稽核收集服務安全性
適用於: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
在 System Center 2012 – Operations Manager 中,稽核收集服務 (ACS) 需要在 ACS 收集器與所有 ACS 轉寄站之間交互驗證。 依預設,使用 Kerberos 通訊協定的 Windows 驗證將用於進行此驗證。 驗證完成後,ACS 轉寄站和 ACS 收集站之間的所有傳輸均受加密。 除非 ACS 轉寄站與 ACS 收集站分屬於未建立信任的不同 Active Directory 樹系,否則您無需在兩者之間啟用額外的加密。
依預設,ACS 收集器和 ACS 資料庫之間的資料並未加密。 如果您的組織需要更高層級的安全性,您可使用安全通訊端層 (SSL) 或傳輸層安全性 (TLS) 來加密這些元件間所有的通訊。 若要啟用 ACS 資料庫和 ACS 收集器之間的 SSL 加密,您必須在資料庫伺服器以及主控 ACS 收集器服務的電腦上均安裝憑證。 安裝憑證後,請設定 ACS 收集器上的 SQL 用戶端以強制加密。
如需安裝憑證以及啟用 SSL 或 TLS 的詳細資訊,請參閱 SSL and TLS in Windows Server 2003 (Windows Server 2003 中的 SSL 和 TLS) 和 Obtaining and installing server certificates (取得和安裝伺服器憑證)。 如需在 SQL 用戶端上強制加密的步驟清單,請參閱如果您具備有效的憑證伺服器,如何為 SQL Server 2000 啟用 SSL 加密。
限制存取稽核事件
本機系統管理員可存取寫入本機安全性記錄檔的稽核事件,不過 ACS 處理之稽核事件依預設將不會允許使用者 (即使是具備系統管理權限的使用者) 存取 ACS 資料庫中的稽核事件。 如果您需要區別系統管理員角色與檢視跟查詢該 ACS 資料庫用戶,您可以針對資料庫稽核人員建立一群組,然後指派該群組必要的權限來存取稽核資料庫。 如需逐步指示,請參閱如何安裝稽核收集服務 (ACS)。
ACS 轉寄站的限制通訊
在本機上無法變更 ACS 轉寄站設定,即便是具備系統管理員權限的使用者帳戶也不例外。 所有針對 ACS 轉寄站所做的設定變更都必須來自 ACS 收集器。 為了增加安全性,ACS 轉寄站驗證 ACS 收集器後便會關閉 ACS 使用的輸入 TCP 連接埠,因此只允許輸出通訊。 該 ACS 收集器必須先終止,然後重新建立通訊通道來變更 ACS 轉寄站設定。
ACS 轉寄站和 ACS 收集器由防火牆區隔。
因為 ACS 轉寄站和 ACS 收集器之間只容許限制通訊,所以您只需要在防火牆上開啟輸入 TCP 連接埠 51909 來讓 ACS 轉寄站 (此轉寄站與您的網路之間將有防火牆作為區隔) 與 ACS 收集器進行連線。