Delen via

  • Artikel

Beveiliging van Audit Collection Services

 

Gepubliceerd: maart 2016

Van toepassing op: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

In System Center 2012 – Operations Manager vereist ACS (Audit Collection Services) wederzijdse verificatie tussen de ACS-collector en elke ACS-doorstuurserver. Standaard wordt Windows-verificatie met het Kerberos-protocol voor deze verificatie gebruikt. Wanneer de verificatie is voltooid, worden alle transacties tussen ACS-doorstuurservers en de ACS-collector versleuteld. U hoeft alleen extra versleuteling tussen ACS-doorstuurservers en de ACS-collector in te schakelen als de servers en de collector tot verschillende Active Directory-forests behoren waartussen geen vertrouwensrelatie bestaat.

Standaard worden gegevens tussen de ACS-collector en de ACS-database niet versleuteld. Als uw organisatie een hoger beveiligingsniveau vereist, kunt u SSL (Secure Sockets Layer) of TLS (Transport Layer Security) gebruiken om alle communicatie tussen deze onderdelen te versleutelen. Als u SSL-versleuteling tussen de ACS-database en de ACS-collector wilt inschakelen, moet u een certificaat installeren op de databaseserver en de computer die de ACS-collectorservice host. Wanneer deze certificaten zijn geïnstalleerd, configureert u de SQL-client op de ACS-collector zo dat versleuteling wordt geforceerd.

Zie SSL and TLS in Windows Server 2003 (SSL en TLS in Windows Server 2003) en Obtaining and installing server certificates (Servercertificaten verkrijgen en installeren) voor meer informatie. Zie How to enable SSL encryption for SQL Server 2000 if you have a valid Certificate Server (SSL-versleuteling voor Server 2000 inschakelen als u een geldige certificaatserver hebt) voor een lijst met stappen om versleuteling op een SQL-client te forceren.

Beperkte toegang tot controlegebeurtenissen

De lokale beheerder heeft toegang tot controlegebeurtenissen die naar een lokaal beveiligingslogboek zijn geschreven. Gebruikers hebben standaard geen toegang tot controlegebeurtenissen die door de ACS worden verwerkt en in de ACS-database zijn opgeslagen (zelfs als de gebruikers beheerrechten hebben). Als u de rol van een beheerder moet scheiden van de rol van een gebruiker die de ACS-database weergeeft en query's op de database uitvoert, kunt u een groep voor databasecontroleurs maken en vervolgens aan deze groep de benodigde toegangsrechten voor de controledatabase toewijzen. Zie Het installeren van Audit Collection Services (ACS) voor stapsgewijze instructies.

Beperkte communicatie voor ACS-doorstuurservers

Configuratiewijzigingen van de ACS-doorstuurserver zijn lokaal niet toegestaan, zelfs niet wanneer de wijzigingen worden aangebracht door gebruikersaccounts die beheerrechten hebben. Alle configuratiewijzigingen van de ACS-doorstuurserver moeten afkomstig zijn van de ACS-collector. Nadat de ACS-doorstuurserver een verificatie met de ACS-collector heeft uitgevoerd, sluit deze als extra beveiliging de binnenkomende TCP-poort die door ACS wordt gebruikt zodat alleen uitgaande communicatie is toegestaan. De ACS-collector moet een communicatiekanaal beëindigen en vervolgens opnieuw openen om eventuele configuratiewijzigingen op de ACS-doorstuurserver aan te brengen.

ACS-doorstuurservers die door een firewall van de ACS-collector zijn gescheiden

Vanwege de beperkte communicatie tussen een ACS-doorstuurserver en een ACS-collector, hoeft u alleen de binnenkomende TCP-poort 51909 in een firewall te openen om een ACS-doorstuurserver die door een firewall van uw netwerk is gescheiden toegang tot de ACS-collector te geven.