Ms systems management server security session
Download
1 / 60

- PowerPoint PPT Presentation


  • 269 Views
  • Updated On :

ADAR Consulting MS Systems Management Server Security Session מדיניות אבטחת SMS - הגדרה, מימוש ובקרה Yagil Adar - Senior Consultant Adar Consulting [email protected] תכולת מפגש זה תפיסת האבטחה של מערכת SMS הגדרות אבטחה SMS Accounts SMS RCM דוחות בקרת אבטחה של המערכת המלצות לנוהל אבטחה

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about '' - oshin


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
Ms systems management server security session l.jpg

ADAR Consulting

MS Systems Management ServerSecurity Session

מדיניות אבטחת SMS - הגדרה, מימוש ובקרה

Yagil Adar - Senior Consultant

Adar Consulting

[email protected]


Slide2 l.jpg
תכולת מפגש זה

  • תפיסת האבטחה של מערכת SMS

  • הגדרות אבטחה

  • SMS Accounts

  • SMS RCM

  • דוחות בקרת אבטחה של המערכת

  • המלצות לנוהל אבטחה


Slide3 l.jpg
SMS תפיסת האבטחה

  • מערכת שליטה ובקרה על תחנות קצה ושרתים הינה מערכת רבת עוצמה, מורכבת ודורשת אבטחה גבוה להבטחת שימוש הולם בלבד

  • הגדרות האבטחה משפיעות על רוב מרכיבי תשתית הרשת בארגון

  • יש לאזן בין תחזוקה מרובה לבין הצורך באבטחה גבוה


Slide4 l.jpg
SMS תפיסת האבטחה

מה תהה רמת האבטחה?

  • מינימום אבטחה – תחזוקה פשוטה- עבודה במצב defaultSMS מגדיר אבטחה ברמה נמוכה- רוב החשבונות בהרשאת administrators (local או domain)- עבודה במספר חשבונות SMS נמוך

  • מקסימום אבטחה – תחזוקה מורכבת יותר- יש להגדיר למשתמשי administrators הרשאות מינימאליות לפי צורך נקודתי- יש להגדיר למשתמשי SMS accounts הרשאות מינימאליות- יש להשתמש בחשבונות נוספים- התקנת שרת Site Server על שרת Member Server


Slide5 l.jpg
SMS תפיסת האבטחה

  • רובדי האבטחה של המערכת:

    - Windows NT/2000 Domain security

    - SQL Security

    - WMI Security / DCOM Security

    - SMS Object Class and instance

    - SMS Accounts

    - Physical Security


Slide6 l.jpg
SMS תפיסת האבטחה

  • הגדרות SITE

  • דוחות בקרת אבטחה של המערכת

  • SMS Security Best Practice


Slide7 l.jpg
אבטחת מערכת SMS- דרישות קדם

  • נדרשת שליטה בנושאים הבאים:

    - Windows NT/2000 security (accounts, processes, permissions, privileges, and rights)

    - Windows NT and pass-through authentication

    - Various Windows NT domain models

    - SQL Server security

    - WMI, DCOM security

    - Windows NT/2000 Shared resources security


Slide8 l.jpg
הגדרות אבטחה

  • רובדי האבטחה

    - Windows NT/2000 Domain security

    - SQL Security

    - WMI Security / DCOM Security

    - SMS Object Class and instance

    - SMS Accounts

    - Physical Security


S ms object class and instance l.jpg
הגדרות אבטחה ברובד :SMS Object Class and Instance

  • רובד זה מגדיר:

    למי יש הרשאת גישה (קבוצה\משתמש)

    על מה בבסיס הנתונים (Class / Instance)

    ומה הפעילות המורשית (Permission)


S ms object class and instance10 l.jpg
הגדרות אבטחה ברובד :SMS Object Class and Instance

  • האובייקטים ברמת Classes הינם:

    - Sites

    - Collections

    - Packages

    - Advertisement

    - Queries

    - System Status


S ms object class and instance11 l.jpg
הגדרות אבטחה ברובד :SMS Object Class and Instance

  • בכל Class ניתן להגדיר מספר Instances

  • לכל אובייקט Class or Instance, ניתן להגדיר הרשאות לביצוע פעילות כגון: Admin, Create, Read, Delete ועוד

  • עבור כל אובייקט יש להגדיר הגורם המורשה לגישה (משתמש/קבוצה) והפעילות המורשת


S ms object class and instance12 l.jpg
הגדרות אבטחה ברובד :SMS Object Class and Instance

  • מתן הרשאה למשתמש/קבוצה לאובייקט מסוג Class, מגדיר אוטומטית הרשאה זו לכל ה Instance של ה Class

  • ניתן להגדיר הרשאות גישה ייחודיות עבור כל Instance בכל Class למעט System Status המאפשר הגדרה ברמת ה Class בלבד

  • הרשאות הגישה הן במתכונת highest permitted


Site class security options l.jpg
Site Class Security Options


Collection class security options l.jpg
Collection ClassSecurity Options


Package class security options l.jpg
Package Class Security Options


Advertisement class security options l.jpg
Advertisement Class Security Options


Query class security options l.jpg
Query Class Security Options


System massage class security options l.jpg
System Massage Class Security Options







Sms object class and instance l.jpg
טיפים להרשאות ברובד :SMS Object Class and instance

  • להפעלת Remote control מתוך Query יש להגדיר Collection המתבסס על הQuery ולהגדיר הרשאת remote control בהגדרות ה Collection

  • לצפייה ב Advertisements יש להגדיר הרשאת קריאה ברמת Class על Collections ו Packages

  • שימוש ב Distribute Software Wizard מחייב הרשאת Read and Advertise ברמת Class על Collections


S ms object class and instance25 l.jpg
SMS Object Class and instance

Demo


Slide26 l.jpg
הגדרות אבטחה של SITE

  • הגדרות מרכיב Remote Control Session

  • הגדרות מרכיב הפצת תוכנה

  • שיטת גילוי והתקנת תחנות\שרתים


Slide27 l.jpg
הגדרות אבטחה של SITE

  • הגדרות מרכיב Remote Control


Slide28 l.jpg
הגדרות אבטחה של SITE

  • הגדרות מרכיב הפצת תוכנה


Slide29 l.jpg
הגדרות אבטחה של SITE

  • התקנת תחנות מרחוק


S ms sites l.jpg
SMS Sites

Demo


Sms accounts l.jpg
SMS Accounts

  • SMS accounts הינם חשבונות המוגדרים במערכות Windows NT, SQL Server, NetWare. רק לאחר מכן יש להגדירם במערכת ה sms ע"י SMS Administrator console או SMS Setup Wizard

  • ניהול חשבונות SMS מחייב הבנה מלאה של תפקיד כל החשבונות המעורבים בתהליך: החשבונות המוגדרים ע"י המערכת בעת ההתקנה והחשבונות אשר יש להוסיף ידנית. חלקם מיועדים לניהול site(s) וחלקם מיועדים להגדלת רמת האבטחה.


Sms accounts 1 accounts list l.jpg
SMS Accounts (1)Accounts List


Sms accounts 2 accounts list l.jpg
SMS Accounts (2)Accounts List


Sms accounts 3 accounts list l.jpg
SMS Accounts (3)Accounts List


Sms accounts 4 accounts list l.jpg
SMS Accounts (4)Accounts List


Essentials 1 sms accounts l.jpg
Essentials (1)SMS Accounts

  • תזכורת – הגדרות האבטחה של מערכת sms במצב תחילי לאחר התקנה הן ברמה הנמוכה ביותר

  • כלל ברזל - איןלשנות SMS User Accountשהוגדר ע"י המערכת


Essentials 2 sms accounts l.jpg
Essentials (2)SMS Accounts

  • SQL SA Account – אין להשתמש בשם SA, אין להשאיר הסיסמא ריקה (הגדרות ה default בעת התקנת המערכת)

  • בעת הגדרת Accounts ידנית, יש להעניק להם שמות המרמזים מה יהה תפקידם


Essentials 3 sms accounts l.jpg
Essentials (3)SMS Accounts

תחזוקת Client Connection Account

  • למניעת- Client Connection Account Lockout

    - בעיות בתפקוד ה Client עקב נעילת החשבון ו /או החלפת סיסמא

    - חוסר יכולת להתקשר ל CAP

    - יצירת מצב של Orphaned SMS client

    - ועוד

  • יש ליצור בנוסף ל Client Connection Account המוגדר בעת התקנת ה siteכגון: SMSClient_s10, שני חשבונות נוספים

  • יש להגדיר מחזור יצירה והחלפת החשבונות התואם את מדיניות החלפת הסיסמאות בארגון.



Sms 2 0 remote control manager sms rcm l.jpg
SMS 2.0 Remote Control Manager (SMS RCM)

מה זה ?

  • כלי שפותח עקב בקשת לקוח בעל סביבת מחשוב מאובטחת לקבלת פתרון Remote Control המייעל את העבודה של אנשי ה IT בחברה וללא פגיעה כל שהיא בנוהלי אבטחת המערכת.

  • הצורך:

    - לאנשי הפיתוח\תחזוקה של יישוםנתון יש צורך להשתלט מיידית על שרת היישומים

    - בשרת מוגדר (כמו בכל ה site) policy המחייב מתן אישור מהתחנה להשתלטות

    - התחנה לא מאוישת

    - בהתאם לנוהל האבטחה, יש צורך לפנות לצוותי IT נוספים לביטול זמני של הגדרה זו לפני הפעלת כלי ה Remote Control


Sms 2 0 remote control manager sms rcm42 l.jpg

2

3

4

1

SMS 2.0 Remote Control Manager (SMS RCM)

מסלול זרימה אופייני בסביבת מחשוב מאובטחת להסבת פקודת "permission required" בשרת לא מאויש ל noוהשבת הפקודה ל yes בסיום ה Remote Control Session

תומכים\תומכי יישומים

אנשי אבטחת מידע

אנשי System

  • זמן תגובה מיידי – קשה למימוש

  • אדמיניסטרציה מיותרת

  • שירות פנימי באיכות נמוכה

  • עשוי לפגוע ב SLA פנימי ו/או מול הלקוח מחוץ לגוף ה IT

  • להשבת הפקודה ל yes בסיום ה session ולא להמתין עד 23 שעות יש לבצע סבב נוסף


Sms 2 0 remote control manager sms rcm43 l.jpg
SMS 2.0 Remote Control Manager (SMS RCM)

תכונות הפתרון והמשמעות עבור הלקוח

  • כלי המבצע את מטלות אנשי ה IT האחרים (Security, System) אוטמטית לפי נוהלי האבטחה הנוכחיים- השירות ע"י התומך הוא מיידי

  • בודק זמינות השרת לפני הפעלת Remote Control Session - בודק האם השרת ברמת system בסיסי תקין

  • שינוי הגדרת permission required ל no מתבצע ומיידית מפעיל את Remote Control Sessionשינוי הגדרת permission required ל yes מתבצע מיידית בסיוםRemote Control Session - אין צורך להמתין עד 23 –שעות להשבת הנעילה - שיפור משמעותי באבטחת הגישה לשרתים


Sms 2 0 remote control manager sms rcm44 l.jpg
SMS 2.0 Remote Control Manager (SMS RCM)

תכונות הפתרון והמשמעות עבור הלקוח (המשך)

  • אין צורך להפעיל sms mmc- ידידותי יותר למשתמש

  • עבודה על קבוצת שרתים נתונה המוגדרת ב sms rcm(אין אפשרות עצמאית להוסיף שמות שרתים נוספים)Smsrcm.exe אינו ניתן לעריכה בשונה מפתרונות VB - מאובטח יותר

  • שימוש בכלי Remote Control של מערכת ה sms - אין השקעה נוספת

  • כל פעילות Remote Control המתבצעת עם sms rcm מדווחת למערכת הדיווח המובנת ב sms- כל הפעילות מנותרת

  • Smsrcm.exe נכתב באמצעות:SMS Installer ver 2.0.148.00, VB, WMI- אין השקעה נוספת בכלים\רכישת רשיונות שימוש







Status massages l.jpg
Status Massagesדוחות בקרה

  • הצורך ?

  • דוחות הבקרה מאפשרים דיווח של פעילויות אשר בוצעו במערכת ה SMS כגון:

  • שינוי הגדרות Site Addresses and Boundaries

  • שינוי הגדרות Server Components

  • שינוי הגדרות Security rights


Status massages51 l.jpg
Status Massagesדוחות בקרה

  • שינוי הגדרות Object Class and instance

  • מידע מפורט מכל Remote Control Session:(שם משתמש תומך, שם התחנה התומכת, שם התחנה הנתמכת, מועד תחילת ה RC, מועד סיום RC ועוד)

  • הגדרות SQL Tasks, commands

  • בדיקת הגדרות אבטחה בפועל לבין המוגדר בנוהל האבטחה

  • ועוד


Status massages52 l.jpg
Status Massagesדוחות בקרת האבטחה

Demo


Sms security best practice 1 l.jpg
SMS SecurityBest practice (1)

ההמלצות המובאות להלן הינן נקודת מוצא בלבדליצירת תהליך עבודה ונוהל אבטחה עבור מערכת SMS

  • יש להגדיר מסמך נוהל אבטחה אשר יגדיר מדיניות בהתאם למדיניות האבטחה הכוללת של הארגון ותהליכי העבודה למימוש מדיניות זו

  • במסמך נוהל האבטחה יוגדר פרק המפרט: הקבוצות, החברים בהן, האובייקטים המורשים מתוך Class and instance והרשאות הגישה בכל אובייקט


Sms security best practice 2 l.jpg
SMS SecurityBest practice (2)

  • הגדרת הרשאות אובייקטים רק לקבוצות ולא ליחידים

  • הרשאות אובייקטים ברמת instances בלבד

  • יש להגדיר חשבונות ייעודיים להפצת תוכנה והתקנת תחנות קצה


Sms security best practice 255 l.jpg
SMS SecurityBest practice (2)

  • יש להגדיר סיסמאות חזקות לכל SMS Accounts

  • אין לשנות חשבונות מובנים של SMS

  • עבור Accounts ש sms יצר, יש להגדירPassword never expires

  • יש להגדיר יותר מחשבון אחד לגילוי תחנות


Sms security best practice 3 l.jpg
SMS SecurityBest practice (3)

  • למניעת שימוש נרחב מדי ב SMSService Account יש להגדיר חשבונות נוספים למטלות ייעודיות - ראה טבלת SMS Accounts

  • לשיפור האבטחה של מרכיב ה Remote control ולייעול העבודה של אנשי ה IT בארגון, יש לעבוד עם כלים כדוגמת SMS Remote Control Manager (RCM)


Sms security best practice 357 l.jpg
SMS SecurityBest practice (3)

  • הגדרות Accounts אשר שונו ב ConsoleSMS מחייבות ניהול גם ע"יActive directory Users and Computers User Managerהלן פירוט החשבונות אשר יש לנהל בשני הכלים:

    • SMS Service

    • SMS Site Address

    • Software Metering Service

    • Site System Connection (Windows NT)

    • Client Connection (Windows NT)

    • SMS Windows NT Client Software Installation

    • SMS Client Remote Installation

    • Site Database

    • Software Metering Database

  • חשבונות לסביבת NetWare - ראה במקורות המידע הנוספים


Sms security best practice 4 l.jpg
SMS SecurityBest practice (4)

  • יש לבדוק באופן מחזורי דוחות המערכת ובחינת התאמת הרשאות השימוש לאובייקטים Class and instance, המשתמשים המורשים והרשאות השימוש עבור כל אובייקט המפורטים במסמך האבטחה

  • יש לבחון פעילות במערכת מול תחנות רגישות באופן קבוע ע"י מערכת הדוחות

  • יש לבחון תקופתית את תפיסת האבטחה ולעדכנה בהתאם לשינויים והסיכונים במועד זה


Slide59 l.jpg
מקורות מידע נוספים

  • SMS Security Essentials white paper

    • SMS 2.0 SP2 and up CD and Web site

  • SMS 2.0 Administrator’s Guide

    • Hard copy can be ordered (part no. 271-00617)

  • SMS 2.0 Resource Guide

    • Microsoft® BackOffice® Resource Kit 4.5

  • Microsoft Systems Management Web site

    • http://www.microsoft.com/smsmgmt/

    • Product information, white papers, downloads

  • Microsoft Product Newsgroups

    • msnews.microsoft.com

      • microsoft.public.sms


Slide60 l.jpg

ADAR Consulting

Q & A

MS Systems Management ServerSecurity Session

Adar Consulting

[email protected]


ad