Aracılığıyla paylaş

İzleme Güvenliğini Sağlama

  • Makale

Kalıcılık deposu gibi, izleme deposu da Windows Server AppFabric mimarisinde önemli bir rol oynar. İzleme deposu, bir uygulamanın sistem durumunu izlemenin yanı sıra uygulamalarla ilgili sorunları tanılamak için kullanabileceğiniz .NET Framework verilerini içerir. AppFabric, izleme verilerini görüntülemeye yönelik araçlar sağlar. AppFabric yönetim araçlarını çalıştıran yöneticilerin izleme deposunu okuyabilmeleri ve bu veri deposuna yazabilmeleri için, yöneticilere çalışma zamanında uygulamalar ve sistem hizmetlerinin yanı sıra izleme deposu için de gerekli izinleri atamalısınız. Bu konuda izleme verilerinin güvenliğinin nasıl sağlanacağına ve izleme verilerine erişmek için kullanılan yönetim araçlarına odaklanılır.

İzleme deposunun kullanımı hem uygulama hem de yönetim kapsamları dahilindedir ve güvenliğinin bu alanlarda farklı şekilde sağlanması gerekir. Farklı güvenlik gruplarına dahil olunması, belirli izinler atanmasını gerektirebilir. Uygulama güvenliği kapsamı, bir uygulamanın çalışma zamanında sahip olduğu izinleri etkiler ve Uygulama Sunucusu Kullanıcıları kavramsal rolüne karşılık gelir. Yönetim güvenliği kapsamı, yöneticinin ve sistem hizmetlerinin yürütebileceği araçları ve ilgili işlemleri etkiler. Bu izinler, Uygulama Sunucusu Yöneticileri ve Uygulama Sunucusu İşletmenleri kavramsal rolleri ile eşlenir.

İzleme Verilerinin Güvenliğini Sağlama

İzleme özelliği, WCF ve WF hizmetleri tarafından yayımlanan kayıtları, olayları ve diğer verileri izler ve bunları bir veritabanında depolar. Uygulamalar genellikle kişileri tanımlamak amacıyla kullanılan bilgileri veya diğer gizli verileri toplar ve iletir. Bu veriler bir izleme kaydına eklendiğinde izleme deposuna kaydedilir. Kullanılmakta olan izleme profiline bağlı olarak, iletilerin içeriği ve değişkenler bu depoya kaydedilebilir. Aynı izleme deposunu birden çok sunucu, site ve uygulama paylaşabilir. Tasarım gereği, izleme verileri bir depoyu paylaşan sunuculardan ve sitelerden toplanarak, büyük boyutlu bir çalışma ortamında bir hizmetin binlerce örneğinin etkinliğini izlemeyi kolaylaştırır. Veriler izleme deposunda depolandıktan sonra bu veriler AS_Administrators grubunun tüm üyeleri, SQL Server sysadmin üyeleri ve dbo rolleri tarafından görülebilirler. AS_Observers grubunun üyeleri ASMonitoringDBReader grubuna aittir ve izleme veritabanındaki ortak görünümler aracılığıyla izleme verilerini okuyabilirler. İzleme verileri yanlışlıkla veya kasıtlı olarak açığa çıkarılabilir, ancak bu riskin etkilerini azaltmaya yönelik önlemler alabilirsiniz.

Olay Toplama hizmeti, izleme verilerinin güvenliğinin sağlanmasına yardımcı olur. Bu hizmet, olayları Windows için Olay İzleme (ETW) oturumundan alır ve izleme veritabanına yazar. Yalnızca Olay Toplama hizmeti tarafından başlatılan ETW oturumuna “Yazma” izinleri olan uygulamalar, bu oturumla ilgili olayları toplanmak üzere yazabilirler. Olay Toplama hizmeti, varsayılan olarak NT_AUTHORITY\LOCAL SERVICE biçiminde çalışır. Olay Toplama hizmeti hizmetine özgü SID (NT SERVICE\AppFabricEventCollectionService), AS_Administrators grubuna eklenir. AS_Administrators, ASMonitoringDBAdmin veritabanı rolünün parçası olduğundan, bu, izleme veritabanına okuma ve yazma erişimi sağlar. İzleme veritabanını oluşturmak için AppFabric cmdlet'i komut dosyalarını kullandığınızda, tüm bu roller ve gruplar doğru bir şekilde oluşturulur ve başlatılır. Olay Toplama hizmeti hizmetini farklı bir kullanıcı olarak çalıştırmak istiyorsanız, bu işlemle ilgili bilgi için Olay Toplama Güvenliği konusuna bakın.

Not

AppFabric, IIS altında çalıştığı için bazı ek özelliklerden yararlanabilir. IIS, kullanımı çözümlemek üzere standart Web sunucusu erişim günlükleri oluşturur. Windows Server ile tümleşik olması, kaynak kullanımının daha güvenli şekilde izlenmesi için IIS'in sistem denetiminden yararlanabileceği anlamına da gelir. Örneğin, güvenli bir dosyaya başarısız olan erişim girişimleri Windows Server olay günlüğüne kaydedilebilir ve varolan sunucuları yönetmek için kullanılan araçlarla denetlenebilir.

İzleme deposundaki verilerin güvenliğini aşağıdaki yollarla sağlayabilirsiniz:

  • Farklı izleme depoları kullanın. AppFabric cmdlet'lerini kullanarak depoyu oluşturmak ve İzleme Veritabanı Yapılandırması sayfasını kullanarak yapılandırmak yoluyla, aynı sunucuda veya farklı bir sunucuda alternatif bir izleme deposu oluşturup yapılandırabilirsiniz. Daha sonra belirli uygulamaları yalnızca bu depoyu kullanacak biçimde yapılandırabilirsiniz. Bu işlem, belirtilen uygulamalara başka hiçbir uygulamanın erişemeyeceği özel bir izleme veri deposu sağlar.

  • İzleme özelliklerini kullanın. IIS Yöneticisi'ne AppFabric tarafından eklenen uzantıları kullanarak bir uygulamadaki tüm iş akışı hizmetleri, bir Web sitesindeki tüm uygulamalar veya bir sunucudaki tüm Web siteleri için izleme özelliklerini etkinleştirebilir ya da devre dışı bırakabilirsiniz. Daha yüksek bir düzeyde bir izleme ilkesi tanımlayabilir, IIS'teki ve WAS hiyerarşisindeki tüm alt düzeylerin bu ilke ayarlarını devralmalarını sağlayabilirsiniz.

Windows için Olay İzleme Oturumu Güvenliği

Olay Toplama hizmeti, izleme olaylarını Windows için Olay İzleme (ETW) oturumundan toplar ve bunları izleme deposuna kaydeder. IIS uygulama havuzu kimliğine güvenlik izinleri atayarak, Olay Toplama hizmeti ETW oturumuna hangi uygulamaların olayları yazabileceğini denetleyebilirsiniz. Örneğin, MACHINE\MyUser gibi düşük ayrıcalıklı bir kimlik altında çalışan bir uygulama havuzunun oturumu izlemek üzere olayları günlüğe kaydetmesine izin vermek isteyebilirsiniz. Bunu yapmak için, MACHINE\MyUser kimliğine TRACELOG_LOG_EVENT olayı için ilgili izni atarsınız. Bu izinleri aşağıdaki yollarla atayabilirsiniz:

  • EventAccessControl (https://go.microsoft.com/fwlink/?LinkId=179742) Win32 API'sini kullanarak, kimliğin izinlerini ETW oturumuna yazacak biçimde değiştirebilirsiniz.

  • Performans İzleyicisi'ni (PERFMON.EXE) kullanarak, belirli kimliklere güvenlik izinleri atayıp ETW oturumuna hangi uygulamaların olayları yazabileceğini denetleyebilirsiniz. Örneğin, MACHINE\MyUser kimliğinin altında çalışan bir uygulama havuzunun, SECURE modunda çalışan bir izleme oturumuna ait olayları günlüğe kaydetmesine izin vermek isteyebilirsiniz. Bunu yapmak için, Performans İzleyicisi içinden AppFabric Olay Toplayıcısı Oturumu'nun Güvenlik sekmesinde, MACHINE\MyUser kimliğine TRACELOG_LOG_EVENT izni atarsınız.

AppFabric Olay Toplayıcısı oturumunun Güvenlik ayarlarında grupları veya kullanıcı izinlerini değiştirmeden önce ilgili oturumu durdurduğunuzdan emin olun. Bunu yapmazsanız, değiştirilen ayarlar korunmaz.

Bu Bölümde

  2011-12-05