Microsoft Just Enough Administration (JEA) für Discovery

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 4 Minuten Lesedauer

    • Microsoft JEA verbessert die Sicherheit, indem Benutzern ohne Administratorrechte der beschränkte Zugriff auf die für Discovery erforderlichen Befehle, Skripts und ausführbaren Dateien ermöglicht wird. Dadurch kann der MID-Server Informationen über einen Windows-Computer erfassen, ohne dass für das Ziel vollständige Administratorrechte erforderlich sind.

    Microsoft JEA ermöglicht eine rollenbasierte Administration über PowerShell-Remoting, das Windows Remote Management (WinRM) zur Verwaltung der Kommunikation und Authentifizierung verwendet. Dieses Framework bietet eine sichere und zuverlässige Methode für die Verwaltung von Computern, die das HTTP-Protokoll verwenden. PowerShell-Remoting verwendet insgesamt zwei Ports (5985, 5986) für HTTP und HTTPS, was einfacher zu sichern ist als die Vielzahl von Ports, die bei der dynamischen WMI-Portzuordnung verwendet werden. Weitere Informationen zu Microsoft JEA finden Sie unter Just Enough Administration.

    Übersicht über die Verbindung zwischen der ServiceNow-Instanz, dem MID Server sowie dem JEA-Endpunkt und Windows-Server, die erkannt werden.

    Anforderungen für die Erkennung mit JEA

    • ServiceNow-Instanz, auf der Release Rome oder höher ausgeführt wird.
    • MID Server und Zielserver müssen Teil einer Windows-Domäne sein.
    • Die JEA-Anmeldeinformationen, die nicht über Administratorrechte verfügen, müssen Anmeldeinformationen auf Domänenebene sein.
    • Auf den Windows-Zielcomputern muss PowerShell 5.0 oder Windows Management Framework 5.1 installiert sein.
    • Auf den Ziel-Windows-Computern muss PowerShell-Remoting aktiviert sein.
    Hinweis:
    Zur Verbesserung der Sicherheit gibt es ab Rome ein neues Profil namens JEA v2. Microsoft rät davon ab, im JEA-Profil einen anderen Sprachmodus als NoLanguage anzugeben. JEA v2 legt den Sitzungstyp explizit auf RestrictedRemoteServer und den Sprachmodus auf NoLanguage fest, um zu verhindern, dass Benutzer am Endpunkt Skripts ausführen und Sicherheitsbeschränkungen umgehen können. ServiceNow unterstützt das vorhandene Beispielprofil in KB0782125 nicht mehr. Befolgen Sie die Anweisungen in KB0965705, um JEA v2-Profile einzurichten und bereitzustellen.

    JEA-Profile

    Discovery mit JEA erfordert Profile, die aus einer PowerShell-Sitzungskonfiguration und mindestens einer PowerShell-Rollenfunktionsdatei bestehen. Sie können mehrere PowerShell-Rollenfunktionsdateien und mehrere Benutzergruppen erstellen, um die Rollen bei Bedarf verschiedenen Gruppen zuzuweisen. Ein Beispielprofil wird in KB0965705 als Referenzimplementierung bereitgestellt und dient als Ausgangspunkt. Die Konfigurationsdatei in der KB unterstützt zum Zeitpunkt der Erstellung alle sofort einsatzbereiten horizontalen Windows-Muster. ServiceNow ist nicht verantwortlich für die Bereitstellung und Einrichtung von JEA-Profilen auf Remotecomputern.

    Microsoft bietet über die folgenden Links eine detaillierte Dokumentation:

    Basiserkennung mit JEA-Beispielprofil

    Das in KB0965705 bereitgestellte JEA-Beispielprofil wurde so konfiguriert, dass es viele grundlegende CIs und Attribute erkennt. Das Profil kann geändert werden und sollte nur als Baseline für die Erkennung mit JEA dienen.

    Bei der Basiserkennung werden die folgenden Schlüsselattribute von Windows-Servern (cmdb_ci_win_server) und Windows-Desktops (cmdb_ci_computer) erkannt:
    • Hostname
    • DNS-Name
    • Seriennummer
    • Betriebssystem
    • BS-Version
    • BS-Service Pack
    • Festplattenspeicher
    • RAM
    • Anzahl CPU-Kerne
    • CPU-Anzahl
    • CPU-Hersteller
    • CPU-Typ

    Darin eingeschlossen sind die folgenden CIs:

    • Netzwerkadapter (cmdb_ci_network_adapter)
    • Dateisystem (cmdb_ci_file_system)
    • Speichergeräte (cmdb_ci_disk)
    • Installierte Software (cmdb_software_instance)
    • Laufende Prozesse (cmdb_running_process)
    • Speichermodule (cmdb_ci_memory_module)
    • Seriennummern (cmdb_serial_number)
    • TCP/IP-Verbindung (cmdb_tcp)
    • CI-IPs (cmdb_ci_ip_address)
    • DNS-Namen für CIs (cmdb_ci_dns_name)
    • Windows-Cluster (cmdb_ci_win_cluster, cmdb_ci_win_cluster_node, cmdb_ci_win_cluster_resource)
    • Nachverfolgte Konfigurationsdateien (cmdb_ci_config_file_tracked)

    Außerdem können die folgenden Anwendungs-CIs erkannt werden:

    • MSSQL-DB unter Windows (cmdb_ci_db_mssql_instance)
    • MySQL-DB unter Windows (cmdb_ci_db_mysql_instance)
    • Oracle-DB unter Windows (cmdb_ci_db_mssql_instance)
    • WebSphere unter Windows (cmdb_ci_app_server_websphere)

    Zur Erkennung mit dem Beispielprofil werden die folgenden Probes und Muster verwendet:

    • Windows - Classify (Probe)
    • Windows OS - Servers (Muster)
    • Windows OS - Desktops (Muster)
    • Windows - Installed Software (Probe)
    • Windows - ADM (Multi-Probe)
    • My SQL Server On Windows (Muster)
    • MSSql DB On Windows (Muster)
    • Oracle DB on Windows (Muster)
    • Windows - WebSphere - Cell (Probe)
    • Windows - WebSphere - Web Applications (Probe)
    • Windows - WebSphere - Web Services (Probe)

    Instanz für die Erkennung mit JEA vorbereiten

    Um die ServiceNow®-Instanz für Discovery mit Microsoft Just Enough Administration (JEA) zu konfigurieren, definieren Sie die Windows-Anmeldeinformationen mit dem Domänennamen, und legen Sie die MID-Server-Konfigurationsparameter entsprechend fest.

    Vorbereitungen

    Erforderliche Rolle: admin, discovery_admin

    Prozedur

    1. Navigieren zu Alle > Discovery > Akadem. Grade und klicken Sie auf Neu.
    2. Klicken Sie in der Liste mit den verfügbaren Anmeldeinformationsarten auf Windows-Anmeldeinformationen.
    3. Erstellen Sie die Anmeldeinformationen für Nicht-Administratoren in folgendem Format für den Benutzernamen: domain\user name.
    4. Senden Sie den Datensatz ab.
    5. Navigieren zu Alle > MID-Server > Server.
    6. Wählen Sie einen zu konfigurierenden MID-Server aus der Liste der MID-Server aus.
    7. Wählen Sie die zugehörige Liste Konfigurationsparameter aus.
    8. Legen Sie die folgenden Konfigurationsparameter für den MID-Server wie angegeben fest:
      1. mid.windows.management_protocol: Dieser Parameter ist für die Erkennung mit JEA erforderlich.
        Der Standardwert lautet WMI, er muss jedoch auf MID Servern, die die Erkennung mit JEA verwenden, auf WinRM gesetzt werden.
      2. mid.powershell.jea.endpoint: Dieser Parameter ist für Discovery mit JEA erforderlich.
        Dieser Parameter gibt den Namen des JEA-Endpunkts an, mit dem der MID Server auf Remotehosts eine Verbindung herstellt. Der Endpunktname wird beim Registrieren einer Konfigurationsdatei erstellt und darf nicht mit dem Namen der Konfigurationsdatei selbst verwechselt werden. Die Einstellung wirkt sich auf den gesamten MID Server aus, einschließlich WinRM-Remotesitzungen, die von Discovery auf dem MID Server erstellt wurden und auf diesen Endpunkt verweisen.

        Beispiel: Der PowerShell-Befehl Register-PSConfiguration -name JEA_DISCO_V2 -path <session_configuration_file> legt den Endpunktnamen auf JEA_DISCO_V2 fest. In diesem Fall muss mid.powershell.jea.endpoint auf JEA_DISCO_V2 aktualisiert werden.

    9. Wahlweise: Verwenden Sie die folgenden MID-Server- und Systemeigenschaft, um Probleme zu beheben:
      1. mid.probe.collekt_debug_info: Dies ist eine optionale MID-Server-Eigenschaft zum Sammeln von Debug-Informationen.
        Wenn diese Eigenschaft auf „true“ festgelegt ist, erfasst der MID Server Debug-Informationen zu Anmeldeinformationen und speichert sie in der Nutzlast der ECC-Eingabenachricht. Dies hat keine Auswirkungen auf die Funktionsweise von JEA.
      2. glide.discovery.log_debug_info: Dies ist eine optionale Systemeigenschaft zum Sammeln von Debug-Informationen.
        Wenn diese Eigenschaft auf „true“ festgelegt ist, extrahiert der Erkennungssensor die Debug-Informationen aus der ECC-Eingabenachricht und schreibt diese in die Erkennungsprotokolltabelle, sodass sie beim Überprüfen des Erkennungsstatus sichtbar ist.