Microsoft Just Enough Administration (JEA) para Discovery

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 5 min. de leitura

    • O Microsoft JEA melhora a segurança, permitindo que usuários não administradores tenham acesso limitado para executar comandos, scripts e executáveis específicos necessários para Descoberta. Isso permite que o MID Server colete informações sobre uma máquina Windows sem exigir privilégios totais de administrador no destino.

    O Microsoft JEA permite a administração baseada em função por meio do PowerShell Remoting, que usa o Windows Remote Management (WinRM) para gerenciar a comunicação e a autenticação. Esta estrutura fornece um método seguro e confiável para gerenciar computadores que usam o protocolo HTTP. O PowerShell Remoting usa duas portas no total (5985, 5986) para HTTP e HTTPS, o que é mais fácil de proteger do que as várias portas usadas no mapeamento de porta dinâmica WMI. Para obter mais informações sobre o Microsoft JEA, consulte Just Enough Administration.

    Visão geral da conexão entre a instância da ServiceNow, o MID Server, o endpoint JEA e o Windows Server que está sendo descoberto.

    Requisitos para Discovery com JEA

    • Uma instância da ServiceNow em execução na versão Rome ou posterior.
    • O MID Server e o servidor de destino devem fazer parte de um domínio do Windows.
    • As credenciais JEA com direitos de não administrador devem ser credenciais de nível de domínio.
    • O PowerShell 5.0 ou o Windows Management Framework 5.1 devem ser instalados nas máquinas Windows de destino.
    • O PowerShell Remoting deve estar habilitado nas máquinas Windows de destino.
    Nota:
    Para aprimoramento de segurança, a partir de Rome, há um novo perfil chamado JEA v2. A Microsoft não recomenda especificar nenhum outro modo de idioma além de NoLanguage no perfil JEA. O JEA v2 define explicitamente o tipo de sessão como RestrictedRemoteServer e o modo de idioma como NoLanguage para impedir que os usuários executem scripts arbitrários no endpoint e ignorem as restrições de segurança. A ServiceNow não é mais compatível com o perfil de amostra existente em KB0782125. Siga as instruções em KB0965705 para configurar e implantar perfis JEA v2.

    Perfis do JEA

    O Discovery com JEA requer perfis compostos por uma configuração de sessões do PowerShell e um ou mais arquivos de recursos de função do PowerShell. Você pode criar vários arquivos de capacidade de função do PowerShell e vários grupos de usuários para atribuir as funções a diferentes grupos, conforme necessário. Um perfil de amostra é fornecido em KB0965705 como uma implementação de referência e para servir como ponto de partida. O arquivo de configuração na base de conhecimento oferece suporte a todos os padrões horizontais do Windows prontos para uso no momento em que foi criado. A ServiceNow não é responsável pela implantação e configuração do perfil JEA em máquinas remotas.

    A Microsoft tem documentação detalhada nos seguintes links:

    Descoberta básica com o perfil JEA de amostra

    A amostra de perfil JEA fornecida em KB0965705 foi configurada para descobrir muitos ICs e atributos básicos. O perfil pode ser modificado e deve servir apenas como linha de base para o Discovery com JEA.

    O Discovery básico encontra os seguintes atributos principais de servidores Windows (cmdb_ci_win_server) ou desktops Windows (cmdb_ci_computer):
    • Nome do host
    • Nome DNS
    • Número de Série
    • Sistema operacional
    • Versão do SO
    • Service pack do SO
    • Espaço em Disco
    • RAM
    • Contagem de núcleos de CPU
    • Contagem de CPUs
    • Fabricante da CPU
    • Tipo de CPU

    Inclui os seguintes ICs:

    • Adaptadores de rede (cmdb_ci_network_adapter)
    • Sistema de arquivos (cmdb_ci_file_system)
    • Dispositivos de armazenamento (cmdb_ci_disk)
    • Software instalado (cmdb_software_instance)
    • Processos em execução (cmdb_running_process)
    • Módulos de memória (cmdb_ci_memory_module)
    • Números de série (cmdb_serial_numbers)
    • Conexões TCP/IP (cmdb_tcp)
    • IPs de IC (cmdb_ci_ip_address)
    • Nomes DNS para ICs (cmdb_ci_dns_name)
    • Clusters do Windows (cmdb_ci_win_cluster, cmdb_ci_win_cluster_node, cmdb_ci_win_cluster_resource)
    • Arquivos de configuração rastreados (cmdb_ci_config_file_tracked)

    Os seguintes ICs de aplicação também podem ser descobertos:

    • Banco de dados MSSQL no Windows (cmdb_ci_db_mssql_instance)
    • Banco de dados MySQL no Windows (cmdb_ci_db_mysql_instance)
    • Banco de dados Oracle no Windows (cmdb_ci_db_ora_instance)
    • WebSphere no Windows (cmdb_ci_app_server_websphere)

    Os seguintes probes e padrões são usados para o Discovery com o perfil de amostra:

    • Windows - Classificar (probe)
    • Sistema operacional Windows - Servidores (padrão)
    • Sistema operacional Windows - Desktops (padrão)
    • Windows - Software instalado (probe)
    • Windows - ADM (multiprobe)
    • Meu SQL Server no Windows (padrão)
    • MSSql DB no Windows (padrão)
    • Oracle DB no Windows (padrão)
    • Windows - WebSphere - Célula (probe)
    • Windows - WebSphere - Aplicações Web (probe)
    • Windows - WebSphere - Serviços Web (probe)

    Preparar a instância para o Discovery com JEA

    Para configurar a instância [ ServiceNow® para Descoberta com o Microsoft Just Enough Administration (JEA), defina a credencial do Windows com o nome do domínio e defina os parâmetros de configuração MID Server corretamente.

    Antes de Iniciar

    Função necessária: admin, discovery_admin

    Procedimento

    1. Navegar até Todos > Discovery > Credenciais e clique em Novo.
    2. Selecione Credenciais do Windows na lista de tipos de credenciais disponíveis.
    3. Crie as credenciais para o não administrador, usando este formato para o Nome de usuário: domain\user name.
    4. Envie o registro.
    5. Navegar até Todos > MID Server > Servidores.
    6. Selecione um MID Server para configurar na lista de MID Servers.
    7. Selecione a lista relacionada Parâmetros de configuração.
    8. Defina os seguintes parâmetros de configuração do MID Server conforme indicado:
      1. mid.windows.management_protocol: este parâmetro é necessário para o Discovery com JEA.
        Seu valor padrão é WMI, mas deve ser definido como WinRM em MID Servers usando o Discovery com JEA.
      2. mid.powershell.jea.endpoint: este parâmetro é necessário para o Discovery com JEA.
        Este parâmetro especifica um nome de endpoint JEA ao qual o MID Server se conecta em hosts remotos. O nome do endpoint é criado ao registrar um arquivo de configuração e não deve ser confundido com o nome do próprio arquivo de configuração. A configuração afeta todo o MID Server, incluindo quaisquer sessões remotas do WinRM criadas pelo Discovery no MID Server que vão para esse endpoint.

        Por exemplo, o comando do PowerShell Register-PSConfiguration -name JEA_DISCO_V2 -path <session_configuration_file> define o nome do endpoint como JEA_DISCO_V2. Nesse caso, mid.powershell.jea.endpoint deve ser atualizado para JEA_DISCO_V2.

    9. Opcional: Use a seguinte propriedade do MID Server e a propriedade do sistema para solucionar problemas:
      1. mid.probe.collect_debug_info: esta é uma propriedade opcional do MID Server para coletar informações de depuração.
        Quando esta propriedade é definida como verdadeira, o MID Server coleta informações de depuração de credencial e as coloca na carga da mensagem de entrada do ECC. Isso não afeta o funcionamento do JEA.
      2. glide.discovery.log_debug_info: esta é uma propriedade do sistema opcional para coletar informações de depuração.
        Quando esta propriedade é definida como verdadeira, o sensor de descoberta extrai as informações de depuração da mensagem de entrada do ECC e as grava na tabela de log de descoberta, para que as informações de depuração fiquem visíveis ao inspecionar o status da descoberta.