Partager via

Sécurité de la collecte d'événements

  • Article

Les considérations de sécurité suivantes doivent être utilisées pour le service de collecte d'événements ;.

Récapitulatif des autorisations du service de collecte d'événements

Vérifiez que l'identité de la nouvelle instance du service de collecte d'événements ; possède les autorisations suivantes :

  • autorisation de créer une session ETW, d'enregistrer un fournisseur et de lire les événements d'une session ETW ;

  • autorisation de lecture sur la configuration du service de collecte d'événements ; stockée dans le fichier Web.config racine ;

  • autorisation de lecture sur les fichiers de configuration IIS situés dans le dossier <Lecteur>\Windows\System32\inetserv\config ;

  • autorisation de lecture sur les fichiers de configuration (Web.config) des applications sous surveillance ;

  • autorisations de lecture et d'écriture sur la base de données de surveillance.

  • Stratégie « Ouvrir une session en tant que service »

Exécution en tant qu'utilisateur spécifique

Pour identifier les événements d'une application spécifique surveillée par Windows Server AppFabric, exécutez les applications incluant les services Windows Communication Foundation (WCF) et/ou Windows Workflow Foundation (WF) en tant qu'utilisateur spécifique. Vérifiez que l'utilisateur possède les autorisations d'écriture sur la session ETW sur laquelle le service de collecte d'événements ; écoute. Exécutez également le service de collecte d'événements ; en tant qu'utilisateur spécifique. Il peut s'agir du même utilisateur que celui de l'application, ou d'un autre utilisateur. Pour exécuter le service de collecte d'événements ; en tant qu'utilisateur spécifique, procédez comme suit :

  1. Ajoutez l'identité de l'instance du service de collecte d'événements ; au groupe Windows Utilisateurs du journal de performances. Le service de collecte d'événements ; dispose ainsi des listes de contrôle d'accès (ACL) appropriées pour créer une session ETW, enregistrer un fournisseur et lire les événements d'une session ETW.

  2. L'identité du service de collecte d'événements ; requiert des autorisations de lecture et d'écriture sur le magasin de surveillance. Pour cela, l'identité du service de collecte d'événements ; doit être ajoutée aux rôles de base de données ASMonitoringDbReader et ASMonitoringDbWriter. Vous pouvez ajouter explicitement l'identité à ces rôles de base de données. Vous pouvez également ajouter l'identité du service de collecte d'événements ; au groupe Windows AS_Administrators créé par AppFabric.

  3. Accordez l'autorisation de lecture à l'identité du service de collecte d'événements ; sur le fichier Web.config des applications surveillées. L'ajout de l'identité de l'instance du service de collecte d'événements ; au groupe Windows AS_Administrators fournit au service de collecte d'événements ; un accès en lecture aux fichiers de configuration des applications IIS situées dans le dossier <Lecteur>\Windows\system32\inetserv\config.

Pour qu'une application incluant des services Windows Communication Foundation (WCF) et/ou Windows Workflow Foundation (WF) utilise la fonctionnalité de surveillance de Windows Server AppFabric, celle-ci doit émettre des événements sur la session ETW pour laquelle le service de collecte d'événements ; collecte des événements. Pour que l'application obtienne une autorisation d'écriture sur la session ETW, vérifiez que l'identité du pool d'applications auquel elle appartient possède l'autorisation d'écriture sur la session ETW. Pour ce faire, ajoutez l'identité à la liste des utilisateurs ayant accès à la session ETW via l'outil Windows Moniteur de fiabilité et de performances. Vous pouvez également modifier les autorisations d'écriture sur la session ETW pour l'utilisateur à l'aide de l'API Win32 EventAccessControl (https://go.microsoft.com/fwlink/?LinkId=179742) (en anglais).

Si l'identité du service de collecte d'événements ; ne dispose pas de l'autorisation de lecture sur le fichier Web.config de l'application qu'il surveille, elle génère l'ID d'événement 130. Cet événement est consigné dans le journal des événements sous le nœud Microsoft-Windows-Application Server-System Services/Admin.

Vous pouvez octroyer l'autorisation de lecture à l'identité du service de collecte d'événements ; pour le fichier Web.config d'une application de l'une des manières suivantes :

  • Dans l'Explorateur Windows, cliquez avec le bouton droit sur le fichier Web.config de l'application, sélectionnez Propriétés, puis cliquez sur l'onglet Sécurité. Octroyez l'autorisation de lecture à l'identité utilisée pour le service de collecte d'événements ;.

    Notes

    Les paramètres de sécurité étant parfois cachés, l'application des autorisations peut prendre un certain temps une fois l'autorisation de lecture octroyée. Par ailleurs, il se peut que vous deviez redémarrer le service de collecte d'événements ; pour que celui-ci puisse lire le fichier Web.config de l'application avec les autorisations mises à jour.

  • Une alternative à la configuration explicite de l'autorisation de lecture sur le fichier Web.config consiste à déplacer votre application dans le dossier Web racine. Par exemple, pour le site Web par défaut, cet emplacement est <lecteur système>\inetpub\wwwroot. Vous pouvez également effectuer cette opération lors de la phase de développement à partir de Visual Studio. Cliquez avec le bouton droit sur votre projet et sélectionnez Publier pour publier le service Web sur le serveur IIS local (utilisez Localhost) via MSDeploy.

Stratégie « Ouvrir une session en tant que service »

Dans un environnement de domaine, les identités de service sous lesquelles les services service de collecte d'événements ; et Service de gestion du flux de travail s'exécuteront sur les divers serveurs d'une batterie Web doivent figurer dans le groupe Administrateurs de domaine d'AppFabric. Comme ce groupe est créé manuellement par l'administrateur de domaine, le nom du groupe est arbitraire. Ce groupe inclut généralement le compte Administrateur de domaine d'AppFabric. Le privilège « Ouvrir une session en tant que service » doit être octroyé aux utilisateurs de ce groupe et appliqué dans le domaine. Ce droit permet à un principal de sécurité de se connecter en tant que service. Tout service s'exécutant sous un autre compte d'utilisateur doit disposer de ce droit. Pour plus d’informations sur l'ajout du droit « Ouvrir une session en tant que service » à un compte, consultez la rubrique https://go.microsoft.com/fwlink/?LinkId=192517.

  2011-12-05