Freigeben über

Ereignisauflistungssicherheit

  • Artikel

Die folgenden Sicherheitserwägungen sollten für den Ereignisauflistungsdienst berücksichtigt werden.

Zusammenfassung der Berechtigungen des Ereignisauflistungsdiensts

Stellen Sie sicher, dass die Identität der neuen Ereignisauflistungsdienst-Instanz über die folgenden Berechtigungen verfügt:

  • Berechtigungen zum Erstellen einer ETW-Sitzung, zum Registrieren eines Anbieters und zum Lesen von Ereignissen aus einer ETW-Sitzung.

  • Leseberechtigungen für die Ereignisauflistungsdienst-Konfiguration, die in der Datei Web.config im Stammverzeichnis gespeichert ist.

  • Leseberechtigung für die IIS-Konfigurationsdateien unter <Laufwerk>\Windows\System32\inetserv\config.

  • Leseberechtigung für die entsprechenden Anwendungskonfigurationsdateien (Web.config) für überwachte Webanwendungen.

  • Lese- und Schreibberechtigungen für die Überwachungsdatenbank.

  • Richtlinie „Als Dienst anmelden“

Ausführung als ein bestimmter Benutzer

Führen Sie Webanwendungen, die Windows Communication Foundation (WCF)- und/oder WF (Windows Workflow Foundation)-Dienste enthalten, als ein bestimmter Anwender aus, um die Ereignisse einer bestimmten Anwendung zu isolieren, die durch Microsoft AppFabric 1.1 für Windows Server überwacht wird. Stellen Sie sicher, dass der Benutzer berechtigt ist, in die ETW-Sitzung (Event Tracing for Windows, Ereignisablaufverfolgung für Windows) zu schreiben, die der Ereignisauflistungsdienst überwacht. Führen Sie auch den tatsächlichen Ereignisauflistungsdienst als ein bestimmter Benutzer aus. Dabei kann es sich um den gleichen Benutzer wie die Anwendung oder um einen anderen Benutzer handeln. Die folgenden Schritte ermöglichen die Ausführung des Ereignisauflistungsdienst als ein bestimmter Benutzer.

  1. Fügen Sie der Windows-Gruppe Leistungsprotokollbenutzer die Identität der Ereignisauflistungsdienst-Instanz hinzu. Auf diese Weise werden die entsprechenden Zugriffssteuerungslisten für den Ereignisauflistungsdienst zum Erstellen einer ETW-Sitzung, zum Registrieren eines Anbieters und zum Lesen von Ereignissen aus einer ETW-Sitzung bereitgestellt.

  2. Die Ereignisauflistungsdienst-Identität erfordert Lese- und Schreibberechtigungen für den Überwachungsdatenspeicher. Für diesen Vorgang ist es erforderlich, die Ereignisauflistungsdienst-Identität den Datenbankrollen ASMonitoringDbReader und ASMonitoringDbWriter hinzuzufügen. Sie können die Identität diesen Datenbankrollen explizit hinzufügen. Sie können die Ereignisauflistungsdienst-Identität jedoch auch der Windows-Gruppe AS_Administrators hinzufügen, die von AppFabric erstellt wird.

  3. Erteilen Sie der Identität des Ereignisauflistungsdienst Leseberechtigung für die Datei Web.config der überwachten Webanwendung. Durch das Hinzufügen der Identität der Ereignisauflistungsdienst-Instanz zur Windows-Gruppe AS_Administrators erhält der Ereignisauflistungsdienst Lesezugriff auf die Konfigurationsdateien für die IIS-Anwendungen, die im Verzeichnis <Laufwerk>\Windows\system32\inetserv\config gespeichert sind.

Damit eine Webanwendung, die Windows Communication Foundation (WCF)- und/oder WF (Windows Workflow Foundation)-Dienste enthält, Microsoft AppFabric 1.1 für Windows Server-Überwachung verwenden kann, muss sie Ereignisse an die ETW-Sitzung ausgeben, aus der der Ereignisauflistungsdienst Ereignisse erfasst. Damit die Webanwendung berechtigt ist, in die ETW-Sitzung zu schreiben, müssen Sie sicherstellen, dass die Identität des Anwendungspools, in dem die Webanwendung ausgeführt wird, über Schreibberechtigung für die ETW-Sitzung verfügt. Zu diesem Zweck können Sie die Identität der Liste der Benutzer hinzufügen, die Zugriff auf die ETW-Sitzung über das Windows-Tool Zuverlässigkeits- und Leistungsüberwachung besitzen. Sie können auch die Berechtigungen so ändern, dass der Benutzer in die ETW-Sitzung schreiben kann, indem Sie EventAccessControl der Win32-API verwenden (https://go.microsoft.com/fwlink/?LinkId=179742).

Wenn die Ereignisauflistungsdienst-Identität nicht über Leseberechtigungen für die Datei Web.config der überwachten Anwendung verfügt, wird Ereignis-ID 130 ausgegeben. Dieses Ereignis wird im Ereignisprotokoll unter dem Knoten Microsoft-Windows-Application Server-System Services/Admin erfasst.

Sie können der Ereignisauflistungsdienst-Identität wie folgt Leseberechtigungen für die Datei Web.config einer Anwendung gewähren:

  • Klicken Sie im Windows-Explorer mit der rechten Maustaste auf die Web.config-Datei der Anwendung, wählen Sie Eigenschaften aus, und klicken Sie dann auf die Registerkarte Sicherheit. Gewähren Sie der für Ereignisauflistungsdienst verwendeten Identität die Berechtigung „Lesen“.

    Hinweis

    Da die Sicherheitseinstellungen manchmal in den Zwischenspeicher übernommen werden, kann es bei der Übernahme der Leseberechtigung zu einer kurzen Verzögerung kommen. Darüber hinaus müssen Sie Ereignisauflistungsdienst möglicherweise neu starten, damit der Dienst die Web.config-Datei der Anwendung mit den aktualisierten Berechtigungen erneut einlesen kann.

  • Alternativ können Sie die Anwendung in den Stammwebordner verschieben, anstatt explizit die Leseberechtigung für die Web.config-Datei zu gewähren. Die Standardwebsite würde sich dann beispielsweise am Speicherort <Systemlaufwerk:>\inetpub\wwwroot befinden. Während der Entwicklung kann dies auch von Visual Studio aus erfolgen. Klicken Sie mit der rechten Maustaste auf das Projekt, und wählen Sie Veröffentlichen aus, um den Webdienst mit MSDeploy auf dem lokalen IIS-Server (mit Localhost) zu veröffentlichen.

Richtlinie „Als Dienst anmelden“

In einer Domänenumgebung sollten die Dienstidentitäten, unter denen der Ereignisauflistungsdienst und der Workflowverwaltungsdienst auf den verschiedenen Server in einer Webfarm ausgeführt werden, sich in der Domänenadministratorgruppe AppFabric befinden. Da diese Gruppe vom Domänenadministrator manuell erstellt wird, ist der Name dieser Gruppe zufällig. Diese Gruppe enthält normalerweise das AppFabric-Domänenadministratorkonto. Die Berechtigung „Als Dienst anmelden“ muss den Benutzern in dieser Gruppe erteilt und in der Domäne durchgesetzt werden. Dieses Recht ermöglicht einem Sicherheitsprinzipal die Anmeldung als Dienst. Jedem Dienst, der mit einem getrennten Benutzerkonto ausgeführt wird, muss diese Berechtigung zugewiesen werden. Informationen zum Hinzufügen der Berechtigung „Als Dienst anmelden“ zu einem Konto finden Sie unter https://go.microsoft.com/fwlink/?LinkId=192517.

  2012-03-05