Considerações de Segurança

O protocolo de autenticação Kerberos, que é suportado por controladores de domínio do Windows 2000 e superiores, só pode ocorrer dentro de um limite de fidedignidade. A autenticação Kerberos é o mecanismo utilizado para efetuar a autenticação mútua agente/servidor do Operations Manager. A autenticação mútua agente/servidor é exigida no Shell do Operations Manager para todas as comunicações agente/servidor.

Um grupo de gestão do Operations Manager tem capacidade para efetuar a deteção e a monitorização fora do limite de fidedignidade do Kerberos em que se encontra. No entanto, como o protocolo de autenticação predefinido para computadores baseados em Windows que não estão associados a um domínio do Active Directory é NTLM, deve ser utilizado outro mecanismo para suportar a autenticação mútua. Isto é feito através da troca de certificados entre agentes e servidores.

Quando a comunicação do Operations Manager tem de ocorrer através de limites de fidedignidade, tal como quando um servidor que pretende monitorizar se encontra num domínio do Active Directory não fidedigno e diferente do grupo de gestão que está a efetuar a monitorização, os certificados podem ser utilizados para satisfazer o requisito de autenticação mútua. Através da configuração manual, os certificados podem ser obtidos e associados aos computadores e aos serviços do Operations Manager que são executados nos mesmos. Quando um serviço que necessita de comunicar com um serviço num computador diferente é iniciado e tenta a autenticação, os certificados serão trocados e a autenticação mútua é concluída.

Importante
Os certificados utilizados para este efeito devem, em última análise, confiar na mesma autoridade de certificação de raiz (AC).

Para mais informações sobre como obter e utilizar os certificados para autenticação mútua, consulte Implementar um Servidor de Gateway.

Existem quatro tipos de AC da Microsoft:

• Raiz empresarial

• Subordinada empresarial

• Raiz autónoma

• Subordinada autónoma

• Ambos os tipos empresariais de AC requerem Serviços de Domínio do Active Directory; as AC autónomas não. Qualquer tipo de AC pode emitir os certificados necessários para autenticação mútua agente/servidor através de limites de fidedignidade.

Normalmente, uma infraestrutura de AC consiste numa AC raiz que assina os seus próprios certificados e se certifica a si própria e uma ou mais AC subordinadas, que são certificadas pela raiz. Os servidores de AC subordinados são os que um certificado de serviço pede, enquanto a raiz é colocada offline e retida para salvaguarda. Para obter mais informações sobre a conceção de certificados, consulte Infrastructure Planning and Design (Planeamento e Conceção de Infraestruturas) e Autenticação e Encriptação de Dados para Computadores com o Windows.

Irá utilizar o Assistente de deteção para localizar computadores UNIX e Linux e adicioná-los ao grupo de gestão como objetos geridos. Durante o processo do Assistente de deteção, o Operations Manager faz com que o computador UNIX e Linux detetado gere um certificado autoassinado, que é utilizado para autenticação mútua com o servidor de gestão. O processo de geração, assinatura e troca de certificado funciona da seguinte forma quando a deteção SSH está ativada:

1. O processo do Assistente de Deteção no servidor de gestão faz com que o computador UNIX ou Linux detetado gere um certificado autoassinado.

2. O servidor de gestão de deteção emite um pedido de obtenção de certificado para o computador UNIX ou Linux.

3. O computador UNIX ou Linux devolve o certificado ao servidor de gestão

4. O servidor de gestão de deteção cria um par de chaves e um certificado autoassinado próprios. O servidor de gestão só gera um par de chaves e um certificado autoassinado quando deteta o primeiro computador UNIX ou Linux. O servidor de gestão, em seguida, importa o seu próprio certificado para o respetivo arquivo de certificados fidedignos. O servidor de gestão de deteção, em seguida, assina o certificado de UNIX ou Linux com a respetiva chave privada. Qualquer assinatura posterior de certificados de computadores UNIX ou Linux pelo servidor de gestão irá reutilizar a chave privada do servidor de gestão que foi gerada na primeira assinatura.

5. O servidor de gestão de deteção emite, em seguida, um pedido de colocação de certificado que coloca o certificado agora assinado pelo servidor de gestão novamente no computador UNIX ou Linux que o gerou inicialmente. A camada de comunicações WSMAN do computador UNIX ou Linux é, em seguida, reiniciada para ativar o novo certificado gerado de computador UNIX\Linux.

6. Agora, quando o servidor de gestão solicita ao computador UNIX ou Linux que se autentique, o computador UNIX ou Linux irá fornecer o certificado fidedigno ao servidor de gestão e o servidor de gestão irá ler a assinatura no certificado que lhe é apresentado, verificar que confia nesta assinatura (porque a assinatura é a sua própria chave privada que está armazenada no seu próprio arquivo de certificados fidedignos) e aceitar este certificado como prova de que o computador UNIX ou LINUX é quem o servidor de gestão pensa que é.

7. O servidor de gestão de deteção irá utilizar as credenciais UNIX ou Linux conforme configuradas no Perfil Run As adequado para se autenticar no computador UNIX ou Linux. Consulte a secção Planear Perfis Run As UNIX ou Linux para obter mais detalhes.

Importante
A sequência de operações anterior destina-se à versão de segurança baixa de deteção UNIX ou Linux.

Depois de o computador UNIX ou Linux estar a ser gerido pelo servidor de gestão de deteção, as deteções e os fluxos de trabalho do pacote de gestão começam a ser executados. Estes fluxos de trabalho requerem a utilização de credenciais para serem concluídos com êxito. Estas credenciais, os objetos, classes ou grupo a que serão aplicadas e os computadores em que vão ser distribuídas estão contidos nos Perfis Run As. Existem dois Perfis Run As que são importados quando os pacotes de gestão UNIX são importados para o grupo de gestão; estes são:

• O perfil de Conta de Ação Unix – Este perfil Run As e as suas credenciais UNIX ou Linux associadas são utilizados para atividades de segurança baixa nos computadores UNIX ou Linux designados.

• O perfil de Conta com Privilégios Unix – Este perfil Run As e as suas credenciais UNIX ou Linux associadas são utilizados para atividades que estão protegidas por um nível mais alto de segurança e, assim, necessitam de uma conta que tenha privilégios mais altos no computador UNIX ou Linux. Esta pode ser (mas não tem de ser) a conta de raiz.

Terá de configurar estes perfis com as credenciais de computador UNIX ou Linux adequadas para que os fluxos de trabalho de pacote de gestão que as utilizam funcionem corretamente.

O Operations Manager controla o acesso a grupos monitorizados, tarefas, vistas e funções administrativas através da atribuição de contas de utilizador a funções. Uma função no Operations Manager é a combinação de um tipo de perfil (operador, operador avançado, administrador) e de um âmbito (os dados a que a função tem acesso). Normalmente, os grupos de segurança do Active Directory são atribuídos a funções e, em seguida, as contas individuais são atribuídas a esses grupos. Antes da implementação, planeie os grupos de segurança do Active Directory que podem ser adicionados às mesmas e quaisquer funções personalizadas criadas para que possa, em seguida, adicionar contas de utilizador individuais aos grupos de segurança.

O Operations Manager fornece a seguintes definições de funções prontas a usar.

Pode adicionar contas individuais ou grupos de segurança do Active Directory a qualquer uma destas funções predefinidas. Se o fizer, esses indivíduos poderão exercer os privilégios das funções determinadas através dos objetos do âmbito.

O Operations Manager também permite criar funções personalizadas com base nos perfis de Operador, Operador Só de Leitura, Autor e Operador Avançado. Quando cria a função, pode limitar ainda mais o âmbito dos grupos, tarefas e vistas aos quais a função pode aceder. Por exemplo, pode criar uma função designada por "Operador do Exchange" e limitar o âmbito apenas a grupos, vistas e tarefas relacionados com o Exchange. As contas de utilizador atribuídas a esta função só poderão executar ações de nível de Operador em objetos relacionados com o Exchange.

Os indivíduos da sua empresa que vão interagir frequentemente com o Operations Manager, como um administrador do Exchange que foi atribuído à função de Operador do Exchange, necessitam de uma forma para detetar novos alertas. Isto pode ser efetuado observando a consola de Operações para verificar se existem novos alertas ou recebendo informações do Operations Manager sobre o alerta através dos canais de comunicação suportados. O Operations Manager suporta notificações através de correio eletrónico, mensagem instantânea, Serviço de Mensagens Curtas ou mensagens por pager. As notificações sobre as informações que a função necessita de receber são enviadas para os destinatários especificados no Operations Manager. Um destinatário do Operations Manager é apenas um objeto que tem um endereço válido para receber a notificação, tal como um endereço SMTP para notificações por correio eletrónico.

Por conseguinte, é lógico combinar a atribuição de função com a associação ao grupo de notificação através de um grupo de segurança ativado por correio eletrónico. Por exemplo, crie um grupo de segurança de Administradores do Exchange e preencha-o com indivíduos que tenham conhecimentos e permissões para corrigir problemas no Exchange. Atribua este grupo de segurança a uma função de Administrador do Exchange personalizada criada, de modo a que tenha acesso aos dados e seja ativado por correio eletrónico. Em seguida, crie um destinatário utilizando o endereço SMTP do grupo de segurança ativado por correio eletrónico.

No momento da implementação, é necessário ter as seguintes contas de serviço prontas. Se usar contas de domínio e o seu objeto de Política de Grupo (GPO) tiver a predefinição da política de expiração de palavra-passe definida conforme desejado, terá que alterar as palavras-passe das contas de serviço de acordo com a agenda, ou usar contas baixas de manutenção do sistema, ou configurar as contas para que as palavras-passe nunca expirem.

Quando implementar o Operations Manager, poderá ter de registar um Nome Principal de Serviço (SPN) em algumas configurações. Os SPNs são utilizados pela autenticação de Kerberos para o cliente para autenticar mutuamente com o servidor. Para obter mais informações, consulte What Are Service Publication and Service Principal Names? (O que são Publicações de Serviço e Nomes do Serviço Principal?).

Quando instala o Operations Manager, seleciona uma conta para o Serviço de Configuração do System Center e Serviço de Acesso a Dados do System Center. Para obter mais informações, consulte Implementar o System Center 2012 - Operations Manager.

Cuidado
Não modifique as permissões do Active Directory predefinidas para permitir que uma conta efetue modificações sem restrições do seu próprio SPN.

Se selecionar o Sistema Local como a conta de serviço de Acesso a Dados do System Center, a conta pode criar o SPN adequado. Não é necessária nenhuma configuração adicional.

Se utilizar uma conta de domínio, tem de registar um SPN para cada servidor de gestão. Utilize a ferramenta da linha de comandos SETSPN. Para obter mais informações sobre como executar essa ferramenta, consulte Setspn Overview (Descrição Geral de Setspn).

Registe o nome de netbios e o nome de domínio totalmente qualificado do servidor de gestão, utilizando a seguinte sintaxe:

setspn –a MSOMSdkSvc/<netbios name> <DAS account domain>\<DAS account name>

setspn –a MSOMSdkSvc/<fqdn> <DAS account domain>\<DAS account name>

Sugestão

Pode listar os SPNs registados para conta de utilizador ou computador com a seguinte sintaxe: setspn –l Se estiver a utilizar o Balanceamento de Carga na Rede ou a utilizar um balanceador de carga de hardware, o serviço de Acesso de Dados do System Center tem de ser executado numa conta de domínio. Para além do programa de configuração já descrito, terá também que registar o nome de carga equilibrada, utilizando a seguinte sintaxe: setspn –a MSOMSdkSvc/<load balanced name> <DAS account domain>\<DAS account name> Nota Todos os serviços de Acesso a Dados do System Center em execução por detrás do balanceador de carga, devem estar em execução com a mesma conta de domínio. Contas Run As Agentes em computadores monitorizados podem executar tarefas, módulos e monitores, a pedido, bem como em resposta a condições predefinidas. Por predefinição, todas as tarefas são executadas utilizando as credenciais de conta de Agente de Ação. Em alguns casos, a conta do Agente de Ação pode não ter direitos e privilégios suficientes para executar uma determinada ação no computador. O Operations Manager suporta a execução de tarefas por agentes no contexto de um conjunto alternado de credenciais designado por Conta Run As. A Conta Run As é um objeto criado no Operations Manager, tal como um destinatário, e mapeia para uma conta de utilizador do Active Directory. Um Perfil Run As é então utilizado mapeando a Conta Run As para um computador específico. Quando uma regra, tarefa ou monitor que estava associado a um Perfil Run As na altura do desenvolvimento de um pacote de gestão, precisar de ser executado no computador de destino, isto é feito usando a Conta Run As especificada. Out-of-the-box, o Operations Manager fornece várias Contas Run As e Perfis Run As e pode criar adicionais conforme seja necessário. Também pode optar por modificar as credenciais do Active Directory a que está associada uma Conta Run As. Tal exige planeamento, criação e manutenção de credenciais adicionais do Active Directory para o efeito. Deve tratar estas contas como contas de serviço no que respeita à expiração de palavra-passe, Serviços de Domínio do Active Directory, localização e segurança. Terá de trabalhar com os autores do pacote de gestão à medida que desenvolvem pedidos Contas Run As. Para obter mais informações, consulte Index to Security-related Information for Operations Manager (Índice de Informações relacionadas com Segurança do Operations Manager). Consultar Também Pré-requisitos ambientais para Operations Manager