Freigeben über

  • Artikel

Sicherheit der Überwachungssammeldienste (ACS)

 

Betrifft: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

In System Center 2012 – Operations Manager erfordern die Überwachungssammeldienste (ACS) die gegenseitige Authentifizierung zwischen der ACS-Sammlung und jeder ACS-Weiterleitung. Standardmäßig wird die Windows-Authentifizierung, die das Kerberos-Protokoll verwendet, für diese Authentifizierung eingesetzt. Nach abgeschlossener Authentifizierung werden alle Übertragungen zwischen ACS-Weiterleitungen und ACS-Sammlungen verschlüsselt. Sie brauchen keine zusätzliche Verschlüsselung zwischen ACS-Weiterleitungen und der ACS-Sammlung zu aktivieren, es sei denn, diese gehören zu verschiedenen Active Directory-Gesamtstrukturen, die nicht vertrauenswürdig sind.

Standardmäßig werden die Daten zwischen der ACS-Sammlung und der ACS-Datenbank nicht verschlüsselt. Falls Ihr Unternehmen eine höhere Sicherheitsstufe benötigt, können Sie die gesamte Kommunikation zwischen diesen Komponenten mit SSL (Secure Sockets Layer) oder TLS (Transport Layer Security) verschlüsseln. Um die SSL-Verschlüsselung zwischen der ACS-Datenbank und der ACS-Sammlung zu aktivieren, müssen Sie sowohl auf dem Datenbankserver als auch auf dem Computer, der die ACS-Sammlung hostet, ein Zertifikat installieren. Konfigurieren Sie den SQL-Client für die ACS-Sammlung so, dass die Verschlüsselung nach der Installation dieser Zertifikate erzwungen wird.

Weitere Informationen zur Installation von Zertifikaten und Aktivierung von SSL oder TLS finden Sie unter SSL and TLS in Windows Server 2003 (SSL und TLS unter Windows Server 2003) sowie unter Obtaining and installing server certificates (Beziehen und Installieren von Serverzertifikaten). Eine Liste der Schritte zum Erzwingen der Verschlüsselung auf einem SQL-Client finden Sie unter How to enable SSL encryption for SQL Server 2000 if you have a valid Certificate Server (Aktivieren der SSL-Verschlüsselung für SQL Server 2000 bei Vorhandensein eines gültigen Zertifikatservers).

Eingeschränkter Zugriff auf Überwachungsereignisse

Überwachungsereignisse, die in ein lokales Sicherheitsprotokoll geschrieben werden, lassen sich vom Administrator aufrufen. Überwachungsereignisse, die jedoch standardmäßig von ACS gehandhabt werden, lassen den Zugriff auf Überwachungsereignisse in der ACS-Datenbank selbst für Benutzer mit Administratorrechten nicht zu. Wenn Sie die Rolle eines Administrators von der Rolle eines Benutzers, der die ACS-Datenbank anzeigt und abfragt, trennen müssen, können Sie eine Gruppe aus Datenbankprüfprogrammen erstellen und dieser Gruppe die erforderlichen Berechtigungen für den Zugriff auf die Überwachungsdatenbank zuweisen. Schritt-für-Schritt-Anweisungen finden Sie unter Audit Collection Services (ACS)installieren.

Eingeschränkte Kommunikation für ACS-Weiterleitungen

Konfigurationsänderungen an der ACS-Weiterleitung sind lokal nicht zulässig, auch nicht über Benutzerkonten mit Administratorrechten. Alle Konfigurationsänderungen an der ACS-Weiterleitungen müssen von der ACS-Sammlung kommen. Für zusätzliche Sicherheit wird der von ACS verwendete eingehende TCP-Port nach der Authentifizierung der ACS-Weiterleitung mit der ACS-Sammlung geschlossen, so dass nur ausgehende Kommunikation möglich ist. Um Konfigurationsänderungen an der ACS-Weiterleitung vorzunehmen, muss die ACS-Sammlung beendet und anschließend zum erneuten Einrichten des Kommunikationskanals verwendet werden.

Trennung der ACS-Weiterleitungen von der ACS-Sammlung durch eine Firewall

Aufgrund der eingeschränkten Kommunikation zwischen der ACS-Weiterleitung und der ACS-Sammlung brauchen Sie lediglich den eingehenden TCP-Port 51909 der Firewall zu öffnen, um die ACS-Weiterleitung zu aktivieren (die von Ihrem Netzwerk durch eine Firewall getrennt ist), damit Sie die ACS-Sammlung erreichen.