Users Guide

ManualsBrandsDell ManualsSoftwareDell OpenManage IT Assistant Version 8.7

100

Wie bei Desktops und Workstations besteht der erste Schritt bei der Sicherung eines Servers darin, sicherzustellen, dass die neuesten Service-Packs sowie

dieentsprechendkritischenHotfixesinstalliertwurdenundausgeführtwerden.DieimvorhergehendenAbschnitterwähntenMicrosoftSoftware-

AktualisierungsdienstewerdenauchaufMicrosoftWindows2000,WindowsServer2003undWindowsServer2008Serverangewendet.ÄhnlicheDienste

solltenauchfürRedHatLinuxundSUSELinuxEnterpriseServerüberprüftwerden.



DassichersteProtokollfürverwalteteSystemserverauswählen

Dell OpenManage Server Administrator, die aktuelle Dell Server-Instrumentationssoftware, verwendet die SNMP- und CIM-Protokolle,diewährendeiner

benutzerdefiniertenInstallationkonfiguriertwerdenkönnen.



CIM-Überwachung,DCOM- und Windows-Authentifizierung

Das CIM-Protokoll, das DCOM-Sicherheit verwendet, wendet die Windows Challenge/Response-Authentifizierung (Benutzername/Kennwort) an. Des Weiteren

wirddieVerbindungzumverwaltetenSystemüberdieDomäne/Benutzername/Kennwort-Konten hergestellt, die in jedem der konfigurierten IT Assistant-

Ermittlungsbereichespezifiziertsind.DasFormatfürdieseKontenlautet:

<Domänenname>\<Benutzername>. oder lokaler Host\<Benutzername>.



Sicherheit und das SNMP-Protokoll

VerschiedeneMaßnahmenzurErhöhungderSicherheitvonUmgebungenstehenüberdasSNMP-ProtokollzurVerfügung.DiefolgendenBeispielebeziehen

sich auf Microsoft Windows-Betriebssysteme,dochfürdieBetriebssystemeRedHatLinuxundSUSELinuxEnterpriseServerkönnenähnlicheSchritte

durchgeführtwerden.BeiinstalliertemSNMPistderCommunity-Namestandardmäßigaufpublic eingestellt. Diese Zeichenkette sollte wie ein Kennwort

behandeltundähnlicheRegelnbeiderAuswahlbeachtetwerden- eineZeichenkettegeeigneterLänge,schwerzuerratenundmöglichstausBuchstabenund

Ziffern bestehend. Bei Windows-Betriebssystemen kann der SNMP-Community-Name im Dialogfeld Eigenschaft des SNMP-DienstsüberdieRegisterkarte

Sicherheit konfiguriert werden.

AlsweitereVorsichtsmaßnahmemussSNMPaufschreibgeschützteingestelltwerden,umunbefugteKonfigurationenundSteuerungsmaßnahmenzu

vermeiden.DieseEinstellungkannüberdenEintragsnmpsets=no optionwährendderServerAdministrator-Installationerzwungenwerden.Eswäredann

immernochmöglich,dieseÄnderungenüberdieBenutzeroberflächeoderBefehlszeilenschnittstelle(CLI)vonServerAdministratorvorzunehmen.DerSNMP-

Dienstkannebensokonfiguriertwerden,dassAnfragennurvoneinembestimmtenServer(indiesemFalldemSystem,aufdemITAssistantausgeführtwird)

bearbeitetwerden.DieseEinstellungkannebenfallsimzuvorerwähntenWindows-Register Sicherheitkonfiguriertwerden,indemdieOptionsschaltflächemit

der Bezeichnung SNMP-Pakete dieser Hosts annehmenausgewähltunddannaufHinzufügen geklickt wird, um die Adresse bzw. den Namen des Systems

einzugeben,aufdemITAssistantausgeführtwird.WeitereEinzelheitenfindenSieimHandbuchzumBetriebssystem.

AlsabschließenderSchrittistServerAdministratorsozukonfigurieren,dassderZugriffaufBenutzer- undmöglicherweiseauchHauptbenutzerkonten

verweigertwird,sodassderZugriffnuraufAdministratorkontenbeschränktist.DieseKonfigurationkannüberdieobereNavigationsleisteinServer

Administrator erfolgen, indem EinstellunggewähltunddieAuswahlderBenutzerzugriffsfelder aufgehoben wird.

Weitere Informationen finden Sie im Dell OpenManage Server Administrator Command Line Interface-BenutzerhandbuchaufderDellSupport-Website unter

support.dell.com/manuals.

ZusammengefasstmüssenSystemadministratorendiefolgendenempfohlenenVerfahrengenaubefolgen,umServermithilfederzuvorbeschriebenen

Sicherheitsmaßnahmenerfolgreichundsicherzuverwalten:

l Stellen Sie sicher, dass das Betriebssystem mit den neuesten Sicherheits-Patches aktualisiert wurde.

l Implementieren Sie schwer zu erratende SNMP-Community-Namen.

l KonfigurierenSieSNMPfürdenNur-Lese-Zugriff,umKonfigurationen,AktualisierungenundStromsteuerungsmaßnahmennurvonServerAdministrator

durchführenzulassen.

l Konfigurieren Sie SNMP so, dass Anfragen nur von der IP-AdressedesSystemsangenommenwerden,aufdemITAssistantausgeführtwird.

l Verwenden Sie Hilfsprogramme wie Group Policies in Active Directory, um die SNMP-EinstellungenfürallezuverwaltendenServerzuerzwingen.

l Konfigurieren Sie Server Administrator so, dass der Zugriff auf Benutzerebene verweigert wird.



Datenbanksicherheit bei Einsatz von IT Assistant sicherstellen

Wenn bei der Installation von IT Assistant keine Microsoft SQL Server-Datenbank ermittelt wurde, wird eine Kopie von SQL Server 2005 Express Edition SP2

installiert,wobeiderAuthentifizierungsmodus"Vertraut"oder"NurWindows"ausgewähltist.AndereAnwendungen,diezueinemfrüherenZeitpunktu.U.

MSDE oder SQL-Serverinstallierthaben,einschließlichfrühererVersionenvonITAssistant,wählenhäufigentwederdenAuthentifizierungsmodusSQLoder

einen gemischten Modus aus, wodurch SQL-ServerseineeigenenBenutzernamenundKennwörterverwaltenkann.FallsfrühereVersionenvonITAssistant

installiert sind, wurde das Supervisor-Kontokennwort auf null oder dell gesetzt. Verringern Sie auf jeden Fall das Risiko einer Netzwerkattacke, indem Sie

zumindestdieseKennwörternachdenzuvorempfohlenenVerfahreninZeichenkettenändern.EinebessereLösungistes,denDatenbank-

Authentifizierungsmodusauf"Vertraut"oder"NurWindows"zuändern.

ANMERKUNG: Die WMI-Sicherheit kann mithilfe von Dienstprogrammen wie z. B. dcomcnfg.exe, wmimgmt.msc und wbemcntlgeändertwerden.Auf

GrundmöglicherunerwünschterNebenwirkungenwerdenÄnderungenmithilfedieserMethodennichtempfohlen.WeitereInformationenfindenSieauf

der Microsoft-Website.

ANMERKUNG: SelbstinUmgebungen,indenenzurÜberwachungausschließlichCIMverwendetwird,istSNMPnormalerweiseaktiviert,daServer

AdministratorFehlerbenachrichtigungennurüberSNMP-Traps sendet.

ANMERKUNG: UmdiesachgemäßeKonfigurationallerSystemesicherzustellen,wirdempfohlen,HilfsprogrammewieGroupPoliciesinActiveDirectoryzu

verwenden, um diese SNMP-Einstellungen zu erzwingen.

ANMERKUNG: DerBenutzerzugriffkannauchüberdenServerAdministrator-CLI-Befehl omconfig preferences useraccess enable= admin

eingeschränktwerden.