安全性考量
適用於: System Center 2012 R2 Operations Manager, Data Protection Manager for System Center 2012, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
在準備 System Center 2012 – Operations Manager 的環境時,大部分的工作與安全性相關。 本節概略說明這些工作的內容。 如需詳細資訊,請參閱 Index to Security-related Information for Operations Manager (Operations Manager 的安全性相關資訊索引)。
準備安全性相關工作包含下列項目:
瞭解、規劃與準備跨信任界限監視。
瞭解、規劃與準備監視 UNIX 或 Linux 電腦。
規劃與準備所需的服務帳戶、使用者帳戶及安全性群組。
瞭解與準備您的設計所需的網路連接埠。
信任界限
Active Directory 網域構成 Operations Manager 視為 Kerberos 信任界限的基本單位。 此界限會自動展開到相同命名空間 (相同的 Active Directory 樹狀目錄) 中的其他網域,以及介於不同 Active Directory 樹狀目錄,但透過轉移信任位於相同 Active Directory 樹系的網域之間。 信任界限可進一步拓展到透過使用跨樹系信任位於不同 Active Directory 樹系之間的網域。
Kerberos
Windows 2000 網域控制站和以上版本支援的 Kerberos 驗證通訊協定只能在信任界限內執行。 Kerberos 驗證是用來執行 Operations Manager 代理程式/伺服器相互驗證的機制。 在 Operations Manager 殼層 中,所有代理程式/伺服器通訊都必須有代理程式/伺服器相互驗證。
儘管 Operations Manager 管理群組確實能夠在其所在 Kerberos 信任界限之外執行探索和監視, 不過由於未加入 Active Directory 網域的 Windows 電腦的預設驗證通訊協定是 NTLM,因此必須使用其他機制來支援相互驗證。 這可透過在代理程式和伺服器之間交換憑證來達成。
憑證
當 Operations Manager 通訊需要跨越信任界限進行時 (例如,當您要監視的伺服器位在與執行監視的管理群組相異且不受信任的 Active Directory 網域中),可以使用憑證來滿足相互驗證的需求。 您可以透過手動設定來取得憑證,以及與電腦和其上運作的 Operations Manager 服務相關聯。 當需要與其他電腦上服務通訊的服務啟動並嘗試驗證時,系統會交換憑證及完成相互驗證。
重要事項 |
---|
此用途所用的憑證必須完全信任相同的根憑證授權單位 (CA)。 |
如需如何取得憑證,以及將憑證用於相互驗證的詳細資訊,請參閱部署閘道伺服器。
憑證授權單位
若要取得必要憑證,您需要憑證授權單位 (CA) 的存取權。 您可以使用 Microsoft 憑證服務,也可以使用協力廠商憑證授權單位,例如 VeriSign。
Microsoft 憑證服務
Microsoft CA 共有四種類型:
企業根
企業次級
獨立根
獨立次級
兩種企業類型的 CA 都需要 Active Directory 網域服務;獨立型 CA 則否。 每一種類型的 CA 都可核發代理程式/伺服器跨越信任界限相互驗證所需的憑證。
通常來說,CA 基礎結構由簽署自有憑證及自行認證的根 CA 以及由根認證的一或多個次級 CA 所組成。 次級 CA 伺服器是服務憑證要求的伺服器,而根則會離線以供妥善保存。 如需設計憑證的詳細資訊,請參閱 Infrastructure Planning and Design (基礎結構規劃和設計) 和 Windows 電腦的驗證與資料加密。
監視 UNIX 和 Linux 電腦
System Center 2012 – Operations Manager 可以監視 UNIX 和 Linux 電腦。 由於 UNIX 和 Linux 電腦並未加入管理群組所在的 Active Directory 網域,因此會使用先前探討過的變通憑證方法來進行相互驗證。
與 UNIX 和 Linux 電腦建立相互驗證
您需要使用探索精靈來尋找 UNIX 和 Linux 電腦,然後以受管理物件的形式將其新增至管理群組。 在探索精靈運作期間,Operations Manager 會讓探索到的 UNIX 和 Linux 電腦產生自我簽署憑證,該憑證乃用於與管理伺服器進行相互驗證。 憑證的產生、簽署及交換程序與啟用 SSH 探索時相似:
管理伺服器上的探索精靈處理序會讓 UNIX 或 Linux 電腦產生自我簽署憑證。
探索管理伺服器會將取得憑證要求發給 UNIX 或 Linux 電腦。
UNIX 或 Linux 電腦會將憑證傳回給管理伺服器。
探索管理伺服器會建立自己的金鑰組和自我簽署憑證。 管理伺服器只會在探索到第一部 UNIX 或 Linux 電腦時產生金鑰組和自我簽署憑證。 接著,管理伺服器會將自己的憑證匯入信任的憑證存放區。 探索管理伺服器會利用自己的私密金鑰簽署 UNIX 或 Linux 憑證。 管理伺服器在簽署後續的 UNIX 或 Linux 電腦憑證時,都會重複使用管理伺服器首次簽署時產生的私密金鑰。
探索伺服器接著會發出放置憑證要求,將經過管理伺服器簽署的新憑證放回最初產生憑證的 UNIX 或 Linux 電腦。 UNIX 或 Linux 電腦 WSMAN 通訊層接著會重新啟動,使新 UNIX\Linux 電腦產生的憑證處於作用中狀態。
現在當管理伺服器要求 UNIX 或 Linux 電腦自行驗證時,UNIX 或 Linux 電腦會將受信任的憑證提供給管理伺服器,而管理伺服器會讀取所提供的憑證上的簽章,查看此簽章是否是信任的簽章 (因為簽章是儲存在自己信任之憑證存放區中的專屬私密金鑰),然後接受此憑證並將其視為 UNIX 或 LINUX 電腦的身分與管理伺服器認知相同的證明。
探索管理伺服器會根據適當執行身分設定檔中的設定,使用 UNIX 或 Linux 認證來向 UNIX 或 Linux 電腦驗證其身分。 請參閱 UNIX 或 Linux 執行身分設定檔規劃一節以取得詳細資料。
重要事項 |
---|
前文的操作順序適用於低安全性版本的 UNIX 或 Linux 探索。 |
UNIX 或 Linux 執行身分設定檔規劃
當 UNIX 或 Linux 電腦受到探索管理伺服器管理後,管理組件探索和工作流程會開始執行。 在這些工作流程開始之前,認證的使用必須成功完成。 執行身分設定檔包含這些認證、認證套用的物件、類別或群組,以及認證要散發的電腦。 當您將 UNIX 管理組件匯入管理群組時,會匯入兩個執行身分設定檔,包括:
Unix 動作帳戶設定檔 – 此執行身分設定檔和相關的 UNIX 或 Linux 認證適用於指定 UNIX 或 Linux 電腦上的低安全性活動。
Unix 特殊權限帳戶設定檔 – 此執行身分設定檔和相關的 UNIX 或 Linux 認證適用於受到較高等級安全性保護的活動,因此需要 UNIX 或 Linux 電腦上擁有較高權限的帳戶。 該帳戶可以是 (但非必要) 根帳號。
您需要使用適當的 UNIX 或 Linux 電腦認證設定這些設定檔,使用這些設定檔的管理組件工作流程才能正常運作。
帳戶和群組
在 Operations Manager 部署的存留時間,您可能會需要許多帳戶和安全性群組。 在 Operations Manager 安裝期間,系統只會提示您建立四個帳戶。 在規劃角色型安全性指派、通知和執行處理序的替代認證時,您需要考慮建立更多的帳戶。 如需角色型安全性指派的規劃指引,請參閱規劃 System Center 2012 - Operations Manager 部署。
角色型安全性帳戶和群組
Operations Manager 透過將使用者帳戶指派給角色,控制受監視群組、工作、檢視及系統管理功能的存取權限。Operations Manager 中的角色是設定檔類型 (操作員、進階操作員、系統管理員) 和領域 (角色能存取的資料) 的組合。 一般來說,您可以將 Active Directory 安全性群組指派給角色,再將個別的帳戶指派給這些群組。 在部署之前,請先規劃可新增至上述角色和任何自訂角色的 Active Directory 安全性群組,以便將個別的使用者帳戶新增至安全性群組。
Operations Manager 提供下列預設角色定義。
角色名稱 |
設定檔類型 |
設定檔描述 |
角色領域 |
---|---|---|---|
Operations Manager 系統管理員:於安裝時建立;無法刪除;必須包含一或多個全域群組 |
系統管理員 |
具備 Operations Manager 的完整權限;不支援設定系統管理員的領域 |
所有 Operations Manager 資料、服務、系統管理和撰寫工具的完整存取權限 |
Operations Manager 進階操作員:於安裝時建立;領域設定為全域;無法刪除 |
進階操作員 |
具備有限的 Operations Manager 設定變更權限;可建立規則覆寫;可監視設定之領域內的目標或目標群組 |
可存取現有以及日後匯入的所有群組、檢視及工作 |
Operations Manager 作者:於安裝時建立;領域設定為全域;無法刪除 |
作者 |
具備在設定之領域內建立、編輯和刪除工作、規則、監視與檢視的能力 |
可存取現有以及日後匯入的所有群組、檢視及工作 |
Operations Manager 操作員:於安裝時建立;領域設定為全域;無法刪除 |
運算子 |
根據設定之領域,具備與警示互動、執行工作及存取檢視的能力 |
可存取現有以及日後匯入的所有群組、檢視及工作 |
Operations Manager 唯讀操作員:於安裝時建立;領域設定為全域;無法刪除 |
唯讀操作員 |
根據設定之領域,具備檢視警示及存取檢視的能力 |
可存取現有以及日後匯入的所有群組及檢視 |
Operations Manager 報表操作員:於安裝時建立;領域設定為全域 |
報表操作員 |
根據設定之領域,具備檢視報表的能力 |
領域設定為全域 |
Operations Manager 報表安全性系統管理員:整合 SQL Server Reporting Services 安全性與 Operations Manager 使用者角色;將報表存取權限的控制能力授與 Operations Manager 系統管理員;無法設定領域 |
報表安全性系統管理員 |
允許將 SQL Server Reporting Services 安全性與 Operations Manager 角色整合 |
無法設定其領域 |
您可將 Active Directory 安全性群組或個別帳戶新增至任何上述預先定義的角色。 如果您這麼做,個別群組或帳戶將可跨已設定領域的物件執行特定角色權限。
注意事項 |
---|
預先定義之角色的領域皆設定為全域,因而賦予這些角色所有群組、檢視及工作的存取權 (報表安全性系統管理員除外)。 |
Operations Manager 也可讓您根據操作員、唯讀操作員、作者和進階操作員設定檔建立自訂角色。 當您建立角色時,可以進一步縮小角色能存取的群組、工作及檢視的領域。 例如,您可以建立名為「Exchange 操作員」的角色,然後將領域縮小為僅限 Exchange 相關群組、檢視和工作。 指派給此角色的使用者帳戶只能針對 Exchange 相關物件執行操作員等級的動作。
通知帳戶和群組
公司中與 Operations Manager 互動頻繁的人員 (例如指派為 Exchange 操作員角色的 Exchange 系統管理員) 都需要發現新警示的方法。 這可藉由在 Operations 主控台中監看新警示,或讓 Operations Manager 透過支援的通訊通道來通知警示相關資訊等方法來達成。Operations Manager 支援透過電子郵件、立即訊息、簡訊服務或呼叫器訊息來進行通知。 針對角色需知悉的事項而傳送的通知會送達您在 Operations Manager 中指定的收件者。Operations Manager 收件者只是具備接收通知之有效地址 (例如接收電子郵件通知的 SMTP 地址) 的物件。
因此,這在邏輯上是透過啟用電子郵件功能的安全性群組將角色指派和通知群組成員結合。 例如,建立 Exchange 系統管理員安全性群組,然後將具備修復 Exchange 之知識與權限的個人填入其中。 將此安全性群組指派至自訂建立的 Exchange 系統管理員角色,因此群組便具備資料存取權並啟用電子郵件功能。 接著,使用啟用電子郵件功能之安全性群組的 SMTP 位址來建立收件者。
服務帳戶
部署時,您需要備妥下列服務帳戶。 如果您使用網域帳戶,並根據所需將網域群組原則物件 (GPO) 的密碼到期原則設定為預設,那麼您將需要定期變更服務帳戶的密碼、或使用低維護系統帳戶,或設定帳戶讓密碼永不過期。
帳戶名稱 |
要求時機 |
用途 |
低維護 |
高安全性 |
---|---|---|---|---|
管理伺服器動作帳戶 |
管理伺服器安裝 |
收集來自提供者的資料,執行回應 |
本機系統 |
低權限網域帳戶 |
資料存取服務和設定服務帳戶 |
管理伺服器安裝 |
寫入操作資料庫,執行服務 |
本機系統 |
低權限網域帳戶 |
目標裝置的本機系統管理員帳戶 |
探索與推入代理程式安裝 |
安裝代理程式 |
網域或本機系統管理員帳戶 |
網域或本機系統管理員帳戶 |
代理程式動作帳戶 |
探索與推入代理程式安裝 |
在管理的電腦上收集資訊及執行回應 |
本機系統 |
低權限網域帳戶 |
資料倉儲寫入動作帳戶 |
報表伺服器安裝 |
寫入報表資料倉儲資料庫 |
低權限網域帳戶 |
低權限網域帳戶 |
資料讀取器帳戶 |
報表伺服器安裝 |
參閱 SQL Reporting Services 資料庫 |
低權限網域帳戶 |
低權限網域帳戶 |
服務主要名稱
當您部署 Operations Manager 時,需要在某些設定中登錄服務主要名稱 (SPN)。 Kerberos 驗證會使用 SPN 來讓用戶端與伺服器相互驗證。 如需詳細資訊,請參閱 What Are Service Publication and Service Principal Names? (什麼是服務發行和服務主要名稱?)。
當您安裝 Operations Manager 時,需要為 System Center 設定服務和 System Center 資料存取服務選取帳戶。 如需詳細資訊,請參閱部署 System Center 2012 - Operations Manager。
警告 |
---|
請勿修改預設的 Active Directory 權限,以允許帳戶在不受限制的情況下修改自己的 SPN。 |
如果您將本機系統選為 System Center 資料存取服務帳戶,該帳戶可以建立適當的 SPN。 無需進行其他設定。
如果您使用網域帳戶,則必須為每部管理伺服器登錄 SPN。 請使用 SETSPN 命令列工具。 如需執行該工具的詳細資訊,請參閱 Setspn Overview (Setspn 概觀)。
請使用下列語法登錄管理伺服器的 NetBIOS 名稱和完整網域名稱:
setspn –a MSOMSdkSvc/<netbios name> <DAS account domain>\<DAS account name>
setspn –a MSOMSdkSvc/<fqdn> <DAS account domain>\<DAS account name>
提示 |
---|
您可以使用下列語法列出已向使用者帳戶或電腦登錄的 SPN: setspn –l <DAS account name> setspn –l <fqdn> |
如果您使用網路負載平衡器或是使用硬體負載平衡器,System Center 資料存取服務必須在網域帳戶下執行。 除了已經提過的安裝程式之外,您還必須使用下列語法登錄負載平衡器的名稱:
setspn –a MSOMSdkSvc/<load balanced name> <DAS account domain>\<DAS account name>
注意事項 |
---|
在負載平衡器後面執行的所有 System Center 資料存取服務都必須使用相同的網域帳戶來執行。 |
執行身分帳戶
受監視電腦上的代理程式可視需要執行工作、模組和監視,以及對預先定義的條件進行回應。 依預設,所有工作都是利用代理程式動作帳戶認證來執行。 在某些情況下,代理程式動作帳戶可能沒有足夠的權限可以在電腦上執行指定的動作。Operations Manager 支援由另一組稱為執行身分帳戶之認證內容中的代理程式來執行工作。 執行身分帳戶就像收件者一樣,是在 Operations Manager 中建立的物件,而且會對應到 Active Directory 使用者帳戶。 接著系統會使用執行身分設定檔,將執行身分帳戶對應至特定電腦。 當在管理管理組件部署期間與執行身分設定檔建立關聯的規則、工作或監視需要在目標電腦上執行時,便可使用指定的執行身分帳戶來執行。
Operations Manager 預設會提供一些執行身分帳戶及執行身分設定檔,不過您也可以視需要建立其他帳戶和設定檔。 您也可以選擇修改與執行身分帳戶相關聯的 Active Directory 認證。 不過您將需要為此目的規劃、建立和維護額外的 Active Directory 認證。 在處理關於密碼到期、Active Directory 網域服務、位置與安全性方面的問題時,您應該將這些帳戶視為服務帳戶。
您將需要與負責編寫執行身分帳戶要求的管理組件作者合作。 如需詳細資訊,請參閱 Index to Security-related Information for Operations Manager (Operations Manager 的安全性相關資訊索引)。