Безопасность служб ACS
Опубликовано: Март 2016
Применимо к:System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
В System Center 2012 — Operations Manager службы ACS требуют взаимной проверки подлинности между сборщиком ACS и каждым сервером пересылки ACS. По умолчанию в данном случае применяется проверка подлинности Windows, в которой используется протокол Kerberos. После завершения проверки подлинности все передачи между серверами пересылки ACS и сборщиком ACS шифруются. Не требуется поддерживать дополнительное шифрование между серверами пересылки ACS и сборщиком ACS, если только они не принадлежат разным лесам Active Directory без установленных отношений доверия.
По умолчанию передаваемые между сборщиком ACS и базой данных ACS данные не шифруются. Если требуется обеспечить более высокий уровень безопасности, то для шифрования всех данных, передаваемых между этими компонентами, можно использовать протокол SSL или TLS. Чтобы включить шифрование SSL между базой данных ACS и сборщиком ACS, необходимо установить сертификат как на сервере базы данных, так и на компьютере, на котором размещена служба "Сборщик ACS". После установки таких сертификатов настройте клиент SQL сборщика ACS на принудительное шифрование.
Дополнительные сведения об установке сертификатов и включении поддержки протоколов SSL или TLS см. в статье SSL и TLS в Windows Server 2003 и в статье Получение и установка сертификатов сервера. Перечисление действий, необходимых для принудительного включения шифрования на клиенте SQL, см. в статье Включение шифрования SSL для SQL Server 2000 при наличии допустимого сервера сертификатов.
Ограниченный доступ к событиям аудита
События аудита, записываемые в локальный журнал безопасности, доступны локальному администратору. Однако события аудита, обрабатываемые службами ACS, по умолчанию не позволяют пользователям (даже пользователям с правами администратора) получить доступ к журналам аудита в базе данных ACS. Если необходимо отделить роль администратора от роли пользователей, просматривающих и запрашивающих базу данных ACS, то можно создать группу аудиторов базы данных и предоставить ей необходимые разрешения для доступа к базе данных аудита. Пошаговые инструкции см. в разделе Установка службы сбора аудита (ACS).
Ограниченное взаимодействие с серверами пересылки ACS
Локальное изменение конфигурации сервера пересылки ACS не разрешается даже для учетных записей пользователя с правами администратора. Все изменения конфигурации сервера пересылки ACS должны поступать от сборщика ACS. Для обеспечения дополнительной безопасности после проверки подлинности на сборщике ACS сервер пересылки ACS закрывает входящий TCP-порт, используемый службами ACS, чтобы разрешить только исходящее подключение. Сборщик ACS должен закрыть и заново установить канал связи, чтобы внести какие-либо изменения в конфигурацию сервера пересылки ACS.
Серверы пересылки ACS отделены от сборщика ACS брандмауэром.
Из-за ограниченного взаимодействия между сервером пересылки ACS и сборщиком ACS на брандмауэре необходимо открыть только входящий TCP-порт 51909, чтобы сервер пересылки ACS, отделенный от сети предприятия брандмауэром, мог достичь сборщика ACS.
См. также
Сбор событий безопасности с помощью служб ACS в Operations Manager
Как настроить сертификаты для пересылки и сбора ACS
Планирование загрузки служб ACS
Счетчики производительности служб ACS
Как включить сбор аудита службы пересылки (ACS)
Как включить ведение журнала событий и правил ACS на компьютерах AIX и Solaris
Инструкции по фильтрации событий ACS для UNIX и Linux компьютеров
Мониторинг производительности служб ACS
Удаление службы сбора аудита (ACS)
Администрирование служб ACS (AdtAdmin.exe)