共用方式為

保護監控功能的安全

  • 發行項

和持續性儲存區一樣,監控儲存區在 Microsoft AppFabric 1.1 for Windows Server 架構中扮演關鍵角色。監控儲存區包含 .NET Framework 資料,您可以用來診斷應用程式問題,以及追蹤應用程式的健康情況。AppFabric 會提供工具,供您檢視追蹤的監控資料。您必須提供監控儲存區的權限給執行 AppFabric 系統管理工具的系統管理員以及執行階段的應用程式與系統服務,他們/它們才能讀取/寫入此資料儲存區。 此主題著重於如何保護監控資料的安全,以及用來存取監控資料的系統管理工具。

使用監控儲存區屬於應用程式與管理範圍,必須在各自的領域中以不同方式保護。 納入不同安全性群組可指定特定權限。 應用程式安全性範圍會影響應用程式在執行階段的權限,而且對應到「應用程式伺服器使用者」概念性角色。 管理安全性範圍會影響系統管理員與系統服務可執行的工具與相關操作。 這些權限對應到「應用程式伺服器系統管理員」與「應用程式伺服器操作員」概念性角色。

保護監控資料的安全

監控功能會收集由 WCF 與 WF 服務產生的追蹤記錄、事件與其他資料,並儲存在資料庫中。 應用程式通常會收集並傳送個人識別資訊或其他機密資料。 當追蹤記錄中包含該資料時,就會儲存在監控儲存區中。 根據使用中的追蹤設定檔,訊息與變數的內容可能會儲存至該儲存區。 許多伺服器、網站與應用程式可能會共用單一監控儲存區。 依照設計,監控資料會在共用儲存區的伺服器與網站之間彙總,在一個服務可能就有數千個執行個體的大型環境中,就能更輕鬆地監控活動。 當資料儲存於監控儲存區後,AS_Administrators 群組的成員與 SQL Server sysadmin 及 dbo 角色的所有成員都可看見資料 AS_Observers 群組的成員屬於 ASMonitoringDBReader 群組,而且可以透過監控資料庫上的公用檢視讀取監控資料。 追蹤資料容易在不經意或刻意的情況下洩漏,但您可以採取適當的步驟來減輕風險。

「事件收集」服務可協助保護監控資料的安全。 此服務會從「Windows 事件追蹤」工作階段取得事件,並將它們寫入到監控資料庫。 只有具有「事件收集」服務所啟動之 ETW 工作階段「寫入」權限的應用程式,才能將事件寫入該工作階段以供收集。 根據預設,「事件收集」服務會以 NT_AUTHORITY\LOCAL SERVICE 身分執行。 「事件收集」服務 (NT SERVICE\AppFabricEventCollectionService) 的 SID 會新增至 AS_Administrators 群組。 這樣會賦予它監控資料庫的讀取和寫入權限,因為 AS_Administrators 屬於 ASMonitoringDBAdmin 資料庫角色。 當您使用 AppFabric Cmdlet 指令碼來建立監控資料庫時,就會正確地建立和初始化所有這些角色與群組。如果您想要以不同的使用者身分來執行「事件收集」服務,請參閱事件收集安全性以取得關於此程序的詳細資訊。

注意

因為 AppFabric 是在 IIS 下執行,所以能夠分利用一些其他功能。 IIS 會產生標準 Web 伺服器存取記錄檔以分析使用方式。 與 Windows Server 整合也代表 IIS 能夠充分利用系統稽核功能,更進一步保護資源使用的監控功能。 例如,嘗試存取安全檔案失敗可被記錄在 Windows Server 事件記錄檔中,並能透過用來管理現有伺服器的相同工具來予以稽核。

您可以使用下列方式來保護監控儲存區中的資料:

  • **使用不同的監控儲存區。**您可以使用 AppFabric Cmdlet 來建立儲存區,並使用 [監控資料庫設定] 頁面來設定,以在相同或不同的伺服器上建立並設定額外的監控儲存區。 您接著可以設定只有特定應用程式可使用該儲存區。 這樣可讓指定的應用程式擁有專屬的監控資料儲存區 (其他應用程式無法存取)。

  • **操作監控功能。**您可以使用 AppFabric 新增至「IIS 管理員」的延伸模組,對以下項目啟用或停用監控功能:應用程式中的所有工作流程服務、網站中的所有應用程式,或伺服器上的所有網站。 您可以在較高的等級定義監控原則,並讓 IIS 與 WAS 階層中的所有較低等級繼承該原則設定。

Windows 事件追蹤工作階段安全性

「事件收集」服務會從「Windows 事件追蹤」工作階段收集監控事件,並將它們儲存至監控儲存區。 您可以透過將安全性權限指派給 IIS 應用程式集區身分識別,來控制哪些應用程式可將事件寫入到「事件收集」服務 ETW 工作階段。 例如,您可能想要允許以低權限身分識別 (例如 MACHINE\MyUser) 執行的應用程式集區將事件記錄至追蹤工作階段。 若要這樣做,您必須將 TRACELOG_LOG_EVENT 事件權限指派給 MACHINE\MyUser。 您可以使用下列方式來指派這些權限:

  • 您可以使用 EventAccessControl Win32 API (https://go.microsoft.com/fwlink/?LinkId=179742) (可能為英文網頁),變更權限讓身分識別可寫入到 ETW 工作階段。

  • 透過使用效能監視器 (PERFMON.EXE),您可以將安全性權限指派給特定身分識別,來控制哪些應用程式可將事件寫入到 ETW 工作階段。 例如,您可能想要允許以 MACHINE\MyUser 身分識別執行的應用程式集區將事件記錄至追蹤工作階段 (如果該工作階段正以 SECURE 安全模式執行)。 若要這樣做,您可以在效能監視器內,於 [AppFabric 事件收集器工作階段] 的 [安全性] 索引標籤中,將 TRACELOG_LOG_EVENT 權限授與 MACHINE\MyUser。

每當您在「AppFabric 事件收集器」工作階段的 [安全性] 設定中修改群組或使用者權限時,請務必先停止該工作階段。 若不這樣做,會導致無法保留所變更的設定。

本節內容

  2012-03-05