本文件已封存並已停止維護。

安全性考量

更新日期: 2009年5月

適用於: Operations Manager 2007 R2, Operations Manager 2007 SP1

Operations Manager 2007 的環境準備工作大部分是與安全性相關的工作。本節僅約略涵蓋一部分工作;如需詳細的涵蓋領域,請參閱《Operations Manager 2007 安全性指南》,網址為:http://go.microsoft.com/fwlink/?LinkId=129499

準備安全性相關工作包含下列項目:

  • 瞭解、規劃與準備跨信任界限監視。

  • 瞭解、規劃與準備監視 UNIX 或 Linux 電腦。

  • 規劃與準備所需的服務帳戶、使用者帳戶及安全性群組。

  • 瞭解與準備您的設計所需的網路連接埠。

信任界限

Active Directory 網域是構成 Operations Manager 可辨識之 Kerberos 信任界限的基本單位。此界限可自動擴展至其他位於相同命名空間 (相同 Active Directory 樹狀目錄) 的網域,以及透過轉移信任在位於不同 Active Directory 樹狀目錄但仍位於相同 Active Directory 樹系的網域間擴展。信任界限可進一步透過使用跨樹系信任在不同 Active Directory 樹系的網域間擴展。

Kerberos

由 Windows 2000 網域控制站及更新版本所支援的 Kerberos 驗證通訊協定,只會在信任界限中發生。Kerberos 驗證是用於執行 Operations Manager 2007 代理程式/伺服器相互驗證的機制。在 Operations Manager 2007 中,所有代理程式/伺服器通訊都必須強制執行代理程式/伺服器相互驗證。

Operations Manager 管理群組雖然具備於其所在之 Kerberos 信任界限外執行探索與監視的能力,不過,由於未加入 Active Directory 網域之 Windows 電腦的預設驗證通訊協定為 NTLM,因此必須使用另一種機制以支援相互驗證。這個機制乃透過交換代理程式與伺服器之間的憑證來完成。

憑證

Operations Manager 2007 通訊需要跨信任界限發生時,例如您想要監視的伺服器位於與執行監視之管理群組不同的、不受信任的 Active Directory 網域上,可使用憑證以滿足相互驗證需求。透過手動設定,您可取得憑證,並建立憑證與電腦及在那些電腦上執行之 Operations Manager 服務的關聯。當需要與不同電腦上之服務通訊的服務開始並嘗試驗證時,將交換憑證並完成相互驗證。

Important重要事項
用於此程序的憑證必須完全信任相同的根憑證授權單位 (CA)。

如需關於如何取得及使用憑證以供相互驗證之用的詳細資訊,請參閱在多台伺服器,單一管理群組案例中部署閘道伺服器

憑證授權單位

若要取得必要憑證,您需要憑證授權單位 (CA) 的存取權。您可以使用 Microsoft 憑證服務,也可以使用協力廠商憑證授權單位,例如 VeriSign。

Microsoft 憑證服務

Microsoft CA 共有四種類型:

  • 企業根

  • 企業次級

  • 獨立根

  • 獨立次級

  • 兩種企業類型的 CA 都需要 Active Directory 網域服務;獨立型 CA 則否。每一種類型的 CA 都可核發代理程式/伺服器跨越信任界限相互驗證所需的憑證。

通常,CA 基礎結構包含一個根 CA 與一或多個次級 CA,根 CA 負責簽署其專屬的憑證並自行核發憑證,而次級 CA 則由根負責核發憑證。當根離線及受到安全保護時,次級 CA 伺服器即成為服務憑證要求的伺服器。如需設計憑證的詳細資訊,請參閱《Enterprise Design for Certificate Services》(憑證服務的企業設計) (http://go.microsoft.com/fwlink/?LinkId=86400),以及 Operations Manager 2007 說明中的<憑證>主題。

監視 Unix 及 Linux 電腦

Operations Manager 2007 R2 可監視 Unix 及 Linux 電腦。由於 UNIX 及 Linux 電腦並未參與管理群組所在的 Active Directory 網域,因此將使用上述各種憑證方法的變化來進行相互驗證。

建立與 Unix 及 Linux 電腦的相互驗證監視

您將使用探索精靈以尋找 UNIX 及 Linux 電腦,並將其新增至管理群組作為受管理物件。在探索精靈程序期間,Operations Manager 會讓探索到的 UNIX 和 Linux 電腦產生自行簽署憑證,以用於與管理伺服器進行相互驗證。當啟用 SSH 探索時,憑證的產生、簽署和交換程序如下:

  1. 在管理伺服器上的探索精靈程序會讓探索到的 UNIX 或 Linux 電腦產生自行簽署憑證。

  2. 探索管理伺服器向 UNIX 或 Linux 電腦發出取得憑證要求。

  3. UNIX 或 Linux 電腦傳回給管理伺服器的憑證。

  4. 探索管理伺服器建立一對金鑰組以及本身專屬的自行簽署憑證。探索管理伺服器探索到本身第一台 UNIX 或 Linux 電腦時只會產生一對金鑰組和自行簽署憑證。隨後管理伺服器會將本身專屬的憑證匯入其信任的憑證儲存區。接著探索管理伺服器會以其私密金鑰簽署 UNIX 或 Linux 的憑證。管理伺服器簽署後續的 UNIX 或 Linux 電腦憑證時,將重複使用管理伺服器第一次簽署時所產生的私密金鑰。

  5. 接下來探索管理伺服器會發出置放憑證要求,將現在管理伺服器簽署過的憑證放回最初產生該憑證的 UNIX 或 Linux 電腦。然後 UNIX 或 Linux 電腦 WSMAN 通訊層將重新啟動,讓新的 UNIX\Linux 電腦產生之憑證成為作用中。

  6. 現在,當管理伺服器要求 UNIX 或 Linux 電腦自行驗證,UNIX 或 Linux 電腦將提供信任的憑證給管理伺服器,而管理伺服器將讀取憑證上是否有簽章存在,查看其是否信任此簽章 (因為簽章是其專屬的私密金鑰,並儲存於其專屬的信任憑證儲存區) 並接受此憑證作為該 UNIX 或 LINUX 電腦是管理伺服器認為的那台電腦的證明。

  7. 探索管理伺服器會將 UNIX 或 Linux 認證用於設定適當的執行身分設定檔,以驗證本身與 UNIX 或 Linux 電腦。請參閱<規劃 UNIX 或 Linux 執行身分設定檔>一節,以取得詳細資料。

Important重要事項
上述操作順序僅供低安全性版本的 UNIX 或 Linux 探索。如需取得建議的高安全性版本,請參閱《Operations Manager 2007 安全性指南》,網址為 http://go.microsoft.com/fwlink/?LinkId=129499

規劃 UNIX 或 Linux 執行身分設定檔

在 UNIX 或 Linux 電腦接受探索管理伺服器的管理後,管理組件探索與工作流程便開始執行。工作流程需要使用認證才能順利完成。這些認證、認證要套用到哪些物件、類別或群組,以及認證將散發到哪些電腦,都包含在執行身分設定檔中。將 UNIX 管理組件匯入管理群組時,有兩個執行身分設定檔也會匯入,分別為:

  • Unix 動作帳戶設定檔 – 此執行身分設定檔及其相關聯的 UNIX 或 Linux 認證將用於指定 UNIX 或 Linux 電腦上的低安全性活動。

  • Unix 特殊權限帳戶設定檔 – 此執行身分設定檔及其相關聯的 UNIX 或 Linux 認證將用於由高階安全性所保護的活動,因此需要具備指定 UNIX 或 Linux 電腦上高級特殊權限的帳戶。這可以是根帳戶 (但非必要)。

您將需要使用適當的 UNIX 或 Linux 電腦認證來設定這些設定檔,以便使用這些設定檔的管理組件工作流程得以正常運作。如需關於執行身分帳戶和執行身分設定檔的詳細資訊,請參閱產品說明中的<Operations Manager 2007 中的執行身分設定檔與執行身分帳戶>主題。

帳戶與群組

在 Operations Manager 部署期間,您可能需要許多帳戶及安全性群組。安裝 Operations Manager 時,系統只會提示您建立四個帳戶。準備角色型安全性指派、通知和用於執行程序的替代認證時,您需要考慮額外的帳戶。如需規劃角色型安全性指派的指引,請參閱《Operations Manager 2007 設計指南》,網址為 http://go.microsoft.com/fwlink/?LinkId=104550

角色型安全性帳戶與群組

Operations Manager 透過指派使用者帳戶給使用者,以控制對受監視之群組、工作、檢視與系統管理功能的存取。Operations Manager 是設定檔類型 (操作員、進階操作員、系統管理員) 與領域 (使用者可存取哪些資料) 的結合。一般而言,Active Directory 安全性群組乃指派給角色,然後個別帳戶則指派給那些群組。部署之前,請先準備可新增至上述角色以及任何自訂建立之角色的 Active Directory 安全性群組,以便隨後可將個別使用者帳戶新增至該安全性群組。

預設的 Operations Manager 提供下列五個角色定義。

 

角色名稱 設定檔類型 設定檔描述 角色領域

Operations Manager 系統管理員:在安裝時建立;無法加以刪除;必須包含一或多個全域群組

系統管理員

具備 Operations Manager 的完整權限;不支援系統管理員設定檔的領域設定

所有 Operations Manager 資料、服務、系統管理與撰寫工具的完整存取權

Operations Manager 進階操作員:在安裝時建立;領域設定為全域;無法加以刪除

進階操作員

具備 Operations Manager 設定的有限變更存取權;具備建立規則覆寫的能力;監視設定之領域內的目標或目標群組

可存取現有以及日後匯入的所有群組、檢視及工作

Operations Manager 作者:在安裝時建立;領域設定為全域;無法加以刪除

作者

具備在設定之領域內建立、編輯和刪除工作、規則、監視與檢視的能力

可存取現有以及日後匯入的所有群組、檢視及工作

Operations Manager 操作員:在安裝時建立;領域設定為全域;無法加以刪除

運算子

根據設定之領域,具備與警示互動、執行工作及存取檢視的能力

可存取現有以及日後匯入的所有群組、檢視及工作

Operations Manager 唯讀操作員:在安裝時建立;領域設定為全域;無法加以刪除

唯讀操作員

根據設定之領域,具備檢視警示及存取檢視的能力

可存取現有以及日後匯入的所有群組及檢視

Operations Manager 報表操作員:在安裝時建立;領域設定為全域

報表操作員

根據設定之領域,具備檢視報表的能力

領域設定為全域

Operations Manager 報表安全性系統管理員:整合 SQL Reporting Services 安全性與 Operations Manager 使用者角色;授與 Operations Manager 系統管理員控制存取報表的能力;無法設定其領域

報表安全性系統管理員

允許將 SQL Reporting Services 安全性與 Operations Manager 角色整合

無法設定其領域

您可將 Active Directory 安全性群組或個別帳戶新增至任何上述預先定義的角色。如果您這麼做,個別群組或帳戶將可跨已設定領域的物件執行特定角色權限。

note附註
預先定義之角色的領域皆設定為全域,因而賦予這些角色所有群組、檢視及工作的存取權 (報表安全性系統管理員除外)。

Operations Manager 也可讓您根據「操作員」、「唯讀操作員」、「作者」及「進階操作員」設定檔建立自訂角色。建立角色時,您可進一步縮小角色可存取之群組、工作及檢視的領域。例如,您可建立名為「Exchange 操作員」的角色,並將其領域縮小為僅限與 Exchange 相關的群組、檢視及工作。指派給這個角色的使用者帳將只能在與 Exchange 相關的物件上執行操作員等級的動作。

Important重要事項
請確定您針對 Operations Manager 系統管理員角色建立網域安全性群組;這是第一次執行管理群組安裝程式時所需的群組。

通知帳戶與群組

貴公司內每一位將經常與 Operations Manager 互動的個人 (例如指派至 Exchange 操作員角色的 Exchange 系統管理員),亟需探索新警示的方式。要得知是否有新的警示產生,可透過監看 Operations 主控台,也可透過 Operations Manager 從支援的通訊通道發出與警示相關的通知來得知。Operations Manager 支援透過電子郵件、立即訊息、短訊息服務或呼叫器訊息傳送通知。角色需要得知的通知將傳送到您在 Operations Manager 中指定的收件者。Operations Manager 收件者只是一個具備有效位址以接收通知的物件,例如供電子郵件通知之用的 SMTP 位址。

因此,這在邏輯上是透過啟用電子郵件功能的安全性群組將角色指派和通知群組成員結合。例如,建立 Exchange 系統管理員安全性群組,然後將具備修復 Exchange 之知識與權限的個人填入其中。將此安全性群組指派至自訂建立的 Exchange 系統管理員角色,因此群組便具備資料存取權並啟用電子郵件功能。接著,使用啟用電子郵件功能之安全性群組的 SMTP 位址來建立收件者。

服務帳戶

部署時,您需要備妥下列服務帳戶。如果您使用網域帳戶,並根據所需將網域群組原則物件 (GPO) 的密碼到期原則設定為預設,那麼您將需要定期變更服務帳戶的密碼、或使用低維護系統帳戶,或設定帳戶讓密碼永不過期。

 

帳戶名稱 要求時機 用途 低維護 高安全性

管理伺服器動作帳戶

管理伺服器安裝

收集來自提供者的資料,執行回應

本機系統

低權限網域帳戶

SDK 與設定服務帳戶

管理伺服器安裝

寫入操作資料庫,執行服務

本機系統

低權限網域帳戶

目標裝置的本機系統管理員帳戶

探索與推入代理程式安裝

安裝代理程式

網域或本機系統管理員帳戶

網域或本機系統管理員帳戶

代理程式動作帳戶

探索與推入代理程式安裝

在管理的電腦上收集資訊及執行回應

本機系統

低權限網域帳戶

資料倉儲寫入動作帳戶

報表伺服器安裝

寫入報表資料倉儲資料庫

低權限網域帳戶

低權限網域帳戶

資料讀取器帳戶

報表伺服器安裝

參閱 SQL Reporting Services 資料庫

低權限網域帳戶

低權限網域帳戶

執行身分帳戶

受監視電腦上的代理程式可視需要執行工作、模組及監視,以及對預先定義的條件進行回應。依預設,所有工作都透過代理程式動作帳戶認證來執行。在某些情況下,代理程式動作帳戶可能沒有足夠的權限在電腦上執行指定動作。Operations Manager 支援由另一個稱為執行身分帳戶之認證集合內容中的代理程式來執行工作。執行身分帳戶是在 Operations Manager 中建立的物件,就跟收件者一樣,可對應至 Active Directory 使用者帳戶。接著系統會使用執行身分設定檔,將執行身分帳戶對應至特定電腦。當在管理組件的部署時與執行身分設定檔建立關聯的規則、工作或監視需要在目標電腦上執行時,便可使用指定的執行身分帳戶來執行。

Operations Manager 預設會提供一些執行身分帳戶及執行身分設定檔,不過您可以視需求建立其他的帳戶和設定檔。您也可以選擇修改與執行身分帳戶相關聯的 Active Directory 認證。不過您將需要為此目的規劃、建立和維護額外的 Active Directory 認證。在處理關於密碼到期、Active Directory 網域服務、位置與安全性方面的問題時,您應該將這些帳戶視為服務帳戶來考量。

您將需要與負責編寫執行身分帳戶要求的管理組件作者合作。

如需詳細資訊,請參閱《Operations Manager 2007 安全性指南》

 
顯示: