1. MS Systems Management Server Security Session
ADAR Consulting
MS Systems Management Server Security Session
מדיניות אבטחת SMS - הגדרה, מימוש ובקרה
דף פתיחה
Yagil Adar - Senior Consultant
Adar Consulting

2. תכולת מפגש זה תפיסת האבטחה של מערכת SMS הגדרות אבטחה SMS Accounts
SMS RCM
דוחות בקרת אבטחה של המערכת
המלצות לנוהל אבטחה

3. SMS תפיסת האבטחה
מערכת שליטה ובקרה על תחנות קצה ושרתים הינה מערכת רבת עוצמה, מורכבת ודורשת אבטחה גבוה להבטחת שימוש הולם בלבד
הגדרות האבטחה משפיעות על רוב מרכיבי תשתית הרשת בארגון
יש לאזן בין תחזוקה מרובה לבין הצורך באבטחה גבוה

4. SMS תפיסת האבטחה מה תהה רמת האבטחה?
מינימום אבטחה – תחזוקה פשוטה - עבודה במצב default SMS מגדיר אבטחה ברמה נמוכה - רוב החשבונות בהרשאת administrators (local או domain) - עבודה במספר חשבונות SMS נמוך
מקסימום אבטחה – תחזוקה מורכבת יותר - יש להגדיר למשתמשי administrators הרשאות מינימאליות לפי צורך נקודתי - יש להגדיר למשתמשי SMS accounts הרשאות מינימאליות - יש להשתמש בחשבונות נוספים - התקנת שרת Site Server על שרת Member Server

5. SMS תפיסת האבטחה רובדי האבטחה של המערכת:
- Windows NT/2000 Domain security
- SQL Security
- WMI Security / DCOM Security
- SMS Object Class and instance
- SMS Accounts
- Physical Security

6. SMS תפיסת האבטחה הגדרות SITE דוחות בקרת אבטחה של המערכת
SMS Security Best Practice

7. אבטחת מערכת SMS- דרישות קדם
נדרשת שליטה בנושאים הבאים:
- Windows NT/2000 security (accounts, processes, permissions, privileges, and rights)
- Windows NT and pass-through authentication
- Various Windows NT domain models
- SQL Server security
- WMI, DCOM security
- Windows NT/2000 Shared resources security

8. הגדרות אבטחה רובדי האבטחה - Windows NT/2000 Domain security
- SQL Security
- WMI Security / DCOM Security
- SMS Object Class and instance
- SMS Accounts
- Physical Security

9. הגדרות אבטחה ברובד : SMS Object Class and Instance
רובד זה מגדיר:
למי יש הרשאת גישה (קבוצה\משתמש)
על מה בבסיס הנתונים (Class / Instance)
ומה הפעילות המורשית (Permission)

10. הגדרות אבטחה ברובד : SMS Object Class and Instance
האובייקטים ברמת Classes הינם:
- Sites
- Collections
- Packages
- Advertisement
- Queries
- System Status

11. הגדרות אבטחה ברובד : SMS Object Class and Instance
בכל Class ניתן להגדיר מספר Instances
לכל אובייקט Class or Instance, ניתן להגדיר הרשאות לביצוע פעילות כגון: Admin, Create, Read, Delete ועוד
עבור כל אובייקט יש להגדיר הגורם המורשה לגישה (משתמש/קבוצה) והפעילות המורשת

12. הגדרות אבטחה ברובד : SMS Object Class and Instance
מתן הרשאה למשתמש/קבוצה לאובייקט מסוג Class, מגדיר אוטומטית הרשאה זו לכל ה Instance של ה Class
ניתן להגדיר הרשאות גישה ייחודיות עבור כל Instance בכל Class למעט System Status המאפשר הגדרה ברמת ה Class בלבד
הרשאות הגישה הן במתכונת highest permitted

13. Site Class Security Options

14. Collection Class Security Options

15. Package Class Security Options

16. Advertisement Class Security Options

17. Query Class Security Options

18. System Massage Class Security Options

19. Object Type Permissions
Grants the Ability to
Allies to
Permission
Administer all security object types.
All security object types
Administer
Assign or remove any user security rights for a class of objects or for individual object types in that class to yourself or to any other user.
There must always be at least one account with Administer rights on any object. You cannot remove the last Administrator, nor can you change your own Administer rights
You must explicitly grant other permissions appropriate to the object type.

20. Object Type Permissions
Grants the Ability to
Allies to
Permission
Advertise to a collection. This permission does not grant the ability to create advertisements — that requires Create permission on the advertisement object type.
Collection object type class and instances
Advertise
Create an instance of an object type.
All security object types
Create
Delete an instance of an object type.
All security object types and instances(except status message instances)
Delete

21. Object Type Permissions
Grants the Ability to
Allies to
Permission
Delete a resource from a collection.
Collection object type class and instances
Delete Resource
Send packages to distribution points.
Package object type class and instances
Distribute
Modify an instance of an object type.
All security object types and instances(except status message type and instances)
Modify

22. Object Type Permissions
Grants the Ability to
Allies to
Permission
Modify a resource in a collection.
Collection object type class and instances
Modify Resource
View an instance and its properties.
All security object types and instances(except status message instances)
Read
Read a resource in a collection.
Collection object type class and instances.
Read Resource
Use Remote Tools on a resource.
Use Remote Tools

23. SMS User Groups

24. טיפים להרשאות ברובד : SMS Object Class and instance
להפעלת Remote control מתוך Query יש להגדיר Collection המתבסס על הQuery ולהגדיר הרשאת remote control בהגדרות ה Collection
לצפייה ב Advertisements יש להגדיר הרשאת קריאה ברמת Class על Collections ו Packages
שימוש ב Distribute Software Wizard מחייב הרשאת Read and Advertise ברמת Class על Collections

25. SMS Object Class and instance
Demo

26. הגדרות אבטחה של SITE הגדרות מרכיב Remote Control Session
הגדרות מרכיב הפצת תוכנה
שיטת גילוי והתקנת תחנות\שרתים

27. הגדרות אבטחה של SITE
הגדרות מרכיב Remote Control

28. הגדרות אבטחה של SITE
הגדרות מרכיב הפצת תוכנה

29. הגדרות אבטחה של SITE
התקנת תחנות מרחוק

30. SMS Sites
Demo

31. SMS Accounts
SMS accounts הינם חשבונות המוגדרים במערכות Windows NT, SQL Server, NetWare. רק לאחר מכן יש להגדירם במערכת ה sms ע"י SMS Administrator console או SMS Setup Wizard
ניהול חשבונות SMS מחייב הבנה מלאה של תפקיד כל החשבונות המעורבים בתהליך: החשבונות המוגדרים ע"י המערכת בעת ההתקנה והחשבונות אשר יש להוסיף ידנית. חלקם מיועדים לניהול site(s) וחלקם מיועדים להגדלת רמת האבטחה.

33. SMS Accounts (1) Accounts List
SMS Accounts List
User Name
Account Name
SMSService (might vary)
SMS Service
sa (might vary)
SQL Server
administrator's choice
SMS Site Address
SMSServer_sc
SMS Server Connection
Netware NDS Site System Connection
NetWare Bindery Site System Connection
Windows Networking Site System Connection

34. SMS Accounts (2) Accounts List
Table 2.3 SMS Accounts List
User Name
Account Name
SMSLogonSvc
SMS Logon Service
SMSSvc_sc_xxxx
SMS Remote Service (CAP)
SMS Remote Service (SQL Monitor on separate server)
SWMAccount
Software Metering Service
SMS&_dc
Client Services (DC)
SMSCliSvcAcct&
Client Services (Non-DC)
SMSCliToknAcct&
Client User Token

35. SMS Accounts (3) Accounts List
Table 2.3 SMS Accounts List
User Name
Account Name
SMSClient_sc
SMS Client Connection
administrator's choice
SMS Windows NT Client Software Installation
SMS Client Remote Installation
varies greatly
logged on user
SMSCCMBootAcct&
Client Configuration Manager (CCM) Boot Loader (Non-DC)
SMSProvider_sc
SMS Provider Impersonation
SMS#_dc
CCM Boot Loader (DC)

36. SMS Accounts (4) Accounts List
Table 2.3 SMS Accounts List
User Name
Account Name
administrator's choice
Netware NDS Client Connection
NetWare Bindery Client Connection
sa (might vary)
Software Metering SQL Server
Crystal Info Reports
InfoService
Crystal Info Service
ABCTest
Software Metering Test
note: sc=site code, dc=domain controller name, xxxx=unique number, starting at 0000

37. Essentials (1) SMS Accounts
כלל ברזל - אין לשנות SMS User Account שהוגדר ע"י המערכת

38. Essentials (2) SMS Accounts
SQL SA Account – אין להשתמש בשם SA, אין להשאיר הסיסמא ריקה (הגדרות ה default בעת התקנת המערכת)
בעת הגדרת Accounts ידנית, יש להעניק להם שמות המרמזים מה יהה תפקידם

39. Essentials (3) SMS Accounts
תחזוקת Client Connection Account
למניעת - Client Connection Account Lockout
- בעיות בתפקוד ה Client עקב נעילת החשבון ו /או החלפת סיסמא
- חוסר יכולת להתקשר ל CAP
- יצירת מצב של Orphaned SMS client
- ועוד
יש ליצור בנוסף ל Client Connection Account המוגדר בעת התקנת ה site כגון: SMSClient_s10, שני חשבונות נוספים
יש להגדיר מחזור יצירה והחלפת החשבונות התואם את מדיניות החלפת הסיסמאות בארגון.

40. SMS Accounts
Demo

41. SMS 2.0 Remote Control Manager (SMS RCM)
מה זה ?
כלי שפותח עקב בקשת לקוח בעל סביבת מחשוב מאובטחת לקבלת פתרון Remote Control המייעל את העבודה של אנשי ה IT בחברה וללא פגיעה כל שהיא בנוהלי אבטחת המערכת.
הצורך:
- לאנשי הפיתוח\תחזוקה של יישום נתון יש צורך להשתלט מיידית על שרת היישומים
- בשרת מוגדר (כמו בכל ה site) policy המחייב מתן אישור מהתחנה להשתלטות
- התחנה לא מאוישת
- בהתאם לנוהל האבטחה, יש צורך לפנות לצוותי IT נוספים לביטול זמני של הגדרה זו לפני הפעלת כלי ה Remote Control

42. SMS 2.0 Remote Control Manager (SMS RCM)
מסלול זרימה אופייני בסביבת מחשוב מאובטחת להסבת פקודת "permission required" בשרת לא מאויש ל no והשבת הפקודה ל yes בסיום ה Remote Control Session
אנשי אבטחת מידע
אנשי System
זמן תגובה מיידי – קשה למימוש
אדמיניסטרציה מיותרת
שירות פנימי באיכות נמוכה
עשוי לפגוע ב SLA פנימי ו/או מול הלקוח מחוץ לגוף ה IT 2 3 4 1
להשבת הפקודה ל yes בסיום ה session ולא להמתין עד 23 שעות יש לבצע סבב נוסף
תומכים\תומכי יישומים

43. SMS 2.0 Remote Control Manager (SMS RCM)
תכונות הפתרון והמשמעות עבור הלקוח
כלי המבצע את מטלות אנשי ה IT האחרים (Security, System) אוטמטית לפי נוהלי האבטחה הנוכחיים - השירות ע"י התומך הוא מיידי
בודק זמינות השרת לפני הפעלת Remote Control Session - בודק האם השרת ברמת system בסיסי תקין
שינוי הגדרת permission required ל no מתבצע ומיידית מפעיל את Remote Control Session שינוי הגדרת permission required ל yes מתבצע מיידית בסיום Remote Control Session - אין צורך להמתין עד 23 –שעות להשבת הנעילה - שיפור משמעותי באבטחת הגישה לשרתים

44. SMS 2.0 Remote Control Manager (SMS RCM)
תכונות הפתרון והמשמעות עבור הלקוח (המשך)
אין צורך להפעיל sms mmc - ידידותי יותר למשתמש
עבודה על קבוצת שרתים נתונה המוגדרת ב sms rcm (אין אפשרות עצמאית להוסיף שמות שרתים נוספים) Smsrcm.exe אינו ניתן לעריכה בשונה מפתרונות VB - מאובטח יותר
שימוש בכלי Remote Control של מערכת ה sms - אין השקעה נוספת
כל פעילות Remote Control המתבצעת עם sms rcm מדווחת למערכת הדיווח המובנת ב sms- כל הפעילות מנותרת
Smsrcm.exe נכתב באמצעות: SMS Installer ver , VB, WMI - אין השקעה נוספת בכלים\רכישת רשיונות שימוש

45. SMS 2.0 Remote Control Manager (SMS RCM)

46. SMS 2.0 Remote Control Manager (SMS RCM)

47. SMS 2.0 Remote Control Manager (SMS RCM)

48. SMS 2.0 Remote Control Manager (SMS RCM)

49. SMS 2.0 Remote Control Manager
Demo

50. Status Massages דוחות בקרה
הצורך ?
דוחות הבקרה מאפשרים דיווח של פעילויות אשר בוצעו במערכת ה SMS כגון:
שינוי הגדרות Site Addresses and Boundaries
שינוי הגדרות Server Components
שינוי הגדרות Security rights

51. Status Massages דוחות בקרה
שינוי הגדרות Object Class and instance
מידע מפורט מכל Remote Control Session: (שם משתמש תומך, שם התחנה התומכת, שם התחנה הנתמכת, מועד תחילת ה RC, מועד סיום RC ועוד)
הגדרות SQL Tasks, commands
בדיקת הגדרות אבטחה בפועל לבין המוגדר בנוהל האבטחה
ועוד

52. Status Massages דוחות בקרת האבטחה
Demo

53. SMS Security Best practice (1)
יש להגדיר מסמך נוהל אבטחה אשר יגדיר מדיניות בהתאם למדיניות האבטחה הכוללת של הארגון ותהליכי העבודה למימוש מדיניות זו
במסמך נוהל האבטחה יוגדר פרק המפרט: הקבוצות, החברים בהן, האובייקטים המורשים מתוך Class and instance והרשאות הגישה בכל אובייקט

54. SMS Security Best practice (2)
הגדרת הרשאות אובייקטים רק לקבוצות ולא ליחידים
הרשאות אובייקטים ברמת instances בלבד
יש להגדיר חשבונות ייעודיים להפצת תוכנה והתקנת תחנות קצה

55. SMS Security Best practice (2)
יש להגדיר סיסמאות חזקות לכל SMS Accounts
אין לשנות חשבונות מובנים של SMS
עבור Accounts ש sms יצר, יש להגדיר Password never expires
יש להגדיר יותר מחשבון אחד לגילוי תחנות

56. SMS Security Best practice (3)
למניעת שימוש נרחב מדי ב SMSService Account יש להגדיר חשבונות נוספים למטלות ייעודיות - ראה טבלת SMS Accounts
לשיפור האבטחה של מרכיב ה Remote control ולייעול העבודה של אנשי ה IT בארגון, יש לעבוד עם כלים כדוגמת SMS Remote Control Manager (RCM)

57. SMS Security Best practice (3)
הגדרות Accounts אשר שונו ב Console SMS מחייבות ניהול גם ע"י Active directory Users and Computers User Manager הלן פירוט החשבונות אשר יש לנהל בשני הכלים:
SMS Service
SMS Site Address
Software Metering Service
Site System Connection (Windows NT)
Client Connection (Windows NT)
SMS Windows NT Client Software Installation
SMS Client Remote Installation
Site Database
Software Metering Database
חשבונות לסביבת NetWare - ראה במקורות המידע הנוספים

58. SMS Security Best practice (4)
יש לבדוק באופן מחזורי דוחות המערכת ובחינת התאמת הרשאות השימוש לאובייקטים Class and instance, המשתמשים המורשים והרשאות השימוש עבור כל אובייקט המפורטים במסמך האבטחה
יש לבחון פעילות במערכת מול תחנות רגישות באופן קבוע ע"י מערכת הדוחות
יש לבחון תקופתית את תפיסת האבטחה ולעדכנה בהתאם לשינויים והסיכונים במועד זה

59. מקורות מידע נוספים SMS Security Essentials white paper
SMS 2.0 SP2 and up CD and Web site
SMS 2.0 Administrator’s Guide
Hard copy can be ordered (part no )
SMS 2.0 Resource Guide
Microsoft® BackOffice® Resource Kit 4.5
Microsoft Systems Management Web site
Product information, white papers, downloads
Microsoft Product Newsgroups
msnews.microsoft.com
microsoft.public.sms

60. MS Systems Management Server Security Session
ADAR Consulting
MS Systems Management Server Security Session
Q & A
דף פתיחה
Adar Consulting