Protección de la administración
Las tareas administrativas de Microsoft AppFabric 1.1 para Windows Server se llevan a cabo mediante las capacidades de las herramientas de AppFabric del Administrador de IIS de AppFabric. Prácticamente toda la funcionalidad del Administrador de IIS se encuentra en los cmdlets estándar de AppFabric. El conjunto de herramientas de AppFabric es muy eficaz. Puede crear una instalación funcional de AppFabric seleccionado un cuadro, haciendo clic en el mouse o ejecutando cmdlets. Sin embargo, si un usuario sin autorización obtiene acceso al sistema AppFabric y sus componentes complementarios, la instalación de AppFabric puede quedar inservible rápidamente. Este tema se centra en la protección de la funcionalidad administrativa de AppFabric.
Privilegios administrativos de AppFabric
Al usar una herramienta de AppFabric, desde el punto de vista administrativo, siempre actúa en su propio contexto de seguridad. Esto facilita la administración de AppFabric y su tecnología adicional, como Windows Server, IIS y SQL Server. Para administrar AppFabric, debe ser administrador del servidor de aplicaciones conceptual (grupo de seguridad de Windows AS_Administrators) u operador del servidor de aplicaciones (grupo de seguridad de Windows AS_Observers).
Los grupos AS_Administrators y AS_Observers disponen de los privilegios administrativos pertinentes para la administración remota de AppFabric. AppFabric se puede instalar en un servidor al que los usuarios pueden conectarse de forma remota mediante el modo de seguridad de IIS con el Administrador de IIS. Como administrador, para que los usuarios puedan consultar los almacenes de seguimiento y persistencia, debe agregar la cuenta de Administrador de IIS (normalmente, la cuenta de servicio de red integrada) al grupo AS_Administrators o AS_Observers del servidor remoto. El grupo de seguridad se selecciona en función de los permisos que desee otorgar a los usuarios remotos. Si los usuarios se autentican en IIS por las herramientas administrativas, se ejecutan como miembros del grupo AS_Administrators o AS_Observers con sus correspondientes permisos y restricciones. Esto es una regla de seguridad de Windows y no se puede cambiar. Para administrar AppFabric de forma remota con el Administrador de IIS, debe ser administrador de dominio. Para realizar tareas administrativas remotas, puede obtener acceso a los recursos por sí mismo. No existe ninguna suplantación o proxy que le proporcione una identidad remota alternativa.
Un administrador de AppFabric puede usar la opción Delegación de características de IIS para delegar varios permisos de seguridad para todos los sitios web de un equipo. Por ejemplo, puede definir permisos de sólo lectura para la exploración directa o deshabilitar el inicio de sesión. La opción Delegación de características se muestra en la sección Administración de la Vista Características a nivel de equipo.
IIS también permite el bloqueo y desbloqueo granular de ciertas opciones de configuración en distintos niveles mediante el bloqueo de configuración. Para bloquear la configuración, es necesario editar elementos XML directamente en los archivos de configuración. Una opción de configuración bloqueada sólo se puede desbloquear en el nivel en que se bloqueó y no se puede modificar en niveles inferiores. Use esta opción si no desea usar la misma configuración para distintos sitios y necesita anular ciertas características. Puede administrar los bloqueos a nivel de sección o para atributos, elementos, elementos de colección y directivas individuales. No existen herramientas de ayuda directa para esta característica, por lo que deberá editar el archivo de configuración manualmente en el nivel adecuado del ámbito principal, a partir del cual los cambios se aplicarán a las carpetas secundarias.
Para las tareas administrativas típicas relacionadas con la instalación, configuración y ejecución de AppFabric, asigne usuarios al grupo LOCALHOST\Administrators local. De este modo, sus miembros podrán editar la configuración de servidor, sitio o aplicación para implementar y anular la implementación de aplicaciones y para ejecutar programas complementarios como el Administrador de IIS, MSDeploy o SvcConfigEditor.
Seguridad Nota |
---|
Tenga presente que, al otorgar permisos para que una cuenta de servicio consulte los almacenes de seguimiento y persistencia, otorga los mismos permisos a todas las aplicaciones que se ejecutan desde dicha cuenta. |
Administración remota
Al administrar AppFabric de forma local, lo hace desde la cuenta con la que ha iniciado sesión. Para administrar AppFabric de forma remota, el Servicio de administración de IIS permite a los administradores locales y de dominio usar el Administrador de IIS para administrar un servidor web de forma remota. Sólo los administradores locales pueden configurar el Servicio de administración de IIS para habilitar las conexiones remotas. A continuación, puede usar uno de estos modos para administrar la seguridad del acceso a un equipo remoto con AppFabric:
Sólo credenciales de Windows. En este modo, el Servicio de administración de IIS se ejecuta desde sus credenciales. Esto significa que puede realizar todas las acciones que podría llevar a cabo si estuviera conectado al equipo remoto de forma local. Por ejemplo, si de forma local puede modificar el archivo Web.config de una aplicación, también puede modificarlo de forma remota. Su pertenencia a los grupos AS_Observers y AS_Administrators protege el acceso a los recursos de AppFabric.
Seguridad de autenticación de Administrador de IIS o credenciales de Windows. En este modo, inicia sesión como LOCALSERVICE en el equipo remoto. En este caso, puede que la información que vea con el Administrador de IIS no sea la misma que con las credenciales de Windows. De forma predeterminada, LOCALSERVICE dispone de permisos para administrar todas las aplicaciones del equipo (modificar archivos Web.config y consultar y modificar los datos de seguimiento y persistencia), de modo que los permisos reales de la conexión vienen determinados por el ámbito para el que se conecta. Por ejemplo, si sus credenciales le permiten conectarse a una aplicación específica, AppFabric garantiza que sólo obtenga acceso a la información de la aplicación y no le permite ver los datos de persistencia confidenciales.
Para administrar AppFabric de forma local y remota, se usan los siguientes grupos conceptuales:
Administradores del servidor de aplicaciones. Los miembros del grupo conceptual de administradores del servidor de aplicaciones (permisos de acceso total) se asignan al grupo de seguridad de Windows AS_Administrators. Los miembros del grupo AS_Administrators pueden suspender, reanudar, finalizar o eliminar instancias persistentes, crear y eliminar orígenes y colectores de eventos y ver, purgar y archivar datos de seguimiento. El programa de instalación de AppFabric crea el grupo AS_Administrators en el momento de la instalación y le agrega la cuenta NT AUTHORITY\LOCAL SERVICE. LOCAL SERVICE es la cuenta con la que funcionan Servicio de recopilación de eventos y Servicio de administración de flujos de trabajo. Puede agregar manualmente al grupo AS_Administrators miembros a los que desee otorgar acceso para la administración de AppFabric.
Observadores del servidor de aplicaciones. Los miembros del grupo conceptual de observadores del servidor de aplicaciones (permisos de acceso parcial) se asignan al grupo de seguridad de Windows AS_Observers. Los miembros del grupo AS_Observers tienen una visibilidad parcial de los datos de seguimiento y persistencia de aplicación, pueden enumerar las aplicaciones y servicios, ver la configuración de aplicaciones y servicios, ver los datos de seguimiento y examinar las instancias persistentes. El programa de instalación de AppFabric crea el grupo AS_Observers en el momento de la instalación, pero no inserta ninguna cuenta en el grupo. Puede agregar manualmente al grupo AS_Observers miembros a los que desee otorgar acceso parcial para la administración de AppFabric.
Para obtener más información acerca de la protección de la configuración, delegación y administración remota con IIS, vea Protección de la configuración en https://go.microsoft.com/fwlink/?LinkId=183022 y Configuración de la administración remota y la delegación de características en IIS 7.0 en https://go.microsoft.com/fwlink/?LinkId=184265 (pueden estar en inglés).
2012-03-05