Naplózási szolgáltatások biztonsága

 

Közzétett: 2016. március

Érvényes: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

A System Center 2012 – Operations Manager részét képező naplózási szolgáltatások (ACS) kölcsönös hitelesítést igényel az ACS-gyűjtő és az egyes ACS-továbbítók között. Ez a hitelesítés alapesetben Windows-hitelesítéssel történik, ami a Kerberos protokollra alapul. A hitelesítés elvégzése után az ACS-továbbítók és az ACS-gyűjtő közötti minden adatátvitel titkosítva zajlik. Az ACS-továbbítók és az ACS-gyűjtő között nincs szükség további titkosításra, hacsak nem olyan eltérő Active Directory-erdőkben találhatók, amelyek között nincs megbízhatósági kapcsolat.

Az ACS-gyűjtő és az ACS-adatbázis közötti adatkapcsolat alapesetben nincs titkosítva. Ha a szervezet magasabb szintű biztonságot követel meg, akkor Biztonságos szoftvercsatorna (SSL) vagy Transport Layer Security (TLS) segítségével titkosítható a két összetevő közötti kommunikáció. Az ACS-adatbázis és az ACS-gyűjtő közötti SSL-titkosítás engedélyezéséhez mind az adatbázis-kiszolgálóra, mind az ACS-gyűjtő szolgáltatást futtató kiszolgálóra telepíteni kell egy tanúsítványt. A tanúsítványok telepítése után kötelező titkosításra kell konfigurálni az ACS-gyűjtőn található SQL-ügyfelet.

A tanúsítványok telepítésével, illetve az SSL és a TLS engedélyezésével kapcsolatos részletes információkat lásd: SSL and TLS in Windows Server 2003 (SSL és TLS a Windows Server 2003 operációs rendszerben) és Obtaining and installing server certificates (Kiszolgálói tanúsítványok beszerzése és telepítése). A titkosításnak az SQL-ügyfélen történő kötelező érvényű bekapcsolásához szükséges lépéseket lásd: How to enable SSL encryption for SQL Server 2000 if you have a valid Certificate Server (Az SSL-titkosítás engedélyezése az SQL Server 2000 szoftverben érvényes tanúsítványkiszolgáló elérhetősége esetén).

A naplóesemények korlátozott elérése

A helyi biztonsági naplóba kerülő naplóeseményeket csak a helyi rendszergazda érheti el. Az ACS által kezelt és az ACS-adatbázisba írt naplóeseményeket alapesetben azonban még a rendszergazdai jogú felhasználók sem érhetik el. Ha el kell választani a rendszergazdai szerepkört az ACS-adatbázis nézeteinek és lekérdezéseinek elérésére jogosult szerepkörtől, akkor létre kell hozni egy adatbázis-auditori csoportot, majd ennek a csoportnak kell jogosultságot adni a naplóadatbázis elérésére. A részletes útmutatást lásd: Naplózási szolgáltatások (ACS) telepítése.

Korlátozott kommunikáció az ACS-továbbítókkal

Az ACS-továbbítók konfigurációja helyben nem módosítható, még rendszergazdai jogosultságokkal sem. Az ACS-továbbítók minden konfigurációváltoztatásának az ACS-gyűjtőtől kell érkeznie. A biztonság fokozása érdekében az ACS-továbbító, miután elvégezte a hitelesítést az ACS-gyűjtővel, lezárja az ACS által használt bejövő TCP-portot, vagyis kizárólag kifelé irányuló kommunikációra van lehetőség. Az ACS-gyűjtőnek le kell zárnia, majd újra fel kell építenie a kommunikációs csatornát, ha módosítani szeretné az ACS-továbbító konfigurációját.

Az ACS-gyűjtőtől tűzfallal elválasztott ACS-továbbítók

Mivel az ACS-továbbító és az ACS-gyűjtő között csak korlátozott kommunikáció folyik, a tűzfalon csak a bejövő 51909-es TCP-portot kell megnyitni ahhoz, hogy a hálózattól tűzfallal elválasztott ACS-továbbító el tudja érni az ACS-gyűjtőt.