Udostępnij za pośrednictwem

  • Artykuł

Zabezpieczenia usług Audit Collection Services

 

Opublikowano: marzec 2016

Dotyczy: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

Usługi Audit Collection Services (ACS) w programie System Center 2012 – Operations Manager wymagają uwierzytelniania wzajemnego między modułem zbierającym a usługą przysłania dalej ACS. To uwierzytelnianie domyślnie odbywa się za pośrednictwem uwierzytelniania systemu Windows z użyciem protokołu Kerberos. Po ukończeniu uwierzytelniania wszystkie transmisje między usługą przesyłania dalej a modułem zbierającym ACS są szyfrowane. Nie trzeba włączać dodatkowego szyfrowania między usługami przesyłania dalej a modułem zbierającym ACS, chyba że należą one do różnych lasów usług Active Directory bez ustalonego zaufania.

Domyślnie dane przesyłane między modułem zbierającym a bazą danych usług ACS nie są szyfrowane. Jeżeli organizacja wymaga wyższego poziomu zabezpieczeń, można użyć protokołu Secure Sockets Layer (SSL) lub Transport Layer Security (TLS) do szyfrowania komunikacji między tymi składnikami. Aby włączyć szyfrowanie SSL między bazą danych usług ACS a modułem zbierającym ACS, należy zainstalować certyfikat na serwerze bazy danych oraz na komputerze hostującym usługę modułu zbierającego ACS. Po zainstalowaniu tych certyfikatów skonfiguruj klienta programu SQL w module zbierającym ACS, aby wymusić szyfrowanie.

Więcej informacji o instalowaniu certyfikatów i włączaniu szyfrowania SSL lub TLS znajduje się w tematach SSL and TLS in Windows Server 2003 (Szyfrowanie SSL i TLS w systemie Windows Server 2003) oraz Obtaining and installing server certificates (Uzyskiwanie i instalowanie certyfikatów serwera). Lista czynności wymaganych do wymuszenia szyfrowania w kliencie programu SQL znajduje się w temacie How to enable SSL encryption for SQL Server 2000 if you have a valid Certificate Server (Jak włączyć szyfrowanie SSL w programie SQL Server 2000, gdy istnieje prawidłowy serwer certyfikatów).

Ograniczony dostęp do zdarzeń inspekcji

Dostęp do zdarzeń inspekcji zapisanych w lokalnym dzienniku zdarzeń może uzyskać administrator lokalny, ale zdarzenia inspekcji obsługiwane przez usługi ACS domyślnie nie zezwalają użytkownikom (nawet użytkownikom z uprawnieniami administracyjnymi) na dostęp do zdarzeń w bazie danych usług ACS. Aby oddzielić rolę administratora od roli użytkownika, który przegląda bazę danych usług ACS i wysyła do niej kwerendy, można utworzyć grupę audytorów bazy danych, a następnie przypisać jej niezbędne uprawnienia dostępu do bazy danych inspekcji. Instrukcje krok po kroku znajdują się w temacie Jak zainstalować usługi zbierania danych inspekcji (ACS).

Ograniczona komunikacja z usługami przesyłania dalej ACS

Zmiany w konfiguracji usług przesyłania dalej ACS nie są dozwolone lokalnie, nawet przy użyciu kont użytkowników z uprawnieniami administratora. Wszystkie zmiany w konfiguracji usług przesyłania dalej ACS muszą pochodzić z modułu zbierającego ACS. W celu zwiększenia poziomu zabezpieczeń usługa przesyłania dalej ACS po uwierzytelnianiu z modułem zbierającym ACS zamyka port wejściowy TCP używany przez usługi ACS, zezwalając tylko na komunikację wychodzącą. Moduł zbierający ACS musi przerwać i ponownie ustanowić kanał komunikacji, aby wprowadzić zmiany w konfiguracji usługi przesyłania dalej ACS.

Usługi przesyłania dalej ACS rozdzielone od modułu zbierającego ACS zaporą

Z powodu ograniczonej komunikacji między usługą przesyłania dalej a modułem zbierającym ACS wystarczy otworzyć tylko port wejściowy TCP 51909 w zaporze, aby umożliwić komunikację usługi przesyłania dalej ACS rozdzielonej od sieci zaporą z modułem zbierającym ACS.