Exportar (0) Imprimir
Expandir todo
Expandir Minimizar

Administración de cuentas SMS - Escenarios y procedimientos de Microsoft Systems Management Server 2003: seguridad

Administración de cuentas SMS

Publicado: enero 9, aaaa

La administración de cuentas para SMS variará según la seguridad que se esté utilizando, avanzada o estándar y también dependerá del tipo de cliente en uso, avanzado o heredado. Desde un punto de vista de seguridad, el uso del cliente heredado no es aconsejable. Haga todo lo posible por eliminar el cliente heredado del entorno cuanto antes.

Esta sección describe las prácticas recomendadas para la administración de cuentas SMS. Si desea consultar una lista completa de todas las cuentas SMS, incluidas las que SMS crea y mantiene automáticamente, vea el Apéndice C: cuentas, grupos y contraseñas de SMS. Para consultar tareas relacionadas con la administración de cuentas SMS, consulte la sección Administración de cuentas SMS, incluida en el Apéndice E: procedimientos de seguridad de SMS.

Esta sección comienza con una discusión sobre la administración de cuentas en términos generales que se aplica tanto a la seguridad estándar como a la avanzada. Cuando se utiliza seguridad avanzada, se reduce en gran medida la complejidad de la cuenta pero el administrador tendrá que llevar a cabo un mayor número de pasos manuales durante la configuración inicial. Si se utiliza seguridad estándar, hay prácticas recomendadas adicionales que pueden aplicarse. Si se ve obligado a ejecutar el cliente heredado, consulte el Apéndice D: seguridad en entornos de cliente heredado para obtener más información al respecto.

En esta página

Principios de seguridad Principios de seguridad
Administración de cuentas de seguridad avanzada Administración de cuentas de seguridad avanzada
Administración de cuentas de seguridad estándar Administración de cuentas de seguridad estándar

Principios de seguridad

Los principios siguientes se aplican tanto a la seguridad estándar como a la avanzada.

Utilice cuentas únicas en cada sitio o dominio.

De este modo, si la seguridad de una cuenta se encuentra en peligro en una ubicación, no podrá utilizarse en ningún otro lugar. Para evitar confusiones, dote a estas cuentas únicas de nombres de usuario también únicos (en lugar de encontrarse solamente en bases de datos SAM únicas).

Seleccione un método de instalación de cliente que ofrezca un equilibrio razonable de facilidad de administración y tolerancia de riesgo.

La instalación de software cliente SMS requiere la existencia de credenciales administrativas en los equipos. Estas credenciales pueden obtenerse de varias formas y cada una de ellas es apropiada para diferentes métodos de instalación de clientes:

  • Es posible que los usuarios cuenten con las credenciales administrativas de los equipos que utilizan. En este caso, las credenciales pueden utilizarse para la instalación de software cliente durante el inicio de sesión si el cliente se instala como parte de la secuencia de comandos de inicio de sesión. Alternativamente, los usuarios pueden instalar el software desde una carpeta compartida, un sitio Web o una fuente similar.

  • Es posible que disponga de un dominio o una cuenta local que tiene credenciales administrativas en todos los equipos. La función de instalación de software cliente puede utilizar esta cuenta para la instalación de clientes. Si este tipo de cuenta no está disponible, puede intentar obtener una cuenta con la función de usuario de dominio pero que se incluya en el grupo de administradores locales de todos los equipos cliente. Puede utilizar la característica de grupo restringido de Directiva de grupo para agregar un miembro a un grupo automáticamente y forzar su pertenencia al grupo.

  • Quizás tenga establecido un método de distribución de software capaz de instalar software con credenciales administrativas. Por ejemplo, en el caso de que desee actualizar los clientes SMS 2.0 a clientes avanzados SMS 2003, puede implementar el cliente avanzado en los equipos que utilizan la distribución de software.

  • En un entorno de alta seguridad, los administradores de red podrían instalar manualmente todos los clientes SMS para controlar la ubicación y el modo en que se instalan los componentes.

Agregue usuarios al grupo de administradores de SMS cuando requieran acceso a la consola de administración de SMS pero no necesiten ser administradores locales.

El grupo de administradores de SMS proporciona a sus miembros acceso al proveedor de SMS a través de WMI.

Si prefiere utilizar un grupo local diferente para otorgar acceso a la consola de administración de SMS, asigne los permisos WMI necesarios.

Si crea su propio grupo local o grupo local de dominio para proporcionar acceso a la consola de administración de SMS, deberá otorgar a dicho grupo local o grupo local de dominio el mismo permiso WMI que al grupo de administradores de SMS. De forma predeterminada, la cuenta Todos tiene los permisos de ejecutar métodos, escribir proveedor y habilitar cuenta. El grupo de administradores de SMS cuenta explícitamente con los permisos de habilitar cuenta y habilitar de forma remota en el espacio de nombres Root\SMS.

Agregue usuarios al grupo de usuarios de informes si requieren el acceso a informes pero no a la consola de administración de SMS.

El grupo de usuarios de informes controla el acceso al sitio Web de informes de SMS cuando se utiliza el modo de autenticación de Windows en el servidor que ejecuta SQL Server. Debido a que éste es un grupo local, deberá agregar usuarios a cada punto de informe individualmente, en caso de que requieran acceso a más de uno.

Si solamente un administrador conoce la contraseña de una cuenta, séllela y almacénela centralmente.

Para mantener la seguridad de SMS, dé a conocer las contraseñas de las cuentas SMS más importantes (o, posiblemente, de todas las cuentas) a un solo administrador. Esto suele ser posible en organizaciones pequeñas. El administrador puede guardar las contraseñas escritas en un sobre sellado en una ubicación segura como, por ejemplo, la caja fuerte de la empresa a la que sólo tiene acceso el personal autorizado.

De este modo, si el administrador de SMS no está disponible en algún momento en que deban realizarse cambios importantes, un superior o algún otro miembro del personal autorizado pueden proporcionar las contraseñas necesarias a un experto en SMS con los conocimientos requeridos. El sobre sellado garantiza que nadie ha tenido acceso a las contraseñas desde que se establecieron.

Es importante actualizar el registro de las contraseñas en el sobre siempre que se produzcan cambios.

tip.gif  Sugerencia
Una opción alternativa es establecer la custodia compartida de las contraseñas de administración de SMS. Divida las contraseñas en dos o tres partes y repártalas a administradores diferentes. Los administradores tendrán que introducir su parte de la contraseña en el orden correcto para obtener acceso a la cuenta.
En entornos de alta seguridad, exija el uso de una tarjeta inteligente para la cuenta de administrador de SMS.  

Administración de cuentas de seguridad avanzada

La seguridad avanzada no es compatible con muchas cuentas y requiere muy pocas. Para planificar y administrar la seguridad de SMS de forma eficaz es esencial entender las acciones requeridas para administrar cuentas SMS. En esta sección se presupone que está usando SQL Server en el modo de autenticación de Windows (recomendable).

La seguridad avanzada utiliza siempre las cuentas siguientes:

  • LocalSystem

  • Equipo (nombreequipo$)

Si instala clientes por medio de la función de instalación de software cliente, deberá crear una cuenta de instalación de software cliente con derechos administrativos sobre los clientes de destino. Con seguridad avanzada, no hay una cuenta de servicio SMS a la que recurrir para la instalación de software cliente, y la cuenta de equipo de servidor del sitio no puede utilizarse para la instalación.

note.gif  Nota
Si tiene intenciones de utilizar la función de instalación de software cliente para implementar el cliente avanzado en equipos miembros de dominios de Windows NT 4.0 y ningún usuario estará conectado localmente al sistema de destino, tendrá que crear también la cuenta de acceso a red del cliente avanzado.

Compruebe que las cuentas de equipos apropiadas disponen de los permisos necesarios.

La seguridad avanzada requiere menos cuentas pero exige un nivel de administración superior para proporcionar el entorno de seguridad adecuado. El requisito de intervención administrativa proporciona comprobaciones y balances para una administración de cuentas SMS segura.

Más que de prácticas recomendadas, la sección siguiente trata de los requisitos para que la seguridad avanzada funcione correctamente. La mayoría de los errores que se producen durante el uso de seguridad avanzada se deben a la configuración incorrecta de grupos.

Compruebe que las cuentas de equipo para los puntos de administración, puntos de acceso de cliente, puntos de informe, puntos de localización de servidor y el servidor de base de datos del sitio SMS (en caso de ser remoto) se agregan al grupo de conexión de sistema del sitio al servidor del sitio.

Cuando se actualiza un sitio de seguridad estándar a seguridad avanzada, de forma automática, SMS agrega al grupo de conexión de sistema del sitio al servidor del sitio las cuentas de equipo para el punto de acceso de cliente (CAP), el punto de administración y el servidor de base de datos del sitio SMS (en caso de ser remoto). Los puntos de informe y de localización de servidor deben agregarse manualmente. No agregue puntos de distribución a este grupo.

Compruebe que todos los sitios tienen cuentas configuradas para comunicaciones de sitio a sitio.

Si está llevando a cabo la migración de seguridad estándar a seguridad avanzada, las cuentas de dirección del sitio existentes continuarán funcionando. En caso de que más adelante decida utilizar la cuenta de equipo como cuenta de dirección del sitio, deberá comprobar que la cuenta del equipo emisor es miembro del grupo de conexión de sitio a sitio en el equipo receptor. Los sitios secundarios realizan envíos únicamente a sitios principales pero los sitios principales pueden iniciar comunicaciones de sitio a sitio con sitios secundarios o terciarios y requerir la pertenencia al grupo de conexión de sitio a sitio en sitios terciarios.

important.gif  Importante
Si especifica una cuenta de usuario de dominio como cuenta de dirección del sitio y luego decide que desea utilizar la cuenta de equipo como cuenta de dirección del sitio, tendrá que eliminar la dirección y volver a crearla. El cambio del nombre de la cuenta no es suficiente cuando se trata de pasar de una cuenta de usuario a la cuenta nombreequipo$.

Compruebe que la cuenta de equipo para el servidor del sitio se agrega al grupo de administradores local para cada punto de administración, punto de acceso de cliente, punto de informe, punto de localización de servidor, servidor de base de datos del sitio SMS (en caso de ser remoto) y punto de distribución.

Si utiliza Windows Server 2003, puede agregar cuentas de equipos a grupos mediante el uso de la interfaz gráfica de usuario. Si utiliza Windows 2000 Server, solamente puede agregar una cuenta de equipo a un grupo local o grupo de dominio local por medio del símbolo del sistema. Si desea consultar los procedimientos, consulte la sección Inclusión en grupos de las cuentas de equipo, que encontrará en el Apéndice E: procedimientos de seguridad de SMS.

Compruebe que las cuentas de equipo para los puntos de administración, puntos de localización de servidor y puntos de informe se agregan al grupo de conexión de sistema del sitio a SQL Server.

En el modo de seguridad avanzada únicamente y de forma automática, SMS intenta agregar las cuentas de equipos para los puntos de administración y de localización del servidor al grupo de conexión de sistema del sitio a SQL Server cuando se habilitan en un sitio los sistemas de puntos de administración y de localización del servidor. Si la cuenta de equipo de servidor del sitio no tiene derechos administrativos sobre el servidor que ejecuta SQL Server, tendrá que agregar las cuentas al grupo manualmente. Esto suele ocurrir cuando los servidores de sitios secundarios no son administradores en el servidor de base de datos del sitio SMS del servidor del sitio principal.

Otorgue a la cuenta de equipo de servidor del sitio los permisos necesarios para publicar en Active Directory (aplicable únicamente si ha ampliado el esquema de Active Directory).

Si instaló SMS utilizando seguridad estándar y amplió el esquema, la cuenta de servicio SMS debería contar ya con permisos de control total al contenedor de administración del sistema y todos los objetos secundarios en Active Directory. Tras la migración del sitio a seguridad avanzada, tendrá que eliminar la lista de control de acceso (ACL) para la cuenta de servicio SMS y otorgar permisos de control total sobre la cuenta de equipo de servidor del sitio al contenedor de administración del sistema y todos los objetos secundarios.

Si instaló SMS utilizando seguridad avanzada y amplió el esquema, la cuenta de equipo de servidor del sitio debería contar ya con permisos de control total al contenedor de administración del sistema en Active Directory. SMS no podrá publicar información en Active Directory hasta que no se otorguen los permisos apropiados.

Si desea consultar los procedimientos específicos que sirven para ampliar el esquema y conceder los permisos de publicación necesarios en Active Directory, vea las notas del producto “Active Directory Schema Modification and Publishing for Systems Management Server 2003” en el sitio Web del Centro de descargas de Microsoft.

Tras la migración de seguridad estándar a seguridad avanzada, elimine cuentas que ya no se necesitan (entorno de cliente avanzado).

La migración de un sitio a seguridad avanzada no resulta en la eliminación automática de las cuentas de seguridad estándar, ya que puede haber clientes (u otros sitios) que las necesiten. Puede eliminar las cuentas cuando esté totalmente seguro de que ya no se están utilizando.

caution.gif  Precaución
Esta lista presupone que no hay clientes heredados en el sitio y, por lo tanto, incluye instrucciones para la eliminación de cuentas de clientes heredados. Si dispone de clientes heredados, consulte la sección Tras la migración a seguridad avanzada, elimine las cuentas de seguridad que ya no se necesitan (entorno de cliente heredado), incluida en el Apéndice D: seguridad en entornos de cliente heredado.

Eliminar siempre

  • Cuenta de servicio SMS

  • Cargador de inicio CCM (DC) (SMS#_dc)

  • Cargador de inicio CCM (no DC) (SMSCCMBootAcct&)

  • Servicios de cliente (DC) (SMS&_dc)

  • Servicios de cliente (no DC) (SMSCliSvcAcct&)

  • Token de usuario de cliente (DC) (SMSCliToknAcct&)

  • Token de usuario de cliente (no DC) (SMSCliToknLocalAcct&)

  • Conexión de cliente (SMSClient_códigositio)

  • Instalación de software de cliente heredado

  • Grupo de clientes internos (SMSInternalCliGrp)

Eliminar algunas veces

  • Base de datos de sistemas del sitio (SMS_SQL_RX_códigositio)    No elimine esta cuenta si se cumplen las condiciones siguientes:

    • Hay un sitio secundario ejecutándose en un entorno de seguridad estándar.

    • El sitio secundario utiliza un punto de administración de proxy.

    • No se ha configurado una cuenta alternativa para acceder al servidor de base de datos del sitio SMS del sitio principal.

  • Conexión de servidor (SMSServer_códigositio)     Elimine esta cuenta si la base de datos del sitio SMS se encuentra en el servidor del sitio. En SMS 2003 (sin SP1), si el proveedor de SMS está instalado en un equipo remoto que ejecuta SQL Server, la eliminación de la cuenta SMSServer_códigositio podría impedir el acceso del servidor del sitio al servidor de base de datos del sitio SMS. *SP Éste deja de ser el caso tras la actualización a SMS 2003 SP1. *SP Para obtener más información, realice una consulta sobre errores que pueden darse durante la transición de seguridad estándar a seguridad avanzada en SMS 2003 Operations Release Notes dentro de Microsoft TechNet. 

No eliminar

  • Los siguientes grupos:

    • Administradores de SMS (SMS Admins)

    • Usuarios de informes (SMS Reporting Users)

    • Conexión de sistema del sitio al servidor del sitio (SMS_SiteSystemToSiteServerConnection_códigositio)

    • Conexión de sistema del sitio a SQL Server (SMS_SiteSystemToSQLConnection_códigositio)

    • Conexión de sitio a sitio (SMS_SiteToSiteConnection_códigositio)

  • Las siguientes cuentas:

    • Cuenta de instalación de software cliente (a menos que haya cambiado la necesidad de conservar esta cuenta)

    • Cuenta de acceso a red de cliente avanzado (a menos que haya cambiado la necesidad de conservar esta cuenta)

    • Cualquier cuenta de dirección del sitio que haya agregado a SMS_SiteToSiteConnection_códigositio, a menos que ya las haya reemplazado con cuentas de equipos.

Administración de cuentas de seguridad estándar

El modo de seguridad estándar es compatible con un gran número de cuentas y requiere muchas que pueden utilizarse para administrar tareas SMS. Cuantas más cuentas se necesiten en SMS, más difícil será administrarlas y más compleja será también la administración general de la seguridad de SMS. La reducción del número de cuentas en seguridad estándar incrementa el riesgo de seguridad: si cualquiera de las cuentas restantes se encuentra en peligro, todos los equipos en que puede utilizarse esta cuenta se ven afectados por el mismo riesgo.

Administre la creación de cuentas durante la instalación con seguridad estándar.

Es posible controlar nombres de cuentas y ubicaciones por medio de la instalación de SMS con parámetros de línea de comandos o mediante el archivo SMSAccountSetup.ini. El control de las cuentas durante la configuración puede reducir el número de cuentas creadas de forma predeterminada en una organización grande. También puede ser importante en lo que respecta a disponibilidad y capacidad de recuperación. Si desea obtener más información sobre el modo de controlar la creación de cuentas durante la configuración, consulte la sección Opciones de línea de comandos de configuración, incluida en el Apéndice C: cuentas, grupos y contraseñas de SMS.

important.gif  Importante
El archivo de inicialización o cualquier archivo por lotes con opciones de línea de comandos muestra las contraseñas para estos servidores predeterminados y cuentas de conexión de cliente en texto sin formato. Por lo tanto, es importante restringir el acceso a estos archivos. El directorio de sistema de Windows NT es de acceso restringido pero deben tomarse precauciones adicionales si estos archivos se encuentran fuera de este directorio.

Cree su propia contraseña para la cuenta de conexión de servidor SMS.

Cuando se lleva a cabo la configuración inicial de un sitio, el programa de configuración crea una cuenta de conexión de servidor SMS predeterminada (SMSServer_<códigositio>) con una contraseña aleatoria. Esta cuenta permite a componentes en sistemas del sitio remotos realizar tareas de lectura y escritura en el servidor del sitio. Cuando vuelve a crearse un sitio durante una operación de recuperación, el programa de configuración crea de nuevo la cuenta de conexión de servidor SMS con otra contraseña aleatoria diferente de la contraseña original.

Para habilitar la comunicación apropiada entre el servidor del sitio en recuperación y todos los sistemas del sitio en el sitio, la contraseña nueva de la cuenta de conexión de servidor SMS debe propagarse a estos últimos. Para ello es necesario llevar a cabo un restablecimiento del sitio, que puede tardar en completarse.

Por medio de la especificación de su propia contraseña para la cuenta de conexión de servidor SMS puede evitarse la necesidad de ejecutar el restablecimiento de un sitio durante una operación de recuperación. Durante la configuración inicial del sitio, en lugar de permitir la generación de una contraseña aleatoria por parte del programa de instalación, puede utilizar el archivo SMSAccountSetup.ini o parámetros de línea de comandos para especificar su propia contraseña. Guarde la contraseña en un lugar seguro y vuelva a utilizarla cuando tenga que crear el sitio de nuevo durante una operación de recuperación. Esta práctica simplifica el proceso de recuperación.

Use estas cuentas opcionales para reducir la dependencia de la cuenta de servicio SMS.

La cuenta de servicio SMS puede utilizarse de reserva en caso de no existir estas cuentas opcionales. Para evitar poner en peligro su seguridad, esta cuenta debe usarse lo menos posible. Si estas cuentas existen, SMS las utilizará en lugar de hacer uso de la cuenta de servicio SMS:

Cuenta de conexión de sistema del sitio

El servidor del sitio utiliza esta cuenta para conectar a sistemas del sitio.

Cuenta de instalación de software cliente

El administrador de configuración de clientes utiliza esta cuenta para instalar software cliente SMS en los equipos.

Cuenta de dirección del sitio

Sirve para establecer comunicaciones y realizar transferencias de datos entre sitios principales y secundarios.

Si desea consultar una lista completa de todas las cuentas SMS, incluidas las que SMS crea y mantiene automáticamente, vea el Apéndice C: cuentas, grupos y contraseñas de SMS.

Establezca directiva de cuentas para todas las cuentas de seguridad estándar creadas manualmente de forma que las contraseñas no caduquen nunca.

Las cuentas siguientes deben mantenerse manualmente: Para evitar la interrupción de las operaciones SMS, asegúrese de configurar sus contraseñas de modo que no caduquen nunca. Sin embargo, para mantener la seguridad, deberían reciclarse manualmente de forma periódica.

  • Cuenta de servicio SMS

  • Cuenta de conexión de sistema del sitio

  • Cuenta de instalación de software cliente

  • Cuenta de dirección del sitio

  • Cuenta de conexión de cliente

  • Cuenta de acceso a red de cliente avanzado

  • Cuenta de instalación de software de cliente heredado

No modifique manualmente las cuentas que los procesos SMS mantienen de forma automática.

A menos que se especifique lo contrario, no cambie las contraseñas, los nombres ni los permisos de las cuentas que SMS crea y mantiene automáticamente en seguridad estándar. Para ofrecer una seguridad mejorada y de forma aleatoria, SMS genera y cifra las contraseñas para estas cuentas. Si modifica las cuentas siguientes de forma manual, los procesos relacionados no se ejecutarán correctamente y correrá el riesgo de causar bloqueos de cuentas, ya que se perderá la sincronización de las mismas:

  • Cuenta de conexión de cliente predeterminada (SMSClient_códigositio)

  • Cuenta de servicios remotos (SMSSvc_códigositio_xxxx)

  • Cuenta de conexión de servidor SMS predeterminada (SMSServer_códigositio)

  • Cuenta de base de datos de sistemas del sitio predeterminada (SMS_SQL_RX_códigositio)

    note.gif  Nota
    Si creó su propia cuenta de conexión de servidor SMS o de base de datos de sistemas del sitio durante la instalación, podrá cambiar la contraseña para estas cuentas. Si necesita ejecutar el restablecimiento del sitio, deberá utilizar el mismo contexto de línea de comandos o archivo SMSAccountSetup.ini para especificar la misma cuenta que indicó durante la configuración del sitio.

Para cambiar contraseñas en cuentas que no pueden modificarse manualmente, use la herramienta de SMS relevante para realizar los cambios. Por ejemplo, para cambiar la contraseña de la cuenta de servicios remotos, ejecute un restablecimiento del sitio. Si desea obtener más información, consulte la sección Restablecimiento del sitio, incluida en el Apéndice C: cuentas, grupos y contraseñas de SMS.

important.gif  Importante
Si creó estas cuentas y las han compartido varios sitios, cree cuentas nuevas para estas funciones y recíclelas cuando los clientes tengan servidores que se hayan configurado con las cuentas nuevas.

  • Base de datos de sistemas del sitio (SMS_SQL_RX_códigositio)

  • Cuenta de conexión de servidor SMS (SMSServer_códigositio)

  • Cuenta de conexión de cliente

  • Escenarios y procedimientos de Microsoft Systems Management Server 2003: seguridad


¿Te ha resultado útil?
(Caracteres restantes: 1500)
Gracias por sus comentarios
Mostrar:
© 2014 Microsoft