Sicherung der Überwachung
Ebenso wie der Persistenzspeicher spielt auch der Überwachungsspeicher eine wichtige Rolle in der Windows Server AppFabric-Architektur. Der Überwachungsspeicher enthält .NET Framework-Daten, die Sie zum Diagnostizieren von Anwendungsproblemen sowie zum Nachverfolgen der Integrität einer Anwendung verwenden können. AppFabric stellt Tools zum Anzeigen von nachverfolgten Überwachungsdaten bereit. Sie müssen den Administratoren, die die AppFabric-Verwaltungstools ausführen sollen, Berechtigungen für den Überwachungsspeicher sowie für Anwendungen und Systemdienste zur Laufzeit gewähren, damit diese in der Lage sind, den Datenspeicher zu lesen und an den Datenspeicher zu schreiben. Dieses Thema befasst sich mit dem Schutz von Überwachungsdaten und der Verwaltungstools, mit denen darauf zugegriffen wird.
Die Verwendung des Überwachungsspeichers fällt in den Anwendungs- und Verwaltungsbereich, daher müssen in jedem Bereich separat die geeigneten Sicherungsmaßnahmen ergriffen werden. Bestimmte Berechtigungen werden bereits mit dem Einschluss in unterschiedliche Sicherheitsgruppen vorgegeben. Der Anwendungssicherheitsbereich hat Einfluss auf die Berechtigungen einer Anwendung zur Laufzeit und wird der konzeptionellen Rolle Anwendungsserverbenutzer zugeordnet. Der Verwaltungssicherheitsbereich hat Einfluss auf die Tools und zugehörigen Vorgänge, die von Administratoren und Systemdiensten ausgeführt werden können. Diese Berechtigungen werden den konzeptionellen Rollen Anwendungsserveradministratoren und Anwendungsserveroperatoren zugeordnet.
Schützen von Überwachungsdaten
Bei der Überwachung werden Nachverfolgungsdatensätze, Ereignisse und andere Daten gesammelt und in einer Datenbank gespeichert, die von WCF- und WF-Diensten ausgegeben werden. Von Anwendungen werden häufig Informationen gesammelt und übertragen, anhand derer Benutzer persönlich identifiziert werden können, sowie andere vertrauliche Daten. Wenn solche Daten in einem Nachverfolgungsdatensatz eingeschlossen sind, wird dieser im Überwachungsspeicher abgelegt. Der Inhalt von Meldungen und Variablen kann abhängig vom verwendeten Nachverfolgungsprofil ebenfalls im Speicher abgelegt werden. Mehrere Server, Websites und Anwendungen greifen ggf. gemeinsam auf einen einzigen Überwachungsspeicher zu. Entwurfsbedingt werden Überwachungsdaten über Server und Websites, die einen Speicher gemeinsam nutzen, aggregiert, um die Überwachung der Aktivitäten von potenziell Tausenden von Instanzen eines Diensts in einer großen Umgebung zu vereinfachen. Nachdem die Daten im Überwachungsspeicher abgelegt wurden, können sie von Mitgliedern der Gruppe AS_Administrators und von allen Mitgliedern der SQL Server-Gruppen sysadmin und dbo angezeigt werden. Mitglieder der Gruppe AS_Observers gehören zur Gruppe ASMonitoringDBReader und können Überwachungsdaten mithilfe der öffentlichen Sichten der Überwachungsdatenbank lesen. Bei Nachverfolgungsdaten besteht generell die Gefahr einer unabsichtlichen oder gezielten Offenlegung, aber Sie können Maßnahmen ergreifen, um dieses Risiko zu minieren.
Der Ereignisauflistungsdienst hilft Ihnen beim Schutz von Überwachungsdaten. Dieser Dienst erfasst Ereignisse aus einer ETW-Sitzung (Event Tracing for Windows, Ereignisablaufverfolgung für Windows) und schreibt diese in die Überwachungsdatenbank. Nur Anwendungen, die über die Berechtigung „Lesen“ für die ETW-Sitzung verfügen, die vom Ereignisauflistungsdienst gestartet wurde, können Ereignisse zwecks Erfassung an diese Sitzung schreiben. Standardmäßig wird der Ereignisauflistungsdienst als NT_AUTORITÄT\LOKALER DIENST ausgeführt. Die für den Ereignisauflistungsdienst spezifische SID (NT-DIENST\AppFabricEventCollectionService) wird der Gruppe AS_Administrators hinzugefügt. Dadurch wird Lese- und Schreibzugriff auf die Überwachungsdatenbank erteilt, da AS_Administrators Teil der Datenbankrolle ASMonitoringDBAdmin ist. Wenn Sie die Überwachungsdatenbank mit den Cmdletskripts von AppFabric erstellen, werden alle diese Rollen und Gruppen erstellt und ordnungsgemäß initialisiert. Wenn Sie den Ereignisauflistungsdienst als ein anderer Benutzer ausführen möchten, finden Sie unter Ereignisauflistungssicherheit weitere Informationen hierzu.
Hinweis
Da AppFabric unter IIS ausgeführt wird, können einige zusätzliche Features genutzt werden. IIS generiert standardmäßige Webserver-Zugriffsprotokolle, um die Nutzung zu analysieren. Die Integration in Windows Server bedeutet zudem, dass IIS die Systemüberwachung nutzen kann, um die Ressourcenverwendung noch sicherer überwachen zu können. So können fehlgeschlagene Zugriffsversuche auf eine sichere Datei beispielsweise im Windows Server-Ereignisprotokoll aufgezeichnet und mit den gleichen Tools überwacht werden, die auch für die Verwaltung vorhandener Server verwendet werden.
Sie können die Daten im Überwachungsspeicher mit den folgenden Methoden sichern:
Verwenden von unterschiedlichen Überwachungsspeichern. Sie können mit den AppFabric-Cmdlets zum Erstellen des Speichers einen alternativen Überwachungsspeicher auf dem gleichen oder einem anderen Server erstellen und diesen mit dem Applet Konfiguration der Überwachungsdatenbank konfigurieren. Anschließend können Sie bestimmte Anwendungen so konfigurieren, dass nur dieser Speicher verwendet wird. Auf diese Weise erhalten die angegebenen Anwendungen einen privaten Überwachungsdatenspeicher, auf den keine anderen Anwendungen zugreifen können.
Bearbeiten der Überwachungsfeatures. Sie können die von AppFabric hinzugefügten IIS-Manager-Erweiterungen verwenden, um Überwachungsfeatures für alle Workflowdienste in einer Anwendung, für alle Anwendungen auf einer Website oder für alle Websites auf einem Server zu aktivieren oder zu deaktivieren. Sie können eine Überwachungsrichtlinie auf einer höheren Ebene definieren und dafür sorgen, dass alle untergeordneten Ebenen in der IIS- und WAS-Hierarchie diese Richtlinieneinstellungen erben.
Ereignisablaufverfolgung für Windows-Sitzungssicherheit
Der Ereignisauflistungsdienst erfasst Überwachungsereignisse aus einer ETW-Sitzung und speichert diese im Überwachungsspeicher. Sie können steuern, welche Anwendungen Ereignisse in die Ereignisauflistungsdienst-ETW-Sitzung schreiben dürfen, indem Sie der IIS-Anwendungspoolidentität Sicherheitsberechtigungen zuweisen. Ein Beispiel: Möglicherweise möchten Sie einem Anwendungspool, der unter einer Identität mit geringen Rechten wie COMPUTER\MeinBenutzer ausgeführt wird, gestatten, Ereignisse in einer Ablaufverfolgungssitzung zu protokollieren. Hierzu weisen Sie COMPUTER\MeinBenutzer die Ereignisberechtigung TRACELOG_LOG_EVENT zu. Diese Berechtigungen können Sie mit folgenden Methoden zuweisen:
Sie können die Berechtigungen so ändern, dass die Identität in die ETW-Sitzung schreiben kann, indem Sie EventAccessControl (https://go.microsoft.com/fwlink/?LinkId=179742) der Win32-API verwenden.
Mithilfe des Systemmonitors (PERFMON.EXE) können Sie steuern, welche Anwendungen Ereignisse in die ETW-Sitzung schreiben können, indem Sie bestimmten Identitäten Sicherheitsberechtigungen zuweisen. Ein Beispiel: Möglicherweise möchten Sie einem Anwendungspool, der unter der Identität COMPUTER\MeinBenutzer ausgeführt wird, gestatten, Ereignisse in einer Ablaufverfolgungssitzung zu protokollieren, wenn die Sitzung im sicheren Modus ausgeführt wird. Hierfür gewähren Sie COMPUTER\MeinBenutzer auf der Registerkarte Sicherheit im Dialogfeld Sitzung der AppFabric-Ereignisauflistung im Systemmonitor die Berechtigung TRACELOG_LOG_EVENT.
Vergewissern Sie sich unbedingt, dass die Sitzung gestoppt wurde, bevor Sie in den Sicherheitseinstellungen für die Sitzung der AppFabric-Ereignisauflistung Gruppen- oder Benutzerberechtigungen ändern. Andernfalls werden die geänderten Einstellungen nicht gespeichert.
Inhalt dieses Abschnitts
2011-12-05