Moderate (mittel), Strong (hoch), Moderate (mittel) strong (hoch) – HP Systems Insight Manager Benutzerhandbuch
Seite 125
ACHTUNG:
Durch Einrichten des Vertrauens nach Zertifikat für HP SMH wird jedem HP
SIM-Benutzer ermöglicht, Administratorzugriff auf die HP SMH-Hosts zu erlangen. Auf diese Weise
kann der HP SIM-Benutzer jeden beliebigen Befehl remote auf dem HP SMH-Host ausführen.
Vorgehensweise: Sperrung und Benutzerfreundlichkeit auf
Windows Systemen
Moderate (Mittel)
Für HP Insight Management Agents muss „Trust by certificate“ (Vertrauen nach Zertifikat) konfiguriert
werden. Dies erfordert die Verteilung des HP SIM Zertifikats, das den öffentlichen Schlüssel enthält,
auf allen verwalteten Systemen. Nachdem die Systeme so konfiguriert wurden, dass sie dem HP
SIM System vertrauen, akzeptieren sie nur von diesem speziellen System sichere Befehle.
Dieses Zertifikat kann auf viele verschiedene Arten verteilt werden, z. B.:
•
Verwenden Sie die Option Set Trust Relationship (Vertrauensstellung einrichten) von Agents
konfigurieren oder reparieren in HP SIM, um das HP SIM Zertifikat auf den verwalteten
Systemen zu implementieren. Abhängig vom verwalteten System werden möglicherweise SSL-
oder Windows Netzwerkverbindungen verwendet, um Dateien zu kopieren und die verwalteten
Systeme zu konfigurieren.
•
Verwenden Sie die webbasierte Schnittstelle in einzelnen Insight Management Agent zur
Angabe des HP SIM Systems, dem vertraut werden soll. Dies veranlasst die Agents, das digitale
Zertifikat sofort vom HP SIM System abzurufen, ermöglicht Ihnen die Prüfung des Zertifikats
und richtet die Vertrauensstellung anschließend ein. Obwohl diese Option ein gewisses
Sicherheitsrisiko darstellt – so wäre es z. B. möglich, das HP SIM System beim Abrufen des
Zertifikats zu manipulieren und damit eine nicht erwartete Vertrauensstellung einzurichten –,
ist sie für die meisten Netzwerke jedoch ziemlich sicher.
•
Importieren Sie das HP SIM Zertifikat bei der Erstinstallation von Insight Management Agents.
Dies kann manuell während einer beaufsichtigten Installation oder über eine Konfigurationsdatei
bei einer unbeaufsichtigten Installation erfolgen. Diese Methode ist sicherer, weil nur wenig
Gelegenheit für den oben beschriebenen Spoofing-Angriff besteht.
•
Wenn Sie die Insight Management Agent bereits implementiert haben, können Sie die Datei
mit den Sicherheitseinstellungen und das HP SIM Zertifikat über die Betriebssystemsicherheit
direkt auf die verwalteten Systeme verteilen.
WICHTIG:
Wenn Sie die Option Trust by certificate (Vertrauen nach Zertifikat) verwenden, muss
das SSL-Zertifikat von HP SIM erneut verteilt werden, wenn ein neues SSL-Zertifikat für HP SIM
generiert wird. Auf verwalteten Systemen verwendetes SSH arbeitet in der Regel mit einem Modus,
der „Trust by certificate“ insofern ähnlich ist, als er den öffentlichen SSH-Schlüssel vom CMS
benötigt. Beachten Sie, dass der öffentliche SSH-Schlüssel nicht mit dem SSL-Zertifikat identisch ist.
Der Befehl mxagentconfig wird auf dem CMS verwendet, um den Schlüssel auf das verwaltete
System zu kopieren. Dies muss für jedes Benutzerkonto erfolgen, das auf dem verwalteten System
verwendet werden soll, da das Root- oder Administratorkonto standardmäßig verwendet wird.
Sie müssen den öffentlichen SSH-Schlüssel des HP SIM erneut verteilen, wenn das SSH-Schlüsselpaar
neu generiert wird.
Strong (Hoch)
Mit der Option für eine hohe Sicherheit können Sie alle Sicherheitsfunktionen nutzen. Diese Option
bietet die höchste Sicherheitsstufe innerhalb des Sicherheits-Frameworks von HP SIM. Allerdings
müssen Sie bei den Serveroperationen zusätzliche Verfahrensschritte ausführen. Diese Option wird
außerdem durch die Verwendung ihrer eigenen PKI vereinfacht, die eine Zertifizierungsstelle und
einen Zertifikatserver beinhaltet.
Vorgehensweise: Sperrung und Benutzerfreundlichkeit auf Windows Systemen
125