Compartilhar via

  • Artigo

Segurança dos Serviços de Coleta de Auditoria

 

Aplica-se a: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

No System Center 2012 – Operations Manager, o recurso ACS (Serviços de Coleta de Auditoria) requer a autenticação mútua entre o coletor ACS e cada encaminhador do ACS. Por padrão, a autenticação do Windows, que usa o protocolo Kerberos, é utilizada para essa autenticação. Após a conclusão da autenticação, todas as transmissões entre encaminhadores do ACS e o coletor ACS são criptografadas. Não é necessário habilitar criptografia adicional entre os encaminhadores do ACS e o coletor ACS, a menos que eles pertençam a florestas diferentes do Active Directory que não tenham relações de confiança estabelecidas.

Por padrão, os dados não são criptografados entre o coletor ACS e o banco de dados ACS. Se a sua organização exigir um nível mais alto de segurança, use SSL ou TLS para criptografar todas as comunicações entre esses componentes. Para habilitar a criptografia SSL entre o banco de dados ACS e o coletor ACS, é necessário instalar um certificado no servidor de banco de dados e no computador que hospeda o serviço Coletor ACS. Após a instalação desses certificados, configure o cliente SQL no coletor ACS para forçar a criptografia.

Para obter mais informações sobre como instalar certificados e habilitar SSL ou TLS, consulte SSL and TLS in Windows Server 2003 (SSL e TLS no Windows Server 2003) e Obtaining and installing server certificates (Obtendo e instalando certificador de servidor). Para obter uma lista das etapas para forçar a criptografia em um cliente SQL, consulte How to enable SSL encryption for SQL Server 2000 if you have a valid Certificate Server (Como habilitar a criptografia SSL para o SQL Server 2000 se você tiver um servidor de certificado válido).

Acesso limitado a eventos de auditoria

Os eventos de auditoria gravados em um log de Segurança local podem ser acessados pelo administrador local, mas os eventos de auditoria manipulados pelo ACS, por padrão, não permitem que os usuários (nem mesmo usuários com direitos administrativos) acessem eventos de auditoria no banco de dados ACS. Se for necessário separar a função de um administrador da função de um usuário que exibe e consulta o banco de dados ACS, crie um grupo para auditores de bancos de dados e atribua a esse grupo as permissões necessárias para o acesso ao banco de dados de auditoria. Para obter instruções passo a passo, consulte Como instalar os serviços de coleta de auditoria (ACS).

Comunicação limitada para encaminhadores do ACS

As alterações de configuração do encaminhador do ACS não são permitidas localmente, mesmo de contas de usuários que tenham direitos de administrador. Todas as alterações de configuração de um encaminhador do ACS devem vir do coletor ACS. Para obter mais segurança, depois que o encaminhador do ACS se autentica com o coletor ACS, ele fecha a porta TCP de entrada usada pelo ACS para que apenas as configurações de saída sejam permitidas. O coletor ACS deve encerrar e depois restabelecer um canal de comunicações para fazer qualquer alteração de configuração de um encaminhador do ACS.

Encaminhadores do ACS separados do coletor ACS por um firewall

Devido à comunicação limitada entre um encaminhador do ACS e um coletor ACS, somente é necessário abrir a porta TCP de entrada 51909 em um firewall para permitir que um encaminhador do ACS, separado de uma rede por um firewall, alcance o coletor ACS.