• Artículo

Seguridad de los servicios de recopilación de auditorías

 

Se aplica a: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

En System Center 2012 – Operations Manager, los servicios de recopilación de auditorías (ACS) requieren la autenticación mutua entre el recopilador de ACS y el reenviador de ACS. De forma predeterminada, para esta autenticación se usa la autenticación de Windows, que usa el protocolo Kerberos. Una vez realizada la autenticación, todas las transmisiones entre los reenviadores de ACS y el recopilador de ACS se efectuarán de forma cifrada. No es necesario habilitar más sistemas de cifrado entre los reenviadores de ACS y el recopilador de ACS, salvo que pertenezcan a bosques de Active Directory distintos que no tengan sistemas de confianza establecidos.

De forma predeterminada, los datos transmitidos entre el recopilador de ACS y la base de datos de ACS no se cifran. Si su organización requiere un nivel más alto de seguridad, puede usar el Protocolo SSL (capa de sockets seguros) o TLS (seguridad de la capa de transporte) para cifrar todas las comunicaciones entre estos componentes. Para habilitar el cifrado con SSL entre la base de datos de ACS y el recopilador de ACS, debe instalar un certificado tanto en el servidor de base de datos como en el equipo que aloja el servicio de recopilador de ACS. Una vez instalados dichos certificados, configure el cliente SQL en el recopilador de ACS para forzar el cifrado.

Para obtener más información acerca de la instalación de certificados y la habilitación de SSL o TLS, consulte SSL and TLS in Windows Server 2003 (SSL y TLS en Windows Server 2003) y Obtaining and installing server certificates (Obtención e instalación de certificados de servidor). Para obtener una lista de los pasos para forzar el cifrado en un cliente SQL, consulte Cómo habilitar el cifrado de SSL para SQL Server 2000 si tiene un servidor de certificados válidos.

Acceso limitado a eventos de auditoría

El administrador local puede tener acceso a los eventos de auditoría que se escriben en un registro de seguridad local, pero de forma predeterminada los eventos de auditoría que gestiona ACS no permiten a los usuarios (incluidos los que tengan derechos administrativos) tener acceso a los eventos de auditoría de la base de datos de ACS. Si necesita separar la función de un administrador de la función de un usuario que puede ver y consultar la base de datos de ACS, puede crear un grupo para auditores de bases de datos y, posteriormente, asignar a dicho grupo los permisos necesarios para tener acceso a la base de datos de auditoría. Para obtener instrucciones paso a paso, vea Cómo instalar servicios de recopilación de auditorías (ACS).

Comunicación limitada para los reenviadores de ACS

No se permite realizar cambios en el reenviador de ACS de forma local, ni siquiera desde cuentas de usuario que tengan derechos de administrador. Todos los cambios de configuración de un reenviador de ACS deben efectuarse desde un recopilador de ACS. Para mayor seguridad, una vez que el reenviador de ACS se autentica en el recopilador de ACS, éste cierra el puerto TCP de entrada usado por ACS a fin de que sólo se permita la comunicación de salida. El recopilador de ACS debe interrumpir un canal de comunicación y, posteriormente, restablecerlo, para poder efectuar cambios en un reenviador de ACS.

Reenviadores de ACS separados del recopilador de ACS por un firewall

Debido a la comunicación limitada existente entre un reenviador de ACS y el recopilador de ACS, sólo es necesario abrir el puerto de entrada TCP 51909 en un firewall para permitir que un reenviador de ACS que esté aislado de la red mediante un firewall alcance el recopilador de ACS.