Überlegungen zur Sicherheit
Letzte Aktualisierung: Mai 2009
Betrifft: Operations Manager 2007 R2, Operations Manager 2007 SP1
Die meiste Arbeit bei der Vorbereitung der Umgebung für Operations Manager 2007 entfällt auf sicherheitsrelevante Aufgaben. In diesem Abschnitt erhalten Sie eine groben Überblick über diese Aufgaben; detailliertere Informationen finden Sie im Operations Manager 2007-Sicherheitshandbuch unter https://go.microsoft.com/fwlink/?LinkId=129499
Die Vorbereitung der sicherheitsrelevanten Aufgaben umfasst Folgendes:
Verstehen, Planen und Vorbereiten der Überwachung über Vertrauensgrenzen hinweg
Verstehen, Planen und Vorbereiten der Überwachung von UNIX- oder Linux-Computern
Planen und Vorbereiten der benötigten Dienstkonten, Benutzerkonten und Sicherheitsgruppen
Verstehen und Vorbereiten der für Ihren Entwurf erforderlichen Netzwerkports
Vertrauensgrenzen
Active Directory-Domänen bilden die Basiseinheit einer Kerberos-Vertrauensgrenze für Operations Manager. Diese Grenze wird automatisch auf andere Domänen im selben Namespace (in derselben Active Directory-Struktur) erweitert sowie über transitive Vertrauensstellungen auf Domänen, die sich in unterschiedlichen Active Directory-Strukturen aber derselben Active Directory-Gesamtstruktur befinden. Die Vertrauensgrenze kann durch Verwendung von Gesamtstruktur-übergreifenden Vertrauensstellungen auch auf Domänen in unterschiedlichen Active Directory-Gesamtstrukturen erweitert werden.
Kerberos
Das Kerberos-Authentifizierungsprotokoll, das von Domänencontrollern ab Windows 2000 unterstützt wird, kann nur innerhalb der Vertrauensgrenze verwendet werden. Kerberos-Authentifizierung ist ein Mechanismus, der zur Durchführung der gegenseitigen Operations Manager 2007-Agent/Server-Authentifizierung verwendet wird. Die gegenseitige Agent/Server-Authentifizierung ist in Operations Manager 2007 für die gesamte Agent/Server-Kommunikation vorgeschrieben.
Eine Operations Manager-Verwaltungsgruppe kann zwar Ermittlung und Überwachung außerhalb der eigenen Kerberos-Vertrauensgrenze durchführen. Da jedoch das Standardauthentifizierungsprotokoll für Windows-basierte Computer, die keiner Active Directory-Domäne angeschlossen sind, NTLM ist, muss für die gegenseitige Authentifizierung ein anderer Mechanismus verwendet werden. Dies erfolgt durch den Austausch von Zertifikaten zwischen Agents und Servern.
Zertifikate
Wenn eine Operations Manager 2007-Kommunikation über Vertrauensgrenzen hinweg erfolgen soll, z. B. wenn ein Server, den Sie überwachen möchten, sich in einer anderen, nicht vertrauenswürdigen Active Directory-Domäne als die Verwaltungsgruppe befindet, die die Überwachung ausführt, können Zertifikate verwendet werden, um die Anforderung der gegenseitigen Authentifizierung zu erfüllen. Durch manuelle Konfiguration können Sie Zertifikate erhalten und den Computern sowie den darauf ausgeführten Operations Manager-Diensten zuweisen. Wird ein Dienst gestartet, der mit einem Dienst auf einem anderen Computer kommunizieren muss, und versucht er, die Authentifizierung vorzunehmen, werden die Zertifikate ausgetauscht, und die gegenseitige Authentifizierung wird vorgenommen.
Wichtig
Die zu diesem Zweck verwendeten Zertifikate müssen letztendlich derselben Stammzertifizierungsstelle vertrauen.
Weitere Informationen zu Bezug und Verwendung von Zertifikaten zur gegenseitigen Authentifizierung finden Sie unter Bereitstellen eines Gatewayservers im Szenario mit mehreren Servern und einer Verwaltungsgruppe.
Zertifizierungsstelle
Um die erforderlichen Zertifikate zu erhalten, benötigen Sie Zugriff auf eine Zertifizierungsstelle. Dies kann entweder Microsoft Zertifikatsdienste oder ein Fremdanbieter-Zertifizierungsdienst wie VeriSign sein.
Microsoft Zertifikatsdienste
Es gibt vier Arten von Microsoft-Zertifizierungsstellen:
Stammzertifizierungsstelle des Unternehmens
Untergeordnete Zertifizierungsstelle des Unternehmens
Eigenständige Stammzertifizierungsstelle
Eigenständige untergeordnete Zertifizierungsstelle
Die beiden Arten von Unternehmenszertifizierungsstellen erfordern Active Directory-Domänendienste, die eigenständigen Zertifizierungsstellen nicht. Beide Arten von Zertifizierungsstellen können die erforderlichen Zertifikate für die gegenseitige Agent/Server-Authentifizierung über Vertrauensgrenzen hinweg herausgeben.
Üblicherweise besteht eine Zertifizierungsstelleninfrastruktur aus einer Stammzertifizierungsstelle, die die eigenen Zertifikate signiert und sich selbst zertifiziert, sowie einer oder mehreren untergeordneten Zertifizierungsstellen, die von der Stammzertifizierungsstelle zertifiziert werden. Die Zertifikate werden bei den untergeordneten Zertifizierungsstellenserver angefordert, während der Stammzertifizierungsstellen-Server offline geschaltet ist und als Sicherung dient. Weitere Informationen zum Entwurf von Zertifikaten finden Sie unter "Unternehmensentwurf für Zertifikatdienste (https://go.microsoft.com/fwlink/?LinkId=86400) und im Thema "Zertifikate" in der Operations Manager 2007-Hilfe.
Überwachen von UNIX- und Linux-Computern
Operations Manager 2007 R2 kann UNIX- und Linux-Computer überwachen. Da UNIX- und Linux-Computer nicht Teil der Active Directory-Domäne sind, in der sich die Verwaltungsgruppe befindet, wird eine Variante der oben behandelten Zertifikatmethode gegenseitiger Authentifizierung verwendet.
Einrichten der gegenseitigen Authentifizierung mit UNIX- und Linux-Computern
Sie verwenden den Ermittlungs-Assistenten, um UNIX- und Linux-Computer zu finden und als verwaltete Objekte zur Verwaltungsgruppe hinzuzufügen. Während der Ausführung des Ermittlungs-Assistenten lässt Operations Manager die ermittelten UNIX- und Linux-Computer ein selbstsigniertes Zertifikat generieren, das zur gegenseitigen Authentifizierung mit dem Verwaltungsserver verwendet wird. Die Prozesse Generieren, Signieren und Austauschen von Zertifikaten funktionieren bei aktivierter SSH-Ermittlung folgendermaßen:
Der Prozess des Ermittlungs-Assistenten auf dem Verwaltungsserver lässt den UNIX- oder Linux-Computer ein selbstsigniertes Zertifikat generieren.
Der ermittelnde Verwaltungsserver gibt eine Zertifikatsanforderung an den UNIX- oder Linux-Computer heraus.
Der UNIX- oder Linux-Computer gibt das Zertifikat an den Veraltungsserver zurück.
Der ermittelnde Verwaltungsserver erstellt ein Schlüsselpaar und ein eigenes selbstsigniertes Zertifikat. Der Verwaltungsserver generiert nur beim Ermitteln des ersten UNIX- oder Linux-Computers ein Schlüsselpaar und ein selbstsigniertes Zertifikat. Der Verwaltungsserver importiert dann das eigene Zertifikat in seinen vertrauenswürdigen Zertifikatspeicher. Der ermittelnde Verwaltungsserver signiert anschließend das UNIX- oder Linux-Zertifikat mit seinem privaten Schlüssel. Bei jeder nachfolgenden Signierung von UNIX- oder Linux-Computerzertifikaten durch den Verwaltungsserver wird der bei der ersten Signierung generierte private Schlüssel des Verwaltungsservers wiederverwendet.
Der ermittelnde Verwaltungsserver gibt dann eine Put-Zertifikatsanforderungen heraus, die das jetzt vom Verwaltungsserver signierte Zertifikat zurück auf den UNIX- oder Linux-Computer ablegt, der das Zertifikat ursprünglich generiert hat. Die Kommunikationsschicht des UNIX- oder Linux-Computers wird anschließend neu gestartet, damit das neue vom UNIX-\Linux-Computer generierte Zertifikat aktiv wird.
Wenn der Verwaltungsserver jetzt die Authentifizierung des UNIX- oder Linux-Computers fordert, stellt der UNIX- oder Linux-Computer dem Verwaltungsserver das vertrauenswürdige Zertifikat bereit, und der Verwaltungsserver liest die Signatur auf dem vorgelegten Zertifikat, überprüft, ob er dieser Signatur vertraut (weil die Signatur dem im eigenen vertrauenswürdigen Zertifikatspeicher gespeicherten privaten Schlüssel entspricht), und akzeptiert das Zertifikat als Beweis dafür, dass es sich wirklich um den erwarteten UNIX-oder LINUX-Computer handelt.
Der ermittelnde Verwaltungsserver verwendet die im entsprechenden ausführenden Profil konfigurierten UNIX- oder Linux-Anmeldeinformationen für die eigene Authentifizierung gegenüber dem UNIX- oder Linux-Computer. Weitere Details finden Sie im Abschnitt "Planen der ausführenden Profile für UNIX oder Linux".
Wichtig
Die oben stehende Reihenfolge von Vorgängen trifft auf die UNIX- oder Linux-Ermittlung auf niedriger Sicherheitsstufe zu. Empfehlungen für die Hochsicherheitsversion finden Sie im Operations Manager 2007-Sicherheitshandbuch unter https://go.microsoft.com/fwlink/?LinkId=129499.
Planen der ausführenden Profile für UNIX- oder Linux
Sobald der UNIX- oder Linux-Computer vom ermittelnden Verwaltungsserver verwaltet wird, beginnt die Ausführung von Management Pack-Ermittlung und -Workflows. Bei diesen Workflows ist für eine erfolgreiche Durchführung die Verwendung von Anmeldeinformationen erforderlich. Die ausführenden Profile enthalten diese Anmeldeinformationen sowie Angaben dazu, auf welche Objekte, Klassen oder Gruppen sie angewendet und an welche Computer sie verteilt werden. Es gibt zwei ausführende Profile, die beim Import der UNIX-Management Packs in Ihre Verwaltungsgruppe importiert werden:
Unix-Aktionskonto-Profil: Dieses ausführende Profil und die zugeordneten UNIX- oder Linux-Anmeldeinformationen werden auf vorgesehenen UNIX- oder Linux-Computern für Aktivitäten mit niedriger Sicherheitsstufe verwendet.
Privilegiertes Unix-Konto-Profil: Dieses ausführende Profil und die zugeordneten UNIX- oder Linux-Anmeldeinformationen werden für Aktivitäten verwendet, die durch eine höhere Sicherheitsstufe geschützt werden und daher auf dem UNIX- oder Linux-Computer ein Konto mit höherer Berechtigungsstufe erfordern. Dies kann (muss aber nicht) das Stammkonto sein.
Für einen ordnungsgemäßen Betrieb müssen Sie diese Profile mit den entsprechenden UNIX- oder Linux-Computeranmeldeinformationen für die Management Pack-Workflows konfigurieren, die diese verwenden. Weitere Informationen zu ausführenden Konten und ausführenden Profilen finden Sie unter "Ausführende Profile und ausführende Konten in Operations Manager 2007" in der Produkthilfe.
Konten und Gruppen
Über die Lebensdauer Ihrer Operations Manager-Bereitstellung werden Sie wahrscheinlich viele Konten und Sicherheitsgruppen benötigen. Während des Operations Manager-Setups werden Sie nur aufgefordert, vier Konten festzulegen. Bei der Planung von rollenbasierten Sicherheitszuordnungen, Benachrichtigungen und alternativen Anmeldeinformationen zum Ausführen von Prozessen sollten Sie über die Einrichtung weiterer Konten nachdenken. Anleitungen zur Planung rollenbasierter Sicherheitszuweisungen finden Sie im Operations Manager 2007-Entwurfshandbuch unter https://go.microsoft.com/fwlink/?LinkId=104550.
Rollenbasierte Sicherheitskonten und -gruppen
Operations Manager steuert den Zugriff auf überwachte Gruppen, Tasks, Ansichten und administrative Funktionen über die Zuweisung von Benutzerkonten zu Rollen. Eine Rolle in Operations Manager ist die Kombination aus Profiltyp (Operator, erweiterter Operator, Administrator) und Bereich (auf welche Daten die Rolle Zugriff hat). Typischerweise werden Active Directory-Sicherheitsgruppen Rollen zugeordnet, und anschließend werden einzelne Konten diesen Gruppen zugewiesen. Planen Sie vor der Bereitstellung die Active Directory-Sicherheitsgruppen, die zu diesen hinzugefügt werden können, sowie alle benutzererstellten Rollen, so dass Sie dann einzelne Benutzerkonten zu den Sicherheitsgruppen hinzufügen können.
Operations Manager stellt die folgenden Rollendefinitionen standardmäßig bereit.
| Rollenname | Profiltyp | Profilbeschreibung | Rollenbereich |
|---|---|---|---|
Operations Manager-Administratoren: Werden beim Setup erstellt; können nicht gelöscht werden; müssen eine oder mehrere globale Gruppen enthalten. |
Administrator |
Verfügt über vollständige Berechtigungen für Operations Manager; eine Bereichsdefinition für das Administratorprofil wird nicht unterstützt. |
Vollständiger Zugriff auf alle Daten, Dienste, Verwaltungs- und Entwurfstools von Operations Manager |
Erweiterte Operations Manager-Operatoren: Werden beim Setup erstellt; gelten für alle Bereiche; können nicht gelöscht werden. |
Erweiterter Operator |
Verfügt über eingeschränkten Zugriff zum Ändern der Operations Manager-Konfiguration; kann Außerkraftsetzungen von Regeln erstellen; überwacht Ziele oder Gruppen von Zielen innerhalb des konfigurierten Bereichs. |
Zugriff auf alle aktuell vorhandenen und zukünftig importierten Gruppen, Ansichten und Tasks |
Operations Manager-Autoren: Werden beim Setup erstellt; gelten für alle Bereiche; können nicht gelöscht werden. |
Autor |
Kann Tasks, Regeln, Monitore und Ansichten innerhalb des konfigurierten Bereichs erstellen, bearbeiten und löschen. |
Zugriff auf alle aktuell vorhandenen und zukünftig importierten Gruppen, Ansichten und Tasks |
Operations Manager-Operatoren: Werden beim Setup erstellt; gelten für alle Bereiche; können nicht gelöscht werden. |
Operator |
Kann innerhalb des konfigurierten Bereichs mit Warnungen interagieren, Tasks ausführen und auf Ansichten zugreifen. |
Zugriff auf alle aktuell vorhandenen und zukünftig importierten Gruppen, Ansichten und Tasks |
Schreibgeschützte Operations Manager-Operatoren: Werden beim Setup erstellt; gelten für alle Bereiche; können nicht gelöscht werden. |
Schreibgeschützter Operator |
Kann innerhalb des konfigurierten Bereichs Warnungen anzeigen und auf Ansichten zugreifen. |
Zugriff auf alle aktuell vorhandenen und zukünftig importierten Gruppen und Ansichten |
Operations Manager-Bericht-Operatoren: Werden beim Setup erstellt; gelten für alle Bereiche. |
Bericht-Operator |
Kann innerhalb des konfigurierten Bereichs Berichte anzeigen. |
Gilt für alle Bereiche. |
Operations Manager-Bericht-Sicherheitsadministrator: Integriert SQL Reporting Services-Sicherheit in Operations Manager-Benutzerrollen; ermöglicht Operations Manager-Administratoren, den Zugriff auf Berichte zu steuern; Bereichsdefinition nicht möglich. |
Bericht-Sicherheitsadministrator |
Ermöglicht die Integration der SQL Server Reporting Services-Sicherheit in Operations Manager-Rollen. |
Kein Bereich |
Sie können die Active Directory-Sicherheitsgruppen oder einzelne Konten zu jeder dieser vordefinierten Rollen zuordnen. Dadurch erhalten die einzelnen Benutzer die Berechtigungen der jeweiligen Rollen für die Objekte des festgelegten Bereichs.
Hinweis
Die vordefinierten Rollen gelten für alle Bereiche, und bieten Zugriff auf alle Gruppen, Ansichten und Tasks (außer für den Bericht-Sicherheitsadministrator).
Operations Manager ermöglicht Ihnen außerdem, benutzerdefinierte Rollen basierend auf den Profilen "Operator", "Schreibgeschützter Operator", "Autor" und "Erweiterter Operator" zu erstellen. Beim Erstellen der Rolle können Sie die Bereiche von Gruppen, Tasks und Ansichten, auf die die Rolle zugreifen kann, weiter einschränken. Sie können z. B. eine Rolle mit dem Namen "Exchange-Operator" erstellen, und den Bereich auf Exchange-bezogene Gruppen, Ansichten und Tasks beschränken. Benutzerkonten, die dieser Rolle zugewiesen werden, können Aktionen auf Operatorebene nur für Exchange-bezogene Objekte ausführen.
Wichtig
Sie sollten unbedingt eine Domänensicherheitsgruppe für die Operations Manager-Administratorrolle erstellen; diese muss bei der ersten Setupausführung für eine Verwaltungsgruppe vorhanden sein.
Benachrichtigungskonten und -gruppen
Benutzer in Ihrem Unternehmen, die häufig mit Operations Manager interagieren, beispielsweise ein Exchange-Administrator, der der Rolle "Exchange-Operator" angehört, benötigen eine Möglichkeit, neue Warnungen zu erkennen. Dazu müssen sie entweder selbst die Betriebskonsole auf neue Warnungen überprüfen, oder der Operations Manager informiert sie über unterstützte Kommunikationskanäle über Warnungen. Operations Manager unterstützt Benachrichtigungen per E-Mail, Instant Messaging, Short Message Service oder Pager. Benachrichtigungen über die Dinge, die die Rolle wissen muss, gehen an die in Operations Manager festgelegten Empfänger. Ein Operations Manager-Empfänger ist lediglich ein Objekt mit einer gültigen Adresse, unter der die Benachrichtigung empfangen wird, z. B. eine SMTP-Adresse für E-Mail-Benachrichtigungen.
Daher macht es Sinn, Rollenzuweisungen mit Benachrichtigungsgruppen-Mitgliedschaften über eine E-Mail-aktivierte Sicherheitsgruppe zu kombinieren. Erstellen Sie beispielsweise eine Sicherheitsgruppe "Exchange-Administratoren", und weisen Sie dieser Gruppe Benutzer zu, die über Kenntnisse und Berechtigungen zum Korrigieren von Problemen in Exchange verfügen. Weisen Sie diese Sicherheitsgruppe einer benutzererstellten Exchange-Administratorrolle zu, sodass sie Zugriff auf die Daten erhält und E-Mail-aktiviert ist. Erstellen Sie dann einen Empfänger unter Verwendung der SMTP-Adresse der E-Mail-aktivierten Sicherheitsgruppe.
Dienstkonten
Zum Zeitpunkt der Bereitstellung müssen die folgenden Dienstkonten funktionsbereit sein. Wenn Sie Domänenkonten verwenden, und für Ihr Domänen-Gruppenrichtlinienobjekt (GPO) die Standard-Kennwortablaufrichtlinie auf Erforderlich festgelegt ist, müssen Sie entweder die Kennwörter für die Dienstkonten entsprechend dem Zeitplan ändern, wartungsarme Systemkonten verwenden oder die Konten so konfigurieren, dass die Kennwörter niemals ablaufen.
| Kontoname | Erforderlich wenn | Verwendet für | Wartungsarm | Hohe Sicherheit |
|---|---|---|---|---|
Verwaltungsserver-Aktionskonto |
Verwaltungsserversetup |
Sammeln von Anbieterdaten, Ausführen von Antworten |
Lokales System |
Domänenkonto mit niedrigen Berechtigungen |
SDK- und Konfigurationsdienstkonto |
Verwaltungsserversetup |
Schreiben in Betriebsdatenbank, Ausführen von Diensten |
Lokales System |
Domänenkonto mit niedrigen Berechtigungen |
Lokales Administratorkonto für Zielgeräte |
Ermittlung und Pushen der Agentinstallation |
Installieren von Agents |
Domänen- oder lokales Administratorkonto |
Domänen- oder lokales Administratorkonto |
Agentaktionskonto |
Ermittlung und Pushen der Agentinstallation |
Sammeln von Informationen und Ausführen von Antworten auf verwalteten Computern |
Lokales System |
Domänenkonto mit niedrigen Berechtigungen |
Data Warehouse-Aktionskonto für Schreibvorgänge |
Berichtsserversetup |
Schreiben in die Berichterstattungs-Data Warehouse-Datenbank |
Domänenkonto mit niedrigen Berechtigungen |
Domänenkonto mit niedrigen Berechtigungen |
Datenlesekonto |
Berichtsserversetup |
Abfragen der SQL Reporting Services-Datenbank |
Domänenkonto mit niedrigen Berechtigungen |
Domänenkonto mit niedrigen Berechtigungen |
Ausführung als Konten
Agents auf überwachten Computern können Tasks, Module und Monitore bei Bedarf sowie als Reaktion auf vordefinierte Bedingungen ausführen. Standardmäßig werden alle Tasks unter Verwendung der Anmeldeinformationen des Agentaktionskontos ausgeführt. In einigen Fällen verfügt das Agentaktionskonto möglicherweise nicht über die benötigten Rechte und Berechtigungen zum Ausführen einer bestimmten Aktion auf dem Computer. Operations Manager unterstützt die Ausführung von Tasks durch Agents im Kontext eines alternativen Satzes von Anmeldeinformationen, einem so genannten ausführenden Konto. Ein ausführendes Konto ist ein Objekt, das wie ein Empfänger in Operations Manager erstellt und einem Active Directory-Benutzerkonto zugeordnet wird. Dann wird ein ausführendes Profil verwendet, das das ausführende Konto einem bestimmten Computer zuordnet. Wenn eine Regel, eine Task oder ein Monitor, die/der einem ausführenden Profil während der Entwicklung eines Management Packs zugeordnet wurde, auf dem Zielcomputer ausgeführt werden muss, geschieht dies unter Verwendung des angegebenen ausführenden Kontos.
Standardmäßig stellt Operations Manager eine Reihe von ausführenden Konten und ausführenden Profilen bereit, und Sie können bei Bedarf weitere erstellen. Sie können auch die Active Directory-Anmeldeinformationen ändern, denen ein ausführendes Konto zugeordnet ist. Zu diesem Zweck müssen zusätzliche Active Directory-Anmeldeinformationen geplant, erstellt und gepflegt werden. Sie sollten diese Konten in Bezug auf Kennwortablauf, Active Directory-Domänendienste, Speicherort und Sicherheit wie Dienstkonten behandelt.
Sie müssen mit Management Pack-Autoren bei der Entwicklung von Anfragen nach ausführenden Konten zusammenarbeiten.
Weitere Informationen finden Sie im Operations Manager 2007-Sicherheitshandbuch.