Безопасность сбора событий

При использовании службы Служба сбора событий необходимо рассмотреть следующие вопросы безопасности.

Сводка разрешений для службы сбора событий

Убедитесь в том, что удостоверению нового экземпляра Служба сбора событий предоставлены следующие разрешения.

• Разрешение на создание сеанса трассировки событий Windows, регистрацию поставщика и чтение событий из сеанса трассировки событий Windows.

• Разрешение на чтение конфигурации Служба сбора событий, сохраненной в корневом файле Web.config.

• Разрешение на чтение файлов конфигурации IIS в папке <диск>\Windows\System32\inetserv\config.

• Разрешение на чтение соответствующих файлов конфигурации приложений (Web.config) для приложений, за которыми ведется наблюдение.

• Разрешения на чтение и запись в базе данных наблюдения.

• Политика "Вход в качестве службы"

Запуск от имени указанного пользователя

Чтобы изолировать события конкретного приложения, за которым ведется наблюдение с помощью сервера Microsoft AppFabric 1.1 для Windows Server, запускайте приложения, содержащие службы WCF (Windows Communication Foundation) или Windows Workflow Foundation (WF), от имени указанного пользователя. У этого пользователя должны быть разрешения на запись в сеансе трассировки событий Windows, с помощью которого Служба сбора событий осуществляет прослушивание. Сама служба Служба сбора событий также должна быть запущена от имени указанного пользователя. Это может быть пользователь, совпадающий с приложением, или другой пользователь. Для запуска службы Служба сбора событий от имени указанного пользователя необходимо сделать следующее.

1. Добавьте удостоверение экземпляра Служба сбора событий в группу Пользователи журналов производительности ОС Windows. Это позволяет предоставить службе Служба сбора событий списки управления доступом (ACL) для создания сеанса трассировки событий Windows, регистрации поставщика и чтения событий из сеанса трассировки событий Windows.

2. Удостоверению Служба сбора событий требуются разрешения на запись и чтение в хранилище данных наблюдения. Поэтому необходимо добавить удостоверение Служба сбора событий в роли баз данных ASMonitoringDbReader и ASMonitoringDbWriter. Можно добавить удостоверение в эти роли баз данных явным образом. Либо можно добавить удостоверение Служба сбора событий в группу AS_Administrators ОС Windows, созданную сервером AppFabric.

3. Предоставьте удостоверению Служба сбора событий разрешение на чтение файла Web.config, связанного с приложением, за которым ведется наблюдение. При добавлении удостоверения экземпляра Служба сбора событий в группу AS_Administrators ОС Windows служба Служба сбора событий получает доступ с правом на чтение к файлам конфигурации приложений IIS, расположенным в папке <диск>\Windows\system32\inetserv\config.

Если приложение включает в себя службы WCF (Windows Communication Foundation) или Windows Workflow Foundation (WF), то для наблюдения за ним с помощью сервера Microsoft AppFabric 1.1 для Windows Server необходимо, чтобы это приложение передавало события в сеанс трассировки событий Windows, из которого их будет собирать Служба сбора событий. Для предоставления приложению разрешения на запись в сеанс трассировки событий Windows необходимо предоставить разрешение на запись в сеансе трассировки событий Windows удостоверению пула приложений, в котором выполняется данное приложение. Для этого можно добавить удостоверение в список пользователей, имеющих доступ к сеансу трассировки событий Windows через Монитор производительности и стабильности в ОС Windows. Можно также изменить разрешения пользователя на запись в сеансе трассировки событий Windows с помощью программного интерфейса (API) Win32 EventAccessControl (https://go.microsoft.com/fwlink/?LinkId=179742).

Если удостоверение Служба сбора событий не имеет разрешения на чтение из файла Web.config наблюдаемого приложения, будет создано событие с кодом 130. Это событие будет записано в узел Microsoft-Windows-Application Server-System Services/Admin журнала событий.

Можно назначить разрешения на чтение файла Web.config, относящегося к приложению, удостоверению Служба сбора событий одним из следующих способов:

• В проводнике Windows щелкните правой кнопкой мыши файл Web.config приложения, выберите команду Свойства, затем перейдите на вкладку Безопасность. Назначьте разрешения на чтения удостоверению, которое используется для Служба сбора событий.

  Примечание

  Так как параметры безопасности иногда кэшируются, может пройти небольшое количество времени, прежде чем разрешения на чтение вступят в силу. Кроме того, может понадобиться перезапустить Служба сбора событий чтобы файл Web.config был прочитан с использованием новых разрешений.

• Альтернативой явному определению разрешений на чтение файла Web.config является перемещение приложения в корневую папку веб-сайта. Например, для веб-сайта по умолчанию этим расположением будет папка <системный диск>\inetpub\wwwroot. Во время разработки это можно сделать в среде Visual Studio. Щелкните правой кнопкой мыши проект и выберите команду Опубликовать, чтобы опубликовать веб-службу на локальном сервере IIS (используйте Localhost) с помощью MSDeploy.

Политика "Вход в качестве службы"

В доменной среде удостоверения служб, используемые для запуска Служба сбора событий и Служба управления рабочими процессами на различных серверах в составе веб-фермы, должны относиться к доменной группе администраторов AppFabric. Поскольку эта группа создается администратором домена вручную, то у нее нет фиксированного имени. Обычно в эту группу входит учетная запись администратора домена AppFabric. Пользователям из этой группы следует предоставить привилегию «Вход в качестве службы», которую также следует принудительно включить в домене. Это позволит участникам безопасности входить в систему в качестве служб. Это право должно присутствовать у всех служб, запускаемых с отдельными учетными записями пользователей. Дополнительные сведения о предоставлении учетной записи права "Вход в качестве службы" см. на странице https://go.microsoft.com/fwlink/?LinkId=192517.

  2012-03-05