ACS-Sicherheit in Operations Manager 2007
Letzte Aktualisierung: Mai 2009
Betrifft: Operations Manager 2007 R2, Operations Manager 2007 SP1
In Operations Manager 2007 erfordern die Überwachungssammeldienste (ACS) die gegenseitige Authentifizierung zwischen der ACS-Sammlung und jeder ACS-Weiterleitung. Standardmäßig wird die Windows-Authentifizierung, die das Kerberos-Protokoll verwendet, für diese Authentifizierung eingesetzt. Nach abgeschlossener Authentifizierung werden alle Übertragungen zwischen ACS-Weiterleitungen und ACS-Sammlungen verschlüsselt. Sie brauchen keine zusätzliche Verschlüsselung zwischen ACS-Weiterleitungen und der ACS-Sammlung zu aktivieren, es sei denn, diese gehören zu verschiedenen Active Directory-Gesamtstrukturen, die nicht vertrauenswürdig sind.
Standardmäßig werden die Daten zwischen der ACS-Sammlung und der ACS-Datenbank nicht verschlüsselt. Falls Ihr Unternehmen eine höhere Sicherheitsstufe benötigt, können Sie die gesamte Kommunikation zwischen diesen Komponenten mit SSL (Secure Sockets Layer) oder TLS (Transport Layer Security) verschlüsseln. Um die SSL-Verschlüsselung zwischen der ACS-Datenbank und der ACS-Sammlung zu aktivieren, müssen Sie sowohl auf dem Datenbankserver als auch auf dem Computer, der die ACS-Sammlung hostet, ein Zertifikat installieren. Konfigurieren Sie den SQL-Client für die ACS-Sammlung so, dass die Verschlüsselung nach der Installation dieser Zertifikate erzwungen wird.
Weitere Informationen zur Installation der Zertifikate und Aktivierung von SSL oder TLS finden Sie unter "Windows Server 2003" unter der Adresse https://go.microsoft.com/fwlink/?LinkId=76134 (möglicherweise in englischer Sprache) und unter "Obtaining and installing server certificates" (Abrufen und Installieren von Serverzertifikaten) unter der Adresse https://go.microsoft.com/fwlink/?LinkId=76135 (möglicherweise in englischer Sprache). Eine Liste der Schritte für das Erzwingen einer Verschlüsselung auf einem SQL-Client finden Sie unter https://go.microsoft.com/fwlink/?LinkId=76136.
Eingeschränkter Zugriff auf Überwachungsereignisse
Überwachungsereignisse, die in ein lokales Sicherheitsprotokoll geschrieben werden, lassen sich vom Administrator aufrufen. Überwachungsereignisse, die jedoch standardmäßig von ACS gehandhabt werden, lassen den Zugriff auf Überwachungsereignisse in der ACS-Datenbank selbst für Benutzer mit Administratorrechten nicht zu. Wenn Sie die Rolle eines Administrators von der Rolle eines Benutzers, der die ACS-Datenbank anzeigt und abfragt, trennen müssen, können Sie eine Gruppe aus Datenbankprüfprogrammen erstellen und dieser Gruppe die erforderlichen Berechtigungen für den Zugriff auf die Überwachungsdatenbank zuweisen. Schrittweise Anleitungen finden Sie unter Bereitstellen von Überwachungssammeldiensten (ACS).
Eingeschränkte Kommunikation für ACS-Weiterleitungen
Konfigurationsänderungen an der ACS-Weiterleitung sind lokal nicht zulässig, auch nicht über Benutzerkonten mit Administratorrechten. Alle Konfigurationsänderungen an der ACS-Weiterleitungen müssen von der ACS-Sammlung kommen. Für zusätzliche Sicherheit wird der von ACS verwendete eingehende TCP-Port nach der Authentifizierung der ACS-Weiterleitung mit der ACS-Sammlung geschlossen, so dass nur ausgehende Kommunikation möglich ist. Um Konfigurationsänderungen an der ACS-Weiterleitung vorzunehmen, muss die ACS-Sammlung beendet und anschließend zum erneuten Einrichten des Kommunikationskanals verwendet werden.
Trennung der ACS-Weiterleitungen von der ACS-Sammlung durch eine Firewall
Aufgrund der eingeschränkten Kommunikation zwischen der ACS-Weiterleitung und der ACS-Sammlung brauchen Sie lediglich den eingehenden TCP-Port 51909 der Firewall zu öffnen, um die ACS-Weiterleitung zu aktivieren (die von Ihrem Netzwerk durch eine Firewall getrennt ist), damit Sie die ACS-Sammlung erreichen.
Siehe auch
Tasks
Bereitstellen von Überwachungssammeldiensten (ACS)
Konzepte
Info zu Überwachungssammeldiensten (ACS) in Operations Manager 2007