Asegurando el entorno MOM: Microsoft Operations Manager 2005

Qué estaremos cubrirendo?

• Mejoras de Seguridad en Microsoft® Operations Manager (MOM) 2005

• Características de Seguridad MOM 2005 • Monitoreo Confiable• Seguridad Basada en Roles, cargos• Protegiendo Servidores MOM• Protegiendo Agentes MOM• Protegiendo la Red

Experiencia Favorable

• Comprensión básica de la gestión operativa

• Experiencia usando MOM 2000 ó MOM 2005

• Familiarizado con la Seguridad en Microsoft Windows®

Nivel 200

Agenda

• Introducción a la gestión de seguridad en MOM

• Características de Seguridad en MOM

• Monitoreo Confiable

• Implantaciones Seguras de MOM

Gestión de Seguridad

Servidores

Red en el Centro de Datos

Seguridad Física

Políticas y Procedimientos

MOM 2005

Management Pack

Datos

Gestión de Seguridad

• MOM 2005 es una plataformEjecuta “Management Packs” para vigilar el rendimiento y operación de applications

No despliegue, instale management packs sin entender el impacto de seguridad

• MOM puede ser usado de varias manerasEscenarios de Monitoreo

Escenarios de Administración Remota

Ejecutar tareas “Runtime” en los nodos que se están administrando

Agenda

• Introducción a la gestión de seguridad en MOM

• Características de Seguridad en MOM

• Monitoreo Confiable

• Implantaciones Seguras de MOM

MOM 2005 Mejoras de Seguridad

• Mejor Seguridad en la Red

• Seguridad de Configuración Inicial (Por Default)

• Soporte para más escenarios de Firewall

• Y Más…

Seguridad de Agente-a-Servidor

• Soporte de autenticación mutua

• Mejoras de Cifrado• Soporte de algoritmos

compatibles con “FIPS”• Mejoras en la defensa

contra ataques de “Negación de Servicios”

- “Active timeouts”- “Flooding protection”- “Network code paths hardened”

Seguro desde su Instalación (“by default”)• Sin proceso del administrador

de agentes• Servicio DAS Requiere menos

permisos• Negación a la instalación

manual de nuevos agentes• Bloqueo de agentes de legado• Respuestas personalizadas del

lado del servidor desabilitadas• “Proxying” de agentes

desabilitado

Agente Intermediario (Agent Proxying)

• Permite que un computador envie datos de administración en representación de otro computador

• La mayoría de escenarios no requieren Inermediarios (proxying)

• Alerta cuando hay intento de intermediación (proxying) cuando está desabilitado

• Protección para los computadores que tienen habilitado el Proxying

Seguridad de Consola-a-Servidor

• Comunicación segura entre la consola MOM y el servidor de administración

MOM Administrator Console

Operator Console

• Toda la comunicación es autenticada, cifrada y firmada digitalmente

• Usa DCOM en su nivel máximo de seguridad

RPC/DCOM

RP

C/D

CO

M

File Transfer Server

WH

Agentless Monitoring

MOM Agent

MMPC Source Management Group

TCP/UDP:1270(+RPC/DCOM for

agent management)

HTTP:80

OLEDB:1433

OLEDB:1433

HTTP:1271

HTTP:80 ReportingConsole

Web Console

HTTP:1272

MOM Management

Server

SRS

Operator/Admin Consoles

Mejoras en el Soporte a Firewalls

NewNew!!

NewNew!!

NewNew!!

NewNew!!

NewNew!!

Agentless Monitoring

MOM Agents

Otras características de Seguridad• MBSA Management Pack

Barrido para identificar descuidos de seguridad en las configuraciones

Necesita privilegios de administrador

• Auditoria de ejecución de tareasQué tarea fue ejecutada?

Cuándo fue ejecutada?

Quién la ejecutó?

En qué máquinas se ejecutó?

Fue la ejecución exitosa?

Respuestas desde la línea de comando

• Respuesas en el ambiente de línea de comando explícitamente separadas en la carpeta de aplicación y el argumento.

Ejemplo: “C:\Program Files\Example\Example.exe”

Is this “C:\Program Files\Example\Example.exe”?

Or “C:\Program.exe” “Files\Example\Example.exe”?

• MOM 2005 colocal programas y argumentos en diferentes lugares

Demo

Configuración en la seguridad de Agente-a-Servidor

Configure los parámetros de seguridad Habilite instalación manual de nuevos agentes Habilite el agente de intermediación “Proxying” Actualice los cambios en los agentes

demostración

Agenda

• Introducción a la gestión de seguridad en MOM

• Características de Seguridad en MOM

• Monitoreo Confiable

• Implantaciones Seguras de MOM

Monitore Confiable

• La necesidad de contar con un monitoreo confiable

• Una vista interna de MOM

• Privilegios mínimos para el monitoreo confiable

La Necesidad de Contar con un Monitoreo Confiable

• Servidores de Misión Crítica necesitan monitoreoSQL Server

Domain Controller

MOM Management Server

Servidores que almacena datos confidenciales

• Se necesita una solución de monitoreo no disruptiva con bajos privilegios de adm.

• Monitoreo Confiable es la respuesta

Introducción de la Cuenta de Acción (Action Account)• Tú provees y controlas las credenciales

de la cuenta

• Qué ejecuta el “Action Account”:Todos los “Providers” de MOM

Todos los “Responses” de MOM

Todos los “Runtime tasks”

Agentes de administración de la operación

Una vista interna a MOM

Action Account

Service Account Action Account

Service Account

MOM Service MOM Host

MOM Service MOM Host

DAS AccountData Access Service

Una vista a las Cuentas de MOM

• El servicio de MOM usa los servicios de Red en WServer2003 y Windows® XP

Usa los servicios de “System Local” en Windows® 2000

• Data Access Service (DAS Account)No requiere ser administrador local

Necesita derechos de “db_owner” en la base de datos “one point” (DB de operaciones en MOM)

Una vista a las cuentas de MOM (contd.)

• El Servidor que hospeda MOM corre bajo la cuenta de identidad “Action Account identity”

• No hay necesidad de mayores niveles de privilegio para forzar las instalaciones

• Necesita derechos de Adminsitradoe sólo en Windows 2000 y Windows XP

Privilegios Mínimos para el Monitoreo confiable• La cuenta “Action account” requiere:

Pertencer al grupo Local ‘Users’

Pertencer al grupo Local ‘Performance Log Users’

Derecho al ‘Manage auditing and security log’

Derechos de usuario ‘Allow logon locally’

• Cuando se auditan los management packsPiense sobre mantener los privilegios más bajos de monitoreo

Publicar los privilegios requeridos para los management packs

Monitoreo sin Agentes

MOM Service MOM Host

Data Access Service

Administradores Locales

Runtime Tasks1. Admin lanza el task2. El Task es sometido al

“Management Server”3. El Task es enviado al

Agente4. El Task es ejecutado

Tareas de Consola1. Usuario lanza el task2. Task es ejecutado en

la consola del computador

Action Account

MOM Tasks (Consola y Runtime)

Seguridad basada en Roles (cargos) en MOM 2005

MOM MOM UsersUsers

Operador completo en la consola

No puede lanzar “Tasks” runtime

MOM MOM AuthorsAuthors

= MOM Users

+ Puede lanzar “tasks” runtime

+ Puede crear reglas, políticas

MOM MOM AdministratorAdministrator

ss

= MOM Authors

+ Puede administrar agentes

+ Puede Configurar parámetros globalesUsado por el producto (MMPC – Product Connector)

en escenarios MOM-to-MOM

Cuenta DAS cuando MMPC is importado

No necesita agregar usuarios a este grupo

MOM MOM ServiceService

Nueva Herramienta: RemoveDasRoles.exe

• “BUILTIN\Administrators” son administradores de MOM

• Herramienta de Remoción viene pronto en el ResKit v2

Demo

Configurando las cuentas de Seguridad

Configure DAS para usar “Local Service”

demostración

Agenda

• Introducción a la gestión de seguridad en MOM

• Características de Seguridad en MOM

• Monitoreo Confiable

• Implantaciones Seguras de MOM

Implantación segura de MOM

• Management Server de MOM

• Agentes MOM

• Red (Network)

• Otros Servicio

Protegiendo “Management Servers” de MOM• Habilita Autenticación Mutua

“Mutual Authentication”• Nunca uses la cuenta “Domain

Admin” para tu cuenta “Action Account”

• Enllava, asegura los grupos MOM• Desabilita el agente de

intermediación “agent proxying”• Inhabilita instalaciones manuales

de agentes• NO configures la instálación ni de-

instalación automática de agentes• Deja la configuración de seguridad

global “default” (esto sólo para las instalaciones nuevas)

Wizard de seguridad para la configuración del entorno

Requiriendo Algoritmos FIPS

Protegiendo Agentes MOM

• Use bajos de privilegios de seguridad para las “action accounts” en la medida de los posible

• Cada management pack tiene sus propias necesidades de permisos.

• En escenarios “multi-homed” los grupos de administración pueden selecionar cuentas diferentes

Administrando “Action Accounts”

Protegiendo la Red• Para la instalalación de agentes use SMB Firmado o

IPSEC• Para el monitoreo general use altgoritmos tipo FIPS• Para autenticación mutua use Kerberos• Para escenarios que no tienen Active Direct. O sin

dominios de confianza use IPSec para autenticación• Para escenarios de servidores MOM comunicándose

con servidores sin agentes use IPSec para la privacidad de datos

• Para la comunicación entre Servidores MOM y la BD operativa de MOM use IPSec ó seguridad OLEDB

MOM Operations Guide (download version):www.microsoft.com/downloads/details.aspx?FamilyId=A0E40758-CAB8-4588-B0F2-1508D84906CC&displaylang=en

Protegiendo la Consola Web

• Tú puedes configurar que la consola web sea “read-only”1. Corre: %INSTALLDRIVE%\ Program Files\

Microsoft Operations Manager 2005\WebConsole\web.config

2. Elimina la línea con el comentario <add key="Readonly" value="true"/>”

Protegiendo la versión de “MOM Workgroup Edition”

• DAS corre como “LocalService”

• Modelo de instalación simplificado

• Para usar credenciales alternas lea el archivo Readme_WorkGroupEdition.htm que se encuentra en el CD de MOM Workgroup Edition

• Usa “Computer discovery”

Protegiendo otros Servidores• SQL Server

Siga las mejores práctiicas de seguridad para SQL Server

• SQL Reporting ServicesUse el model de seguridad para SQL Reporting Services

• Transferencia de Archivos en el Servidor Web

Sigue las mejores prácticas de la seguridad en IIS

WH

SRS

Leer SQL Server 2000 SP3 Security Features mejores prácticas:http://www.microsoft.com/technet/prodtechnol/sql/2000/maintain/sp3sec00.mspx

Demo

Implantación Segura de MOM 2005 Uso del Wizard de Seguridad Aplicando altgoritmos comptibles FIPS Configurando la expiración de cuentas

“Action Account”

demostración

Resumen de la Sesión

• MOM 2005 es seguro desde su instalación (by default)

• Habilitar autenticación Mutua

• Usen Monitoreo Confiable

Mayor información

www.microsoft.com/technet/MGT-23

TechNet at www.microsoft.com/latam/technet

Contenido de la presentación se encuentra en:

www.microsoft.com/technet/subscriptions

Has eschucha sobre las subscripciones TechNet?

• Incluye el Software sin expiración, sin vencimiento

• Soporte Técnico complementario

• El mejor recurso técnico a la mano

Find all these support options at www.microsoft.com/technet/supportMicrosoft offers a progressive series of support options starting with no-charge online support and developing through subscription, incident, and contract support.

1. No-Charge Online Support

Knowledge BaseSearch a vast database of articles to pinpoint the information you need.

NewsgroupsAccess more than 20,000 active newsgroups on scores of topics.

Product Support CentersGet answers to frequently asked questions, plus how-to articles and step-by-step instructions organized by product.

DLL Help Database Search here to identify the software used to install a specific DLL version.

Events and Errors Message CenterResolve event and error messages fast with explanations, recommendations, and links to support and resources.

Support WebcastsTune in to live technical presentations by Microsoft experts and take part in real-time Q&A.

ChatsChat online with Microsoft specialists or search the transcript archives.

User Group ProgramAccess information and support for IT and other interest-specific user groups.

TechNet Security Resource CenterGet ahead of security risks with resources that keep you current, including security newsletters and the Microsoft notification service.

2. Subscription-Based Support

TechNet SubscriptionSubscribe to TechNet for a personal library of articles, service packs, how-tos, resource kits, tools, utilities, and more. Your subscription includes monthly updates delivered on CD or DVD, so you always have the latest information, straight from the source.

Upgrade to a TechNet Plus subscription and add all this:

1. Full-version evaluation software, including Microsoft Office System and Windows Server System™ products, without time restrictions.

2. Free support — two complimentary incidents, plus a discount on other support calls.

3. Unlimited, next-business-day access to reliable answers from the IT community and Microsoft Support Professionals through Managed Newsgroups (English only).

3. Assisted Incident Support

E-mail SupportGet online incident help by e-mail from a Microsoft Support Professional.

Phone SupportGet incident help over the phone from a Microsoft Support Professional.

Phone Support ContractSave with a discounted 5-Pack Phone Support contract.

Advisory ServicesAdd remotely delivered consultation options from Microsoft Advisory Services for proactive support that goes far beyond routine product maintenance.

4. Contract-Based Support

Premier SupportGet the flexibility to match support options to your organization and enjoy direct access to Microsoft technical experts at any time, day or night. Premier Support delivers customized options for businesses with complex needs, including dedicated technical professionals to oversee your support, 24-hour problem resolution, and training and workshops that keep your IT staff up to date.

Essential SupportEssential Support offers prepackaged options specifically designed to meet the fundamental support requirements of any business, large or small. Includes account management, problem resolution, and information services.

• Chats gratis y Webcasts• Listas de ayuda en los newsgroups

• Sitios de la comunidades Microsoft

• Eventos de la comunidad y columnas técnicas

Dónde más encuentro ayuda?

www.microsoft.com/technet/community