保護系統管理的安全
您可以使用 AppFabric 之「IIS 管理員」中的 AppFabric 工具,來執行管理 Windows Server AppFabric 的作業。AppFabric 隨附的標準 Cmdlet 幾乎可控制所有「IIS 管理員」功能。AppFabric 工具組的功能非常強大。您可以透過選取方塊、按一下滑鼠或執行 Cmdlet 的方式,來建立可運作的 AppFabric 安裝。但是,若未經授權的使用者取得 AppFabric 系統與其支援元件的全部或部分存取權,AppFabric 安裝很快就會無法使用。此主題主要說明如何保護 AppFabric 的系統管理功能。
AppFabric 系統管理權限
就系統管理觀點來看,使用任何 AppFabric 工具時,您都是在自己的資訊安全內容中執行。這可簡化管理 AppFabric 與其支援技術 (例如,Windows Server、IIS 與 SQL Server) 的作業。若要管理 AppFabric,您必須是概念性應用程式伺服器系統管理員 (AS_Administrators Windows 安全性群組) 或概念性應用程式伺服器操作員 (AS_Observers Windows 安全性群組) 的成員。
若要從遠端管理 AppFabric,AS_Administrators 與 AS_Observers 群組應具有對應的系統管理權限。AppFabric 可安裝在使用者可利用「IIS 管理員」以 IIS 安全性模式遠端連線的伺服器上。若您是系統管理員而且想允許使用者查詢監控與持續性儲存區,您必須在遠端伺服器上將「IIS 管理員」帳戶 (通常是內建的「網路服務」帳戶) 新增到 AS_Administrators 或 AS_Observers。您必須根據要授與遠端使用者的權限選取安全性群組。當使用者只會向 IIS 驗證以要求存取系統管理工具時,它們必須以 AS_Administrators 或 AS_Observers 群組 (具有適當的限制與權限) 的成員身分執行。這是 Windows 安全性規則,而且無法變更。若要使用「IIS 管理員」從遠端管理 AppFabric,您必須是網域系統管理員。對於遠端系統管理作業,您是以本身的帳戶存取資源。沒有任何模擬方式或 Proxy 可提供替代的遠端身分識別。
AppFabric 系統管理員可以使用 IIS 中的 [功能委派] 選項,來委派電腦上所有網站的各種安全性權限。例如,您可以為「瀏覽目錄」功能設定唯讀權限,或是停用記錄功能。[功能委派] 選項是顯示在 [功能檢視] 的 [管理] 區段 (在電腦等級)。
IIS 也可以讓您使用「組態鎖定」功能在不同的範圍等級更精確地鎖定及解除鎖定特定組態設定。您可以透過直接編輯組態檔中的 XML 元素,來執行組態鎖定作業。已鎖定的組態設定只能在當初鎖定的等級解除鎖定,而且無法在較低的等級修改。當您不想為不同的網站使用相同的設定,以及需要覆寫少數屬性時,可以使用此選項。您可以在下列各種等級執行鎖定管理:區段、個別屬性、元素,以及集合元素與指示詞。沒有任何工具直接支援此功能,因此若要變更設定並供其子資料夾繼承,您必須手動編輯位於適當範圍等級的組態檔。
對於與 AppFabric 之安裝、設定與執行作業相關的典型系統管理工作,請將使用者指派至本機 LOCALHOST\Administrators 群組。這樣可讓成員編輯伺服器、網站或應用程式組態;部署及解除部署應用程式;執行支援程式 (例如,「IIS 管理員」、MSDeploy 或SvcConfigEditor)。
安全性 注意 |
---|
請注意,若授與權限讓服務帳戶可查詢監控與持續性儲存區,表示授與以該帳戶執行之所有應用程式相同權限。 |
遠端系統管理
在本機管理 AppFabric 時,您是以用來登入的帳戶執行。若要從遠端管理 AppFabric,「IIS 管理服務」可讓本機與網域系統管理員使用「IIS 管理員」從遠端管理 Web 伺服器。只有本機系統管理員可以設定「IIS 管理服務」以啟用遠端連線。完成此動作之後,可使用下列任一模式來管理存取 AppFabric 電腦時的安全性:
僅適用 Windows 認證。 在此模式中,「IIS Web 管理服務」是以您的認證執行。這表示若您是從本機連線到遠端電腦,您可以執行您可以執行的所有動作。例如,若您在本機可以修改應用程式的 Web.config 檔案,您也可以從遠端修改該檔案。對於 AppFabric 資源的存取權視 AS_Observers 與 AS_Administrators 群組的成員資格而定。
Windows 認證或 IIS 管理員驗證安全性。 在此模式中,您是登入遠端電腦並以 LOCALSERVICE 的身分執行。在此情況下,您可能會看到「IIS 管理員」顯示的資訊與使用「僅適用 Windows 認證」時不同。因為 LOCALSERVICE 預設可管理電腦上的所有應用程式 (修改 Web.config 檔案,以及查詢和修改持續性與監控資料),連線上的有效權限是由您所連線的範圍所決定。例如,若您的認證可讓您連線到特定應用程式,則 AppFabric 會確保您只能存取該應用程式的相關資訊,而不會讓您檢視機密的持續性資料。
您將使用下列概念性群組與其對應的 Windows 安全性群組來管理 AppFabric (不論是從本機管理或從遠端管理):
應用程式伺服器系統管理員。「應用程式伺服器系統管理員」概念性群組的成員 (完整存取權限) 對應至 AS_Administrators Windows 安全性群組。AS_Administrators 群組的成員可暫停、繼續、終止或刪除持續性執行個體;建立或移除事件來源與事件收集器;檢視、排清或封存監控資料。AppFabric 會在安裝期間建立 AS_Administrators 群組,並將 NT AUTHORITY\LOCAL SERVICE 帳戶新增至此群組。「事件收集」服務與「「工作流程管理」服務」會以 LOCAL SERVICE 執行。若要將可管理 AppFabric 的完整存取權授與特定帳戶,您可以手動將該帳戶新增到 AS_Administrators 群組。
應用程式伺服器觀察者。「應用程式伺服器觀察者」概念性群組的成員 (部分存取權限) 對應至 AS_Observers Windows 安全性群組。AS_Observers 群組的成員可檢視部分應用程式持續性與監控資料;列舉應用程式與服務;檢視應用程式與服務組態;檢視監控資料;檢查持續性執行個體。AppFabric 安裝程式會在安裝期間建立 AS_Observers 群組,但不會將任何帳戶插入此群組。若要將可管理 AppFabric 的部分存取權授與特定帳戶,您可以手動將該帳戶新增到 AS_Observers 群組。
如需有關如何使用 IIS 來保護組態、委派與遠端系統管理安全的詳細資訊,請參閱Securing Configuration (https://go.microsoft.com/fwlink/?LinkId=183022) (可能為英文網頁) 與 Configuring Remote Administration and Feature Delegation in IIS 7.0 (https://go.microsoft.com/fwlink/?LinkId=184265) (可能為英文網頁)。
2011-12-05