Considerações de segurança

O protocolo de autenticação Kerberos, compatível com as controladoras de domínio do Windows 2000 e versões superiores, somente pode ocorrer dentro de um limite de confiança. A autenticação Kerberos é o mecanismo utilizado para realizar a autenticação mútua de agente/servidor do Operations Manager. A autenticação mútua do agente/servidor é compulsória no Operations Manager Shell para toda a comunicação entre agentes e servidores.

Um grupo de gerenciamento do Operations Manager não tem a capacidade de realizar os processos de descoberta e monitoramento fora do limite de confiança Kerberos no qual ele se encontra. Porém, já que o protocolo de autenticação padrão para computadores baseados no Windows, que não fazem parte de um domínio do Active Directory, é o NTLM, outro mecanismo deve ser utilizado para oferecer suporte à autenticação mútua. Isso é feito por meio da troca de certificados entre agentes e servidores.

Quando a comunicação do Operations Manager precisa ocorrer entre limites de confiança, por exemplo, quando um servidor que você deseja monitorar se encontra em um domínio não confiável do Active Directory, que é diferente do grupo de gerenciamento que está realizando o monitoramento, é possível usar certificados para atender a exigência de autenticação mútua. Por meio da configuração manual, certificados podem ser obtidos e associados aos computadores e aos serviços do Operations Manager em execução nestes computadores. Quando um serviço que precisa se comunicar com um serviço em um computador diferente for iniciado e tentar ser autenticado, os certificados serão trocados, e a autenticação mútua será concluída.

Importante
Os certificados usados para esta finalidade devem, em última análise, confiar na mesma autoridade de certificação (CA) raiz.

Para obter mais informações sobre como obter e usar certificados para autenticação mútua, consulte Implantando um servidor de gateway.

Existem quatro tipos de CAs da Microsoft:

• Raiz corporativa

• Subordinada corporativa

• Raiz autônoma

• Subordinada autônoma

• Ambos os tipos corporativos de CAs exigem os Serviços de Domínio Active Directory. As CAs autônomas não têm essa exigência. Cada tipo de CA pode emitir os certificados necessários para a autenticação mútua de agente/serviço entre limites de confiança.

Normalmente, uma infraestrutura de CA consiste em uma CA raiz que assina seus próprios certificados e se certifica e uma ou mais CAs subordinadas, que são certificadas pela raiz. Os servidores das CAs subordinadas são os que um certificado de serviço solicita, enquanto a raiz é deixada offline e guardada por precaução. Para obter mais informações sobre o design de certificados, consulte Infrastructure Planning and Design (Planejamento e design de infraestrutura) e Autenticação e criptografia de dados para computadores Windows

Você usará o Assistente de Descoberta para descobrir computadores UNIX e Linux e adicioná-los ao grupo de gerenciamento como objetos gerenciados. Durante o processo do Assistente de Descoberta, o Operations Manager faz com que os computadores UNIX e Linux descobertos gerem um certificado autoassinado que é usado para autenticação mútua com o servidor de gerenciamento. O processo de geração, assinatura e troca de certificados funciona da seguinte maneira, quando a descoberta SSH está habilitada:

1. O processo do Assistente de Descoberta no servidor de gerenciamento faz com que o computador UNIX ou Linux descoberto gere um certificado autoassinado.

2. O servidor de gerenciamento de descoberta emite uma solicitação de obtenção de certificado para o computador UNIX ou Linux.

3. O computador UNIX ou Linux retorna o certificado ao servidor de gerenciamento

4. O servidor de gerenciamento de descoberta cria um par de chaves e um certificado autoassinado. O servidor de gerenciamento só gera um par de chaves e um certificado autoassinado, quando ele descobre seu primeiro computador UNIX ou Linux. Em seguida, ele importa seu próprio certificado para seu repositório de certificados confiáveis. Depois, o servidor de gerenciamento de descoberta assina o certificado UNIX ou Linux com sua chave privada. Qualquer assinatura subsequente de certificados de computadores UNIX ou Linux por parte do servidor de gerenciamento reutilizará a chave privada que foi gerada na primeira assinatura.

5. Em seguida, o servidor de gerenciamento de descoberta emite uma solicitação de inserção de certificado, que insere novamente o certificado agora assinado por ele no computador UNIX ou Linux que gerou esse certificado no início. A camada de comunicação WSMAN do computador UNIX ou Linux é então reiniciada de forma a ativar o novo certificado gerado pelo computador UNIX/Linux.

6. Agora, quando o servidor de gerenciamento solicitar a autenticação do computador UNIX ou Linux, este irá fornecer o certificado confiável ao servidor, que por sua vez fará a leitura da assinatura no certificado apresentado, confirmará que essa assinatura é confiável (uma vez que ela corresponde à sua própria chave privada armazenada em seu próprio repositório de certificados confiáveis) e aceitará esse certificado como prova da autenticidade do computador UNIX ou Linux.

7. O servidor de gerenciamento de descoberta usará credenciais UNIX ou Linux conforme configurado no Perfil Executar como apropriado para se autenticar com o computador UNIX ou Linux. Consulte a seção Planejando perfis Executar como para UNIX ou Linux para obter mais informações.

Importante
A ordem precedente de operações refere-se à versão de baixa segurança da descoberta no UNIX ou Linux.

A partir do momento que o computador UNIX ou Linux é gerenciado pelo servidor de gerenciamento de descoberta, as descobertas e os fluxos de trabalho do pacote de gerenciamento começam a ser executados. Estes fluxos de trabalho exigem o uso de credenciais para serem concluídos com êxito. Estas credenciais, bem como os objetos, as classes ou o grupo aos quais elas serão aplicadas e os computadores para os quais elas serão distribuídas, estão todos contidos em perfis Executar como. Existem dois perfis Executar como que são importados quando os pacotes de gerenciamento UNIX são importados para o seu grupo de gerenciamento. Esses perfis são:

• Perfil de Conta de Ação Unix – Este perfil Executar como e suas credenciais UNIX ou Linux associadas são usados para atividades de baixa segurança nos computadores UNIX ou Linux designados.

• Perfil de Conta Privilegiada Unix – Este perfil Executar como e suas credenciais UNIX ou Linux associadas são usados para atividades que são protegidas por um nível mais alto de segurança e, portanto, exigem uma conta que possua maiores privilégios no computador UNIX ou Linux. Esta conta pode ser a conta raiz (embora isso não seja necessário).

Você precisará configurar estes perfis com as credenciais apropriadas do computador UNIX ou Linux para que os fluxos de trabalho de pacotes de gerenciamento que os utilizam possam funcionar corretamente.

Operations Manager controla o acesso a grupos monitorados, tarefas, modos de exibição e funções administrativas por meio da atribuição de contas de usuário a funções. No Operations Manager, uma função é a combinação de um tipo de perfil (operador, operador avançado, administrador) e um escopo (os dados aos quais a função tem acesso). Em geral, grupos de segurança do Active Directory são atribuídos às funções, e contas individuais são atribuídas a esses grupos. Antes da implantação, planeje grupos de segurança do Active Directory que possam ser adicionados a essas funções e a qualquer outra função personalizada criada, para que você possa adicionar contas de usuário individuais a esses grupos de segurança.

Operations Manager fornece as seguintes definições de funções prontas para uso.

Você pode adicionar grupos de segurança do Active Directory ou contas individuais a qualquer uma dessas funções predefinidas. Se fizer isso, essas contas individuais poderão praticar as privilégios de uma determinada função nos objetos com escopo definido.

Observação
As funções predefinidas têm escopo global, o que lhes dá acesso a todos os grupos, modos de exibição e tarefas (exceto para o Administrador de Segurança de Relatório).

Operations Manager também permite a você criar funções personalizadas com base nos perfis de Operador, Operador Somente Leitura, Autor e Operador Avançado. Ao criar a função, você pode limitar ainda mais o escopo de grupos, tarefas e modos de exibição que essa função pode acessar. Por exemplo, é possível criar uma função denominada "Operador do Exchange" e limitar o escopo a somente grupos, modos de exibição e tarefas relacionados ao Exchange. As contas de usuário atribuídas a esta função apenas poderão executar ações em nível de Operador nos objetos relacionados ao Exchange.

As pessoas na sua empresa que irão interagir frequentemente com o Operations Manager, como um administrador do Exchange atribuído com a função Operador do Exchange, precisam de uma maneira para descobrir novos alertas. Isso pode ser feito observando o console de operações para ver se há novos alertas ou quando o Operations Manager informa sobre o alerta através de canais de comunicação com suporte. O Operations Manager tem suporte para notificações através de e-mail, mensagem instantânea, SMS ou mensagens de pager. Notificações sobre o que a função precisa saber são enviadas aos destinatários que você especifica no Operations Manager. Um destinatário do Operations Manager é meramente um objeto que possui um endereço válido para receber a notificação, como um endereço SMTP para notificações por e-mail.

Portanto, é lógico combinar a atribuição de funções com associações de grupos de notificações por meio de um grupo de segurança habilitado para email. Por exemplo, crie um grupo de segurança de Administradores do Exchange e preencha-o com indivíduos que terão os conhecimentos e as permissões necessários para fazer correções no Exchange. Atribua esse grupo de segurança a uma função Administrador do Exchange personalizada, para que ele tenha acesso aos dados e possa receber emails. Em seguida, crie um destinatário usando o endereço SMTP do grupo de segurança habilitado para email.

Na ocasião da implantação, é preciso ter prontas as seguintes contas de serviços. Se você utilizar contas de domínio, e o seu GPO (Objeto de Diretiva de Grupo) de domínio tiver a diretiva de expiração de senha padrão definida conforme necessário, será preciso alterar as senhas nas contas de serviços de acordo com o agendamento ou usar contas de sistema de baixa de manutenção, ou ainda configurar essas contas de forma que suas senhas nunca expirem.

Quando você implantar o Operations Manager, pode ser necessário registrar um nome de entidade de serviço (SPN) em algumas configurações. SPNs são usados pela autenticação Kerberos para o cliente autenticar-se mutuamente com o servidor. Para obter mais informações, consulte What Are Service Publication and Service Principal Names? (Quais são os Nomes da Publicação de Serviço e Principais de Serviço).

Ao instalar o Operations Manager, você seleciona uma conta para o Serviço de Configuração do System Center e serviço de Acesso a Dados do System Center. Para obter mais informações, consulte Implantando o System Center 2012 - Operations Manager.

Cuidado
Não modifique as permissões padrão do Active Directory para permitir que uma conta realize modificações irrestritas de seu próprio SPN.

Se você selecionar o Sistema local como a conta de serviço do Acesso a Dados do System Center, a conta poderá criar o SPN apropriado. Nenhuma configuração adicional é necessária.

Ao usar uma conta de domínio, você deve registrar um SPN para cada servidor de gerenciamento. Use a ferramenta de linha de comando SETSPN. Para obter mais informações sobre como executar essa ferramenta, consulte Setspn Overview (Visão geral do Setspn).

Registre o nome netbios e nome de domínio totalmente qualificado do servidor de gerenciamento, usando a seguinte sintaxe:

setspn –a MSOMSdkSvc/<netbios name> <DAS account domain>\<DAS account name>

setspn –a MSOMSdkSvc/<fqdn> <DAS account domain>\<DAS account name>

Dica

Você pode listar os SPNs registrados para a conta de usuário ou o computador com a seguinte sintaxe: setspn –l Se você estiver usando Balanceamento de Carga de Rede ou um balanceador de carga de hardware, o serviço de acesso a dados do System Center deverá ser executado em uma conta de domínio. Além da configuração já descrita, você deverá também registrar o nome com balanceamento de carga usando a seguintes sintaxe: setspn –a MSOMSdkSvc/<load balanced name> <DAS account domain>\<DAS account name> Observação Todos os serviços de Acesso a Dados do System Center em execução por trás do balanceador de carga devem ser executados com a mesma conta de domínio. Contas Executar como Agentes em computadores monitorados podem executar tarefas, módulos e monitores sob demanda e também em resposta às condições predefinidas. Por padrão, todas as tarefas são executadas com o uso das credenciais da conta de Ação do Agente. Em alguns casos, a conta de Ação do Agente pode não ter direitos e privilégios suficientes para executar uma determinada ação no computador. O Operations Manager oferece suporte à execução de tarefas por agentes no contexto de um conjunto alternativo de credenciais que chamaram uma conta Executar como. Uma conta Executar como é um objeto criado no Operations Manager, da mesma maneira que um destinatário, e mapeado para uma conta de usuário do Active Directory. Em seguida, é usado um perfil Executar como que mapeia a conta Executar como para um computador específico. Quando uma regra, tarefa ou monitor associado a um perfil Executar como na ocasião do desenvolvimento de um pacote de gerenciamento precisa ser executado no computador pretendido, ele utiliza essa conta Executar como especificada. Por padrão, o Operations Manager fornece vários perfis e contas Executar como, e você pode criar mais desses objetos, conforme necessário. Também existe a opção de modificar as credenciais do Active Directory, às quais uma conta Executar como está associada. Isto exigirá o planejamento, criação e manutenção de credenciais adicionais do Active Directory para esta finalidade. Estas contas devem ser tratadas como contas de serviço no que se refere à expiração de senhas, aos Serviços de Domínio Active Directory, à localização e à segurança. Será necessário trabalhar com os criadores de pacotes de gerenciamento, à medida que eles desenvolverem solicitações para contas Executar como. Para obter mais informações, consulte o Index to Security-related Information for Operations Manager (Índice para informações relacionadas à segurança do Operations Manager). Consulte também Pré-requisitos ambientais para o Operations Manager