Dela via

  • Artikel

Säkerhet med gransknings- och insamlingstjänsten

 

Utgivet: mars 2016

Gäller för: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

I System Center 2012 – Operations Manager kräver gransknings- och insamlingstjänsten (ACS) ömsesidig autentisering mellan ACS-insamlaren och varje ACS-vidarebefordrare. Som standard används Windows-autentisering, som bygger på Kerberos-protokollet för den här typen av autentisering. När autentiseringen är klar, krypteras alla överföringar mellan ACS-vidarebefordrarna och ACS-insamlaren. Du behöver inte aktivera ytterligare kryptering mellan ACS-vidarebefordrarna och ACS-insamlaren såvida de inte tillhör de olika Active Directory-skogar som inte har några upprättade förtroenden.

Som standard krypteras inte data mellan ACS-insamlaren och ACS-databasen. Om din organisation kräver en högre säkerhetsnivå, kan du använda SSL (Secure Sockets Layer) eller TLS (Transport Layer Security) för att kryptera all kommunikation mellan dessa komponenter. Om du vill aktivera SSL-kryptering mellan ACS-databasen och ACS-insamlaren måste du installera ett certifikat både på databasservern och datorn som fungerar som värd för ACS-insamlartjänsten. När du har installerat de här certifikaten konfigurerar du SQL-klienten på ACS-insamlaren för att tvinga fram kryptering.

Mer information om hur du installerar certifikat och aktiverar SSL eller TLS finns i SSL and TLS in Windows Server 2003 (SSL och TLS i Windows Server 2003) och Obtaining and installing server certificates (Hämta och installera servercertifikat). Om du vill se en lista över vilka steg som krävs för att tvinga fram kryptering på en SQL-klient går du till How to enable SSL encryption for SQL Server 2000 if you have a valid Certificate Server (Aktivera SSL-kryptering för SQL Server 2000 om du har en giltig certifikatserver).

Begränsad åtkomst till granskningshändelser

Granskningshändelser som skrivs till en lokal säkerhetslogg kan nås av den lokala administratören, men granskningshändelser som hanteras av ACS tillåter inte som standard användarna (inte ens användare med administratörsrättigheter) att komma åt granskningshändelser i ACS-databasen. Om du måste separera rollen för en administratör från rollen för en användare, som ska kunna visa och ställa frågor till ACS-databasen, kan du skapa en grupp för databasgranskare och sedan tilldela den gruppen de behörigheter som krävs för att komma åt granskningsdatabasen. Stegvisa anvisningar finns i Så här installerar du Audit Collection Services (ACS).

Begränsad kommunikation för ACS-vidarebefordrare

Konfigurationsändringar av ACS-vidarebefordraren tillåts inte lokalt, inte ens från användarkonton som har rättigheter motsvarande en administratör. Alla konfigurationsändringar till en ACS-vidarebefordrare måste komma från ACS-insamlaren. För ytterligare säkerhet, efter att ACS-vidarebefordraren autentiserar med ACS-insamlaren, stängs den inkommande TCP-porten som används av ACS så att endast utgående kommunikation är tillåten. ACS-insamlaren måste avslutas och sedan återupprätta en kommunikationskanal för att det ska gå att göra några konfigurationsändringar i en ACS-vidarebefordrare.

ACS-vidarebefordrare separerade från ACS-insamlaren med en brandvägg

Eftersom kommunikationen mellan en ACS-vidarebefordrare och en ACS-insamlare är begränsad behöver du bara öppna den inkommande TCP-porten 51909 i en brandvägg för att aktivera en ACS-vidarebefordrare, som är separerad från nätverket med en brandvägg, för att det ska gå att nå ACS-insamlaren.