Partager via

  • Article

Sécurité des services ACS

 

S'applique à: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

Dans System Center 2012 – Operations Manager, les services ACS nécessitent une authentification mutuelle entre le collecteur des services ACS et chaque redirecteur ACS. Par défaut, l'authentification Windows, qui utilise le protocole Kerberos, est utilisée pour cette authentification. Une fois l'authentification achevée, toutes les transmissions entre les redirecteurs ACS et le collecteur des services ACS sont cryptées. Il n'est pas nécessaire d'activer du cryptage supplémentaire entre les redirecteurs ACS et le collecteur des services ACS sauf s'ils appartiennent à différentes forêts Active Directory qui n'ont pas d'approbation établie.

Par défaut, les données ne sont pas cryptées entre le collecteur des services ACS et la base de données des services ACS. Si votre organisation a besoin d'un niveau de sécurité plus élevé, vous pouvez utiliser le SSL (Secure Sockets Layer) ou le TLS (Transport Layer Security) pour crypter toutes les communications entre ces composants. Pour activer le cryptage SSL entre la base de données des services ACS et le collecteur des services ACS, il vous faut installer un certificat à la fois sur le serveur de la base de données et sur l'ordinateur hébergeant le service Collecteur des services ACS. Une fois les certificats installés, configurez le client SQL sur le collecteur des services ACS pour forcer le cryptage.

Pour plus d'informations sur l'installation de certificats et sur l'activation de SSL ou de TLS, consultez SSL and TLS in Windows Server 2003 (SSL et TLS dans Windows Server 2003) et Obtaining and installing server certificates (Obtention et installation de certificats serveur). Pour obtenir une liste des étapes pour forcer le chiffrement sur un client SQL, consultez How to enable SSL encryption for SQL Server 2000 if you have a valid Certificate Server (Procédure d'activation du chiffrement SSL pour SQL Server 2000 si vous disposez d'un serveur de certificat valide).

Accès limité à des événements d'audit

Les événements d'audit inscrits dans le journal de sécurité local sont accessibles par l'administrateur local, mais les événements d'audit gérés par les services ACS, par défaut, ne permettent pas aux utilisateurs (y compris les utilisateurs avec des droits d'administration) d'accéder aux événements d'audit dans la base de données des services ACS. Si vous avez besoin de séparer le rôle d'un administrateur du rôle d'un utilisateur qui affiche et interroge la base de données des services ACS, vous pouvez créer un groupe pour les auditeurs de la base de données, puis affecter à ce groupe les permissions nécessaires pour accéder à la base de données d'audits. Pour obtenir des instructions pas à pas, consultez Comment faire pour installer Audit Collection Services (ACS).

Communication limitée pour les redirecteurs ACS

Les modifications de configuration du redirecteur ACS ne sont pas permises en local, même en provenance de comptes utilisateur ayant les droits d'un administrateur. Toutes les modifications de configuration d'un redirecteur ACS doivent venir du collecteur des services ACS. Pour plus de sécurité, après que le redirecteur ACS s'est authentifié auprès du collecteur des services ACS, il ferme le port TCP entrant utilisé par les services ACS, de sorte que seules les communications sortantes sont permises. Le collecteur des services ACS doit être arrêté et rétablir un canal de communication pour effectuer des modifications de configuration sur un redirecteur ACS.

Redirecteurs ACS séparés du collecteur des services ACS par un pare-feu

Parce que la communication entre un redirecteur ACS et un collecteur des services ACS est limitée, vous n'aurez qu'à ouvrir le port TCP entrant 51909 dans un pare-feu pour activer un redirecteur ACS, séparé de votre réseau par un pare-feu, pour atteindre le collecteur des services ACS.