OneAgent Безопасность в Windows - История изменений

Lobanov в 11:42, 22 января 2023

2023-01-22T11:42:25Z

← Предыдущая		Версия 11:42, 22 января 2023
Строка 49:		Строка 49:
	Установщик OneAgent добавляет в вашу систему следующие файлы:		Установщик OneAgent добавляет в вашу систему следующие файлы:

	* Двоичные файлы и файлы конфигурации OneAgent сохраняются в <code>%PROGRAMFILES%\~~key-astrom~~\oneagent.</code> Обратите внимание, что вы можете изменить местоположение, используя параметр INSTALL_PATH.		* Двоичные файлы и файлы конфигурации OneAgent сохраняются в <code>%PROGRAMFILES%\Dynatrace\oneagent.</code> Обратите внимание, что вы можете изменить местоположение, используя параметр INSTALL_PATH.
	* Временные файлы установщика сохраняются в <code>C:\AI_RecycleBin</code>. Папка будет удалена после завершения установки.		* Временные файлы установщика сохраняются в <code>C:\AI_RecycleBin</code>. Папка будет удалена после завершения установки.

	===== '''Операция''' =====		===== '''Операция''' =====

	* Временные файлы OneAgent и конфигурация среды выполнения сохраняются в <code>%PROGRAMDATA%\~~key-astrom~~\oneagent\runtime</code>.		* Временные файлы OneAgent и конфигурация среды выполнения сохраняются в <code>%PROGRAMDATA%\Dynatrace\oneagent\runtime</code>.
	* Постоянная конфигурация OneAgent сохраняется в <code>%PROGRAMDATA%\~~key-astrom~~\oneagent\config</code>.		* Постоянная конфигурация OneAgent сохраняется в <code>%PROGRAMDATA%\Dynatrace\oneagent\config</code>.
	* Большие данные во время выполнения, такие как дампы памяти, сохраняются в <code>%PROGRAMDATA%\~~key-astrom~~\oneagent\datastorage</code>. Обратите внимание, что вы можете изменить расположение больших данных во время выполнения, используя параметр <u>DATA_STORAGE</u>.		* Большие данные во время выполнения, такие как дампы памяти, сохраняются в <code>%PROGRAMDATA%\Dynatrace\oneagent\datastorage</code>. Обратите внимание, что вы можете изменить расположение больших данных во время выполнения, используя параметр <u>DATA_STORAGE</u>.

	==== '''Системные журналы, загруженные OneAgent''' ====		==== '''Системные журналы, загруженные OneAgent''' ====

Lobanov в 11:12, 22 января 2023

2023-01-22T11:12:52Z

Внесённые изменения

Lobanov: Lobanov переименовал страницу ЕдиныйАгент Безопасность в Windows в OneAgent Безопасность в Windows

2023-01-22T11:09:25Z

Lobanov переименовал страницу ЕдиныйАгент Безопасность в Windows в OneAgent Безопасность в Windows

← Предыдущая	Версия 11:09, 22 января 2023
(нет различий)

Lobanov: /* Отмена доступа к системным журналам */

2022-04-17T08:07:10Z

Отмена доступа к системным журналам

← Предыдущая		Версия 08:07, 17 апреля 2022
Строка 61:		Строка 61:
	ЕдиныйАгент загружает системные журналы безопасности, системы и приложений за последние 14 дней, чтобы Ключ-Астром могла диагностировать проблемы, которые могут быть вызваны условиями в вашей среде. Чаще всего такие проблемы связаны с глубоким мониторингом или автоматическими обновлениями.		ЕдиныйАгент загружает системные журналы безопасности, системы и приложений за последние 14 дней, чтобы Ключ-Астром могла диагностировать проблемы, которые могут быть вызваны условиями в вашей среде. Чаще всего такие проблемы связаны с глубоким мониторингом или автоматическими обновлениями.

	===== Отмена доступа к системным журналам =====		===== '''Отмена доступа к системным журналам''' =====
	Чтобы отменить доступ к системным журналам, используйте команду <code>oneagentctl</code> с параметром <code>--set-system-logs-access-enabled</code>, установленным в значение <code>false</code>.		Чтобы отменить доступ к системным журналам, используйте команду <code>oneagentctl</code> с параметром <code>--set-system-logs-access-enabled</code>, установленным в значение <code>false</code>.

Lobanov: Новая страница: «Чтобы полностью автоматизировать мониторинг ваших операционных систем, процессов и сет...»

2022-04-17T08:06:32Z

Новая страница: «Чтобы полностью автоматизировать мониторинг ваших операционных систем, процессов и сет...»

Новая страница

Чтобы полностью автоматизировать мониторинг ваших операционных систем, процессов и сетевых интерфейсов, Ключ-Астром требует привилегированного доступа к вашей операционной системе как во время установки, так и во время работы.
Примечание: ЕдиныйАгент тщательно тестируется, чтобы убедиться, что он оказывает минимальное влияние на производительность вашей системы и соответствует самым высоким стандартам безопасности.

==== '''Разрешения''' ====
ЕдиныйАгент требует права администратора в Windows как для установки, так и для работы.

==== '''Установка''' ====
Установщику ЕдиногоАгента требуются права администратора для:

* Создание службы ЕдиногоАгента.
* Изменение определенных разделов реестра.
* Установка WinPcap.
* Установка устройства oneagentmon.

==== '''Операция''' ====
ЕдиныйАгент требует прав администратора для:

* Список всех процессов.
* Получения статистики памяти для всех процессов.
* Чтения командной строки и среды каждого процесса.
* Просмотра описания исполняемых файлов.
* Чтения конфигурации приложений для Apache и IIS
* Просмотра списка библиотек, загруженных для каждого процесса.
* Чтения разделов реестра Windows.
* Чтения домена приложений .NET для .NET 2.0, 3.0 и 3.5.
* Мониторинга сетевого трафика.
* Разбора исполняемых файлов для обнаружения Go.
* Сбора данных мониторинга, связанных с контейнерами Docker.

==== '''Изменения в операционной системе''' ====
ЕдиныйАгент выполняет следующие изменения в вашей системе:

===== '''Установка''' =====
Установщик ЕдиногоАгента изменяет следующие аспекты вашей системы:

* Начиная с версии 1.195, учетная запись пользователя не создается для запуска расширений ЕдиногоАгента. Вместо этого используется привилегированная системная учетная запись NT AUTHORITY\SYSTEM. Дополнительные сведения см. в разделе [[Настройка установки ЕдиногоАгента в Windows|настраиваемый пользователь ЕдиногоАгента]].
* Создается служба Ключ-Астром ЕдиныйАгент.
* Программа Ключ-Астром ЕдиныйАгент регистрируется в программе установки Windows.
* устанавливается драйвер oneagentmon и создается устройство OneAgentMon. Это необходимо для обеспечения автоматического внедрения в процессы.
* устанавливается WinPcap
* Создаются поддеревья реестра:

===== '''Операция''' =====
Каждый раз, когда служба Docker обнаруживается и группируется, <code>dtuser</code> добавляется в список управления доступом <code>\\.\pipe\docker_engine</code> с правами <code>GENERIC_ALL</code>.

==== '''Добавленны файлы''' ====

===== '''Установка''' =====
Установщик ЕдиногоАгента добавляет в вашу систему следующие файлы:

* Двоичные файлы и файлы конфигурации ЕдиногоАгента сохраняются в <code>%PROGRAMFILES%\key-astrom\oneagent.</code> Обратите внимание, что вы можете изменить местоположение, используя параметр INSTALL_PATH.
* Временные файлы установщика сохраняются в <code>C:\AI_RecycleBin</code>. Папка будет удалена после завершения установки.

===== '''Операция''' =====

* Временные файлы ЕдиногоАгента и конфигурация среды выполнения сохраняются в <code>%PROGRAMDATA%\key-astrom\oneagent\runtime</code>.
* Постоянная конфигурация ЕдиногоАгента сохраняется в <code>%PROGRAMDATA%\key-astrom\oneagent\config</code>.
* Большие данные во время выполнения, такие как дампы памяти, сохраняются в <code>%PROGRAMDATA%\key-astrom\oneagent\datastorage</code>. Обратите внимание, что вы можете изменить расположение больших данных во время выполнения, используя параметр <u>DATA_STORAGE</u>.

==== '''Системные журналы, загруженные ЕдинымАгентом''' ====
ЕдиныйАгент загружает системные журналы безопасности, системы и приложений за последние 14 дней, чтобы Ключ-Астром могла диагностировать проблемы, которые могут быть вызваны условиями в вашей среде. Чаще всего такие проблемы связаны с глубоким мониторингом или автоматическими обновлениями.

===== Отмена доступа к системным журналам =====
Чтобы отменить доступ к системным журналам, используйте команду <code>oneagentctl</code> с параметром <code>--set-system-logs-access-enabled</code>, установленным в значение <code>false</code>.

Дополнительные сведения см. в разделе Настройка одного агента через интерфейс командной строки

==== '''Глобально доступные для записи каталоги''' ====
[[ЕдиныйАгент Требования к дисковому пространству в Windows|Структура каталогов ЕдиногоАгента]] содержит глобально доступные для записи каталоги (каталоги, в которые группа пользователей <code>Everyone</code> может записывать, изменять или выполнять). Изменение этих разрешений пользователями не поддерживается.

===== '''Механизм инъекций ЕдиногоАгента''' =====
Такие разрешения для выбранного набора каталогов необходимы для успешного внедрения ЕдиногоАгента в процессы на отслеживаемых хостах. Когда ЕдиныйАгент внедряется в процесс, модуль кода, ответственный за внедрение, выполняется в контексте исходного внедренного процесса. Следовательно, пользователям, под управлением которых выполняются эти процессы, необходимо разрешить запись в структуру каталогов ЕдиногоАгента, что является причиной глобальных разрешений на запись, которые позволяют это.

Аналогичным образом, для некоторых файлов журнала требуются глобальные разрешения на запись, чтобы приложения, работающие под управлением разных пользователей, могли выполнять в них запись.

===== '''Безопасность системы''' =====
Мы знаем, что глобальные разрешения на чтение и запись в каталогах ЕдиногоАгента помечаются эвристикой проверки безопасности, но мы можем заверить вас, что они полностью безопасны.

* Мы максимально ограничиваем количество каталогов, доступных для глобальной записи.
* Мы используем расширенные права доступа к файлам и используем разрешение Владельца создателя для ограничения доступа к файлам.

==== '''Подписание установщика''' ====
Установщик ЕдиногоАгента подписан на один или несколько корневых сертификатов DigiCert. Для систем с регулярным обслуживанием Windows проверяет, что установщик ЕдиногоАгента был опубликован проверенным издателем.

Если ваша система под управлением Windows была отключена от сети с марта 2021 года или дольше, Windows не сможет проверить установщик, а издатель установщика ЕдиногоАгента будет отображаться как Неизвестный издатель при попытке установки или обновления. В таком случае вам необходимо загрузить последнюю версию сертификата из корневых сертификатов DigiCert и добавить его в свою систему. Среди всех сертификатов DigiCert глобальный корневой сертификат DigiCert G3 является обязательным для успешной проверки установщика ЕдиногоАгента.

* См. раздел [https://docs.microsoft.com/en-us/dotnet/framework/wcf/feature-details/how-to-view-certificates-with-the-mmc-snap-in Как: Просмотр сертификатов с помощью оснастки MMC] в Microsoft docs, чтобы узнать, какие корневые сертификаты установлены в вашей системе.
* Загрузите последние корневые сертификаты из [https://www.digicert.com/kb/digicert-root-certificates.htm корневых сертификатов DigiCert].

===== '''Windows 2008 R2''' =====
Начиная с версии 1.225 ЕдиногоАгента, установщик подписывается с использованием алгоритма SHA-2. Следовательно, на хостах Windows 2008 R2 должна быть установлена поддержка подписи кода SHA-2. Если вы используете Центр обновления Windows, обновления были предложены вам автоматически (KB4474419 и KB4490628). Однако, если ваша система Windows 2008 R2 не поддерживает проверку установщиков, подписанных SHA-2, автоматическое обновление и установка ЕдиногоАгента не будут работать, если <code>Applocker</code> настроен на блокировку неизвестных издателей и / или могут отображаться предупреждения о безопасности. Дополнительные сведения см. в объявлении Microsoft [https://support.microsoft.com/en-us/topic/2019-sha-2-code-signing-support-requirement-for-windows-and-wsus-64d1c82d-31ee-c273-3930-69a4cde8e64f 2019 о требованиях к поддержке подписи кода SHA-2 для Windows и WSUS].