Делаем маму более безопасной

Опубликовано: 13 Апреля, 2023

МАМА в двух словах


MOM — это инструмент управления для консолидации информации о ваших серверах Windows и централизованного администрирования. Чтобы использовать MOM 2005, вам потребуется по крайней мере один компьютер с Windows Server 2003 в сети, но вы даже можете запускать серверы UNIX и Linux из MOM, используя надстройку стороннего производителя, такую как MetiLinx Connect для MOM. Вы можете отслеживать производительность и безопасность, анализировать сетевые ресурсы и автоматизировать многие административные задачи.



Примечание:
 Для получения дополнительной информации о MetiLinx Connect см. http://www.metilinx.com/images/ConnectforMOM2005.pdf.


Хотя программное обеспечение для управления, как правило, развертывается предприятиями уровня предприятия, Microsoft предлагает версию MOM 2005 для рабочих групп для небольших сетей (10 или менее серверов). Редакция Workgroup стоит дешевле и не требует SQL-сервера (может использовать Microsoft Desktop Engine). Однако в нем отсутствует компонент отчетности и не включена платформа MOM Connector Framework (MCF), которая обеспечивает связь через Интернет для обмена данными между несколькими экземплярами MOM и другими системами управления сторонних производителей. Workgroup Edition требует Active Directory и работает только на сервере Server 2003, в то время как вы можете установить полный продукт MOM на сервере Windows 2000.


МОМ состоит из нескольких компонентов. В двух словах, вот как они работают вместе: вам нужен по крайней мере один сервер MOM и сервер SQL для хранения базы данных MOM (если вы не используете Workgroup Edition). Инфраструктура управляется через консоль администратора на сервере MOM. Консоль оператора используется для просмотра определенной информации и выполнения определенных задач членами группы пользователей MOM. На управляемых компьютерах обычно установлено программное обеспечение агента MOM (программное обеспечение агента можно установить удаленно из консоли администратора или вручную на локальном компьютере).


MOM 2005 также поддерживает безагентное управление, поэтому, если программное обеспечение агента не может быть установлено, возможности управления по-прежнему ограничены. Однако это может представлять проблему безопасности, поскольку MOM взаимодействует с компьютерами без агентов через порт RPC. Лучшей практикой является использование безагентного управления только в системах в пределах сегмента локальной сети. Microsoft не поддерживает использование безагентного управления на компьютерах за пределами брандмауэра.



Примечание:
 Для получения более подробной информации о каждом компоненте MOM и о том, как работает MOM, см. Концептуальное руководство по Microsoft Operations Manager 2005, которое можно загрузить по адресу http://www.microsoft.com/downloads/details.aspx?FamilyID=e06970bb-02f9-. 40da-b986-00d98d595696&DisplayLang=en.


Встроенные механизмы безопасности MOM


MOM 2005 создавался с учетом требований безопасности. Например, MOM теперь может работать под учетной записью сетевой службы в Windows Server 2003 или под учетной записью локальной системы. Поскольку сетевая служба имеет более низкий уровень привилегий, использование этой опции повышает безопасность службы.


Одной из новых функций безопасности в этой версии является взаимная проверка подлинности. Это гарантирует, что сервер MOM и агент будут аутентифицироваться друг с другом, используя Kerberos v5, прежде чем они смогут отправлять какие-либо данные друг другу. Чтобы использовать взаимную аутентификацию, необходимо установить доверительные отношения между доменом, к которому принадлежит сервер MOM, и доменом, к которому принадлежит агент.


В дополнение к аутентификации все данные, передаваемые между сервером MOM и агентом, по умолчанию шифруются и подписываются. Если вы отключите взаимную проверку подлинности, вы все равно сможете использовать шифрование, и вам не нужно устанавливать доверие AD для использования шифрования без взаимной проверки подлинности. Если у вас включена взаимная проверка подлинности, вы можете настроить MOM так, чтобы он не распознавал и не связывался с любыми агентами, установленными вручную после включения этого параметра.



Примечание:
 Включение или отключение взаимной аутентификации на сервере MOM так же просто, как установка флажка (в диалоговом окне «Свойства безопасности» узла «Администрирование | Глобальные параметры» в консоли MOM). Однако после изменения параметра необходимо перезапустить службу MOM на всех серверах управления в группе управления, а также изменить параметры агентов с помощью компонента «Настройка агента» в разделе «Установка и удаление программ» на компьютерах с агентами..


Другие функции безопасности MOM 2005 включают в себя:



  • Вы можете контролировать, какими группами компьютеров могут управлять отдельные администраторы, используя области действия.
  • Аудит задач включен (и не может быть отключен), поэтому записывается информация о задачах, выполняемых в MOM и на агентах.


Проблемы с безопасностью МОМ


Как упоминалось ранее, программное обеспечение агента можно развернуть вручную или автоматически. Последнее называется развертыванием на основе обнаружения. Вы запускаете мастер установки/удаления агентов в консоли администратора MOM, находите компьютеры, на которые хотите установить агенты (на основе заданных вами критериев), и выполняете установку. Имейте в виду, что порты SMB и RPC используются для связи, когда сервер MOM устанавливает программное обеспечение агента. Если агенты находятся по другую сторону брандмауэра, вам придется открыть эти порты, что может создать угрозу безопасности.



Примечание:
 Компоненты «Общий доступ к файлам и принтерам» и «Клиент для сетей Microsoft» используют порты SMB (TCP и UDP 445), и отключение этих компонентов отключает порты.


Лучшей практикой является установка агентов вручную за пределами брандмауэра, если это возможно. После установки таких агентов порты TCP и UDP 1270 должны быть доступны для связи с сервером MOM.


Также обратите внимание, что вы не можете использовать развертывание агента на основе обнаружения, когда машина, на которой вы хотите установить программное обеспечение агента, находится в домене IPSec, а сервер MOM — нет. Вы можете выполнить установку на основе обнаружения, если ситуация обратная (сервер MOM находится в домене IPSec, а компьютер, на котором вы хотите установить агент, — нет), но для этого потребуется дополнительная настройка. Чтобы клиент мог взаимодействовать с сервером MOM, сервер должен быть настроен с использованием политики сервера, а не политики защищенного сервера. Это может открыть сервер для связи с другими незащищенными клиентами.


Лучше всего использовать подписывание пакетов IPSec или SMB для защиты файлов, которые MOM использует для развертывания программного обеспечения агента. Эти файлы не защищены по умолчанию. IPSec обеспечит взаимную аутентификацию, шифрование данных и цифровую подпись для обмена данными между сервером MOM и агентом. Особенно желательно использовать IPSec, если MOM используется в сети без Active Directory или где отсутствие доверительных отношений препятствует взаимной аутентификации.


Подписание пакетов SMB не обеспечивает конфиденциальность данных, но подписывает пакеты для обеспечения целостности данных, гарантируя, что данные не будут изменены в пути. Вы также можете использовать Secure Sockets Layer (SSL) для защиты связи между MOM и Reporting Console.


Если агенты находятся в рабочих группах или в недоверенных доменах, вы не можете использовать взаимную аутентификацию. Если сервер MOM требует взаимной проверки подлинности, эти агенты не могут взаимодействовать с сервером.


Возможно, вы захотите отключить функцию проксирования агента MOM 2005 в качестве лучшей практики безопасности. Эта функция позволяет агентам пересылать информацию от имени других компьютеров, но злоумышленники могут использовать ее в качестве механизма спуфинга для передачи вредоносных данных на сервер MOM. Чтобы отключить проксирование агента, необходимо включить взаимную аутентификацию.



Примечание:
 Некоторые стандартные меры безопасности могут повлиять на функциональность MOM. Например, если вы используете мастер блокировки IIS на сервере MOM, ASP.NET будет отключен, и это сделает невозможным использование веб-консоли MOM.


Будущее МАМА


Согласно многим источникам, в течение следующего года Microsoft планирует объединить MOM с Systems Management Server в пакетный пакет, который также будет содержать новое решение, System Center Reporting Server. Это часть инициативы Microsoft Dynamic Systems. Ищите Microsoft, чтобы сделать MOM более надежным в будущем, чтобы конкурировать со сложными программными пакетами управления сторонних производителей. Как и в случае со всем программным обеспечением, по мере того, как продукт становится все более сложным, безопасность, безусловно, становится все более важной и сложной.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023