Sicurezza di Windows

  • Articolo

In questo argomento vengono descritti gli account di sicurezza di Windows Server creati e utilizzati in Windows Server AppFabric. Tali gruppi forniscono l'implementazione fisica dei ruoli di sicurezza concettuali definiti dal sistema AppFabric.

Quando si installa AppFabric vengono creati due gruppi di sicurezza: NOMECOMPUTER\AS_Administrators e NOMECOMPUTER\AS_Observers. AppFabric inoltre utilizza gli account predefiniti di Windows NT AUTHORITY\Local Service e BUILTIN\IIS_IUSRS. NT AUTHORITY\Local Service utilizzato per l'identità di accesso per il Servizio di raccolta eventi e il Servizio Gestione flussi di lavoro. L'account BUILTIN\IIS_IUSRS viene utilizzato come account di accesso SQL Server per l'identità del pool di applicazioni dei servizi NET con il database di salvataggio permanente. Le attività di AppFabric correlate all'amministratore di sistema, come la distribuzione delle applicazioni e la configurazione della sicurezza del file system, richiedono l'appartenenza al gruppo Amministratori locale.

Ruoli di sicurezza concettuali di AppFabric

Per modellare la soluzione di protezione, classificare gli utenti in uno dei tre ruoli di sicurezza concettuali di AppFabric: Amministratori server di applicazioni, Osservatori server di applicazioni, Utenti server di applicazioni. Questi tre ruoli di sicurezza concettuali includono autorizzazioni specifiche per supportare, rispettivamente, amministratori, osservatori e utenti. È possibile confrontare l'utilizzo dei ruoli di sicurezza concettuali di AppFabric nella creazione di un semplice diagramma di flusso logico all'inizio dello sviluppo di un programma. Se si completa per prima la struttura concettuale, l'implementazione fisica è un processo più semplice e più fluido. A questo punto si esegue il mapping degli utenti assegnati inizialmente a ciascun ruolo agli account e ai gruppi di sicurezza di Windows nonché ai ruoli di database di SQL Server successivamente. Per ulteriori informazioni sui ruoli di sicurezza concettuali di AppFabric, vedere Modello di protezione per Windows Server AppFabric.

Gruppi di protezione di Windows AppFabric

Gruppo Amministratori di AppFabric

Il gruppo di protezione di Windows degli amministratori di AppFabric, AS_Administrators, consente il pieno controllo sulla configurazione, il monitoraggio e la memorizzazione dell'applicazione. I membri del gruppo possono:

  • Sospendere, riprendere, terminare ed eliminare le istanze permanenti

  • Creare e rimuovere origini evento e raccolte eventi

  • Visualizzare, eliminare e archiviare i dati di monitoraggio

I servizi NT del sistema AppFabric (Servizio di raccolta eventi e Servizio Gestione flussi di lavoro) automatizzano attività di gestione AppFabric quali la raccolta eventi e il ripristino di istanze dopo un errore o un riavvio del sistema. Durante l'installazione di AppFabric NT AUTHORITY\Local Service viene designato come account di accesso per Servizio di raccolta eventi e Servizio Gestione flussi di lavoro. Nel corso dell'installazione, inoltre, l'account NT AUTHORITY\Local Service viene reso membro del gruppo di sicurezza locale NOMECOMPUTER\AS_Administrators. Ciò garantisce che i servizi del sistema AppFabric dispongono delle autorizzazioni appropriate per eseguire le operazioni.

Nota

Anche altri servizi NT possono utilizzare LocalService come account di accesso. Per evitare che ogni servizio in esecuzione come account LocalService sia autorizzato a tutti gli altri servizi in esecuzione con la stessa identità account, Windows utilizza il concetto di un SID per ciascun servizio. Servizio di raccolta eventi e Servizio Gestione flussi di lavoro pertanto utilizzano un account proxy per LocalService al gruppo di sicurezza locale NOMECOMPUTER\AS_Administrators. Gli account sono nel formato NT SERVICE\AppFabricEventCollectionService e NT SERVICE\AppFabricWorkflowManangementService, e verranno visualizzati nel gruppo di sicurezza locale NOMECOMPUTER\AS_Administrators al completamento dell'installazione.

Attributo Valore

Nome

NOMECOMPUTER\AS_Administrators

Diritti
  • Lettura/amministrazione dei dati di salvataggio permanente

  • Lettura/scrittura/amministrazione dei dati di monitoraggio

  • Lettura delle informazioni di configurazione

  • Comando delle applicazioni

  • Sottoscrizione di eventi

Membri predefiniti

NT AUTHORITY\Local Service rappresentato da NT SERVICE\AppFabricEventCollectionService e NT SERVICE\AppFabricWorkflowManangementService

Membro predefinito di

Nessuno

Gruppo Osservatori di AppFabric

Il ruolo Osservatori server di applicazioni, AS_Observers, fornisce la visibilità completa dei dati di salvataggio permanente e di monitoraggio dell'applicazione. Gli utenti con il ruolo di Osservatori server di applicazioni (AS_Observers) possono effettuare le seguenti operazioni:

  • Enumerare applicazioni e servizi

  • Visualizzare la configurazione di applicazioni e servizi

  • Visualizzare i dati di monitoraggio

  • Esaminare le istanze permanenti

Importante

Per impostazione predefinita, i membri del gruppo di sicurezza Osservatori server di applicazioni sono in grado di visualizzare i dati di rilevamento e di salvataggio permanente per tutte le applicazioni del server o del dominio locale.

Attributo Valore

Nome

NOMECOMPUTER\AS_Observers

Diritti
  • Lettura dei dati di salvataggio permanente

  • Lettura dei dati di monitoraggio

  • Lettura delle informazioni di configurazione

Membri predefiniti

Nessuno

Membro predefinito di

Nessuno

Gruppo utenti di AppFabric

Assegnare account di identità del pool di applicazioni IIS a questo ruolo per consentire alle applicazioni di utilizzare archivi di salvataggio permanente condivisi e servizi di sistema condivisi quali i timer. Il ruolo Utenti server di applicazioni viene assegnato al gruppo di sicurezza IIS BUILTIN\IIS_IUSRS. Per ulteriori informazioni sul gruppo predefinito IIS_IUSRS, vedere IIS 7.0: Configurare la protezione del server Web (https://go.microsoft.com/fwlink/?LinkID=131918).

A causa dell'ambito locale, il gruppo BUILTIN\IIS_IUSRS non viene utilizzato all'interno di un ambiente di dominio. Al momento di sviluppare il modello di sicurezza del dominio, i tipi di membri che sarebbero presenti nel gruppo BUILTIN\IIS_IUSRS con ambito locale verranno sostituiti con le identità di applicazione dei pool di applicazioni IIS che ospitano i servizi NET WCF e WF in un gruppo di utenti dominio. Gli account di dominio non vengono creati dal programma di installazione di AppFabric, pertanto è necessario creare manualmente i rappresentanti a livello di dominio di BUILTIN\IIS_IUSRS. Ad esempio, è possibile creare il gruppo MyDomain\MyDomainASUsers e aggiungervi le identità di dominio dei pool di applicazioni IIS AppFabric. Quando si configura il salvataggio permanente di AppFabric, specificare il gruppo (MyDomain\MyDomainASUsers) come necessario. Ciò avviene quando si fornisce l'input nel campo Utenti nella sezione Configurazione sicurezza della finestra di dialogo Configurazione archivio salvataggi permanenti, o all'interno del campo -Users del cmdlet Initialize-ASPersistenceSqlDatabase. In tal modo verrà aggiunto l'accesso SQL MyDomain\MyDomainASUsers al database di salvataggio permanente di AppFabric. In fase di esecuzione, le identità dei pool di applicazioni IIS disporranno dell'autorizzazione all'accesso ai database di salvataggio permanente nel ruolo System.Activities.DurableInstancing.InstanceStoreUsers. Per ulteriori informazioni su come configurare il gruppo Utenti durante la configurazione tramite il cmdlet Initialize-ASPersistenceSqlDatabase, vedere Creare e inizializzare un database tramite i cmdlet di Windows Server AppFabric. Per ulteriori informazioni su come configurare il gruppo Utenti durante la configurazione tramite la Configurazione guidata di Windows Server AppFabric, vedere Configurazione guidata di Windows Server AppFabric. Per informazioni sulla differenza nelle identità del pool di applicazioni predefinite tra IIS 7 e IIS 7.5, vedere Application Pool Identities.

Attributo Valore

Nome

BUILTIN\IIS_IUSRS

Diritti
  • Lettura/scritture dei dati di salvataggio permanente

  • Pubblicazione di eventi

  • Lettura delle informazioni di configurazione

Gruppo Amministratori di sistema di Windows

Assegnare agli utenti il normale ruolo Amministratori del sistema Windows per consentire loro di distribuire o di annullare la distribuzione di applicazioni tramite strumenti quali Gestione IIS o MSDeploy. L'appartenenza a questo gruppo consente anche di modificare la configurazione del server, del sito o dell'applicazione.

Attributo Valore

Nome

NOMECOMPUTER\Administrators

Diritti

Controllo completo su file, directory e sulla configurazione dell'applicazione.

Sicurezza del dominio AppFabric

Quando si utilizza più di un server AppFabric in una Web farm, è consigliabile spostare la sicurezza dai gruppi di sicurezza locali di Windows AS_Administrators e AS_Observers creati durante l'installazione su un unico computer per utilizzare i corrispondenti domini tra più computer. Gli account e i gruppi di sicurezza del dominio devono essere adeguatamente configurati prima di poter configurare AppFabric su server Web farm. Se si utilizza Active Directory, è possibile progettare i ruoli di sicurezza di AppFabric utilizzando gli account di dominio per semplificare la sicurezza tra i computer.  L'amministratore di AppFabric può creare in modo esplicito due account di gruppo personalizzati tramite Active Directory per i ruoli di amministratori e osservatori. Tali ruoli possono essere denominati, ad esempio, "DOMAIN\MyAppFabricAdmins" e "DOMAIN\MyAppFabricObservers".   L'amministratore può garantire autorizzazioni amministrative al gruppo DOMAIN\MyAppFabricAdmins del computer in cui viene utilizzato AppFabric, e fare lo stesso con “DOMAIN\MyAppFabricObservers”.

I gruppi locali AS_Administrators e AS_Observers creati durante la configurazione di AppFabric su un unico server non vengono utilizzati per proteggere una Web farm utilizzando più server AppFabric. È necessario utilizzare invece gli account di dominio. I programmi di installazione e configurazione di AppFabric non creeranno alcun account di dominio, pertanto è necessario crearli manualmente mediante Active Directory. Creare gruppi di sicurezza di dominio di Windows che rappresentino ciascuno dei ruoli concettuali di AppFabric (Amministratori, Osservatori e Utenti). Agli utenti assegnati a questi gruppi vengono concessi i privilegi associati a ciascun ruolo concettuale di AppFabric, ma a livello di ambito di dominio. Specificarli quindi durante il processo di configurazione di AppFabric.

Le identità di servizio in cui verranno eseguiti Servizio di raccolta eventi e Servizio Gestione flussi di lavoro su diversi server della Web farm dovrebbero trovarsi nel gruppo Amministratori di dominio di AppFabric. In genere è incluso l'account utente amministratore di dominio di AppFabric. Il privilegio "Accesso come servizio" deve essere concesso agli utenti del gruppo e applicato nel dominio e consente l'accesso come servizio dell'entità di sicurezza. Qualsiasi servizio in esecuzione in un account utente separato deve essere assegnato al diritto.

  2011-12-05