konto Action Account systemu Management Server Konto Action Account systemu Management Server odgrywa dwie role: monitorowanie samego systemu Management Server oraz wdrażanie agentów na wykrytych komputerach, uruchamianie zadań wykrywania i uaktualnianie ustawień agentów na takich komputerach. Szczegółowe informacje o koncie Action Account systemu Management Server można znaleźć w rozdziale Bezpieczeństwo systemu Management Server Action Account w niniejszym podręczniku. Monitorowanie systemu Management Server. Management Server również ma domyślnie instalowanego agenta, który zbiera informacje i uruchamia odpowiedzi na komputerze z systemem Management Server, posługując się kontem Action Account tego systemu. Aby czynności te można było wykonać w instalacji domyślnej, konto Action Account musi mieć przynajmniej następujące uprawnienia: Musi być członkiem lokalnej grupy Sers (Użytkownicy). Musi mieć dostęp do dzienników zdarzeń Windows.

Musi być członkiem lokalnej grupy Performance Monitor Users (użytkownicy monitora wydajności). Uprawnienie Manage auditing and security log (SeSecurityPrivilege). Uprawnienie Allow log on locally (SeInteractiveLogonRight). Ważne Wymienione powyżej uprawnienia minimalne to najniższe uprawnienia obsługiwane przez MOM 2005. Uprawnienia rzeczywiście niezbędne dla konta Action Account będą uzależnione od tego, jakie pakiety Management Pack zostały uruchomione i jak je skonfigurowano. Więcej informacji można znaleźć w podręczniku do odpowiedniego pakietu Management Pack. Konta o niskim poziomie uprawnień można używać tylko w systemie Windows Server 2003. W Windows 2000 konto Action Account musi należeć do grupy zabezpieczeń dla administratorów lokalnych. Wdrażanie i uaktualnianie agentów za pomocą konta Action Account systemu Management Server. System Management Server można skonfigurować w taki sposób, aby wdrażał agentów na wykrytych komputerach i automatycznie uaktualniał ustawienia agentów. Służy do tego konto Action Account systemu Management Server. Jeżeli użytkownik zdecyduje się użyć systemu Management Server do wdrażania agentów na wykrytych komputerach albo do uaktualniania ustawień agentów, to konto Management Server Action Account musi być kontem domenowym o prawach administratora na tych komputerach. Można w tym celu użyć domenowego konta użytkownika, które należy do grupy administratorów lokalnych na tych komputerach. Nie zaleca się używania konta o wysokim poziomie uprawnień, np. konta administratora domeny. Wdrażanie i uaktualnianie agentów z procesem uwierzytelniania. Inną opcją wdrażania agentów z systemu Management Server jest przeprowadzenie uwierzytelniania w momencie instalacji tych agentów. Poświadczenia podawane do instalacji agentów muszą odpowiadać uprawnieniom administratora na wykrytych komputerach. W tej metodzie konto Action Account systemu Management Server nie musi mieć wysokiego poziomu uprawnień na innych komputerach. Dzięki tej opcji wdrażania agenta można skonfigurować konto Management Server Action Account jako lokalne konto użytkownika o niskim poziomie uprawnień (tylko w systemie Windows Server 2003). Poświadczenia są przechowywane w bezpieczny sposób i usuwane po zakończeniu procesu instalacji.

18 Podręcznik bezpieczeństwa systemu Microsoft Operations Manager 2005 Bezpieczeństwo aktualizacji W tym rozdziale omówiono kwestie bezpieczeństwa dotyczące aktualizacji z wersji MOM 2000 SP1 do wersji MOM 2005. Przygotowanie do aktualizacji System MOM 2005 używa wielu kontekstów zabezpieczeń dla składników, które w wersji MOM 2000 SP1 posługiwały się kontami DAS lub CAM. Przed aktualizacją do wersji MOM 2005 należy utworzyć nowe konto Action Account dla systemu Management Server (wcześniej DCAM). Więcej informacji na temat konta Action Account można znaleźć w rozdziale Bezpieczeństwo systemu Management Server Action Account niniejszego podręcznika. Program instalacyjny MOM poprosi użytkownika o podanie informacji o koncie DAS, z którego ma korzystać system MOM 2005. Można utworzyć nowe konto dla systemu MOM 2005 lub posłużyć się tym samym kontem DAS, z którego korzystała wersja MOM 2000. Więcej informacji na temat praw dostępu, jakie trzeba przydzielić dla konta DAS, można znaleźć w rozdziale Data Access Service (DAS) lub w tabeli 3 w dalszej części niniejszego podręcznika. Tryb mieszany Podczas aktualizacji środowiska z wersji MOM 2000 SP1 do wersji MOM 2005 znajdzie się ono przejściowo w trybie mieszanym. Na tym etapie do systemów MOM 2005 Management Server, a potencjalnie także do serwerów DCAM MOM 2000 SP1, zgłaszać się będą zarówno agenci MOM 2005, jak i MOM 2000 SP1. W Tabeli 1 przedstawiono zakres zgodności agentów z systemem Management Server (lub DCAM): Tabela 2 Zgodność agentów z systemem Management Server/DCAM Agent Serwer Zgodność MOM 2000 SP1 MOM 2000 SP1 Pełna zgodność MOM 2000 SP1 2005 Pełna zgodność 2005 2005 Pełna zgodność 2005 MOM 2000 SP1 Jeżeli agent jest przydzielony również do serwera MOM 2000 SP1 (multihoming), to zapewnienie zgodności wymaga zastosowania przejściowego pakietu Management Pack. Jeżeli nie, to taka konfiguracja jest w pełni zgodna.

Uwierzytelnianie wzajemne jest wyłączane podczas aktualizacji Jako że funkcja uwierzytelniania wzajemnego w MOM 2005 wymaga, aby zarówno Management Server, jak i agent na zarządzanym komputerze posługiwały się wersją MOM 2005, uwierzytelnianie to jest domyślnie wyłączane na czas trwania procesu aktualizacji. Uwierzytelnianie wzajemne zwiększa bezpieczeństwo i może znacznie ograniczyć ataki przez pośrednika (man-in-the-middle attacks) w środowisku MOM. Funkcję tę można włączyć dopiero po aktualizacji wszystkich serwerów DCAM do systemów MOM 2005 Management Server, a także aktualizacji wszystkich agentów w grupie administracyjnej (tj. grupie konfiguracyjnej) do wersji MOM 2005. Port komunikacyjny zostaje zachowany Podczas procesu aktualizacji numer portu komunikacyjnego, czyli 1270, pozostaje bez zmian. Jest to ustawienie dotyczące całej grupy administracyjnej. Nie jest już obsługiwany port nieszyfrowany Nieszyfrowany port 51515 jest wyłączany w procesie aktualizacji, a MOM 2005 już z niego nie korzysta. Podczas aktualizacji agentów MOM 2000 SP1, które skonfigurowano do używania wyłącznie portu nieszyfrowanego 51515, nie będą mogły komunikować się z systemem MOM 2005 Management Server. Agentów tych trzeba skonfigurować do korzystania z bezpiecznego portu komunikacyjnego 1270 albo zaktualizować do wersji MOM 2005. Agenci MOM 2000 SP1 skonfigurowani tak, aby używali dowolnego z tych portów, będą mogli dalej komunikować się z systemem Management Server, nie wymagając dodatkowych zmian konfiguracyjnych (o ile wyłączona jest funkcja uwierzytelniania wzajemnego). Blokowanie agentów starszych wersji Podczas aktualizacji opcja Block Legacy Agents (blokowanie agentów starszych wersji) jest wyłączona. Konfigurowanie zabezpieczeń po aktualizacji Jeżeli wymagają tego reguły zabezpieczeń, użytkownik może wprowadzić kilka zmian, które zwiększą jeszcze poziom zabezpieczeń produktu MOM. Konto DAS Jeżeli podczas aktualizacji do wersji MOM 2005 użyto tego samego konta DAS co w wersji MOM 2000 SP1, to program nie zmieni istniejących we wcześniejszej wersji uprawnień tego konta i przydziałów do grup. Uprawnienia te są wyższe, niż jest to konieczne w przypadku produktu MOM 2005. Można je zmienić, nie zakłócając funkcjonowania MOM 2005. Są to następujące ustawienia:

20 Podręcznik bezpieczeństwa systemu Microsoft Operations Manager 2005 Tabela 3 Uprawnienia konta DAS wymagane w systemie MOM 2005 Uprawnienia MOM 2000 MOM 2005 Prawa administratora lokalnego TAK NIE Działanie jako element systemu operacyjnego TAK NIE Tworzenie obiektu tokenowego TAK NIE Logowanie w trybie wsadowym TAK NIE Logowanie w trybie usługi TAK TAK 1 Konto domenowe TAK TAK 2 W produkcie SQL Server ma przydzieloną rolę administratora systemu NIE NIE Członek grupy MOM Users TAK TAK Członek grupy MOM Service Nd. TAK 3 Dostęp Db_owner do bazy danych OnePoint TAK TAK TAK konto DAS wymaga tego uprawnienia w określonej wersji MOM NIE konto DAS nie wymaga tego uprawnienia w określonej wersji MOM 1 wymagane tylko w przypadku, gdy w systemie Management Server zainstalowany jest składnik MMPC. 2 jeżeli konto DAS i baza danych MOM Database znajdują się na tym samym komputerze, to można użyć konta Local Service (lub konta Network Service w systemie operacyjnym Windows Server 2003). 3 tylko jeżeli zainstalowany jest składnik MMPC. Po aktualizacji konta DAS i Local Administrator są członkami wszystkich grup MOM Przypisania konta DAS i konta administratora lokalnego do grup są przenoszone z ich odpowiedników w MOM 2000 SP1. Oznacza to, że konto DAS i konto administratora lokalnego będą członkami nowych grup zabezpieczeń MOM 2005 (np. MOM Administrator, MOM System, MOM Author, MOM User). Jako że MOM 2005 wymaga tylko, aby konto DAS należało do grupy MOM Users, można usunąć je z innych grup. Można również usunąć konto administratora lokalnego ze wszystkich grup (o ile członkowstwo w nich nie jest konieczne ze względu na wymagania użytkownika). Aby zmienić konto używane do obsługi DAS, należy wykonać następujące czynności: 1. Przypisać nowe konto do grupy MOM Users w systemie Management Server. 2. Dodać to konto do roli db_owner produktu SQL Server w bazie danych OnePoint.