MS Systems Management Server Security Session

1. ADAR Consulting MS Systems Management ServerSecurity Session מדיניות אבטחת SMS - הגדרה, מימוש ובקרה Yagil Adar - Senior Consultant Adar Consulting yagil@adar.us

2. תכולת מפגש זה • תפיסת האבטחה של מערכת SMS • הגדרות אבטחה • SMS Accounts • SMS RCM • דוחות בקרת אבטחה של המערכת • המלצות לנוהל אבטחה

3. SMS תפיסת האבטחה • מערכת שליטה ובקרה על תחנות קצה ושרתים הינה מערכת רבת עוצמה, מורכבת ודורשת אבטחה גבוה להבטחת שימוש הולם בלבד • הגדרות האבטחה משפיעות על רוב מרכיבי תשתית הרשת בארגון • יש לאזן בין תחזוקה מרובה לבין הצורך באבטחה גבוה

4. SMS תפיסת האבטחה מה תהה רמת האבטחה? • מינימום אבטחה – תחזוקה פשוטה- עבודה במצב defaultSMS מגדיר אבטחה ברמה נמוכה- רוב החשבונות בהרשאת administrators (local או domain)- עבודה במספר חשבונות SMS נמוך • מקסימום אבטחה – תחזוקה מורכבת יותר- יש להגדיר למשתמשי administrators הרשאות מינימאליות לפי צורך נקודתי- יש להגדיר למשתמשי SMS accounts הרשאות מינימאליות- יש להשתמש בחשבונות נוספים- התקנת שרת Site Server על שרת Member Server

5. SMS תפיסת האבטחה • רובדי האבטחה של המערכת: - Windows NT/2000 Domain security - SQL Security - WMI Security / DCOM Security - SMS Object Class and instance - SMS Accounts - Physical Security

6. SMS תפיסת האבטחה • הגדרות SITE • דוחות בקרת אבטחה של המערכת • SMS Security Best Practice

7. אבטחת מערכת SMS- דרישות קדם • נדרשת שליטה בנושאים הבאים: - Windows NT/2000 security (accounts, processes, permissions, privileges, and rights) - Windows NT and pass-through authentication - Various Windows NT domain models - SQL Server security - WMI, DCOM security - Windows NT/2000 Shared resources security

8. הגדרות אבטחה • רובדי האבטחה - Windows NT/2000 Domain security - SQL Security - WMI Security / DCOM Security - SMS Object Class and instance - SMS Accounts - Physical Security

9. הגדרות אבטחה ברובד :SMS Object Class and Instance • רובד זה מגדיר: למי יש הרשאת גישה (קבוצה\משתמש) על מה בבסיס הנתונים (Class / Instance) ומה הפעילות המורשית (Permission)

10. הגדרות אבטחה ברובד :SMS Object Class and Instance • האובייקטים ברמת Classes הינם: - Sites - Collections - Packages - Advertisement - Queries - System Status

11. הגדרות אבטחה ברובד :SMS Object Class and Instance • בכל Class ניתן להגדיר מספר Instances • לכל אובייקט Class or Instance, ניתן להגדיר הרשאות לביצוע פעילות כגון: Admin, Create, Read, Delete ועוד • עבור כל אובייקט יש להגדיר הגורם המורשה לגישה (משתמש/קבוצה) והפעילות המורשת

12. הגדרות אבטחה ברובד :SMS Object Class and Instance • מתן הרשאה למשתמש/קבוצה לאובייקט מסוג Class, מגדיר אוטומטית הרשאה זו לכל ה Instance של ה Class • ניתן להגדיר הרשאות גישה ייחודיות עבור כל Instance בכל Class למעט System Status המאפשר הגדרה ברמת ה Class בלבד • הרשאות הגישה הן במתכונת highest permitted

13. Site Class Security Options

14. Collection ClassSecurity Options

15. Package Class Security Options

16. Advertisement Class Security Options

17. Query Class Security Options

18. System Massage Class Security Options

19. Object Type Permissions

20. Object Type Permissions

21. Object Type Permissions

22. Object Type Permissions

23. SMS User Groups

24. טיפים להרשאות ברובד :SMS Object Class and instance • להפעלת Remote control מתוך Query יש להגדיר Collection המתבסס על הQuery ולהגדיר הרשאת remote control בהגדרות ה Collection • לצפייה ב Advertisements יש להגדיר הרשאת קריאה ברמת Class על Collections ו Packages • שימוש ב Distribute Software Wizard מחייב הרשאת Read and Advertise ברמת Class על Collections

25. SMS Object Class and instance Demo

26. הגדרות אבטחה של SITE • הגדרות מרכיב Remote Control Session • הגדרות מרכיב הפצת תוכנה • שיטת גילוי והתקנת תחנות\שרתים

27. הגדרות אבטחה של SITE • הגדרות מרכיב Remote Control

28. הגדרות אבטחה של SITE • הגדרות מרכיב הפצת תוכנה

29. הגדרות אבטחה של SITE • התקנת תחנות מרחוק

30. SMS Sites Demo

31. SMS Accounts • SMS accounts הינם חשבונות המוגדרים במערכות Windows NT, SQL Server, NetWare. רק לאחר מכן יש להגדירם במערכת ה sms ע"י SMS Administrator console או SMS Setup Wizard • ניהול חשבונות SMS מחייב הבנה מלאה של תפקיד כל החשבונות המעורבים בתהליך: החשבונות המוגדרים ע"י המערכת בעת ההתקנה והחשבונות אשר יש להוסיף ידנית. חלקם מיועדים לניהול site(s) וחלקם מיועדים להגדלת רמת האבטחה.

33. SMS Accounts (1)Accounts List

34. SMS Accounts (2)Accounts List

35. SMS Accounts (3)Accounts List

36. SMS Accounts (4)Accounts List

37. Essentials (1)SMS Accounts • תזכורת – הגדרות האבטחה של מערכת sms במצב תחילי לאחר התקנה הן ברמה הנמוכה ביותר • כלל ברזל - איןלשנות SMS User Accountשהוגדר ע"י המערכת

38. Essentials (2)SMS Accounts • SQL SA Account – אין להשתמש בשם SA, אין להשאיר הסיסמא ריקה (הגדרות ה default בעת התקנת המערכת) • בעת הגדרת Accounts ידנית, יש להעניק להם שמות המרמזים מה יהה תפקידם

39. Essentials (3)SMS Accounts תחזוקת Client Connection Account • למניעת- Client Connection Account Lockout - בעיות בתפקוד ה Client עקב נעילת החשבון ו /או החלפת סיסמא - חוסר יכולת להתקשר ל CAP - יצירת מצב של Orphaned SMS client - ועוד • יש ליצור בנוסף ל Client Connection Account המוגדר בעת התקנת ה siteכגון: SMSClient_s10, שני חשבונות נוספים • יש להגדיר מחזור יצירה והחלפת החשבונות התואם את מדיניות החלפת הסיסמאות בארגון.

40. SMS Accounts Demo

41. SMS 2.0 Remote Control Manager (SMS RCM) מה זה ? • כלי שפותח עקב בקשת לקוח בעל סביבת מחשוב מאובטחת לקבלת פתרון Remote Control המייעל את העבודה של אנשי ה IT בחברה וללא פגיעה כל שהיא בנוהלי אבטחת המערכת. • הצורך: - לאנשי הפיתוח\תחזוקה של יישוםנתון יש צורך להשתלט מיידית על שרת היישומים - בשרת מוגדר (כמו בכל ה site) policy המחייב מתן אישור מהתחנה להשתלטות - התחנה לא מאוישת - בהתאם לנוהל האבטחה, יש צורך לפנות לצוותי IT נוספים לביטול זמני של הגדרה זו לפני הפעלת כלי ה Remote Control

42. 2 3 4 1 SMS 2.0 Remote Control Manager (SMS RCM) מסלול זרימה אופייני בסביבת מחשוב מאובטחת להסבת פקודת "permission required" בשרת לא מאויש ל noוהשבת הפקודה ל yes בסיום ה Remote Control Session תומכים\תומכי יישומים אנשי אבטחת מידע אנשי System • זמן תגובה מיידי – קשה למימוש • אדמיניסטרציה מיותרת • שירות פנימי באיכות נמוכה • עשוי לפגוע ב SLA פנימי ו/או מול הלקוח מחוץ לגוף ה IT • להשבת הפקודה ל yes בסיום ה session ולא להמתין עד 23 שעות יש לבצע סבב נוסף

43. SMS 2.0 Remote Control Manager (SMS RCM) תכונות הפתרון והמשמעות עבור הלקוח • כלי המבצע את מטלות אנשי ה IT האחרים (Security, System) אוטמטית לפי נוהלי האבטחה הנוכחיים- השירות ע"י התומך הוא מיידי • בודק זמינות השרת לפני הפעלת Remote Control Session - בודק האם השרת ברמת system בסיסי תקין • שינוי הגדרת permission required ל no מתבצע ומיידית מפעיל את Remote Control Sessionשינוי הגדרת permission required ל yes מתבצע מיידית בסיוםRemote Control Session - אין צורך להמתין עד 23 –שעות להשבת הנעילה - שיפור משמעותי באבטחת הגישה לשרתים

44. SMS 2.0 Remote Control Manager (SMS RCM) תכונות הפתרון והמשמעות עבור הלקוח (המשך) • אין צורך להפעיל sms mmc- ידידותי יותר למשתמש • עבודה על קבוצת שרתים נתונה המוגדרת ב sms rcm(אין אפשרות עצמאית להוסיף שמות שרתים נוספים)Smsrcm.exe אינו ניתן לעריכה בשונה מפתרונות VB - מאובטח יותר • שימוש בכלי Remote Control של מערכת ה sms - אין השקעה נוספת • כל פעילות Remote Control המתבצעת עם sms rcm מדווחת למערכת הדיווח המובנת ב sms- כל הפעילות מנותרת • Smsrcm.exe נכתב באמצעות:SMS Installer ver 2.0.148.00, VB, WMI- אין השקעה נוספת בכלים\רכישת רשיונות שימוש

45. SMS 2.0 Remote Control Manager (SMS RCM)

46. SMS 2.0 Remote Control Manager (SMS RCM)

47. SMS 2.0 Remote Control Manager (SMS RCM)

48. SMS 2.0 Remote Control Manager (SMS RCM)

49. SMS 2.0 Remote Control Manager Demo

50. Status Massagesדוחות בקרה • הצורך ? • דוחות הבקרה מאפשרים דיווח של פעילויות אשר בוצעו במערכת ה SMS כגון: • שינוי הגדרות Site Addresses and Boundaries • שינוי הגדרות Server Components • שינוי הגדרות Security rights