Asegurando el entorno MOM: Microsoft Operations Manager 2005

About This Presentation

Title:

Asegurando el entorno MOM: Microsoft Operations Manager 2005

Description:

Cuando creamos management packs tenemos que pensar en: ... Cuenta DAS cuando MMPC is importado. No necesita agregar usuarios a este grupo. MOM Service ... – PowerPoint PPT presentation

Number of Views:51

Avg rating:3.0/5.0

Slides: 43

Provided by: steve429

Category:

more less

Transcript and Presenter's Notes

Title: Asegurando el entorno MOM: Microsoft Operations Manager 2005

1
Asegurando el entorno MOM Microsoft Operations
Manager 2005
2
Contenido de la WebCast.

Mejoras de Seguridad en Microsoft Operations
Manager (MOM) 2005
Características de Seguridad MOM 2005
Trusted Monitoring.
Seguridad Basada en Roles.
Protegiendo Servidores MOM
Protegiendo Agentes MOM
Protegiendo la Red

3
Requisitos

Comprensión básica de la gestión operativa de
MOM.
Experiencia usando MOM 2000 ó MOM 2005
Estar familiarizado con la Seguridad en Microsoft
Windows

Nivel 200
4
Agenda

Introducción a la gestión de seguridad en MOM.
Características de Seguridad en MOM.
Trusted Monitoring.
Implantaciones Seguras de MOM.

5
Gestión de Seguridad
6
Gestión de Seguridad

MOM 2005 es una plataforma.
Ejecuta Management Packs para vigilar el
rendimiento y tambien se usa para administrar.
No despliegues o instales management packs sin
entender el impacto en la seguridad de tu
infraestructura.
MOM puede ser usado de varias maneras
Escenarios de Monitorización.
Escenarios de Administración Remota.
Ejecutar tareas Runtime en los nodos que se
están administrando.

7
Agenda

Introducción a la gestión de seguridad en MOM.
Características de Seguridad en MOM.
Trusted Monitoring.
Implantaciones Seguras de MOM.

8
MOM 2005 Mejoras de Seguridad

Mejor Seguridad en la Red.
Seguridad de Configuración Inicial (Seguro
Por Defecto).
Soporte para más escenarios de Firewall.
Y Más

9
Seguridad de Agente-a-Servidor

Soporte de autenticación mutua.
Mejoras de Cifrado.
Soporte de algoritmos compatibles con FIPS.
Mejoras en la defensa contra ataques de DOS
- Active timeouts
Flooding protection

10
Seguro desde su Instalación (seguro por defecto)

Sin proceso del administrador de agentes.
Servicio DAS Requiere menos permisos.
Negación a la instalación manual de nuevos
agentes.
Bloqueo de agentes antiguos.
Respuestas personalizadas del lado del servidor
desabilitadas.
Proxying de agentes desabilitado

11
Agente Intermediario (Agent Proxying)

Permite que un agente envie datos de
administración en representación de otro
dispositivo.
La mayoría de escenarios no requieren
Intermediarios (proxying).
Alerta cuando hay intento de intermediación
(proxying) cuando está desabilitado.
Protección para los computadores que tienen
habilitado el Proxying.

12
Seguridad de Consola-a-Servidor

Comunicación segura entre la consola MOM y el
servidor de administración
MOM Administrator Console
Operator Console
Toda la comunicación es autenticada, cifrada y
firmada digitalmente
Usa DCOM en su nivel máximo de seguridad

13
Mejoras en el Soporte a Firewalls
New!
New!
New!
New!
New!
MOM Agents
Agentless Monitoring
14
Otras características de Seguridad

MBSA Management Pack
Identifica fallos de seguridad en las
configuraciones.
Necesita privilegios de administrador.

15
Respuestas desde la línea de comando

Respuesas en el ambiente de línea de comando
explícitamente separadas en la carpeta de
aplicación y el argumento.
Ejemplo
C\Program Files\Example\Example.exe
Is this C\Program Files\Example\Example.exe?
Or C\Program.exe Files\Example\Example.exe?
MOM 2005 coloca programas y argumentos en
diferentes lugares

16
Demo
demostración

Configuración en la seguridad de
Agente-a-Servidor
Configurar los parámetros de seguridad
Habilitar instalación manual de nuevos agentes
Habilitar el agente de intermediación
Proxying
Actualizar los cambios en los agentes

17
Agenda

Introducción a la gestión de seguridad en MOM.
Características de Seguridad en MOM.
Trusted Monitoring.
Implantaciones Seguras de MOM.

18
Trusted Monitoring.

La necesidad de contar con una monitorización
confiable.
Una vista interna de MOM.
Privilegios mínimos para el Trusted Monitoring.

19
La Necesidad de Contar con un Monitoreo Confiable

Servidores de Misión Crítica necesitan
monitorización
SQL Server.
Domain Controllers.
MOM Management Server.
Servidores que almacenan datos confidenciales.
Se necesita una solución de monitorización no
disruptiva con bajos privilegios.
Trusted Monitoring es la respuesta.

20
Introducción de la Cuenta de Acción (Action
Account)

Tú provees y controlas las credenciales de la
cuenta.
Qué ejecuta el Action Account?
Todos los Providers de MOM.
Todas las Responses de MOM.
Todas las Runtime tasks.

21
Una vista interna a MOM
22
Una vista a las Cuentas de MOM

El servicio de MOM usa Network Service en W2003
y Windows XP.
Usa Local System en Windows 2000.
Data Access Service (DAS Account)
No requiere ser administrador local.
Necesita derechos de db_owner en la base de
datos one point (BD de operaciones en MOM).

23
Una vista a las cuentas de MOM (contd.)

El Servidor que hospeda MOM corre bajo la cuenta
de identidad Action Account identity.
No hay necesidad de mayores niveles de privilegio
para forzar las instalaciones.
Necesita derechos de Adminsitrador sólo en
Windows 2000 y Windows XP.

24
Privilegios Mínimos para el Trusted Monitoring.

La cuenta Action account requiere
Pertencer al grupo Local Users.
Pertencer al grupo Local Performance Log Users
.
Derecho de Manage auditing and security log.
Derechos de usuario Allow logon locally.
Cuando creamos management packs tenemos que
pensar en
Mantener los privilegios lo más bajos posibles.
Publicar los privilegios requeridos para el
management pack.

25
Monitorización sin Agentes
26
MOM Tasks (Consola y Runtime)

Runtime Tasks
Admin lanza la tarea.
La tarea es pasada al Management Server.
La tarea es mandada al Agente.
La tarea es ejecutada.

Tareas de Consola
El Usuario lanza la tarea que es ejecutada en la
consola.

27
Seguridad basada en Roles en MOM 2005
28
Nueva Herramienta RemoveDasRoles.exe

BUILTIN\Administrators son administradores de
MOM.
En el ResKit v2.

29
Agenda

Introducción a la gestión de seguridad en MOM.
Características de Seguridad en MOM.
Trusted Monitoring.
Implantaciones Seguras de MOM.

30
Implantación segura de MOM

Management Server de MOM.
Agentes MOM.
Red (Network).
Otros Servicios.

31
Protegiendo Management Servers de MOM

Habilitar Autenticación Mutua Mutual
Authentication.
Nunca uses la cuenta Domain Admin para el
Action Account.
Desabilita el agente de intermediación agent
proxying.
Inhabilita instalaciones manuales de agentes.
NO configures la instálación ni de-instalación
automática de agentes.
Deja la configuración de seguridad global by
default.

32
Wizard de seguridad para la configuración del
entorno
33
Requiriendo Algoritmos FIPS
34
Protegiendo Agentes MOM

Da pocos privilegios de seguridad a las action
accounts en la medida de los posible.
Cada management pack tiene sus propias
necesidades de permisos.
En escenarios multi-homed los grupos de
administración pueden selecionar cuentas
diferentes.

35
Administrando Action Accounts
36
Protegiendo la Red

Para la instalalación de agentes use SMB Firmado
o IPSEC.
Para la monitorización general use altgoritmos
tipo FIPS.
Para autenticación mutua use Kerberos.
Para escenarios que no tienen Active Direct. O
sin dominios de confianza use IPSec para
autenticación.
Para escenarios de servidores MOM comunicándose
con servidores sin agentes use IPSec para la
privacidad de datos.
Para la comunicación entre Servidores MOM y la BD
operativa de MOM use IPSec ó seguridad OLEDB.

37
Protegiendo la Consola Web

La consola se puede configurar para que sea
read-only
Editar INSTALLDRIVE\ Program Files\Microsoft
Operations Manager 2005\WebConsole\web.config
Quitar el comentario a ltadd key"Readonly"
value"true"/gt

38
Protegiendo otros Servidores