Microsoft Operations Manager (MOM) 2005 – самое лучшее решение для управления серверами Exchange, SQL и другими. А как насчет безопасности? В этой статье мы обсудим вопросы безопасности МОМ 2005, узнаем, как Microsoft сделала новую версию более безопасной, расскажем о том, как безопаснее всего использовать МОМ.
МОМ – это инструмент управления информацией о серверах Windows, а также инструмент администрирования серверов из одной точки. Для использования МОМ необходимо иметь хотя бы один компьютер Windows Server 2003 в сети, но можно управлять и NIX и Linux серверами через стороннюю приставку, такую как MetiLinx Connect для MOM. Вы имеете возможность следить за работой сервера и безопасностью, автоматизировать много административных задач.
Примечание: Для получения более подробной информации о MetiLinx Connect см.: http://www.metilinx.com/images/ConnectforMOM2005.pdf.
Несмотря на то, что программы управления в основном используются крупными компаниями, Microsoft выпустила MOM 2005 Workgroup edition для небольших сетей (10 и менее серверов). Workgroup edition стоит меньше и не требует сервера SQL (она может использовать Microsoft Desktop Engine). Но есть и недостатки: в этой версии отсутствует возможность создания отчетов, отсутствует MOM Connector Framework (MCF), позволяющий связь по Интернету для обмена данными между различными МОМ и другими системами управления. Workgroup Edition требует Active Directory aи работает только на сервере 2003, в то время как полная версия МОМ может работать на сервере 2000.
МОМ включает в себя несколько компонентов. Вот как они работают. Вам нужен, по крайней мере, один сервер МОМ и один сервер SQL для хранения базы данных МОМ (это не касается Workgroup Edition). Инфраструктура управляется из панели администратора на сервере МОМ. Панель оператора используется для просмотра специальной информации и выполнения особых заданий членами пользовательской группы МОМ. Обычно на управляемых компьютерах есть агентские программы МОМ, установленные удаленно из панели администратора или прямо на компьютере.
МОМ 2005 поддерживает и безагентное управление, поэтому даже если агентскую программу нельзя установить, у вас есть возможность ограниченного управления. Но это приводит к проблеме в плане безопасности: в этом случае МОМ связывается с компьютерами через порт RPC. Лучше всего использовать безагентное управление для систем с локальным сетевым сегментом. Microsoft не поддерживает такой вид управления вне системы защиты firewall.
Примечание:
Для получения более подробной информации о всех компонентах МОМ и о работе программы можно загрузить руководство пользователя Microsoft Operations Manager 2005 по адресу http://www.microsoft.com/downloads/details.aspx?FamilyID=e06970bb-02f9-40da-b986-00d98d595696&DisplayLang=en.
МОМ 2005 создавался с расчетом на безопасность. Например, МОМ может работать с учетной записью Network Service на Windows Server 2003 или с учетной записью Local System. Поскольку Network Service имеет меньше возможностей, то это улучшает безопасность.
Последняя версия программы обладает взаимной авторизацией. Это означает, что сервер МОМ и агент должны авторизировать друг друга с помощью Kerberos v5, прежде чем они смогут обмениваться данными. Для использования взаимной авторизации необходимо установить доверительные отношения между доменом, к которому относится сервер МОМ, и доменом агента.
Все данные, проходящие между сервером МОМ и агентом, шифруются и подписываются по умолчанию. При отключении функции взаимной авторизации кодировка все равно используется. при включенной функции взаимной авторизации можно настроить МОМ так, чтобы она не распознавала и не связывалась с агентами, установленными вручную после включения функции.
Примечание:
Включение и выключение взаимной авторизации на сервере можно производится посредством установки или снятия галочки в диалоговом окне Administration | Global Settings (Администрирование/основные настройки) Но необходимо перезапустит службу МОМ на всех управляемых серверах после такой настройки. Также придется изменить настройки агентов через компонент Настройки агентов в Add/Remove Programs (Установить/удалить программы) на компьютерах агентов.
К средствам безопасности МОМ 2005 также относятся:
Как уже говорилось выше, агентские программы могут быть установлены вручную или автоматически. Последнее называется discovery-based deployment. Вы запускаете Мастер установки/удаления агентов в панели администратора МОМ, выбираете компьютеры, на которые хотите установить агентов и производите установку. Помните, что порты SMB and RPC используются для связи, когда МОМ устанавливает агентов. Если агенты вне системы защиты firewall, придется открыть те порты, которые могут быть небезопасны.
Примечание:
File and Printer Sharing and Client для компонентов сетей Microsoft используют порты SMB (TCP и UDP 445), отключение компонентов приводит к отключению портов.
Лучше всего вручную устанавливать агентов вне системы защиты firewall. После установки порты TCP и UDP 1270 будут доступны для связи с сервером МОМ.
Обратите внимание на то, что невозможно использовать автоматическую установку агентов, если компьютер, на который производится установка, находится в домене IPSec, а сервер МОМ нет. Если наоборот, то установка допускается, но потребуется произвести дополнительные настройки. Для разрешения связи клиента с сервером МОМ необходимо настроить сервер с системой защиты сервера, нежели с системой защиты сервера безопасности. В этом случае небезопасные клиенты также смогут связаться с сервером.
Лучше всего использовать пакет IPSec или SMB, чтобы обезопасить файлы, необходимые для установки агентских программ. Это не делается про умолчанию. IPSec обеспечит взаимную авторизацию, кодировку данных и цифровую подпись для связи между сервером МОМ и агентом. Желательно использовать IPSec, если МОМ установлен в сети без Active Directory или где невозможны доверительные отношения.
Пакет подписи SMB не обеспечивает конфиденциальность данных, но делает возможным целостность информации, гарантирую, что при передаче она не изменится. Можно использовать и Secure Sockets Layer (SSL) для защиты связи между сервером МОМ и панелью отчетов.
Если агенты находятся в рабочих группах или в небезопасных доменах, то невозможно применять взаимную авторизацию. Если МОМ сервер настроен на использование такого вида авторизации, то такие агенты не смогут связаться с сервером.
Лучшим вариантом улучшения безопасности является отключение прокси-функции агента MOM 2005. Данная функция позволяет агентам передавать информацию от имени компьютера, и может быть использована атакующими для получения данных с сервера МОМ. Для отключения этой функции необходимо задействовать взаимную авторизацию.
Примечание:
Некоторые стандартные меры безопасности могут повлиять на работу программы. Например, при использовании IIS Lockdown Wizardна сервере MOM, ASP.NET будет отключен, что сделает возможным использование web-панели МОМ.
Из некоторых источников известно, что компания Microsoft планирует совместить МОМ и Systems Management Server (сервер управления системами) и добавить в объединенный пакет Systems Center Reporting Server (сервер отчетов о системе). Это часть политики компании Microsoft. Компания собирается сделать МОМ более эффективным, доработать пакеты сторонних программ управления. С усложнением программного обеспечения вопросы безопасности становятся очень важными.
Источник www.windowsecurity.com
Tags: Exchange, linux, quote, redirect, SQL