Condividi tramite

Protezione dell'amministrazione

  • Articolo

Per eseguire le attività di amministrazione di Microsoft AppFabric 1.1 per Windows Server, è necessario utilizzare le funzionalità degli strumenti di AppFabric disponibili in Gestione IIS in AppFabric. Quasi tutte le funzionalità di Gestione IIS si trovano nei cmdlet standard forniti con AppFabric. AppFabric include un set di strumenti estremamente potente. Per creare un'installazione funzionale di AppFabric, è possibile selezionare una casella, fare clic con il mouse o eseguire i cmdlet. Un'installazione di AppFabric può, tuttavia, diventare inutilizzabile se un utente non autorizzato riesce ad accedere all'intero sistema AppFabric, o a parte di esso, e ai relativi componenti di supporto. In questo argomento viene illustrato come proteggere le funzionalità amministrative per AppFabric.

Privilegi amministrativi di AppFabric

Quando si utilizza uno degli strumenti di AppFabric, da un punto di vista amministrativo si continua ad operare nell'ambito del contesto di sicurezza personale. Le attività di amministrazione di AppFabric e delle relative tecnologie di supporto, quali Windows Server, IIS e SQL Server, risultano pertanto semplificate. Per amministrare AppFabric, è necessario essere membro del gruppo concettuale di amministratori di server applicazioni (gruppo di sicurezza di Windows AS_Administrators) o del gruppo concettuale degli operatori di server applicazioni (gruppo di sicurezza di Windows AS_Observers).

Per l'amministrazione remota di AppFabric, i gruppi AS_Administrators e AS_Observers hanno privilegi amministrativi corrispondenti. AppFabric può essere installato in un server a cui gli utenti possono collegarsi in remoto utilizzando la modalità di sicurezza IIS con Gestione IIS. Un amministratore, per consentire agli utenti di eseguire query negli archivi di monitoraggio e salvataggi permanenti, deve aggiungere l'account di Gestione IIS (in genere l'account Servizio di rete incorporato) a AS_Administrators o AS_Observers nel server remoto. Selezionare il gruppo di protezione in base alle autorizzazioni che si desidera concedere agli utenti remoti. Quando gli utenti vengono autenticati in ISS solo per gli strumenti amministrativi, operano come membri del gruppo AS_Administrators o AS_Observers con restrizioni e autorizzazioni appropriate. Questa regola di protezione di Windows non può essere modificata. Per amministrare AppFabric in remoto utilizzando Gestione IIS, è necessario essere un amministratore di dominio. Per le operazioni amministrative remote, accedere alle risorse con il proprio account. Non esistono rappresentazioni o proxy che forniscono un'identità remota alternativa.

Un amministratore di AppFabric può utilizzare l'opzione Delega funzionalità di IIS per delegare le diverse autorizzazioni di sicurezza per tutti i siti Web di un computer. Ad esempio, è possibile impostare autorizzazioni di sola lettura per sfogliare le directory o disabilitare la registrazione messaggi. L'opzione Delega funzionalità viene visualizzata nella sezione Gestione della Visualizzazione funzionalità al livello del computer.

IIS permette, inoltre, il blocco e lo sblocco granulare di determinate impostazioni di configurazione a diversi livelli di ambito mediante il blocco della configurazione. Per eseguire il blocco della configurazione, modificare direttamente gli elementi XML dei file di configurazione. Un'impostazione di configurazione bloccata può essere sbloccata solo al livello in cui è stata bloccata e non può essere modificata nei livelli inferiori. È possibile utilizzare questa opzione se non si desidera utilizzare la stessa configurazione per diversi siti e occorre sostituire alcune proprietà selezionate. È possibile eseguire la gestione dei blocchi al livello della sezione o per singoli attributi, elementi e istruzioni ed elementi di raccolta. Non esiste alcun supporto strumenti diretto per questa funzionalità. È necessario, pertanto, modificare manualmente il file di configurazione al livello appropriato dell'ambito padre da cui le modifiche devono essere propagate alle cartelle figlio.

Per le tipiche attività di amministrazione correlate alle operazioni di installazione, configurazione ed esecuzione per AppFabric, assegnare gli utenti al gruppo locale LOCALHOST\Administrators. Ciò consente ai membri di modificare la configurazione del server, del sito o dell'applicazione, di distribuire e annullare la distribuzione delle applicazioni e di eseguire programmi di supporto come Gestione IIS, MSDeploy o ScvConfigEditor.

securitySicurezzaNota
Si noti che vengono concesse a un account di servizio le autorizzazioni per l'esecuzione di query negli archivi di monitoraggio e salvataggi permanenti, le stesse autorizzazioni vengono fornite a tutte le applicazioni eseguite con tale account.

Amministrazione remota

Quando si amministra AppFabric a livello locale, si utilizza l'account con cui è stato effettuato l'accesso. Per amministrare AppFabric in remoto, il Servizio di gestione IIS consente agli amministratori locali e di dominio di utilizzare Gestione IIS per gestire in remoto un server Web. Solo un amministratore locale può configurare il Servizio di gestione IIS per consentire le connessioni remote. Una volta effettuata tale configurazione, è possibile utilizzare le modalità riportate di seguito per gestire la sicurezza in fase di accesso a un computer remoto con AppFabric:

  • Solo credenziali Windows. In questa modalità, il Servizio di gestione Web IIS viene eseguito con le credenziali dell'utente corrente. L'utente può eseguire tutte le azioni consentite quando si stabilisce una connessione locale al computer remoto. Ad esempio, se nella macchina locale si dispone dell'autorizzazione a modificare il file Web.config di un'applicazione, è possibile modificare questo file anche in remoto. L'accesso alle risorse di AppFabric è protetto dall'appartenenza ai gruppi AS_Observers e AS_Administrators.

  • Credenziali Windows o Protezione dell'autenticazione di Gestione IIS. In questa modalità l'accesso e l'esecuzione avvengono come LOCALSERVICE nel computer remoto. In tal caso, le informazioni visualizzate con Gestione IIS potrebbero essere diverse da quelle visualizzate utilizzando solo le credenziali Windows. Poiché LOCALSERVICE per impostazione predefinita dispone delle autorizzazioni per l'amministrazione di tutte le applicazioni presenti nel computer (modifica dei file Web.config e query e modifica dei dati di monitoraggio e salvataggi permanenti), le autorizzazioni effettive nella connessione sono determinate dall'ambito della connessione. Se ad esempio le credenziali assegnate consentono la connessione a una specifica applicazione, AppFabric garantisce che sia possibile accedere solo alle informazioni relative a tale applicazione senza consentire la visualizzazione di dati sensibili di salvataggio permanente.

Per amministrare AppFabric sia in locale che in remoto, saranno utilizzati i seguenti gruppi concettuali e i relativi gruppi di sicurezza di Windows:

  • Amministratori server applicazioni. I membri del gruppo concettuale Amministratori server applicazioni (autorizzazioni di accesso complete) sono mappati al gruppo di protezione di Windows AS_Administrators. I membri del gruppo AS_Administrators possono sospendere, riprendere, terminare o eliminare istanze permanenti, creare e rimuovere origini eventi e servizi di raccolta eventi, nonché visualizzare, ripulire e archiviare i dati di monitoraggio. Durante l'installazione di AppFabric viene creato il gruppo AS_Administrators a cui viene aggiunto l'account NT AUTHORITY\LOCAL SERVICE. LOCAL SERVICE è l'account con cui operano Servizio di raccolta eventi e Servizio Gestione flussi di lavoro. Al gruppo AS_Administrators è possibile aggiungere manualmente membri a cui si desidera concedere l'accesso completo per l'amministrazione di AppFabric.

  • Osservatori server applicazioni. I membri del gruppo concettuale Osservatori server applicazioni (autorizzazioni di accesso parziali) sono mappati al gruppo di protezione di Windows AS_Observers. I membri del gruppo AS_Observers hanno una visibilità parziale dei dati di monitoraggio e salvataggio permanente dell'applicazione e possono enumerare applicazioni e servizi, visualizzare la configurazione di applicazioni e servizi, visualizzare i dati di monitoraggio ed esaminare le istanze permanenti. Durante l'installazione di AppFabric viene creato il gruppo AS_Observers in cui non viene inserito alcun account. Al gruppo AS_Observers è possibile aggiungere manualmente membri a cui si desidera concedere l'accesso parziale per l'amministrazione di AppFabric.

Per ulteriori informazioni sulla protezione della configurazione, sulla delega e sull'amministrazione remota mediante IIS, consultare Securing Configuration (https://go.microsoft.com/fwlink/?LinkId=183022), and Configuring Remote Administration and Feature Delegation in IIS 7.0 (https://go.microsoft.com/fwlink/?LinkId=184265).

  2012-03-05