Microsoft Just Enough Administration (JEA) pour Discovery

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 5 minutes de lecture

    • Microsoft JEA améliore la sécurité en fournissant aux utilisateurs non administrateurs un accès limité pour exécuter les commandes, scripts et fichiers exécutables spécifiques nécessaires à Détection. Le Serveur MID peut donc collecter des informations sur un ordinateur Windows sans nécessiter de privilèges d'administrateur complets sur la cible.

    Microsoft JEA active l'administration basée sur les rôles via PowerShell Remoting, qui utilise Windows Remote Management (WinRM) pour gérer la communication et l'authentification. Ce cadre de travail fournit une méthode sécurisée et fiable pour gérer les ordinateurs qui utilisent le protocole HTTP. PowerShell Remoting utilise deux ports totaux (5985, 5986) pour HTTP et HTTPS, plus faciles à sécuriser que les ports multiples utilisés dans le mappage de ports dynamiques WMI. Pour plus d'informations sur Microsoft JEA, consultez la rubrique Just Enough Administration.

    Aperçu de la connexion entre l'instance ServiceNow, le MID Server et le point de terminaison JEA et le serveur Windows en cours de détection.

    Configuration requise pour utiliser Discovery avec JEA

    • L'instance ServiceNow doit être exécutée sur la version Rome ou sur une version ultérieure.
    • Le MID Server et le serveur cible doivent faire partie d'un domaine Windows.
    • Les informations d'identification de JEA sans droits d'administrateur doivent être des informations d'identification au niveau du domaine.
    • PowerShell 5.0 ou Windows Management Framework 5.1 doivent être installés sur les ordinateurs Windows cibles.
    • PowerShell Remoting doit être activé sur les ordinateurs Windows cibles.
    Remarque :
    Pour améliorer la sécurité, à partir de la version Rome, il existe un nouveau profil appelé JEA v2. Microsoft ne recommande pas de spécifier un autre mode de langage que nolanguage dans le profil JEA. JEA v2 définit explicitement le type de session sur RestrictedRemconditionServer et le mode de langage sur NoLanguage pour empêcher les utilisateurs d'exécuter des scripts arbitraires au point de terminaison et de contourner les restrictions de sécurité. ServiceNow ne prend plus en charge l'exemple de profil existant décrit dans l'article KB0782125. Suivez les instructions de l'article KB0965705 pour configurer et déployer des profils JEA v2.

    Profils JEA

    L'utilisation de Discovery avec JEA nécessite des profils composés d'une configuration de sessions PowerShell et d'un ou de plusieurs fichiers de fonctionnalités de rôle PowerShell. Vous pouvez créer plusieurs fichiers de fonctionnalités de rôle PowerShell et plusieurs groupes d'utilisateurs pour affecter les rôles à différents groupes, au besoin. Un exemple de profil est fourni dans l'article KB0965705 ; vous pouvez l'utiliser comme implémentation de référence et point de départ. le fichier de configuration dans la base de connaissances prend en charge tous les modèles Windows horizontaux prêts à l’emploi au moment de sa création. ServiceNow n'est pas responsable du déploiement et de la configuration du profil JEA sur les machines distantes.

    Consultez la documentation détaillée de Microsoft en cliquant sur les liens suivants :

    Détection de base avec l'exemple de profil JEA

    L'exemple de profil JEA décrit dans l'article KB0965705 a été configuré pour détecter de nombreux CI et attributs de base. Vous ne pouvez pas modifier ce profil et devez l'utiliser uniquement comme base de référence pour la détection avec JEA.

    La détection de base identifie les attributs clés suivants des serveurs Windows (cmdb_ci_win_server) ou des bureaux Windows (cmdb_ci_computer) :
    • Nom d'hôte
    • Nom DNS
    • Numéro de série
    • Système d'exploitation
    • Version du système d'exploitation
    • Service Pack du système d'exploitation
    • Espace disque
    • RAM
    • Nombre de cœurs de processeur
    • Nombre de processeurs
    • Fabricant du processeur
    • Type de processeur

    Elle comprend les CI suivants :

    • Cartes réseau (cmdb_ci_network_adapter)
    • Système de fichiers (cmdb_ci_file_system)
    • Périphériques de stockage (cmdb_ci_disk)
    • Logiciel installé (cmdb_software_instance)
    • Exécution des processus (cmdb_running_process)
    • Modules de mémoire (cmdb_ci_memory_module))
    • Numéros de série (cmdb_serial_numbers)
    • Connexions TCP/IP (cmdb_tcp)
    • Adresses IP de CI (cmdb_ci_ip_address)
    • Noms DNS des CI (cmdb_ci_dns_name)
    • Grappes Windows (cmdb_ci_win_cluster, cmdb_ci_win_cluster_node, cmdb_ci_win_cluster_resource)
    • Fichiers de configuration suivis (cmdb_ci_config_file_tracked)

    Les CI d'application suivants peuvent également être détectés :

    • Base de données MSSQL sur Windows (cmdb_ci_db_mssql_instance)
    • Base de données MySQL sur Windows (cmdb_ci_db_mysql_instance)
    • Base de données Oracle sur Windows (cmdb_ci_db_ora_instance)
    • WebSphere sur Windows (cmdb_ci_app_server_websphere)

    Les sondes et modèles suivants sont utilisés pour la détection avec l'exemple de profil :

    • Windows : classifieur (sonde)
    • Système d'exploitation Windows : serveurs (modèle)
    • Système d'exploitation Windows : bureaux (modèle)
    • Windows : logiciels installés (sonde)
    • Windows : ADM (multisonde)
    • Serveur MySQL sur Windows (modèle)
    • Base de données MSSql sur Windows (modèle)
    • Base de données Oracle sur Windows (modèle)
    • Windows : WebSphere - Cellule (sonde)
    • Windows : WebSphere - Applications web (sonde)
    • Windows : WebSphere - Services web (sonde)

    Préparer l'instance pour la détection avec JEA

    Pour configurer l'instance ServiceNow® pour Détection avec Microsoft Just Enough Administration (JEA), définissez les informations d'identification Windows avec le nom de domaine, puis définissez les paramètres de configuration du Serveur MID de manière appropriée.

    Avant de commencer

    Rôle requis : admin, discovery_admin

    Procédure

    1. Accédez à la Tous > Détection > Identifiants et cliquez sur Nouveau.
    2. Sélectionnez Informations d'identification Windows dans la liste des types d'informations d'identification disponibles.
    3. Créez les informations d'identification pour les non-administrateurs, en utilisant le format suivant pour le champ Nom d'utilisateur : domain\user name.
    4. Envoyez l'enregistrement.
    5. Accédez à la Tous > Serveur MID > Serveurs.
    6. Sélectionnez un MID Server à configurer dans la liste des MID Servers.
    7. Sélectionnez la liste connexe Paramètres de configuration .
    8. Définissez les paramètres de configuration du MID Server suivants comme indiqué :
      1. mid.windows.management_protocol : ce paramètre est requis pour la détection avec JEA.
        Sa valeur par défaut est WMI, mais elle doit être définie sur WinRM sur les MID Servers qui utilisent la détection avec JEA.
      2. mid.powershell.jea.endpoint : ce paramètre est requis pour la détection avec JEA.
        Il spécifie un nom de point de terminaison JEA auquel le MID Server se connecte sur les hôtes distants. Le nom du point de terminaison est créé lors de l'enregistrement d'un fichier de configuration ; veillez à ne pas le confondre avec le nom du fichier de configuration proprement dit. Ce paramètre a une incidence sur l'ensemble du MID Server, notamment sur toutes les sessions distantes WinRM créées par Discovery sur le MID Server vers ce point de terminaison.

        Par exemple, la commande PowerShell Register-PSConfiguration -name JEA_DISCO_V2-path <fichier_configuration_session> définit le nom du point de terminaison sur JEA_DISCO_V2. Dans ce cas, le point de terminaison mid.powershell.jea.endpoint doit être mis à jour vers JEA_DISCO_V2.

    9. Facultatif : Utilisez la propriété système et la propriété MID Server suivantes pour résoudre les problèmes :Available system properties
      1. mid.probe.collect_debug_info : cette propriété MID Server facultative permet de collecter des informations de débogage.
        Lorsqu'elle est définie sur vrai, le MID Server collecte les informations de débogage des informations d'identification et les place dans la charge utile du message d'entrée ECC. Cette opération n'a pas d'incidence sur le fonctionnement de JEA.
      2. glide.discovery.log_debug_info : cette propriété système facultative permet de collecter des informations de débogage.
        Lorsqu'elle est définie sur vrai, le capteur de détection extrait les informations de débogage du message d'entrée ECC et l'écrit dans la table Journal de détection, de sorte que les informations de débogage soient visibles lors de l'inspection de l'état de détection.