MS Systems Management Server Security Session ADAR Consulting MS Systems Management Server Security Session מדיניות אבטחת SMS - הגדרה, מימוש ובקרה דף פתיחה Yagil Adar - Senior Consultant Adar Consulting yagil@adar.us

תכולת מפגש זה תפיסת האבטחה של מערכת SMS הגדרות אבטחה SMS Accounts SMS RCM דוחות בקרת אבטחה של המערכת המלצות לנוהל אבטחה

SMS תפיסת האבטחה מערכת שליטה ובקרה על תחנות קצה ושרתים הינה מערכת רבת עוצמה, מורכבת ודורשת אבטחה גבוה להבטחת שימוש הולם בלבד הגדרות האבטחה משפיעות על רוב מרכיבי תשתית הרשת בארגון יש לאזן בין תחזוקה מרובה לבין הצורך באבטחה גבוה

SMS תפיסת האבטחה מה תהה רמת האבטחה? מינימום אבטחה – תחזוקה פשוטה - עבודה במצב default SMS מגדיר אבטחה ברמה נמוכה - רוב החשבונות בהרשאת administrators (local או domain) - עבודה במספר חשבונות SMS נמוך מקסימום אבטחה – תחזוקה מורכבת יותר - יש להגדיר למשתמשי administrators הרשאות מינימאליות לפי צורך נקודתי - יש להגדיר למשתמשי SMS accounts הרשאות מינימאליות - יש להשתמש בחשבונות נוספים - התקנת שרת Site Server על שרת Member Server

SMS תפיסת האבטחה רובדי האבטחה של המערכת: - Windows NT/2000 Domain security - SQL Security - WMI Security / DCOM Security - SMS Object Class and instance - SMS Accounts - Physical Security

SMS תפיסת האבטחה הגדרות SITE דוחות בקרת אבטחה של המערכת SMS Security Best Practice

אבטחת מערכת SMS- דרישות קדם נדרשת שליטה בנושאים הבאים: - Windows NT/2000 security (accounts, processes, permissions, privileges, and rights) - Windows NT and pass-through authentication - Various Windows NT domain models - SQL Server security - WMI, DCOM security - Windows NT/2000 Shared resources security

הגדרות אבטחה רובדי האבטחה - Windows NT/2000 Domain security - SQL Security - WMI Security / DCOM Security - SMS Object Class and instance - SMS Accounts - Physical Security

הגדרות אבטחה ברובד : SMS Object Class and Instance רובד זה מגדיר: למי יש הרשאת גישה (קבוצה\משתמש) על מה בבסיס הנתונים (Class / Instance) ומה הפעילות המורשית (Permission)

הגדרות אבטחה ברובד : SMS Object Class and Instance האובייקטים ברמת Classes הינם: - Sites - Collections - Packages - Advertisement - Queries - System Status

הגדרות אבטחה ברובד : SMS Object Class and Instance בכל Class ניתן להגדיר מספר Instances לכל אובייקט Class or Instance, ניתן להגדיר הרשאות לביצוע פעילות כגון: Admin, Create, Read, Delete ועוד עבור כל אובייקט יש להגדיר הגורם המורשה לגישה (משתמש/קבוצה) והפעילות המורשת

הגדרות אבטחה ברובד : SMS Object Class and Instance מתן הרשאה למשתמש/קבוצה לאובייקט מסוג Class, מגדיר אוטומטית הרשאה זו לכל ה Instance של ה Class ניתן להגדיר הרשאות גישה ייחודיות עבור כל Instance בכל Class למעט System Status המאפשר הגדרה ברמת ה Class בלבד הרשאות הגישה הן במתכונת highest permitted

Site Class Security Options

Collection Class Security Options

Package Class Security Options

Advertisement Class Security Options

Query Class Security Options

System Massage Class Security Options

Object Type Permissions Grants the Ability to Allies to Permission Administer all security object types. All security object types Administer Assign or remove any user security rights for a class of objects or for individual object types in that class to yourself or to any other user. There must always be at least one account with Administer rights on any object. You cannot remove the last Administrator, nor can you change your own Administer rights You must explicitly grant other permissions appropriate to the object type.

Object Type Permissions Grants the Ability to Allies to Permission Advertise to a collection. This permission does not grant the ability to create advertisements — that requires Create permission on the advertisement object type. Collection object type class and instances Advertise Create an instance of an object type. All security object types Create Delete an instance of an object type. All security object types and instances(except status message instances) Delete

Object Type Permissions Grants the Ability to Allies to Permission Delete a resource from a collection. Collection object type class and instances Delete Resource Send packages to distribution points. Package object type class and instances Distribute Modify an instance of an object type. All security object types and instances(except status message type and instances) Modify

Object Type Permissions Grants the Ability to Allies to Permission Modify a resource in a collection. Collection object type class and instances Modify Resource View an instance and its properties. All security object types and instances(except status message instances) Read Read a resource in a collection. Collection object type class and instances. Read Resource Use Remote Tools on a resource. Use Remote Tools

SMS User Groups

טיפים להרשאות ברובד : SMS Object Class and instance להפעלת Remote control מתוך Query יש להגדיר Collection המתבסס על הQuery ולהגדיר הרשאת remote control בהגדרות ה Collection לצפייה ב Advertisements יש להגדיר הרשאת קריאה ברמת Class על Collections ו Packages שימוש ב Distribute Software Wizard מחייב הרשאת Read and Advertise ברמת Class על Collections

SMS Object Class and instance Demo

הגדרות אבטחה של SITE הגדרות מרכיב Remote Control Session הגדרות מרכיב הפצת תוכנה שיטת גילוי והתקנת תחנות\שרתים

הגדרות אבטחה של SITE הגדרות מרכיב Remote Control

הגדרות אבטחה של SITE הגדרות מרכיב הפצת תוכנה

הגדרות אבטחה של SITE התקנת תחנות מרחוק

SMS Sites Demo

SMS Accounts SMS accounts הינם חשבונות המוגדרים במערכות Windows NT, SQL Server, NetWare. רק לאחר מכן יש להגדירם במערכת ה sms ע"י SMS Administrator console או SMS Setup Wizard ניהול חשבונות SMS מחייב הבנה מלאה של תפקיד כל החשבונות המעורבים בתהליך: החשבונות המוגדרים ע"י המערכת בעת ההתקנה והחשבונות אשר יש להוסיף ידנית. חלקם מיועדים לניהול site(s) וחלקם מיועדים להגדלת רמת האבטחה.

SMS Accounts (1) Accounts List SMS Accounts List User Name Account Name SMSService (might vary) SMS Service sa (might vary) SQL Server administrator's choice SMS Site Address SMSServer_sc SMS Server Connection Netware NDS Site System Connection NetWare Bindery Site System Connection Windows Networking Site System Connection

SMS Accounts (2) Accounts List Table 2.3 SMS Accounts List User Name Account Name SMSLogonSvc SMS Logon Service SMSSvc_sc_xxxx SMS Remote Service (CAP) SMS Remote Service (SQL Monitor on separate server) SWMAccount Software Metering Service SMS&_dc Client Services (DC) SMSCliSvcAcct& Client Services (Non-DC) SMSCliToknAcct& Client User Token

SMS Accounts (3) Accounts List Table 2.3 SMS Accounts List User Name Account Name SMSClient_sc SMS Client Connection administrator's choice SMS Windows NT Client Software Installation SMS Client Remote Installation varies greatly logged on user SMSCCMBootAcct& Client Configuration Manager (CCM) Boot Loader (Non-DC) SMSProvider_sc SMS Provider Impersonation SMS#_dc CCM Boot Loader (DC)

SMS Accounts (4) Accounts List Table 2.3 SMS Accounts List User Name Account Name administrator's choice Netware NDS Client Connection NetWare Bindery Client Connection sa (might vary) Software Metering SQL Server Crystal Info Reports InfoService Crystal Info Service ABCTest Software Metering Test   note: sc=site code, dc=domain controller name, xxxx=unique number, starting at 0000

Essentials (1) SMS Accounts כלל ברזל - אין לשנות SMS User Account שהוגדר ע"י המערכת

Essentials (2) SMS Accounts SQL SA Account – אין להשתמש בשם SA, אין להשאיר הסיסמא ריקה (הגדרות ה default בעת התקנת המערכת) בעת הגדרת Accounts ידנית, יש להעניק להם שמות המרמזים מה יהה תפקידם

Essentials (3) SMS Accounts תחזוקת Client Connection Account למניעת - Client Connection Account Lockout - בעיות בתפקוד ה Client עקב נעילת החשבון ו /או החלפת סיסמא - חוסר יכולת להתקשר ל CAP - יצירת מצב של Orphaned SMS client - ועוד יש ליצור בנוסף ל Client Connection Account המוגדר בעת התקנת ה site כגון: SMSClient_s10, שני חשבונות נוספים יש להגדיר מחזור יצירה והחלפת החשבונות התואם את מדיניות החלפת הסיסמאות בארגון.

SMS Accounts Demo

SMS 2.0 Remote Control Manager (SMS RCM) מה זה ? כלי שפותח עקב בקשת לקוח בעל סביבת מחשוב מאובטחת לקבלת פתרון Remote Control המייעל את העבודה של אנשי ה IT בחברה וללא פגיעה כל שהיא בנוהלי אבטחת המערכת. הצורך: - לאנשי הפיתוח\תחזוקה של יישום נתון יש צורך להשתלט מיידית על שרת היישומים - בשרת מוגדר (כמו בכל ה site) policy המחייב מתן אישור מהתחנה להשתלטות - התחנה לא מאוישת - בהתאם לנוהל האבטחה, יש צורך לפנות לצוותי IT נוספים לביטול זמני של הגדרה זו לפני הפעלת כלי ה Remote Control

SMS 2.0 Remote Control Manager (SMS RCM) מסלול זרימה אופייני בסביבת מחשוב מאובטחת להסבת פקודת "permission required" בשרת לא מאויש ל no והשבת הפקודה ל yes בסיום ה Remote Control Session אנשי אבטחת מידע אנשי System זמן תגובה מיידי – קשה למימוש אדמיניסטרציה מיותרת שירות פנימי באיכות נמוכה עשוי לפגוע ב SLA פנימי ו/או מול הלקוח מחוץ לגוף ה IT 2 3 4 1 להשבת הפקודה ל yes בסיום ה session ולא להמתין עד 23 שעות יש לבצע סבב נוסף תומכים\תומכי יישומים

SMS 2.0 Remote Control Manager (SMS RCM) תכונות הפתרון והמשמעות עבור הלקוח כלי המבצע את מטלות אנשי ה IT האחרים (Security, System) אוטמטית לפי נוהלי האבטחה הנוכחיים - השירות ע"י התומך הוא מיידי בודק זמינות השרת לפני הפעלת Remote Control Session - בודק האם השרת ברמת system בסיסי תקין שינוי הגדרת permission required ל no מתבצע ומיידית מפעיל את Remote Control Session שינוי הגדרת permission required ל yes מתבצע מיידית בסיום Remote Control Session - אין צורך להמתין עד 23 –שעות להשבת הנעילה - שיפור משמעותי באבטחת הגישה לשרתים

SMS 2.0 Remote Control Manager (SMS RCM) תכונות הפתרון והמשמעות עבור הלקוח (המשך) אין צורך להפעיל sms mmc - ידידותי יותר למשתמש עבודה על קבוצת שרתים נתונה המוגדרת ב sms rcm (אין אפשרות עצמאית להוסיף שמות שרתים נוספים) Smsrcm.exe אינו ניתן לעריכה בשונה מפתרונות VB - מאובטח יותר שימוש בכלי Remote Control של מערכת ה sms - אין השקעה נוספת כל פעילות Remote Control המתבצעת עם sms rcm מדווחת למערכת הדיווח המובנת ב sms- כל הפעילות מנותרת Smsrcm.exe נכתב באמצעות: SMS Installer ver 2.0.148.00, VB, WMI - אין השקעה נוספת בכלים\רכישת רשיונות שימוש

SMS 2.0 Remote Control Manager (SMS RCM)

SMS 2.0 Remote Control Manager (SMS RCM)

SMS 2.0 Remote Control Manager (SMS RCM)

SMS 2.0 Remote Control Manager (SMS RCM)

SMS 2.0 Remote Control Manager Demo

Status Massages דוחות בקרה הצורך ? דוחות הבקרה מאפשרים דיווח של פעילויות אשר בוצעו במערכת ה SMS כגון: שינוי הגדרות Site Addresses and Boundaries שינוי הגדרות Server Components שינוי הגדרות Security rights

Status Massages דוחות בקרה שינוי הגדרות Object Class and instance מידע מפורט מכל Remote Control Session: (שם משתמש תומך, שם התחנה התומכת, שם התחנה הנתמכת, מועד תחילת ה RC, מועד סיום RC ועוד) הגדרות SQL Tasks, commands בדיקת הגדרות אבטחה בפועל לבין המוגדר בנוהל האבטחה ועוד

Status Massages דוחות בקרת האבטחה Demo

SMS Security Best practice (1) יש להגדיר מסמך נוהל אבטחה אשר יגדיר מדיניות בהתאם למדיניות האבטחה הכוללת של הארגון ותהליכי העבודה למימוש מדיניות זו במסמך נוהל האבטחה יוגדר פרק המפרט: הקבוצות, החברים בהן, האובייקטים המורשים מתוך Class and instance והרשאות הגישה בכל אובייקט

SMS Security Best practice (2) הגדרת הרשאות אובייקטים רק לקבוצות ולא ליחידים הרשאות אובייקטים ברמת instances בלבד יש להגדיר חשבונות ייעודיים להפצת תוכנה והתקנת תחנות קצה

SMS Security Best practice (2) יש להגדיר סיסמאות חזקות לכל SMS Accounts אין לשנות חשבונות מובנים של SMS עבור Accounts ש sms יצר, יש להגדיר Password never expires יש להגדיר יותר מחשבון אחד לגילוי תחנות

SMS Security Best practice (3) למניעת שימוש נרחב מדי ב SMSService Account יש להגדיר חשבונות נוספים למטלות ייעודיות - ראה טבלת SMS Accounts לשיפור האבטחה של מרכיב ה Remote control ולייעול העבודה של אנשי ה IT בארגון, יש לעבוד עם כלים כדוגמת SMS Remote Control Manager (RCM)

SMS Security Best practice (3) הגדרות Accounts אשר שונו ב Console SMS מחייבות ניהול גם ע"י Active directory Users and Computers User Manager הלן פירוט החשבונות אשר יש לנהל בשני הכלים: SMS Service SMS Site Address Software Metering Service Site System Connection (Windows NT) Client Connection (Windows NT) SMS Windows NT Client Software Installation SMS Client Remote Installation Site Database Software Metering Database חשבונות לסביבת NetWare - ראה במקורות המידע הנוספים

SMS Security Best practice (4) יש לבדוק באופן מחזורי דוחות המערכת ובחינת התאמת הרשאות השימוש לאובייקטים Class and instance, המשתמשים המורשים והרשאות השימוש עבור כל אובייקט המפורטים במסמך האבטחה יש לבחון פעילות במערכת מול תחנות רגישות באופן קבוע ע"י מערכת הדוחות יש לבחון תקופתית את תפיסת האבטחה ולעדכנה בהתאם לשינויים והסיכונים במועד זה

מקורות מידע נוספים SMS Security Essentials white paper SMS 2.0 SP2 and up CD and Web site SMS 2.0 Administrator’s Guide Hard copy can be ordered (part no. 271-00617) SMS 2.0 Resource Guide Microsoft® BackOffice® Resource Kit 4.5 Microsoft Systems Management Web site http://www.microsoft.com/smsmgmt/ Product information, white papers, downloads Microsoft Product Newsgroups msnews.microsoft.com microsoft.public.sms

MS Systems Management Server Security Session ADAR Consulting MS Systems Management Server Security Session Q & A דף פתיחה Adar Consulting Info@adar.us