Orchestration Veritabanı Güvenliği
Yayımlanan: Mart 2016
Uygulama Hedefi: System Center 2012 SP1 - Orchestrator, System Center 2012 - Orchestrator, System Center 2012 R2 Orchestrator
Aşağıdaki bölümler Orchestrator üzerindeki düzenleme veritabanını koruma hakkında bilgiler sağlar:
Veritabanı rolleri
SQL sunucu bağlantılarını koruma
Şifreleme anahtarları
Veritabanı rolleri
Düzenleme veritabanına yönelik güvenlik, desteklenen Microsoft SQL Server sürümlerinde veritabanı rolleri aracılığıyla uygulanır. Aşağıdaki tabloda, düzenleme veritabanında oluşturulan roller ve her birine verilen izinler listelenir. Bu roller yükleme işlemi sırasında yapılandırılır ve gerekli üyelerle doldurulur; bu yüzden genelde doğrudan bunlarla çalışmak için gereksinim bulunmaz. Buradaki bilgiler, yöneticinin yapılandırmanın arkasındaki güvenliği daha iyi anlamasına ve olası özel senaryolara hazırlanmasına yardımcı olmak için sunulmaktadır.
| Hesap | Veritabanı rolü |
|---|---|
| Yönetim Hizmeti Hesabı | Microsoft.SystemCenter.Orchestrator.Admins |
| Orchestrator Yöneticileri Grubunun Üyesi | Microsoft.SystemCenter.Orchestrator.Admins |
| Orchestrator Runbook Service Hesabı | Microsoft.SystemCenter. Orchestrator.Runtime |
| Orchestrator Runbook Server Monitor Hizmeti Hesabı | Microsoft.SystemCenter. Orchestrator.Runtime |
| Orchestrator Web Hizmeti Kullanıcı Hesabı | Microsoft.SystemCenter. Orchestrator.Operators |
| Rol | İzin | Nesne |
|---|---|---|
| Microsoft.SystemCenter. Orchestrator.Operators | SEÇ | [Microsoft.SystemCenter.Orchestrator.Runtime].[Jobs], [Microsoft.SystemCenter.Orchestrator.Runtime].[RunbookInstances], [Microsoft.SystemCenter.Orchestrator.Runtime].[RunbookInstanceParameters], [Microsoft.SystemCenter.Orchestrator.Runtime].[RunbookServers], [Microsoft.SystemCenter.Orchestrator.Runtime].[ActivityInstances], [Microsoft.SystemCenter.Orchestrator.Runtime].[ActivityInstanceData], [Microsoft.SystemCenter.Orchestrator.Runtime].[Events], [Microsoft.SystemCenter.Orchestrator.Statistics].[Statistics] |
| Microsoft.SystemCenter. Orchestrator.Operators | YÜRÜT | [Microsoft.SystemCenter.Orchestrator].[GetSecurityToken], [Microsoft.SystemCenter.Orchestrator].[AccessCheck], [Microsoft.SystemCenter.Orchestrator].[ComputeAuthorizationCache], [Microsoft.SystemCenter.Orchestrator.Statistics.Internal].[GetStatisticsSummary], [Microsoft.SystemCenter.Orchestrator.Runtime].[CreateJob], [Microsoft.SystemCenter.Orchestrator.Runtime].[CancelJob] |
| Microsoft.SystemCenter. Orchestrator.Runtime | SEÇ | Tüm tablolar, dbo.[POLICIES_VIEW], dbo.[POLICY_REQUEST_HISTORY] |
| Microsoft.SystemCenter. Orchestrator.Runtime | EKLE | dbo.[OBJECT_AUDIT] |
| Microsoft.SystemCenter. Orchestrator.Runtime | EKLE, GÜNCELLEŞTİR | dbo.[OBJECTS], dbo.[ACTIONSERVERS], dbo.[POLICYINSTANCES], dbo.[OBJECTINSTANCES], dbo.[OBJECTINSTANCEDATA] |
| Microsoft.SystemCenter. Orchestrator.Runtime | EKLE, SİL | dbo.[COUNTERINSTANCES], dbo.[POLICYRETURNDATA] |
| Microsoft.SystemCenter. Orchestrator.Runtime | GÜNCELLEŞTİR | dbo.[POLICY_PUBLISH_QUEUE] |
| Microsoft.SystemCenter. Orchestrator.Runtime | DENETLE | [ORCHESTRATOR_ASYM_KEY], [ORCHESTRATOR_SYM_KEY] |
| Microsoft.SystemCenter. Orchestrator.Runtime | YÜRÜT | dbo.sp_insertevent, dbo.sp_PublishPolicy, dbo.sp_UnpublishPolicy, dbo.sp_UnpublishPolicyRequest, dbo.fn_GetPolicyInstanceStatus, dbo.fn_NumFailedInstancesPerServer, dbo.fn_NumInstancesPerServer, dbo.fn_NumRunningInstancesPerServer, [Microsoft.SystemCenter.Orchestrator.Cryptography].[Encrypt], [Microsoft.SystemCenter.Orchestrator.Cryptography].[Decrypt], [Microsoft.SystemCenter.Orchestrator.Internal].[RethrowError] |
| Microsoft.SystemCenter. Orchestrator.Admins | SEÇ, EKLE, GÜNCELLEŞTİR, SİL, DEĞİŞTİR, TABLO OLUŞTUR | SCHEMA::dbo |
| Microsoft.SystemCenter. Orchestrator.Admins | BAŞVURULAR | dbo.[OBJECTS] |
| Microsoft.SystemCenter. Orchestrator.Admins | SEÇ | dbo.[POLICIES_VIEW], GRANT SELECT ON dbo.[POLICY_REQUEST_HISTORY] |
| Microsoft.SystemCenter. Orchestrator.Admins | DENETLE | [ORCHESTRATOR_ASYM_KEY], [ORCHESTRATOR_SYM_KEY] |
| Microsoft.SystemCenter. Orchestrator.Admins | YÜRÜT | [Microsoft.SystemCenter.Orchestrator.Cryptography].[CreateOrchestratorKeys], [Microsoft.SystemCenter.Orchestrator.Cryptography].[DropOrchestratorKeys], [Microsoft.SystemCenter.Orchestrator.Cryptography].[Encrypt], [Microsoft.SystemCenter.Orchestrator.Cryptography].[Decrypt], [Microsoft.SystemCenter.Orchestrator.Internal].[RethrowError], dbo.sp_CustomLogCleanup, dbo.sp_GetLogEntriesForDelete_FilterByDays, dbo.sp_GetLogEntriesForDelete_FilterByEntries, dbo.sp_GetLogEntriesForDelete_FilterByEntriesAndDays, dbo.sp_insertevent, dbo.sp_PublishPolicy, dbo.sp_UnpublishPolicy, dbo.sp_UnpublishPolicyRequest, dbo.fn_GetPolicyInstanceStatus, dbo.fn_NumFailedInstancesPerServer, dbo.fn_NumInstancesPerServer, dbo.fn_NumRunningInstancesPerServer, [Microsoft.SystemCenter.Orchestrator.Internal].AddUserToRole, [Microsoft.SystemCenter.Orchestrator].[SetPermissions], [Microsoft.SystemCenter.Orchestrator.Internal].[SetProductInfo] |
Veritabanı Yapılandırma Yardımcı Programı (DBSetup.exe), settings.dat file dosyasına erişmek için Management sunucusunun yüklendiği ve Yöneticiler ya da Orchestrator Kullanıcıları Grubu'nun üyesi olduğu bilgisayarda kullanıcı olarak izinleri gerektirir. DBDataStore.dll aracılığıyla doğrudan veritabanına bağlanan özel araçlar aynı izinleri gerektirir.
.jpeg "System_CAPS_ICON_important.jpg") Önemli |
|---|
Orchestrator yüklenirken, ayrıcalıkların yükseltilme olasılığını ortadan kaldırmak için SQL sunucusuna bağlanmak üzere kullanılan hesabın SQL sunucusunda en düşük ayrıcalıklara sahip olduğundan emin olun. |
SQL sunucu bağlantılarını koruma
Varsayılan Orchestrator dağıtımındaki SQL sunucusu bağlantıları güvenli değildir. Bunun özel durumu Orchestrator gizli verileri depoladığında veya aldığında oluşur. Bu durumda, Orchestrator otomatik olarak imzalanan sertifika ile SQL sunucusuna güvenli bağlantı oluşturur. Bu sertifika güçlü güvenlik sağlamaz ve bağlantıyı izinsiz izleme saldırılarına açıktır.
SQL Server bağlantılarını şifreleme hakkında bilgiler için SQL Server Bağlantılarını Şifreleme (SSL'yi yapılandırma) konusuna gidin. Veritabanı altyapısı bağlantılarını etkinleştirme hakkında bilgiler için, bkz. Nasıl yapılır: Şifrelenmiş Veritabanı Altyapısı Bağlantılarını Etkinleştirme (SQL Server Configuration Manager).
Şifreleme anahtarları
Güvenlik planlamanızın bir parçası olarak, düzenli aralıklarla şifreleme anahtarlarınızı döndürmeyi planlamanız gerekir. Ulusal Standartlar ve Teknoloji Enstitüsü (NSIT) anahtarların en az iki yılda bir kez döndürülmesini önermektedir. NSIT güvenlik standartları hakkında daha fazla bilgi için, NSIT Bilgisayar Güvenliği Bölümü Bilgisayar Güvenlik Kaynağı Merkezi'ne gidin.
Şifreleme anahtarlarını döndürmek için
Runbook Designer'dan runbook'larınız, genel ayarlarınız, değişkenleriniz, zamanlamalarınız ve diğer verilerinizin tamamını dışarı aktarın.
Dışa aktarma için bir parola sağlamanız gerekir.
Dışa aktarma sırasında, şifrelenen tüm verilerin şifresi çözülür ve parola tarafından oluşturulan yeni bir anahtar ile yeniden şifrelenir.
İsterseniz, SQL Server Master Database anahtarını değiştirin.
Orchestrator hem SQL Server Master Database anahtarını hem de düzenleme veritabanının ana veritabanı anahtarını kullanarak verileri şifreler.
SQL Server Master Database anahtarını değiştirme hakkında bilgiler için, SQL Server ve Veritabanı Şifreleme Anahtarları (Veritabanı Altyapısı) konusuna gidin.
Yönetim sunucusunu yeniden yükleyin ve yeni bir veritabanı oluşturun.
Management sunucusunu yükleme hakkında bilgiler için, Yönetim Sunucusu Yükleme konusuna bakın.
Var olan veritabanına bağlanmayın. Yeni veritabanı oluşturulduğunda yeni bir şifreleme anahtarı üretilir.
Runbook Designer'dan, runbook'ları ve dışarı aktardığınız diğer verileri yeniden içeri aktarın.
Dışarı aktarma için kullanılan parolayı belirtin. Dışarı aktarma dosyasındaki verilerin şifresi parola aracılığıyla çözülür ve yeni Orchestrator ana veritabanı anahtarı kullanılarak veritabanına aktarılırken şifrelenir.