审核收集服务安全性
适用对象:System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
在 System Center 2012 – Operations Manager 中,审核收集服务 (ACS) 需要在 ACS 收集器与每个 ACS 转发器之间进行相互身份验证。 默认情况下,使用 Windows 身份验证(使用 Kerberos 协议)进行此身份验证。 身份验证完成后,ACS 转发器与 ACS 收集器之间的所有传输都会被加密。 你不需要在 ACS 转发器与 ACS 收集器之间启用其他加密,除非它们属于没有已建立信任的不同 Active Directory 林。
默认情况下,不对 ACS 收集器与 ACS 数据库之间的数据加密。 如果你的组织需要更高级别的安全,你可以使用安全套接字层 (SSL) 或传输层安全 (TLS) 加密这些组件之间的所有通信。 要在 ACS 数据库与 ACS 收集器之间启用 SSL 加密,你需要在数据库服务器和承载 ACS 收集器服务的计算机上安装证书。 安装这些证书之后,请配置 ACS 收集器上的 SQL 客户端以强制加密。
有关安装证书和启用 SSL 或 TLS 的详细信息,请参阅 SSL and TLS in Windows Server 2003(Windows Server 2003 中的 SSL 和 TLS) 和 Obtaining and installing server certificates(获取和安装服务器证书)。 有关在 SQL 客户端上强制加密的步骤列表,请参阅 How to enable SSL encryption for SQL Server 2000 if you have a valid Certificate Server(在具有有效证书服务器的情况下如何为 SQL Server 2000 启用 SSL 加密)。
限制对审核事件的访问
写入到本地安全日志的审核事件可由本地管理员访问,但是由 ACS 处理的审核事件默认情况下不允许用户(即使是具有管理权限的用户)访问 ACS 数据库中的审核事件。 如果你需要将管理员角色与查看和查询 ACS 数据库的用户角色分开,你可以创建一组数据库审核者,然后为该组分配必需的权限以访问审核数据库。 有关逐步说明,请参阅如何安装审核收集服务 (ACS)。
限制 ACS 转发器的通信
不允许本地更改 ACS 转发器的配置,即使是拥有管理员权限的用户帐户。 ACS 转发器的所有配置更改必须来自 ACS 收集器。 要获得附加安全,在 ACS 转发器与 ACS 收集器进行身份验证以后,它关闭 ACS 所用的入站 TCP 端口,以便仅允许传出通信。 ACS 收集器必须终止并重新建立通信通道,才能更改 ACS 转发器的任何配置。
ACS 转发器通过防火墙与 ACS 收集器隔开
由于 ACS 转发器与 ACS 收集器之间限制通信,你只需打开防火墙上的入站 TCP 端口 51909,使 ACS 转发器(通过防火墙与你的网络隔开)能够到达 ACS 收集器。