ms systems management server security session l.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
MS Systems Management Server Security Session PowerPoint Presentation
Download Presentation
MS Systems Management Server Security Session

Loading in 2 Seconds...

play fullscreen
1 / 60

MS Systems Management Server Security Session - PowerPoint PPT Presentation


  • 289 Views
  • Uploaded on

ADAR Consulting MS Systems Management Server Security Session מדיניות אבטחת SMS - הגדרה, מימוש ובקרה Yagil Adar - Senior Consultant Adar Consulting yagil@adar.us תכולת מפגש זה תפיסת האבטחה של מערכת SMS הגדרות אבטחה SMS Accounts SMS RCM דוחות בקרת אבטחה של המערכת המלצות לנוהל אבטחה

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'MS Systems Management Server Security Session' - oshin


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
ms systems management server security session

ADAR Consulting

MS Systems Management ServerSecurity Session

מדיניות אבטחת SMS - הגדרה, מימוש ובקרה

Yagil Adar - Senior Consultant

Adar Consulting

yagil@adar.us

slide2
תכולת מפגש זה
  • תפיסת האבטחה של מערכת SMS
  • הגדרות אבטחה
  • SMS Accounts
  • SMS RCM
  • דוחות בקרת אבטחה של המערכת
  • המלצות לנוהל אבטחה
slide3
SMS תפיסת האבטחה
  • מערכת שליטה ובקרה על תחנות קצה ושרתים הינה מערכת רבת עוצמה, מורכבת ודורשת אבטחה גבוה להבטחת שימוש הולם בלבד
  • הגדרות האבטחה משפיעות על רוב מרכיבי תשתית הרשת בארגון
  • יש לאזן בין תחזוקה מרובה לבין הצורך באבטחה גבוה
slide4
SMS תפיסת האבטחה

מה תהה רמת האבטחה?

  • מינימום אבטחה – תחזוקה פשוטה- עבודה במצב defaultSMS מגדיר אבטחה ברמה נמוכה- רוב החשבונות בהרשאת administrators (local או domain)- עבודה במספר חשבונות SMS נמוך
  • מקסימום אבטחה – תחזוקה מורכבת יותר- יש להגדיר למשתמשי administrators הרשאות מינימאליות לפי צורך נקודתי- יש להגדיר למשתמשי SMS accounts הרשאות מינימאליות- יש להשתמש בחשבונות נוספים- התקנת שרת Site Server על שרת Member Server
slide5
SMS תפיסת האבטחה
  • רובדי האבטחה של המערכת:

- Windows NT/2000 Domain security

- SQL Security

- WMI Security / DCOM Security

- SMS Object Class and instance

- SMS Accounts

- Physical Security

slide6
SMS תפיסת האבטחה
  • הגדרות SITE
  • דוחות בקרת אבטחה של המערכת
  • SMS Security Best Practice
slide7
אבטחת מערכת SMS- דרישות קדם
  • נדרשת שליטה בנושאים הבאים:

- Windows NT/2000 security (accounts, processes, permissions, privileges, and rights)

- Windows NT and pass-through authentication

- Various Windows NT domain models

- SQL Server security

- WMI, DCOM security

- Windows NT/2000 Shared resources security

slide8
הגדרות אבטחה
  • רובדי האבטחה

- Windows NT/2000 Domain security

- SQL Security

- WMI Security / DCOM Security

- SMS Object Class and instance

- SMS Accounts

- Physical Security

s ms object class and instance
הגדרות אבטחה ברובד :SMS Object Class and Instance
  • רובד זה מגדיר:

למי יש הרשאת גישה (קבוצה\משתמש)

על מה בבסיס הנתונים (Class / Instance)

ומה הפעילות המורשית (Permission)

s ms object class and instance10
הגדרות אבטחה ברובד :SMS Object Class and Instance
  • האובייקטים ברמת Classes הינם:

- Sites

- Collections

- Packages

- Advertisement

- Queries

- System Status

s ms object class and instance11
הגדרות אבטחה ברובד :SMS Object Class and Instance
  • בכל Class ניתן להגדיר מספר Instances
  • לכל אובייקט Class or Instance, ניתן להגדיר הרשאות לביצוע פעילות כגון: Admin, Create, Read, Delete ועוד
  • עבור כל אובייקט יש להגדיר הגורם המורשה לגישה (משתמש/קבוצה) והפעילות המורשת
s ms object class and instance12
הגדרות אבטחה ברובד :SMS Object Class and Instance
  • מתן הרשאה למשתמש/קבוצה לאובייקט מסוג Class, מגדיר אוטומטית הרשאה זו לכל ה Instance של ה Class
  • ניתן להגדיר הרשאות גישה ייחודיות עבור כל Instance בכל Class למעט System Status המאפשר הגדרה ברמת ה Class בלבד
  • הרשאות הגישה הן במתכונת highest permitted
sms object class and instance
טיפים להרשאות ברובד :SMS Object Class and instance
  • להפעלת Remote control מתוך Query יש להגדיר Collection המתבסס על הQuery ולהגדיר הרשאת remote control בהגדרות ה Collection
  • לצפייה ב Advertisements יש להגדיר הרשאת קריאה ברמת Class על Collections ו Packages
  • שימוש ב Distribute Software Wizard מחייב הרשאת Read and Advertise ברמת Class על Collections
slide26
הגדרות אבטחה של SITE
  • הגדרות מרכיב Remote Control Session
  • הגדרות מרכיב הפצת תוכנה
  • שיטת גילוי והתקנת תחנות\שרתים
slide27
הגדרות אבטחה של SITE
  • הגדרות מרכיב Remote Control
slide28
הגדרות אבטחה של SITE
  • הגדרות מרכיב הפצת תוכנה
slide29
הגדרות אבטחה של SITE
  • התקנת תחנות מרחוק
sms accounts
SMS Accounts
  • SMS accounts הינם חשבונות המוגדרים במערכות Windows NT, SQL Server, NetWare. רק לאחר מכן יש להגדירם במערכת ה sms ע"י SMS Administrator console או SMS Setup Wizard
  • ניהול חשבונות SMS מחייב הבנה מלאה של תפקיד כל החשבונות המעורבים בתהליך: החשבונות המוגדרים ע"י המערכת בעת ההתקנה והחשבונות אשר יש להוסיף ידנית. חלקם מיועדים לניהול site(s) וחלקם מיועדים להגדלת רמת האבטחה.
essentials 1 sms accounts
Essentials (1)SMS Accounts
  • תזכורת – הגדרות האבטחה של מערכת sms במצב תחילי לאחר התקנה הן ברמה הנמוכה ביותר
  • כלל ברזל - איןלשנות SMS User Accountשהוגדר ע"י המערכת
essentials 2 sms accounts
Essentials (2)SMS Accounts
  • SQL SA Account – אין להשתמש בשם SA, אין להשאיר הסיסמא ריקה (הגדרות ה default בעת התקנת המערכת)
  • בעת הגדרת Accounts ידנית, יש להעניק להם שמות המרמזים מה יהה תפקידם
essentials 3 sms accounts
Essentials (3)SMS Accounts

תחזוקת Client Connection Account

  • למניעת- Client Connection Account Lockout

- בעיות בתפקוד ה Client עקב נעילת החשבון ו /או החלפת סיסמא

- חוסר יכולת להתקשר ל CAP

- יצירת מצב של Orphaned SMS client

- ועוד

  • יש ליצור בנוסף ל Client Connection Account המוגדר בעת התקנת ה siteכגון: SMSClient_s10, שני חשבונות נוספים
  • יש להגדיר מחזור יצירה והחלפת החשבונות התואם את מדיניות החלפת הסיסמאות בארגון.
sms 2 0 remote control manager sms rcm
SMS 2.0 Remote Control Manager (SMS RCM)

מה זה ?

  • כלי שפותח עקב בקשת לקוח בעל סביבת מחשוב מאובטחת לקבלת פתרון Remote Control המייעל את העבודה של אנשי ה IT בחברה וללא פגיעה כל שהיא בנוהלי אבטחת המערכת.
  • הצורך:

- לאנשי הפיתוח\תחזוקה של יישוםנתון יש צורך להשתלט מיידית על שרת היישומים

- בשרת מוגדר (כמו בכל ה site) policy המחייב מתן אישור מהתחנה להשתלטות

- התחנה לא מאוישת

- בהתאם לנוהל האבטחה, יש צורך לפנות לצוותי IT נוספים לביטול זמני של הגדרה זו לפני הפעלת כלי ה Remote Control

sms 2 0 remote control manager sms rcm42

2

3

4

1

SMS 2.0 Remote Control Manager (SMS RCM)

מסלול זרימה אופייני בסביבת מחשוב מאובטחת להסבת פקודת "permission required" בשרת לא מאויש ל noוהשבת הפקודה ל yes בסיום ה Remote Control Session

תומכים\תומכי יישומים

אנשי אבטחת מידע

אנשי System

  • זמן תגובה מיידי – קשה למימוש
  • אדמיניסטרציה מיותרת
  • שירות פנימי באיכות נמוכה
  • עשוי לפגוע ב SLA פנימי ו/או מול הלקוח מחוץ לגוף ה IT
  • להשבת הפקודה ל yes בסיום ה session ולא להמתין עד 23 שעות יש לבצע סבב נוסף
sms 2 0 remote control manager sms rcm43
SMS 2.0 Remote Control Manager (SMS RCM)

תכונות הפתרון והמשמעות עבור הלקוח

  • כלי המבצע את מטלות אנשי ה IT האחרים (Security, System) אוטמטית לפי נוהלי האבטחה הנוכחיים- השירות ע"י התומך הוא מיידי
  • בודק זמינות השרת לפני הפעלת Remote Control Session - בודק האם השרת ברמת system בסיסי תקין
  • שינוי הגדרת permission required ל no מתבצע ומיידית מפעיל את Remote Control Sessionשינוי הגדרת permission required ל yes מתבצע מיידית בסיוםRemote Control Session - אין צורך להמתין עד 23 –שעות להשבת הנעילה - שיפור משמעותי באבטחת הגישה לשרתים
sms 2 0 remote control manager sms rcm44
SMS 2.0 Remote Control Manager (SMS RCM)

תכונות הפתרון והמשמעות עבור הלקוח (המשך)

  • אין צורך להפעיל sms mmc- ידידותי יותר למשתמש
  • עבודה על קבוצת שרתים נתונה המוגדרת ב sms rcm(אין אפשרות עצמאית להוסיף שמות שרתים נוספים)Smsrcm.exe אינו ניתן לעריכה בשונה מפתרונות VB - מאובטח יותר
  • שימוש בכלי Remote Control של מערכת ה sms - אין השקעה נוספת
  • כל פעילות Remote Control המתבצעת עם sms rcm מדווחת למערכת הדיווח המובנת ב sms- כל הפעילות מנותרת
  • Smsrcm.exe נכתב באמצעות:SMS Installer ver 2.0.148.00, VB, WMI- אין השקעה נוספת בכלים\רכישת רשיונות שימוש
status massages
Status Massagesדוחות בקרה
  • הצורך ?
  • דוחות הבקרה מאפשרים דיווח של פעילויות אשר בוצעו במערכת ה SMS כגון:
  • שינוי הגדרות Site Addresses and Boundaries
  • שינוי הגדרות Server Components
  • שינוי הגדרות Security rights
status massages51
Status Massagesדוחות בקרה
  • שינוי הגדרות Object Class and instance
  • מידע מפורט מכל Remote Control Session:(שם משתמש תומך, שם התחנה התומכת, שם התחנה הנתמכת, מועד תחילת ה RC, מועד סיום RC ועוד)
  • הגדרות SQL Tasks, commands
  • בדיקת הגדרות אבטחה בפועל לבין המוגדר בנוהל האבטחה
  • ועוד
sms security best practice 1
SMS SecurityBest practice (1)

ההמלצות המובאות להלן הינן נקודת מוצא בלבדליצירת תהליך עבודה ונוהל אבטחה עבור מערכת SMS

  • יש להגדיר מסמך נוהל אבטחה אשר יגדיר מדיניות בהתאם למדיניות האבטחה הכוללת של הארגון ותהליכי העבודה למימוש מדיניות זו
  • במסמך נוהל האבטחה יוגדר פרק המפרט: הקבוצות, החברים בהן, האובייקטים המורשים מתוך Class and instance והרשאות הגישה בכל אובייקט
sms security best practice 2
SMS SecurityBest practice (2)
  • הגדרת הרשאות אובייקטים רק לקבוצות ולא ליחידים
  • הרשאות אובייקטים ברמת instances בלבד
  • יש להגדיר חשבונות ייעודיים להפצת תוכנה והתקנת תחנות קצה
sms security best practice 255
SMS SecurityBest practice (2)
  • יש להגדיר סיסמאות חזקות לכל SMS Accounts
  • אין לשנות חשבונות מובנים של SMS
  • עבור Accounts ש sms יצר, יש להגדירPassword never expires
  • יש להגדיר יותר מחשבון אחד לגילוי תחנות
sms security best practice 3
SMS SecurityBest practice (3)
  • למניעת שימוש נרחב מדי ב SMSService Account יש להגדיר חשבונות נוספים למטלות ייעודיות - ראה טבלת SMS Accounts
  • לשיפור האבטחה של מרכיב ה Remote control ולייעול העבודה של אנשי ה IT בארגון, יש לעבוד עם כלים כדוגמת SMS Remote Control Manager (RCM)
sms security best practice 357
SMS SecurityBest practice (3)
  • הגדרות Accounts אשר שונו ב ConsoleSMS מחייבות ניהול גם ע"יActive directory Users and Computers User Managerהלן פירוט החשבונות אשר יש לנהל בשני הכלים:
    • SMS Service
    • SMS Site Address
    • Software Metering Service
    • Site System Connection (Windows NT)
    • Client Connection (Windows NT)
    • SMS Windows NT Client Software Installation
    • SMS Client Remote Installation
    • Site Database
    • Software Metering Database
  • חשבונות לסביבת NetWare - ראה במקורות המידע הנוספים
sms security best practice 4
SMS SecurityBest practice (4)
  • יש לבדוק באופן מחזורי דוחות המערכת ובחינת התאמת הרשאות השימוש לאובייקטים Class and instance, המשתמשים המורשים והרשאות השימוש עבור כל אובייקט המפורטים במסמך האבטחה
  • יש לבחון פעילות במערכת מול תחנות רגישות באופן קבוע ע"י מערכת הדוחות
  • יש לבחון תקופתית את תפיסת האבטחה ולעדכנה בהתאם לשינויים והסיכונים במועד זה
slide59
מקורות מידע נוספים
  • SMS Security Essentials white paper
    • SMS 2.0 SP2 and up CD and Web site
  • SMS 2.0 Administrator’s Guide
    • Hard copy can be ordered (part no. 271-00617)
  • SMS 2.0 Resource Guide
    • Microsoft® BackOffice® Resource Kit 4.5
  • Microsoft Systems Management Web site
    • http://www.microsoft.com/smsmgmt/
    • Product information, white papers, downloads
  • Microsoft Product Newsgroups
    • msnews.microsoft.com
      • microsoft.public.sms
slide60

ADAR Consulting

Q & A

MS Systems Management ServerSecurity Session

Adar Consulting

Info@adar.us