Moderate (mittel), Strong (hoch), Moderate (mittel) strong (hoch) – HP Systems Insight Manager Benutzerhandbuch
Seite 123
Vorgehensweise: Sperrung und Benutzerfreundlichkeit auf Windows
Systemen
Moderate (Mittel)
Die Insight Management Agents müssen auf „Trust by certificate“ (Vertrauen nach Zertifikat)
festgelegt sein. Dies erfordert die Verteilung des HP SIM Zertifikats, das den öffentlichen Schlüssel
enthält, auf allen verwalteten Systemen. Nachdem die Systeme so konfiguriert wurden, dass sie
dem HP SIM System vertrauen, akzeptieren sie nur von diesem speziellen System sichere Befehle.
Dieses Zertifikat kann auf viele verschiedene Arten verteilt werden, z. B.:
•
Verwenden Sie die Option Set Trust Relationship (Vertrauensstellung einrichten) von Configure
or Repair Agents in HP SIM, um das HP SIM Zertifikat auf den verwalteten Systemen zu
implementieren. Abhängig vom verwalteten System werden möglicherweise SSL- oder Windows
Netzwerkverbindungen verwendet, um Dateien zu kopieren und die verwalteten Systeme zu
konfigurieren.
•
Verwenden Sie die webbasierte Schnittstelle in einzelnen Insight Management Agent zur
Angabe des HP SIM Systems, dem vertraut werden soll. Dies veranlasst die Agents, das digitale
Zertifikat sofort vom HP SIM System abzurufen, ermöglicht Ihnen die Prüfung des Zertifikats
und richtet die Vertrauensstellung anschließend ein. Obwohl diese Option ein gewisses
Sicherheitsrisiko darstellt – so wäre es z. B. möglich, das HP SIM System beim Abrufen des
Zertifikats zu manipulieren und damit eine nicht erwartete Vertrauensstellung einzurichten –,
ist sie für die meisten Netzwerke jedoch ziemlich sicher.
•
Importieren Sie das HP SIM Zertifikat bei der Erstinstallation der Insight Management Agents.
Dies kann manuell während einer beaufsichtigten Installation oder über eine Konfigurationsdatei
bei einer unbeaufsichtigten Installation erfolgen. Diese Methode ist sicherer, weil nur wenig
Gelegenheit für den oben beschriebenen Spoofing-Angriff besteht.
•
Wenn Sie die Insight Management Agent bereits implementiert haben, können Sie die Datei
mit den Sicherheitseinstellungen und das HP SIM Zertifikat über die Betriebssystemsicherheit
direkt auf die verwalteten Systeme verteilen.
WICHTIG:
Wenn Sie die Option Trust by certificate (Vertrauen nach Zertifikat) verwenden, muss
das SSL-Zertifikat von HP SIM erneut verteilt werden, wenn ein neues SSL-Zertifikat für HP SIM
generiert wird. Auf verwalteten Systemen verwendetes SSH arbeitet in der Regel mit einem Modus,
der „Trust by certificate“ insofern ähnlich ist, als er den öffentlichen SSH-Schlüssel vom CMS
benötigt. Beachten Sie, dass der öffentliche SSH-Schlüssel nicht mit dem SSL-Zertifikat identisch ist.
Der Befehl mxagentconfig wird auf dem CMS verwendet, um den Schlüssel auf das verwaltete
System zu kopieren. Dies muss für jedes Benutzerkonto erfolgen, das auf dem verwalteten System
verwendet werden soll, da das Root- oder Administratorkonto standardmäßig verwendet wird.
Sie müssen den öffentlichen SSH-Schlüssel des HP SIM erneut verteilen, wenn das SSH-Schlüsselpaar
neu generiert wird.
Strong (Hoch)
Mit der Option für eine hohe Sicherheit können Sie alle Sicherheitsfunktionen nutzen. Diese Option
bietet die höchste Sicherheitsstufe innerhalb des Sicherheits-Frameworks von HP SIM. Allerdings
müssen Sie bei den Serveroperationen zusätzliche Verfahrensschritte ausführen. Diese Option wird
außerdem durch die Verwendung ihrer eigenen PKI vereinfacht, die eine Zertifizierungsstelle und
einen Zertifikatserver beinhaltet.
Prozedur 22 Festlegen einer hohen Sicherheitsstufe
1.
Generieren Sie Zertifikate für jedes verwaltete System und das HP SIM System unter
Verwendung Ihres Zertifikatservers. Generieren Sie dazu zunächst eine
Zertifikatssignieranforderung der verschiedenen Systeme. Damit wird eine PKCS#7-Datei
Vorgehensweise: Sperrung und Benutzerfreundlichkeit auf Windows Systemen
123