Wednesday, February 21st, 2018

Улучшение безопасности МОМ

Published on Февраль 3, 2009 by   ·   Комментариев нет

Microsoft Operations Manager (MOM) 2005 – самое лучшее решение для управления серверами Exchange, SQL и другими. А как насчет безопасности? В этой статье мы обсудим вопросы безопасности МОМ 2005, узнаем, как Microsoft сделала новую версию более безопасной, расскажем о том, как безопаснее всего использовать МОМ.

Кратко о МОМ

МОМ – это инструмент управления информацией о серверах Windows, а также инструмент администрирования серверов из одной точки. Для использования МОМ необходимо иметь хотя бы один компьютер Windows Server 2003 в сети, но можно управлять и NIX и Linux серверами через стороннюю приставку, такую как MetiLinx Connect для MOM. Вы имеете возможность следить за работой сервера и безопасностью, автоматизировать много административных задач.

Примечание: Для получения более подробной информации о MetiLinx Connect см.: http://www.metilinx.com/images/ConnectforMOM2005.pdf.

Несмотря на то, что программы управления в основном используются крупными компаниями, Microsoft выпустила MOM 2005 Workgroup edition для небольших сетей (10 и менее серверов). Workgroup edition стоит меньше и не требует сервера SQL (она может использовать Microsoft Desktop Engine). Но есть и недостатки: в этой версии отсутствует возможность создания отчетов, отсутствует MOM Connector Framework (MCF), позволяющий связь по Интернету для обмена данными между различными МОМ и другими системами управления. Workgroup Edition требует Active Directory aи работает только на сервере 2003, в то время как полная версия МОМ может работать на сервере 2000.

МОМ включает в себя несколько компонентов. Вот как они работают. Вам нужен, по крайней мере, один сервер МОМ и один сервер SQL для хранения базы данных МОМ (это не касается Workgroup Edition). Инфраструктура управляется из панели администратора на сервере МОМ. Панель оператора используется для просмотра специальной информации и выполнения особых заданий членами пользовательской группы МОМ. Обычно на управляемых компьютерах есть агентские программы МОМ, установленные удаленно из панели администратора или прямо на компьютере.

МОМ 2005 поддерживает и безагентное управление, поэтому даже если агентскую программу нельзя установить, у вас есть возможность ограниченного управления. Но это приводит к проблеме в плане безопасности: в этом случае МОМ связывается с компьютерами через порт RPC. Лучше всего использовать безагентное управление для систем с локальным сетевым сегментом. Microsoft не поддерживает такой вид управления вне системы защиты firewall.

Примечание:
Для получения более подробной информации о всех компонентах МОМ и о работе программы можно загрузить руководство пользователя Microsoft Operations Manager 2005 по адресу http://www.microsoft.com/downloads/details.aspx?FamilyID=e06970bb-02f9-40da-b986-00d98d595696&DisplayLang=en.

Встроенный механизм безопасности МОМ

МОМ 2005 создавался с расчетом на безопасность. Например, МОМ может работать с учетной записью Network Service на Windows Server 2003 или с учетной записью  Local System. Поскольку Network Service имеет меньше возможностей, то это улучшает безопасность.

Последняя версия программы обладает взаимной авторизацией. Это означает, что сервер МОМ и агент должны авторизировать друг друга с помощью Kerberos v5, прежде чем они смогут обмениваться данными. Для использования взаимной авторизации необходимо установить доверительные отношения между доменом, к которому относится сервер МОМ, и доменом агента.

Все данные, проходящие между сервером МОМ и агентом, шифруются и подписываются по умолчанию. При отключении функции взаимной авторизации кодировка все равно используется. при включенной функции взаимной авторизации можно настроить МОМ так, чтобы она не распознавала и не связывалась с агентами, установленными вручную после включения функции.

Примечание:
Включение и выключение взаимной авторизации на сервере можно производится посредством установки или снятия галочки в диалоговом окне Administration | Global Settings (Администрирование/основные настройки) Но необходимо перезапустит службу МОМ на всех управляемых серверах после такой настройки. Также придется изменить настройки агентов через компонент Настройки агентов в Add/Remove Programs (Установить/удалить программы) на компьютерах агентов.

К средствам безопасности МОМ 2005 также относятся:

  • Возможность контролирования, какими группами компьютеров могут управлять администраторы.
  • Проверка заданий всегда задействована, чтобы записывать информацию о заданиях на сервере МОМ и агентах.

Безопасность МОМ

Как уже говорилось выше, агентские программы могут быть установлены вручную или автоматически. Последнее называется discovery-based deployment. Вы запускаете Мастер установки/удаления агентов в панели администратора МОМ, выбираете компьютеры, на которые хотите установить агентов и производите установку. Помните, что порты SMB and RPC используются для связи, когда МОМ устанавливает агентов. Если агенты вне системы защиты firewall, придется открыть те порты, которые могут быть небезопасны.

Примечание:
File and Printer Sharing and Client для компонентов сетей Microsoft используют порты SMB (TCP и UDP 445), отключение компонентов приводит к отключению портов.

Лучше всего вручную устанавливать агентов вне системы защиты firewall. После установки порты TCP и UDP 1270 будут доступны для связи с сервером МОМ.

Обратите внимание на то, что невозможно использовать автоматическую установку агентов, если компьютер, на который производится установка, находится в домене IPSec, а сервер МОМ нет. Если наоборот, то установка допускается, но потребуется произвести дополнительные настройки. Для разрешения связи клиента с сервером МОМ необходимо настроить сервер с системой защиты сервера, нежели с системой защиты сервера безопасности. В этом случае небезопасные клиенты также смогут связаться с сервером.

Лучше всего использовать пакет IPSec или SMB, чтобы обезопасить файлы, необходимые для установки агентских программ. Это не делается про умолчанию. IPSec обеспечит взаимную авторизацию, кодировку данных и цифровую подпись для связи между сервером МОМ и агентом. Желательно использовать IPSec, если МОМ установлен в сети без Active Directory или где невозможны доверительные отношения.

Пакет подписи SMB не обеспечивает конфиденциальность данных, но делает возможным целостность информации, гарантирую, что при передаче она не изменится. Можно использовать и Secure Sockets Layer (SSL) для защиты связи между сервером МОМ и панелью отчетов.

Если агенты находятся в рабочих группах или в небезопасных доменах, то невозможно применять взаимную авторизацию. Если МОМ сервер настроен на использование такого вида авторизации, то такие агенты не смогут связаться с сервером.

Лучшим вариантом улучшения безопасности является отключение прокси-функции агента MOM 2005. Данная функция позволяет агентам передавать информацию от имени компьютера, и может быть использована атакующими для получения данных с сервера МОМ. Для отключения этой функции необходимо задействовать взаимную авторизацию.

Примечание:
Некоторые стандартные меры безопасности могут повлиять на работу программы. Например, при использовании IIS Lockdown Wizardна сервере MOM, ASP.NET будет отключен, что сделает возможным использование web-панели МОМ.

Будущее МОМ

Из некоторых источников известно, что компания Microsoft планирует совместить МОМ и Systems Management Server (сервер управления системами) и добавить в объединенный пакет Systems Center Reporting Server (сервер отчетов о системе). Это часть политики компании Microsoft. Компания собирается сделать МОМ более эффективным, доработать пакеты сторонних программ управления. С усложнением программного обеспечения вопросы безопасности становятся очень важными.

Источник www.windowsecurity.com






Смотрите также:

Tags: , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]