附錄 A:SMS 物件安全性及 WMI (Microsoft Systems Management Server 2003 的方案和處理程序:安全強化指南)

附錄 A:SMS 物件安全性及 WMI

發佈日期: 2004 年 9 月 1 日

Microsoft® Systems Management Server (SMS) 站台階層架構的安全性是設計用來透過 SMS Administrator 主控台控制對 SMS 站台資料庫中物件的存取權,及視需要為網路管理、通訊及軟體發佈提供讀取與寫入資訊的存取權。SMS 物件使用的資訊存在於 SMS 站台資料庫中。然而,透過 SMS Administrator 主控台對這些物件的存取權,是透過 SMS Provider 由 Windows Management Instrumentation (WMI) 控制。SMS Provider 強制施行安全性模型,其建立 SMS 安全性物件 (例如:Packages、Collections、Advertisements、Queries、Sites 及 Status Messages),並建立特定的 SMS 安全性權限。SMS 安全性物件是在 SMS 站台資料庫中安全性權限透過 SMS Administrator 主控台所管理的物件。會授與使用者及使用者群組對 SMS 安全性物件的特定 SMS 權限。

Windows 使用者及使用者群組帳戶會用來控制對 SMS 安全性物件的存取權。SMS 也包含 SQL 層級的安全性;因此,對 SMS 站台資料庫的直接存取,比前版 SMS 受到嚴密許多的控制。

SMS 站台階層架構的安全性由三個層級所組成:

  • Windows 安全性

  • WMI 安全性

  • 透過 SQL 資料庫的 SMS 物件安全性

本頁內容

Windows 安全性

WMI 安全性

SMS 物件安全性

Windows 安全性

SMS 極為依存於您所使用作業系統及其安全性子系統。SMS 不僅在作業系統上執行,還使用作業系統的檔案共用於 SMS 站台、SMS 元件伺服器及 SMS 用戶端之間通訊。瞭解作業系統的安全性就是瞭解 SMS 安全性的基礎。您必須熟悉作業系統安全性的基本原則,包括帳戶、群組、網域、服務及存取控制清單 (ACL) 等概念。

WMI 安全性

SMS 以 Windows Management Instrumentation (WMI) 作為標準管理介面。SMS 使用 WMI 在用戶端上收集硬體清單,在伺服器上作為與 SMS 站台資料庫的介面,在主控台上作為與 SMS 站台資料庫的介面。此外,WMI 也用來儲存部分設定資料,例如 Network Trace 所使用的資料。

WMI 支援 Microsoft Windows NT® 4.0、Microsoft Windows® 2000、Microsoft Windows XP 及 Microsoft Windows Server® 2003 系列的完整安全性。WMI 支援 Microsoft Windows 98 的有限安全性。WMI 安全性能驗證使用者對本機電腦與遠端存取兩者的登入資訊。使用 SMS 與 Windows 2000、Windows XP 及 Windows Server 2003 系列作業系統所內含的 WMI 版本,您可利用 WMI 控制對 WMI 命名空間作業的通用權限,如將部分使用者的存取權限定為唯讀作業。

每一個 WMI 命名空間各有其本身的安全性描述元,可允許命名空間擁有本身的安全性設定。如同 NTFS 磁碟分割中的檔案,可使用繼承來簡化安全性的管理。命名空間安全性描述元中的每一個 ACE 都有旗標欄位,可指出所要執行的繼承 (如果有的話)。例如,若允許執行容器繼承,則命名空間安全性描述元的 ACE 會由子命名空間繼承。

安全性描述元是在初次與命名空間建立連線時所建構。安全性描述元是從繼承鏈中命名空間的 ACL 所建構,依各命名空間的繼承片段而修改。在預設的情況下,本機系統管理員帳戶與本機 Administrators 群組具有對所有作業的權限,包括遠端存取。SMS 安全性描述元是 SMS 站台伺服器安裝的過程中,在 WMI 中所建立。

安全性描述元也用來控制對 WMI 服務的存取權。此安全性描述元是標準的 Windows 安全性描述元,其中包含 ACL。每一個 ACE 各授與執行受限制作業的權限,例如允許登入、遠端存取、方法執行,及寫入「CIM 存放庫」(WMI 資料庫)。WMI 安全性描述元儲存在「CIM 存放庫」中。

在 Windows NT 4.0、Windows 2000、Windows XP 及 Windows Server 2003 系列作業系統中,本機與遠端存取之間並無分別。然而,對於遠端連線,使用者可指定使用者名稱與密碼,以取代目前的使用者名稱與密碼。對於本機連線,使用者無法覆寫目前的名稱與密碼。

在 Windows 98 中,本機使用者被視為系統管理員,會獲得完整權限, 所以並不執行驗證。然而,遠端使用者則使用 WMI 系統類別的執行個體加以驗證。

您可使用 [系統] 控制台圖示中的 [WMI 控制] 管理 WMI 安全性。

SMS 物件安全性

SMS 通常倚賴其他技術強制施行安全性。例如,SMS 設定對檔案共用的安全性,再倚賴作業系統驗證帳戶,僅允許正確的帳戶存取共用。SMS 本身唯一強制施行安全性,是當您透過 SMS Provider 存取 SMS 物件的情況。SMS Provider 會將嘗試存取 SMS 物件的使用者與該 SMS 物件的 SMS 安全性權限相比對,以判斷該使用者是否具有存取或變更物件的權限。當您透過 SMS Administrator 主控台、或經由 WMI 透過存取 SMS 的程式存取 SMS 物件時,SMS Provider 就會強制施行 SMS 物件安全性。

您可將對於 SMS 物件的權限授與單一使用者、或網域中的使用者群組。例如,可指定網域使用者群組的所有成員都能編輯封裝。可指定特定使用者僅能編輯其建立的封裝。可允許系統管理員管理所有集合,或只能管理一個集合。對於每一個安全性物件或物件類型,您可授與幾個不同的權限。如此的細微性可讓您更能掌控誰能存取 SMS 物件類型、及誰能存取 SMS 站台資料庫中的特定資訊。

您可對表 A.1 中所列的七種 SMS 物件類別設定物件安全性。

表 A.1   授與安全性權限所用的 SMS 類別

物件類別

主控台項目

SMS_Advertisement

通知

SMS_Collection

集合

SMS_Package

封裝

SMS_Query

查詢

SMS_Report

報告

SMS_Site

站台

SMS_MeteredProductRule

軟體測量規則

SMS_StatusMessage

狀態訊息

您可在類別層級或執行個體層級設定 SMS 物件類型的安全性:

類別層級

這個層級可授與使用者對特定類別中所有物件類型的權限 - 例如所有封裝或所有集合。

執行個體層級

這個層級可授與對某種物件類型的特定執行個體的權限,例如「所有 Windows 98 系統」集合或「紐約市網站」集合。由於狀態訊息非常多,因此沒有執行個體層級的權限。

兩種情況下,都是以使用者或使用者群組為單位授與或拒絕權限。

例如,對於集合的類別層級 [Read] (讀取) 權限可允許您檢視所有集合 (及各集合的成員)。對特定集合於執行個體層級的 [Read] (讀取) 權限可允許您檢視該集合 (及其成員)。然而,您無法檢視其他集合中的資源。

SMS 物件權限有累積性。例如,若使用者擁有對某集合 (例如:所有系統) 的 [Read] (讀取) 權限,及對另一個集合 (集合 A) 的 [Use Remote Tools] (使用遠端工具) 權限,則該使用者對為同屬「兩者」集合成員的所有系統擁有 [Read] (讀取) 與 [Use Remote Tools] (使用遠端工具) 權限。使用者可檢視「所有系統」集合中的資源,而且如果該資源也屬於「集合 A」集合,則也能對該資源使用 [Remote Tools] (遠端工具)。如果該資源不屬於「集合 A」集合,則使用者無法對該資源使用遠端工具。使用者對「所有系統」集合雖不具有 [Remote Tools] (遠端工具) 權限,但並不表示會被拒絕對「所有系統」集合中的所有電腦使用遠端工具。使用者唯有在包含某部電腦的其他集合中不具備 [Use Remote Tools] (使用遠端工具) 權限,才會被拒絕對「所有系統」集合中的該部電腦使用遠端工具。

因為 SMS 權限有累積性,所以如果您授與使用者對 SMS 安全性物件的「類別」安全性權限,又衝突地授與對特定 SMS 安全性物件的「執行個體」安全性權限,SMS 會調解類別與執行個體安全性權限,以授與最高層級權限。例如,若您在類別階層授與使用者對所有封裝的完整權限,同時在執行個體層級授與對特定封裝的 [Read] (讀取) 權限,則使用者的有效權限就是對所有封裝 (包括設定讀取權限的該特定封裝) 的完整權限。

在預設的情況下,只授與兩個帳戶對 SMS Administrator 主控台中所有物件的權限:

  • LocalSystem 帳戶

  • 為設定主要站台而執行 SMS 安裝所登入的使用者帳戶。

您必須明確加入其他帳戶,再授與對 SMS 物件的權限。如果沒有權限,能啟動 SMS Administrator 主控台的使用者只能檢視 SMS Administrator 主控台中的高階節點,和 [Security Rights]、[Online Library] 及 [Tools]。使用者唯一能檢視的只有 [Security Rights] 資料,而且也無法操作 [Security Rights]。

授與權限給帳戶時,您可授與權限給使用者、本機群組、通用群組、萬用群組及巢狀通用群組。然而,具有 SMS 物件安全性權限的所有帳戶也必須具有 SMS WMI 命名空間的存取權。其作法可將帳戶置入 SMS Admins 本機群組。

SMS 物件安全性權限

您可以針對每個類別或執行個體指定 [Create] (建立)、[Administer] (系統管理) 或 [Delete Resource] (刪除資源) 等權限。部分權限為物件類型所特有。例如,[Distribute] (發佈) 權限僅適用於封裝物件。

表 5.10 說明每種權限及其可使用的安全性物件類型。

表 A.2   SMS 物件安全性權限

權限

適用於

授與的能力

Administer (系統管理)

所有受保護的物件類別

為您本身或其他使用者指派或移除對於物件類別、或對該類別中個別物件類型的任何使用者安全性權限。

您必須明確授與物件類型的其他適當權限。授與 [Administer] (系統管理) 權限給使用者並不會自動提供使用者 [Create] (建立)、[Modify] (修改) 或 [Delete] (刪除) 該物件類型的權限。

Advertise (通告)

集合物件類別及執行個體

通告到集合。即使系統管理員沒有子集合的 [Advertise] (通告) 權限,也會通知集合的子集合。

此權限不授與建立通知的能力 — 這需要通知物件類型的 [Create] (建立) 權限。

Create (建立)

所有受保護的物件類別

建立物件類型的執行個體。

Delegate (委派)

所有受保護的物件類別

為使用者所建立的任何執行個體授與權利。唯一能授與的權限是使用者直接擁有的權利 (非透過群組成員資格或類別層級的權利)。

Delete (刪除)

所有受保護的物件類別及執行個體 (狀態訊息執行個體除外)

刪除物件類型的執行個體。

Delete Resource (刪除資源)

集合物件類別及執行個體

從集合中刪除資源。

Distribute (發佈)

封裝物件類別及執行個體

傳送封裝到發佈點。

Manage SQL Commands (管理 SQL 命令)

站台物件類別及執行個體

建立、修改及刪除站台維護 SQL 命令。

Manage Status Filters (管理狀態篩選器)

站台物件類別及執行個體

建立、修改及刪除狀態篩選規則。

Meter (計量)

站台物件類別及執行個體

將軟體測量規則套用到站台。

Modify (修改)

所有受保護的物件類別及執行個體 (無法修改的狀態訊息類別及執行個體例外)

修改物件類型的執行個體。

Modify Resource (修改資源)

集合物件類別及執行個體

修改集合中的資源。

Read (讀取)

所有受保護的物件類別及執行個體 (狀態訊息執行個體除外)

檢視執行個體及其屬性。

Read Resource (讀取資源)

集合物件類別及執行個體。

讀取集合中的資源。可對資源使用 Resource Explorer 以檢視硬體清單與軟體清單資料。如果系統管理員沒有類別層級的這項權限,其所建立的所有集合必須限定為已擁有權限的集合。

Use Remote Tools (使用遠端工具)

集合物件類別及執行個體

對資源使用遠端工具。

View Collected Files (檢視所收集的檔案)

集合物件類別及執行個體

檢視從用戶端收集得來的檔案。可對資源使用 Resource Explorer 以檢視所收集的檔案。

對於每種物件類型,一律至少必須要有一個帳戶具有類別層級的 [Administer] (系統管理) 權限。如此可防止系統管理員遭封鎖在 SMS 系統以外。因此,無法刪除對於某物件類型具有 [Administer] (系統管理) 權限的最後一位使用者。同時,您無法刪除本身對物件的 [Administer] (系統管理) 權限。

建立物件執行個體的使用者會自動被指派該執行個體的 [Read] (讀取)、[Modify] (修改) 及 [Delete] (刪除) 權限。

您可授與物件權限給組織中使用者群組,以因應群組的特定需求。例如,假使您的技術人員有一使用者群組,則可授與該群組對集合的 [Use Remote Tools] (使用遠端工具) 權限。如果非 SMS 系統管理員的使用者想要檢視及查詢從用戶端收集得來的清單,可授與這些使用者對集合與查詢的 [Read] (讀取) 權限,以及對集合的 [Read Resource] (讀取資源) 權限。

建立物件 (如集合或通知) 的使用者可允許其他使用者 (或群組) 使用或管理該物件。使用者如果有類別層級的 [Administer] (系統管理) 權限便可以這麼做,但具備這類權限也允許他們自由處置該物件類型的任何執行個體。較佳的解決方案是賦予使用者類別層級的 [Delegate] (委派) 權限,可允許授與所建立物件的權限給使用者及群組。然而,使用者只能授與於執行個體層級所明確獲得的權限,無法授與透過群組成員資格或於類別層級所獲得的權限。

例如,某使用者針對集合具備類別層級的 [Create] (建立) 與 [Delegate] (委派) 權限。該使用者也有「所有 Windows XP 系統」集合的執行個體層級 [Read] (讀取)、[Read Resource] (讀取資源) 及 [Advertise] (通告) 權限。則使用者能基於「所有 Windows XP 系統」集合的成員資格建立新集合。於是使用者能授與另一群組新集合的 [Read] (讀取) 與 [Read Resource] (讀取資源) 權限 (但無法授與 [Create] (建立) 或 [Delegate] (委派) 權限),使得該群組的成員能檢視新集合的成員。

note.gif  注意
為儘可能提高安全性,除非需要類別層級的權限,否則請謹慎地在執行個體層級授與權限給每一位系統管理員。請建立每一位系統管理員所管理的資源集合,然後僅授與該集合的權限。其結果為,每一位系統管理員都僅檢視獲得存取權限的安全性物件。
為提高安全性,請勿提供給 SMS 系統管理員登入站台伺服器的權限。請系統管理員從遠端使用 SMS Administrator 主控台。
為盡量降低系統管理的負荷,提供給所有系統管理員或部分系統管理員 SMS 站台資料庫中所有物件的完整控制權限。最簡單的作法是建立或使用具有正確權限的群組。接著,隨著您將系統管理員加入至站台中,也可輕易加入群組中。

檢視集合及查詢中的資源

您對集合設定的權限,往往影響您在 SMS Administrator 主控台的其他節點中執行作業的能力。例如,授與對集合的 [Read] (讀取) SMS 物件安全性權限,不僅提供給使用者檢視該集合的權限,也可檢視該集合中的資源。使用者能檢視資源的屬性,能叫用 Resource Explorer,但無法檢視 Resource Explorer 群組的值。如果是該詳細資訊層次,使用者也需要 [Read Resource] (讀取資源) 權限。為進一步管理電腦資源,請提供使用者 [Use Remote Tools] (使用遠端工具) 或 [View Collected Files] (檢視所收集檔案) 權限。若要將資源一併從 SMS 移除 (相對於僅移除使該資源成為集合成員的集合規則),使用者必須具有 [Delete Resource] (刪除資源) 權限。

您可透過查詢管理資源,但對查詢的 [Read] (讀取) 權限僅提供您檢視及執行查詢的權限。在查詢結果視窗中檢視資源及管理這些資源的權限,是依照資源所在集合的設定權限來授與。

站台維護

為管理 SMS 站台資料庫,可在各站台的 [Site Settings] 節點之下的 SMS Administrator 主控台中,建立站台維護 Microsoft SQL Server™ 命令。這些命令具有 SMS 站台資料庫的完整權限,能任意操作資料與資料庫。為防止對此強大機能的惡意使用,請將 [Manage SQL Commands] (管理 SQL 命令) SMS 物件安全性權限限定為需要此權限的資深 SMS 系統管理員才會擁有。

軟體測量安全性

軟體測量的主要作業之一,是建立軟體測量規則。軟體測量規則不僅能套用到建立該規則的目標站台,也能套用到該站台的子站台。為管理軟體測量規則,SMS 系統管理員必須具有適當的軟體測量規則 SMS 物件安全性權限。對於套用到站台的規則,系統管理員必須也具有該站台的 [Meter] (計量) 執行個體權限,或類別層級的站台 [Meter] (計量) 權限,此情形下規則會套用到發佈規則的所有目標站台。適用的 [Meter] (計量) 權限是規則起源站台的權限,並非發佈規則的目標站台的權限。

顯示: