*
Microsoft TechNet*
resultados de Bing
|Suscríbase|Descarga|Contáctenos|Simplified

Escenarios y procedimientos de Microsoft Systems Management Server 2003: seguridad

Apéndice A: seguridad de objetos SMS y WMI

Publicado: enero 9, aaaa

La seguridad en jerarquías de sitios Microsoft® Systems Management Server (SMS) está diseñada para controlar el acceso a objetos en la base de datos del sitio SMS a través de la consola de administración de SMS. Adicionalmente, su función consiste en permitir la lectura y escritura de información según se necesite en las tareas de administración de redes, comunicación y distribución de software. La información utilizada por objetos SMS reside en la base de datos del sitio SMS. Sin embargo, el acceso a estos objetos a través de la consola de administración de SMS está controlado por Instrumental de administración de Windows (WMI, Windows Management Instrumentation) a través del proveedor de SMS. El proveedor de SMS implementa un modelo de seguridad que crea objetos de seguridad SMS (por ejemplo, paquetes, colecciones, avisos, consultas, sitios y mensajes de estado) y derechos de seguridad específicos de SMS. Estos objetos de seguridad SMS se encuentran en la base de datos del sitio SMS y cuentan con derechos de seguridad administrados a través de la consola de administración de SMS. Los usuarios y los grupos de usuarios reciben derechos específicos de SMS sobre los objetos de seguridad SMS.

Las cuentas de usuario y de grupos de usuarios se utilizan para controlar el acceso a los objetos de seguridad SMS. SMS incluye, además, seguridad al nivel de SQL. Consecuentemente, el acceso directo a la base de datos del sitio SMS se realiza bajo un control mucho más estricto que en versiones anteriores de SMS.

La seguridad para jerarquías de sitios SMS se aplica en tres capas:

Seguridad de Windows

Seguridad de WMI

Seguridad de objetos SMS a través de la base de datos de SQL

En esta página
Seguridad de WindowsSeguridad de Windows
Seguridad de WMISeguridad de WMI
Seguridad de objetos SMSSeguridad de objetos SMS

Seguridad de Windows

SMS depende en gran medida de los sistemas operativos en uso y los subsistemas de seguridad de éstos. Además de ejecutarse en el sistema operativo, SMS utiliza la opción de archivos compartidos de éste para las comunicaciones entre sitios, servidores de componentes y clientes SMS. Para comprender el funcionamiento de la seguridad de SMS es fundamental comprender el funcionamiento de la seguridad del sistema operativo. Es necesario familiarizarse con los aspectos básicos de seguridad del sistema operativo, incluidos los conceptos relacionados con cuentas, grupos, dominios, servicios y listas de control de acceso (ACL).

Seguridad de WMI

SMS utiliza WMI como interfaz de administración estándar. Se usa en los clientes para la recopilación de inventarios de hardware, mientras que en los servidores y las consolas sirve de interfaz para la base de datos del sitio SMS. Adicionalmente, WMI se usa para almacenar datos de configuración, como los utilizados en Network Trace.

WMI ofrece compatibilidad total con la seguridad de Microsoft Windows NT® 4.0, Microsoft Windows® 2000, Microsoft Windows XP y Microsoft Windows Server® 2003. La compatibilidad con la seguridad de Microsoft Windows 98 es solamente parcial. La seguridad de WMI exige la autenticación de los datos de inicio de sesión del usuario, tanto para el equipo local como para el acceso remoto. Con la versión de WMI incluida en SMS y Windows 2000, Windows XP y los sistemas operativos Windows Server 2003, WMI puede utilizarse para controlar permisos globales en operaciones de espacio de nombres WMI como, por ejemplo, la restricción del acceso de determinados usuarios a tareas únicamente de lectura.

Cada espacio de nombres WMI cuenta con su propio descriptor de seguridad, lo que le permite disponer también de su propia configuración de seguridad. Al igual que ocurre con los archivos en las particiones de disco NTFS, puede utilizarse la herencia para simplificar la administración de seguridad. Cada ACE en el descriptor de seguridad del espacio de nombres cuenta con un campo de indicadores que especifica la herencia que debe llevarse a cabo (si procede). Por ejemplo, si se permite herencia de contenedores, espacios de nombres secundarios heredarán el ACE en el descriptor de seguridad del espacio de nombres.

El descriptor de seguridad se crea cuando se realiza la conexión inicial al espacio de nombres. El descriptor tiene su origen en las listas de acceso de los espacios de nombres en la cadena de herencia, modificada por las herencias de cada espacio de nombres. De forma predeterminada, la cuenta de administrador local y el grupo local de administradores tienen derechos sobre todas las operaciones, incluido el acceso remoto. El descriptor de seguridad de SMS se crea en WMI durante la instalación del servidor del sitio SMS.

Además, el descriptor se utiliza para controlar el acceso a los servicios WMI. Se trata de un descriptor de seguridad estándar de Windows y contiene una ACL. Cada ACE concede el permiso de ejecución de una operación restringida como, por ejemplo, inicios de sesión, acceso remoto, ejecución de métodos y escritura en el repositorio de CIM (la base de datos de WMI). Los descriptores de seguridad de WMI se almacenan en el repositorio de CIM.

En los sistemas operativos Windows NT 4.0, Windows 2000, Windows XP y Windows Server 2003, no existe la distinción entre acceso local y remoto. Sin embargo, en las conexiones remotas, los usuarios pueden especificar su nombre de usuario y contraseña para sustituir los datos de inicio de sesión en uso. En las conexiones locales, los usuarios no pueden anular los datos activos de inicio de sesión.

En Windows 98, los usuarios locales se consideran administradores y cuentan con derechos completos. No se lleva a cabo ningún tipo de autenticación. Los usuarios remotos, por el contrario, deben superar un proceso de validación que usa instancias de clases de sistemas WMI.

Para administrar la seguridad de WMI, puede utilizarse el control incluido en el panel de control de WMI.

Seguridad de objetos SMS

Generalmente, SMS depende de otras tecnologías en lo que respecta a implementación de seguridad. Por ejemplo, SMS establece seguridad en archivos compartidos pero utiliza el sistema operativo para autenticar cuentas y permitir que solamente las correctas puedan acceder a ellos. El único caso en que SMS implementa seguridad de forma independiente es durante el acceso a objetos SMS a través del proveedor de SMS. El proveedor de SMS compara los datos del usuario que intenta el acceso al objeto SMS con los permisos de seguridad de SMS establecidos en dicho objeto para determinar si el usuario cuenta con el derecho de acceso o de modificación de objetos. El proveedor de SMS implementa la seguridad de objetos SMS cuando se accede a ellos a través de la consola de administración de SMS o de un programa con acceso a SMS a través de WMI.

Los permisos sobre objetos SMS pueden concederse a usuarios individuales o a grupos de usuarios en un dominio. Así, es posible especificar que todos los miembros del grupo Usuarios de dominio puedan editar paquetes. Del mismo modo puede establecerse que usuarios específicos puedan editar únicamente los paquetes creados por ellos mismos. Puede concederse a un administrador el derecho a administrar todas las colecciones o solamente una. Para cada objeto de seguridad o tipo de objeto pueden otorgarse permisos diferentes. Esta granularidad ofrece un gran nivel de control sobre qué usuarios pueden acceder a tipos de objetos SMS y cuáles tienen permitido el acceso a información específica en la base de datos del sitio SMS.

La seguridad de objetos puede aplicarse a las siete clases de objetos SMS enumeradas en la tabla A.1.

Tabla A.1   Clases SMS para la concesión de derechos de seguridad

Clase de objetoElemento de consola

SMS_Advertisement

Avisos

SMS_Collection

Colecciones

SMS_Package

Paquetes

SMS_Query

Consultas

SMS_Report

Informes

SMS_Site

Sitios

SMS_MeteredProductRule

Reglas de disponibilidad de software

SMS_StatusMessage

Mensajes de estado

La seguridad para los tipos de objetos SMS puede aplicarse al nivel de clase o de instancia.

Nivel de clase

En este nivel, los usuarios reciben permisos sobre todos los tipos de objetos de una clase específica, por ejemplo, sobre todos los paquetes o todas las colecciones.

Nivel de instancia

En este nivel, los permisos se conceden para una instancia específica de un tipo de objeto, como la colección de todos los sistemas con Windows 98 o la colección de sitios de New York City. Debido a la gran cantidad de mensajes de estado disponibles, estos objetos no cuentan con derechos al nivel de instancia.

En ambos casos, los permisos se conceden o se deniegan por usuario o por grupo de usuarios.

Por ejemplo, el derecho de lectura al nivel de clase en las colecciones permite ver todas las colecciones, así como los miembros de cada colección. El derecho de lectura al nivel de instancia en una colección específica permite ver esta colección y sus miembros. Sin embargo, no podrán verse los recursos de ninguna otra colección.

Los permisos de objetos SMS son acumulativos. Es decir, si un usuario cuenta con el derecho de lectura en una colección (por ejemplo, en la colección de todos los sistemas) y el derecho de uso de herramientas remotas en otra colección (por ejemplo, en la colección A), por acumulación, el usuario tiene los derechos de lectura y de uso de herramientas remotas en todos los sistemas que pertenecen a ambas colecciones. El usuario podrá ver un recurso en la colección de todos los sistemas y usar herramientas remotas con dicho recurso siempre y cuando éste sea miembro también de la colección A. Si no lo es, el usuario no podrá utilizar las herramientas remotas con el recurso en cuestión. El hecho de que el usuario no cuente con el derecho de uso de herramientas remotas en la colección de todos los sistemas no quiere decir que tenga este derecho denegado en relación con todos los equipos incluidos en la colección. El derecho solamente estará denegado en relación con los equipos en la colección de todos los sistemas que no tengan el derecho de uso de herramientas remotas en ninguna otra colección que incluya dichos equipos.

Debido a la naturaleza acumulativa de los derechos de SMS, si un usuario recibe derechos de seguridad de clase sobre un objeto de seguridad de SMS y derechos de seguridad de instancia conflictivos, SMS reconcilia los derechos de seguridad de clase e instancia para otorgar el nivel más alto de permisos. Por ejemplo, si el usuario cuenta con permisos completos sobre todos los paquetes al nivel de clase y, adicionalmente, dispone del permiso de lectura sobre un paquete específico al nivel de instancia, en realidad, el usuario cuenta con permisos completos sobre todos los paquetes, incluido el paquete específico establecido con permiso de lectura.

De forma predeterminada, solamente dos cuentas disponen de permisos sobre todos los objetos en la consola de administración de SMS :

LocalSystem

Se trata de la cuenta de usuario en uso en el momento de ejecución del programa de configuración de SMS para crear el sitio primario.

Deberá agregar otras cuentas explícitamente y otorgarles permisos a objetos SMS. Sin permisos, los usuarios que pueden iniciar la consola de administración de SMS solamente pueden ver en ella los nodos de alto nivel, además de los derechos de seguridad, la biblioteca en línea y las herramientas. Los únicos datos que puede ver el usuario son los derechos de seguridad, y éstos no pueden manipularse.

Los permisos pueden otorgarse a usuarios y grupos locales, globales y universales, así como a grupos globales anidados. Sin embargo, todas las cuentas que tienen derechos de seguridad de objetos SMS deben contar también con acceso a los espacios de nombres WMI de SMS. Esto se consigue mediante la inclusión de las cuentas en el grupo local de administradores de SMS.

Derechos de seguridad de objetos SMS

Para cada clase o instancia se especifican derechos como crear, administrar o eliminar recurso. Algunos derechos son específicos a un tipo de objeto. Por ejemplo, el derecho de distribuir se aplica únicamente a paquetes.

La tabla 5.10 describe cada derecho y los tipos de objeto de seguridad para los que está disponible.

Tabla A.2   Derechos de seguridad de objetos SMS

DerechoSe aplica aOtorga la capacidad de

Administrar

Todas las clases de objetos seguros

Asignar o eliminar cualquier derecho de seguridad sobre una clase de objetos o sobre tipos de objetos individuales en dicha clase para cualquier usuario.

De forma explícita, tendrá que conceder otros derechos apropiados al tipo de objeto. La concesión del derecho de administrar a un usuario no le otorga automáticamente los derechos de crear, modificar o eliminar sobre el tipo de objeto en cuestión.

Avisar

Instancias y clases de colecciones

Enviar avisos a una colección. Las subcolecciones de la colección reciben también los avisos, aunque el administrador no cuente con el derecho de avisar sobre éstas.

Este derecho no otorga la capacidad de crear avisos; para ello se necesita el derecho de crear sobre el tipo de objeto de aviso.

Crear

Todas las clases de objetos seguros

Crear una instancia de un tipo de objeto.

Delegar

Todas las clases de objetos seguros

Conceder derechos para cualquier instancia creada por el usuario. Los únicos derechos que pueden concederse son aquellos que el usuario tiene de forma directa (no a través de su pertenencia a un grupo al nivel de clase).

Eliminar

Todas las instancias y clases de objetos seguros (excepto las instancias de mensajes de estado)

Eliminar una instancia de un tipo de objeto.

Eliminar recurso

Instancias y clases de colecciones

Eliminar un recurso de una colección.

Distribuir

Instancias y clases de paquetes

Enviar paquetes a puntos de distribución.

Administrar comandos SQL

Instancias y clases de sitios

Crear, modificar y eliminar comandos SQL de mantenimiento de sitios.

Administrar filtros de estado

Instancias y clases de sitios

Crear, modificar y eliminar reglas de filtros de estado.

Medir

Instancias y clases de sitios

Aplicar reglas de disponibilidad de software al sitio.

Modificar

Todas las instancias y clases de objetos seguros (excepto las instancias y clases de mensajes de estado, que no pueden modificarse)

Modificar una instancia de un tipo de objeto.

Modificar recurso

Instancias y clases de colecciones

Modificar un recurso en una colección.

Leer

Todas las instancias y clases de objetos seguros (excepto las instancias de mensajes de estado)

Ver una instancia y sus propiedades.

Leer recurso

Instancias y clases de colecciones

Leer un recurso en una colección. Puede utilizarse el explorador de recursos para ver datos de inventario de hardware y software. Si el administrador no cuenta con este derecho al nivel de clase, todas las colecciones que cree deberán estar limitadas a las colecciones sobre las que tiene derechos.

Usar herramientas remotas

Instancias y clases de colecciones

Usar herramientas remotas en un recurso.

Ver archivos recopilados

Instancias y clases de colecciones

Ver los archivos recopilados de un cliente. Puede utilizarse el explorador de recursos para ver los archivos recopilados.

Por cada tipo de objeto debe haber, por lo menos, una cuenta con el derecho de administrar al nivel de clase. De esta forma se evita que se bloquee el acceso de los administradores al sistema SMS. En consecuencia, no resulta posible eliminar el último usuario en un tipo de objeto con el derecho de administrar. Adicionalmente, un usuario no puede eliminar sus propios derechos de administración sobre un objeto.

Cuando un usuario crea una instancia de un objeto, se le asignan automáticamente los derechos de leer, modificar y eliminar para dicha instancia.

Puede conceder permisos sobre objetos por medio de la concesión de derechos a grupos de usuarios en la empresa, de modo que puedan atender a necesidades específicas. Por ejemplo, si los técnicos de asistencia cuentan con un grupo de usuarios, puede conceder el derecho de usar herramientas remotas en colecciones a este grupo. Si los usuarios que no son administradores de SMS desean ver y consultar inventarios recopilados de clientes, puede concederles el derecho de leer en relación con colecciones y consultas y el derecho de leer recurso en cuanto a colecciones.

Quizás el usuario que crea un objeto (una colección o un aviso, por ejemplo) quiera permitir el uso o administración de dicho objeto a otros usuarios (o grupos). Esto será posible si el usuario cuenta con el derecho de administrar al nivel de clase, lo que, por otro lado, le otorga derechos completos sobre cualquier instancia del tipo de objeto. Una solución mejor consiste en conceder al usuario el derecho de delegar al nivel de clase, que le permitirá otorgar derechos a grupos y usuarios sobre los objetos que ha creado. Sin embargo, los usuarios solamente pueden conceder derechos con los que ellos mismos cuentan explícitamente al nivel de instancia, y no aquellos que han recibido a través de su pertenencia a grupos o al nivel de clase.

Por ejemplo, imaginemos un usuario que tiene los derechos de crear y delegar para colecciones. Además, cuenta con los derechos de leer, leer recurso y avisar al nivel de instancia para la colección de todos los sistemas Windows XP. Este usuario puede crear una colección nueva basada en su pertenencia a esta colección. También puede conceder los derechos de leer y leer recurso en relación con dicha colección (pero no los derechos de crear o delegar) a otro grupo de forma que sus miembros puedan ver los miembros de la colección nueva.

note.gif  Nota
Para optimizar el nivel de seguridad, conceda permisos a cada administrador cuidadosamente al nivel de instancia, a menos que requieran permisos al nivel de clase. Cree una colección de los recursos bajo el control de cada administrador y otorgue permisos únicamente a esta colección. Como resultado, cada administrador verá únicamente aquellos objetos de seguridad a los que se ha concedido el acceso.
Para mejorar la seguridad aún más, no conceda a los administradores de SMS el derecho de iniciar la sesión en el servidor del sitio. Exija que los administradores utilicen la consola de administración de SMS de forma remota.
Si desea reducir al mínimo la carga administrativa, dé a todos o a algunos administradores el control total de todos los objetos en la base de datos del sitio SMS. La creación o el uso de un grupo que cuenta con los permisos correctos es la forma más fácil de hacerlo. En adelante, cuando agregue administradores al sitio, no tiene más que agregarlos al grupo.

Visualización de recursos en colecciones y consultas

Los derechos que establece en las colecciones pueden afectar su capacidad de realizar determinadas tareas en otros nodos de la consola de administración de SMS. Por ejemplo, la concesión del derecho leer de seguridad de objetos SMS en una colección permite al usuario no sólo ver la colección, sino también los recursos incluidos en ella. El usuario puede ver las propiedades del recurso y utilizar el explorador de recursos pero no podrá ver los valores de los grupos de éste. Para poder beneficiarse de este nivel de detalle, el usuario necesitará, además el derecho de leer recurso. Puede conseguir un nivel más elevado de administración de recursos informáticos concediendo al usuario los derechos de usar herramientas remotas o ver archivos recopilados. Para eliminar el recurso de SMS por completo (a diferencia de eliminar únicamente la regla de la colección que convierte a dicho recurso en miembro de la colección), el usuario debe contar con el derecho de eliminar recurso.

Es posible administrar los recursos a través de consultas, pero el derecho de leer en relación con éstas solamente le ofrece el privilegio de verlas y ejecutarlas. El derecho a administrar recursos y verlos en una ventana de resultados de consulta viene otorgado por los derechos establecidos para las colecciones en que se encuentran dichos recursos.

Mantenimiento de sitios

La administración de la base de datos del sitio SMS puede llevarse a cabo a través de la creación de comandos de Microsoft SQL Server™ de mantenimiento de sitios en la consola de administración de SMS, bajo el nodo de configuración del sitio para cada sitio. Estos comandos cuentan con privilegios completos en la base de datos del sitio SMS y pueden manipular los datos y la base de datos de cualquier forma. Para evitar el uso malicioso de esta utilidad, limite el derecho administrar comandos SQL de seguridad de objetos SMS a los administradores SMS de confianza que requieren este derecho.

Seguridad de disponibilidad de software

Una de las tareas principales del sistema de disponibilidad de software es la creación de reglas. Las reglas de disponibilidad de software pueden aplicarse no sólo al sitio para el que se han creado, sino también a los sitios secundarios incluidos en éste. Para administrarlas, el administrador de SMS debe contar con derechos de seguridad de objetos SMS apropiados en relación con las reglas de disponibilidad de software. Adicionalmente, para poder aplicar las reglas a un sitio, el administrador debe contar con el derecho de instancia para medir del sitio en cuestión, o el derecho de medir al nivel de clase, en cuyo caso las reglas se aplicarán a todos los sitios a los que se distribuye la regla. Los derechos de medir relevantes son los que residen en el sitio donde se origina la regla, no los que se encuentran en los sitios a los que se distribuye.



©2014 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |Aviso Legal |Marcas registradas |Privacidad
Microsoft