WindowsServerの監視と最小特権の原則

最終更新日: 26 年 2023 月 XNUMX 日

リモートWMI機能を確保するために、管理者グループのメンバーシップをお勧めします。 ただし、いくつかの追加設定を使用すると、管理者権限なしでリモートWMI機能を実行できます。 この方法はほとんどの場合に機能しますが、すべての場合に機能するとは限りません。 したがって、LogicMonitorサポートチームが提供する支援は限定的であり、ベストエフォートベースである可能性があります。

注: この記事の情報は、Active Directory ドメイン コントローラーにも当てはまります。 ドメイン コントローラーのグループ メンバーシップの調整は、「ローカル ユーザーとグループ」ではなく、ADUC (Active Directory ユーザーとコンピューター) を使用して実行されます。

Windows ホストがドメイン コントローラーに昇格すると、ローカル ユーザーとグループは ADUC 内の BUILTIN グループに移行されます。 詳細については、を参照してください。 Active Directory アカウント

次の手順を実行して、管理者権限なしでサービスを実行できます。

  1. 新しいユーザー(通常はActive Directoryサービスアカウントまたは監視対象ホストごとのWindowsローカルユーザー)を作成します。
  2. ユーザーにリモートWMI権限を付与する.
  3. ユーザーにリモートDCOM権限を付与する、 該当する場合。
  4. Windowsサービスのアクセス許可を付与する.

リモートWMI権限の付与

ユーザーにリモートWMI権限を付与するには、監視対象の各システムにログオンして、次の手順を実行します。

  1. コントロールパネルで、ダブルクリックします [管理ツール].
  2. [管理ツール]ウィンドウで、ダブルクリックします コンピューター管理.
  3. [コンピューターの管理]ウィンドウで、[サービスとアプリケーション]ツリーを展開し、[ WMI制御.
  4. を右クリックします。 WMIコントロール アイコンをクリックして[プロパティ]を選択し、[ セキュリティ タブには何も表示されないことに注意してください。
  5. 現在地に最も近い ルート オブジェクトをクリックし、 セキュリティ.
  6. Add サービスを実行するユーザーをリストに追加します。
  7. チェック メソッドの実行 および リモートイネーブル.
  8. 高機能.
  9. 現在地に最も近い 新しいユーザー、 をクリックし 編集.
  10. 変更 適用するには ドロップダウンメニューから この名前空間とサブ名前空間.
  11. OK ダイアログボックスを閉じるためにXNUMX回。

リモートDCOM権限の付与

注: Windows ユーザー管理のベスト プラクティスに従って、ユーザー グループを作成し、そのグループに DCOM 権限を付与することをお勧めします。 必要に応じて、グループにユーザーを追加または削除できます。

次のいずれかがLogicMonitorCollectorサービスに当てはまる場合は、DCOM権限を付与する必要がある場合があります。

  • 非ドメインアカウントとして実行されているコレクターサービス
  • コレクターは、監視対象のホストによって信頼されていない別のドメインに存在します
  • Collectorは、ローカル管理者としてではなく、リモートコンピューターに接続します

グループ DCOM 権限を付与するには、監視対象の各システムにログオンし、次の手順を実行します。

  1. 開始、クリック ラン、タイプ DCOMCNFG、[OK]をクリックします OK.
  2. [コンポーネントサービス]ダイアログボックスで、[ コンポーネントサービス>コンピューターし、右クリックします [マイコンピュータ] をクリックし プロパティ.
  3. 私のコンピュータのプロパティ ダイアログボックスで COMセキュリティ タブには何も表示されないことに注意してください。
  4. [起動とアクティブ化のアクセス許可]で、[ 編集制限.
  5. 自分の名前またはグループがグループまたはグループ名のリストに表示されない場合は、[起動許可] ダイアログ ボックスで次の手順を実行します。

    a。 クリック Add.

    b. [ユーザー、コンピュータ、またはグループの選択] ダイアログ ボックスで、グループ名を 選択するオブジェクト名を入力フィールド [OK]をクリックします OK.
  6. [起動許可] ダイアログ ボックスで、グループを選択します。 グループ名またはユーザー名 ボックス。
  7. MFAデバイスに移動する ユーザーの権限>許可選択 リモート起動 および リモートアクティベーション、クリック OK.

Windows ユーザー/グループ管理の詳細については、次を参照してください。 アクティブディスカバリーを保護するためのベストプラクティス.

Windowsサービスのアクセス許可を付与する

上記の方法を採用した後でも、Windowsサービスのアクセス許可を確認および調整する必要がある場合があります。

次のいずれかのツールを使用して、ホストの監視に使用しているアカウントへの読み取り専用アクセスを許可するWindowsサービスのアクセス許可を調整できます。

プロセスエクスプローラ

https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer

subinacl.exe

https://social.technet.microsoft.com/wiki/contents/articles/51625.subinacl-a-complete-solution-to-configure-security-permission.aspx

sc.exe

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/cc754599(v=ws.11)

Windowsサービスのアクセス許可を手動で変更する 

サービスコントロールマネージャー(SCManager)およびWin32_servicesのアクセス許可を変更するには、次の手順を実行します。

注意::SCManagerとWin32_servicesのアクセス許可を変更する手順は同じです。

1. LogicMonitorユーザーのSIDを取得するには、Powershellで次のコマンドを実行してSIDを取得します。

    [wmi] "win32_useraccount.domain='<domainName>',name='<userName>'"

2. SCManagerのSDDLを取得するには、cmdプロンプトで次のコマンドを実行します。
 
sc sdshow scmanager

取得したSDDLのサンプル:
       
D:(A;;CC;;;AU)(A;;CCLCRPRC;;;IU)(A;;CCLCRPRC;;;SU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA)S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD)

3.取得したSDDLを変更します。

注意::独自のACLを作成するか、インタラクティブユーザー(IU)で終わるSDDLからセグメントをコピーすることができます。A;;CCLCRPRC;;;IU)。 ACLの作成の詳細については、を参照してください。 ACE文字列.

4. sc sdshow scmanagerコマンドを使用してSDDLを取得したら、SDDLでIUで終わるセグメントをコピーします。 たとえば。 ((A;;CCLCRPRC;;;IU).

5.IUをLogicMonitorユーザーのSIDに置き換えます。

例: (A;;CCLCRPRC;;;S-1-5-21-265800110-2195697097-2714329818-1112).

6. SIDを置き換えた後、取得したSDDLのIUセグメントの後に新しいセグメントを貼り付けます。

以下は、新しいSDDLの例です。


D:(A;;CC;;;AU)(A;;CCLCRPRC;;;IU) (A;;CCLCRPRC;;;S-1-5-21-265800110-2195697097-2714329818-1112)(A;;CCLCRPRC;;;SU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA) S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD)

注意::前の例では、LogicMonitorユーザーにさまざまな権限を許可しています。 ユーザーが複数のアクセス許可を持つことを制限するか、最小限のアクセス許可を付与することができます。 

たとえば、ACL(A;;RPRC;;;IU) 読み取りアクセス許可がWindowsサービスのすべてのプロパティを読み取ることを許可します。 より多くの権限を付与する場合は、を参照してください。 ACE文字列 ACLのダブルセミコロン(;;)とトリプルセミコロン(;;;)の間に文字列を追加します。

6.新しいSDDLをSCManagerのセキュリティ記述子として設定します。

sc sdset scmanager “D:(A;;CC;;;AU)(A;;CCLCRPRC;;;IU) (A;;CCLCRPRC;;;S-1-5-21-265800110-2195697097-2714329818-1112)(A;;CCLCRPRC;;;SU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA) S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD)

注意: :Win32_servicesを変更するには、SCManagerのアクセス許可を変更するためのすべての手順を実行できます。 必ず交換してください スクマネージャー   サービス名 あなたのウィンドウズサービスの.


:
次のコマンドは、App-Managementサービスのセキュリティ記述子を表示します。

sc sdshow AppMgmt 

記事上で