OneAgent Безопасность в Windows: различия между версиями

Материал из Dynatrace
Строка 1: Строка 1:
Чтобы полностью автоматизировать мониторинг ваших операционных систем, процессов и сетевых интерфейсов, Ключ-Астром требует привилегированного доступа к вашей операционной системе как во время установки, так и во время работы.
Чтобы полностью автоматизировать мониторинг ваших операционных систем, процессов и сетевых интерфейсов, Dynatrace требует привилегированного доступа к вашей операционной системе как во время установки, так и во время работы.
  Примечание: ЕдиныйАгент тщательно тестируется, чтобы убедиться, что он оказывает минимальное влияние на производительность вашей системы и соответствует самым высоким стандартам безопасности.
  Примечание: OneAgent тщательно тестируется, чтобы убедиться, что он оказывает минимальное влияние на производительность вашей системы и соответствует самым высоким стандартам безопасности.


==== '''Разрешения''' ====
==== '''Разрешения''' ====
ЕдиныйАгент требует права администратора в Windows как для установки, так и для работы.
OneAgent требует права администратора в Windows как для установки, так и для работы.


==== '''Установка''' ====
==== '''Установка''' ====
Установщику ЕдиногоАгента требуются права администратора для:
Установщику OneAgent требуются права администратора для:


* Создание службы ЕдиногоАгента.
* Создание службы OneAgent.
* Изменение определенных разделов реестра.
* Изменение определенных разделов реестра.
* Установка WinPcap.
* Установка WinPcap.
Строка 14: Строка 14:


==== '''Операция''' ====
==== '''Операция''' ====
ЕдиныйАгент требует прав администратора для:
OneAgent требует прав администратора для:


* Список всех процессов.
* Список всех процессов.
Строка 29: Строка 29:


==== '''Изменения в операционной системе''' ====
==== '''Изменения в операционной системе''' ====
ЕдиныйАгент выполняет следующие изменения в вашей системе:
OneAgent выполняет следующие изменения в вашей системе:


===== '''Установка''' =====
===== '''Установка''' =====
Установщик ЕдиногоАгента изменяет следующие аспекты вашей системы:
Установщик OneAgent изменяет следующие аспекты вашей системы:


* Начиная с версии 1.195, учетная запись пользователя не создается для запуска расширений ЕдиногоАгента. Вместо этого используется привилегированная системная учетная запись NT AUTHORITY\SYSTEM. Дополнительные сведения см. в разделе [[Настройка установки ЕдиногоАгента в Windows|настраиваемый пользователь ЕдиногоАгента]].
* Начиная с версии 1.195, учетная запись пользователя не создается для запуска расширений OneAgent. Вместо этого используется привилегированная системная учетная запись NT AUTHORITY\SYSTEM. Дополнительные сведения см. в разделе [[Настройка установки OneAgent в Windows|настраиваемый пользователь OneAgent]].
* Создается служба Ключ-Астром ЕдиныйАгент.
* Создается служба Dynatrace OneAgent.
* Программа Ключ-Астром ЕдиныйАгент регистрируется в программе установки Windows.
* Программа Dynatrace OneAgent регистрируется в программе установки Windows.
* устанавливается драйвер oneagentmon и создается устройство OneAgentMon. Это необходимо для обеспечения автоматического внедрения в процессы.
* устанавливается драйвер oneagentmon и создается устройство OneAgentMon. Это необходимо для обеспечения автоматического внедрения в процессы.
* устанавливается WinPcap
* устанавливается WinPcap
Строка 47: Строка 47:


===== '''Установка''' =====
===== '''Установка''' =====
Установщик ЕдиногоАгента добавляет в вашу систему следующие файлы:
Установщик OneAgent добавляет в вашу систему следующие файлы:


* Двоичные файлы и файлы конфигурации ЕдиногоАгента сохраняются в <code>%PROGRAMFILES%\key-astrom\oneagent.</code> Обратите внимание, что вы можете изменить местоположение, используя параметр INSTALL_PATH.
* Двоичные файлы и файлы конфигурации OneAgent сохраняются в <code>%PROGRAMFILES%\key-astrom\oneagent.</code> Обратите внимание, что вы можете изменить местоположение, используя параметр INSTALL_PATH.
* Временные файлы установщика сохраняются в <code>C:\AI_RecycleBin</code>. Папка будет удалена после завершения установки.
* Временные файлы установщика сохраняются в <code>C:\AI_RecycleBin</code>. Папка будет удалена после завершения установки.


===== '''Операция''' =====
===== '''Операция''' =====


* Временные файлы ЕдиногоАгента и конфигурация среды выполнения сохраняются в <code>%PROGRAMDATA%\key-astrom\oneagent\runtime</code>.
* Временные файлы OneAgent и конфигурация среды выполнения сохраняются в <code>%PROGRAMDATA%\key-astrom\oneagent\runtime</code>.
* Постоянная конфигурация ЕдиногоАгента сохраняется в <code>%PROGRAMDATA%\key-astrom\oneagent\config</code>.
* Постоянная конфигурация OneAgent сохраняется в <code>%PROGRAMDATA%\key-astrom\oneagent\config</code>.
* Большие данные во время выполнения, такие как дампы памяти, сохраняются в <code>%PROGRAMDATA%\key-astrom\oneagent\datastorage</code>. Обратите внимание, что вы можете изменить расположение больших данных во время выполнения, используя параметр <u>DATA_STORAGE</u>.
* Большие данные во время выполнения, такие как дампы памяти, сохраняются в <code>%PROGRAMDATA%\key-astrom\oneagent\datastorage</code>. Обратите внимание, что вы можете изменить расположение больших данных во время выполнения, используя параметр <u>DATA_STORAGE</u>.


==== '''Системные журналы, загруженные ЕдинымАгентом''' ====
==== '''Системные журналы, загруженные OneAgent''' ====
ЕдиныйАгент загружает системные журналы безопасности, системы и приложений за последние 14 дней, чтобы Ключ-Астром могла диагностировать проблемы, которые могут быть вызваны условиями в вашей среде. Чаще всего такие проблемы связаны с глубоким мониторингом или автоматическими обновлениями.
OneAgent загружает системные журналы безопасности, системы и приложений за последние 14 дней, чтобы Dynatrace могла диагностировать проблемы, которые могут быть вызваны условиями в вашей среде. Чаще всего такие проблемы связаны с глубоким мониторингом или автоматическими обновлениями.


===== '''Отмена доступа к системным журналам''' =====
===== '''Отмена доступа к системным журналам''' =====
Чтобы отменить доступ к системным журналам, используйте команду <code>oneagentctl</code> с параметром <code>--set-system-logs-access-enabled</code>, установленным в значение <code>false</code>.
Чтобы отменить доступ к системным журналам, используйте команду <code>oneagentctl</code> с параметром <code>--set-system-logs-access-enabled</code>, установленным в значение <code>false</code>.


Дополнительные сведения см. в разделе Настройка одного агента через интерфейс командной строки
Дополнительные сведения см. в разделе [[Настройка OneAgent через интерфейс командной строки]]


==== '''Глобально доступные для записи каталоги''' ====
==== '''Глобально доступные для записи каталоги''' ====
[[ЕдиныйАгент Требования к дисковому пространству в Windows|Структура каталогов ЕдиногоАгента]] содержит глобально доступные для записи каталоги (каталоги, в которые группа пользователей <code>Everyone</code> может записывать, изменять или выполнять). Изменение этих разрешений пользователями не поддерживается.
[[OneAgent Требования к дисковому пространству в Windows|Структура каталогов OneAgent]] содержит глобально доступные для записи каталоги (каталоги, в которые группа пользователей <code>Everyone</code> может записывать, изменять или выполнять). Изменение этих разрешений пользователями не поддерживается.


===== '''Механизм инъекций ЕдиногоАгента''' =====
===== '''Механизм инъекций OneAgent''' =====
Такие разрешения для выбранного набора каталогов необходимы для успешного внедрения ЕдиногоАгента в процессы на отслеживаемых хостах. Когда ЕдиныйАгент внедряется в процесс, модуль кода, ответственный за внедрение, выполняется в контексте исходного внедренного процесса. Следовательно, пользователям, под управлением которых выполняются эти процессы, необходимо разрешить запись в структуру каталогов ЕдиногоАгента, что является причиной глобальных разрешений на запись, которые позволяют это.
Такие разрешения для выбранного набора каталогов необходимы для успешного внедрения OneAgent в процессы на отслеживаемых хостах. Когда OneAgent внедряется в процесс, модуль кода, ответственный за внедрение, выполняется в контексте исходного внедренного процесса. Следовательно, пользователям, под управлением которых выполняются эти процессы, необходимо разрешить запись в структуру каталогов OneAgent, что является причиной глобальных разрешений на запись, которые позволяют это.


Аналогичным образом, для некоторых файлов журнала требуются глобальные разрешения на запись, чтобы приложения, работающие под управлением разных пользователей, могли выполнять в них запись.
Аналогичным образом, для некоторых файлов журнала требуются глобальные разрешения на запись, чтобы приложения, работающие под управлением разных пользователей, могли выполнять в них запись.


===== '''Безопасность системы''' =====
===== '''Безопасность системы''' =====
Мы знаем, что глобальные разрешения на чтение и запись в каталогах ЕдиногоАгента помечаются эвристикой проверки безопасности, но мы можем заверить вас, что они полностью безопасны.
Мы знаем, что глобальные разрешения на чтение и запись в каталогах OneAgent помечаются эвристикой проверки безопасности, но мы можем заверить вас, что они полностью безопасны.


* Мы максимально ограничиваем количество каталогов, доступных для глобальной записи.
* Мы максимально ограничиваем количество каталогов, доступных для глобальной записи.
Строка 81: Строка 81:


==== '''Подписание установщика''' ====
==== '''Подписание установщика''' ====
Установщик ЕдиногоАгента подписан на один или несколько корневых сертификатов DigiCert. Для систем с регулярным обслуживанием Windows проверяет, что установщик ЕдиногоАгента был опубликован проверенным издателем.
Установщик OneAgent подписан на один или несколько корневых сертификатов DigiCert. Для систем с регулярным обслуживанием Windows проверяет, что установщик OneAgent был опубликован проверенным издателем.


Если ваша система под управлением Windows была отключена от сети с марта 2021 года или дольше, Windows не сможет проверить установщик, а издатель установщика ЕдиногоАгента будет отображаться как Неизвестный издатель при попытке установки или обновления. В таком случае вам необходимо загрузить последнюю версию сертификата из корневых сертификатов DigiCert и добавить его в свою систему. Среди всех сертификатов DigiCert глобальный корневой сертификат DigiCert G3 является обязательным для успешной проверки установщика ЕдиногоАгента.
Если ваша система под управлением Windows была отключена от сети с марта 2021 года или дольше, Windows не сможет проверить установщик, а издатель установщика OneAgent будет отображаться как Неизвестный издатель при попытке установки или обновления. В таком случае вам необходимо загрузить последнюю версию сертификата из корневых сертификатов DigiCert и добавить его в свою систему. Среди всех сертификатов DigiCert глобальный корневой сертификат DigiCert G3 является обязательным для успешной проверки установщика OneAgent.


* См. раздел [https://docs.microsoft.com/en-us/dotnet/framework/wcf/feature-details/how-to-view-certificates-with-the-mmc-snap-in Как: Просмотр сертификатов с помощью оснастки MMC] в Microsoft docs, чтобы узнать, какие корневые сертификаты установлены в вашей системе.
* См. раздел [https://docs.microsoft.com/en-us/dotnet/framework/wcf/feature-details/how-to-view-certificates-with-the-mmc-snap-in Как: Просмотр сертификатов с помощью оснастки MMC] в Microsoft docs, чтобы узнать, какие корневые сертификаты установлены в вашей системе.
Строка 89: Строка 89:


===== '''Windows 2008 R2''' =====
===== '''Windows 2008 R2''' =====
Начиная с версии 1.225 ЕдиногоАгента, установщик подписывается с использованием алгоритма SHA-2. Следовательно, на хостах Windows 2008 R2 должна быть установлена поддержка подписи кода SHA-2. Если вы используете Центр обновления Windows, обновления были предложены вам автоматически (KB4474419 и KB4490628). Однако, если ваша система Windows 2008 R2 не поддерживает проверку установщиков, подписанных SHA-2, автоматическое обновление и установка ЕдиногоАгента не будут работать, если <code>Applocker</code> настроен на блокировку неизвестных издателей и / или могут отображаться предупреждения о безопасности. Дополнительные сведения см. в объявлении Microsoft [https://support.microsoft.com/en-us/topic/2019-sha-2-code-signing-support-requirement-for-windows-and-wsus-64d1c82d-31ee-c273-3930-69a4cde8e64f 2019 о требованиях к поддержке подписи кода SHA-2 для Windows и WSUS].
Начиная с версии 1.225 OneAgent, установщик подписывается с использованием алгоритма SHA-2. Следовательно, на хостах Windows 2008 R2 должна быть установлена поддержка подписи кода SHA-2. Если вы используете Центр обновления Windows, обновления были предложены вам автоматически (KB4474419 и KB4490628). Однако, если ваша система Windows 2008 R2 не поддерживает проверку установщиков, подписанных SHA-2, автоматическое обновление и установка OneAgent не будут работать, если <code>Applocker</code> настроен на блокировку неизвестных издателей и / или могут отображаться предупреждения о безопасности. Дополнительные сведения см. в объявлении Microsoft [https://support.microsoft.com/en-us/topic/2019-sha-2-code-signing-support-requirement-for-windows-and-wsus-64d1c82d-31ee-c273-3930-69a4cde8e64f 2019 о требованиях к поддержке подписи кода SHA-2 для Windows и WSUS].

Версия 11:12, 22 января 2023

Чтобы полностью автоматизировать мониторинг ваших операционных систем, процессов и сетевых интерфейсов, Dynatrace требует привилегированного доступа к вашей операционной системе как во время установки, так и во время работы.

Примечание: OneAgent тщательно тестируется, чтобы убедиться, что он оказывает минимальное влияние на производительность вашей системы и соответствует самым высоким стандартам безопасности.

Разрешения

OneAgent требует права администратора в Windows как для установки, так и для работы.

Установка

Установщику OneAgent требуются права администратора для:

  • Создание службы OneAgent.
  • Изменение определенных разделов реестра.
  • Установка WinPcap.
  • Установка устройства oneagentmon.

Операция

OneAgent требует прав администратора для:

  • Список всех процессов.
  • Получения статистики памяти для всех процессов.
  • Чтения командной строки и среды каждого процесса.
  • Просмотра описания исполняемых файлов.
  • Чтения конфигурации приложений для Apache и IIS
  • Просмотра списка библиотек, загруженных для каждого процесса.
  • Чтения разделов реестра Windows.
  • Чтения домена приложений .NET для .NET 2.0, 3.0 и 3.5.
  • Мониторинга сетевого трафика.
  • Разбора исполняемых файлов для обнаружения Go.
  • Сбора данных мониторинга, связанных с контейнерами Docker.

Изменения в операционной системе

OneAgent выполняет следующие изменения в вашей системе:

Установка

Установщик OneAgent изменяет следующие аспекты вашей системы:

  • Начиная с версии 1.195, учетная запись пользователя не создается для запуска расширений OneAgent. Вместо этого используется привилегированная системная учетная запись NT AUTHORITY\SYSTEM. Дополнительные сведения см. в разделе настраиваемый пользователь OneAgent.
  • Создается служба Dynatrace OneAgent.
  • Программа Dynatrace OneAgent регистрируется в программе установки Windows.
  • устанавливается драйвер oneagentmon и создается устройство OneAgentMon. Это необходимо для обеспечения автоматического внедрения в процессы.
  • устанавливается WinPcap
  • Создаются поддеревья реестра:
Операция

Каждый раз, когда служба Docker обнаруживается и группируется, dtuser добавляется в список управления доступом \\.\pipe\docker_engine с правами GENERIC_ALL.

Добавленны файлы

Установка

Установщик OneAgent добавляет в вашу систему следующие файлы:

  • Двоичные файлы и файлы конфигурации OneAgent сохраняются в %PROGRAMFILES%\key-astrom\oneagent. Обратите внимание, что вы можете изменить местоположение, используя параметр INSTALL_PATH.
  • Временные файлы установщика сохраняются в C:\AI_RecycleBin. Папка будет удалена после завершения установки.
Операция
  • Временные файлы OneAgent и конфигурация среды выполнения сохраняются в %PROGRAMDATA%\key-astrom\oneagent\runtime.
  • Постоянная конфигурация OneAgent сохраняется в %PROGRAMDATA%\key-astrom\oneagent\config.
  • Большие данные во время выполнения, такие как дампы памяти, сохраняются в %PROGRAMDATA%\key-astrom\oneagent\datastorage. Обратите внимание, что вы можете изменить расположение больших данных во время выполнения, используя параметр DATA_STORAGE.

Системные журналы, загруженные OneAgent

OneAgent загружает системные журналы безопасности, системы и приложений за последние 14 дней, чтобы Dynatrace могла диагностировать проблемы, которые могут быть вызваны условиями в вашей среде. Чаще всего такие проблемы связаны с глубоким мониторингом или автоматическими обновлениями.

Отмена доступа к системным журналам

Чтобы отменить доступ к системным журналам, используйте команду oneagentctl с параметром --set-system-logs-access-enabled, установленным в значение false.

Дополнительные сведения см. в разделе Настройка OneAgent через интерфейс командной строки

Глобально доступные для записи каталоги

Структура каталогов OneAgent содержит глобально доступные для записи каталоги (каталоги, в которые группа пользователей Everyone может записывать, изменять или выполнять). Изменение этих разрешений пользователями не поддерживается.

Механизм инъекций OneAgent

Такие разрешения для выбранного набора каталогов необходимы для успешного внедрения OneAgent в процессы на отслеживаемых хостах. Когда OneAgent внедряется в процесс, модуль кода, ответственный за внедрение, выполняется в контексте исходного внедренного процесса. Следовательно, пользователям, под управлением которых выполняются эти процессы, необходимо разрешить запись в структуру каталогов OneAgent, что является причиной глобальных разрешений на запись, которые позволяют это.

Аналогичным образом, для некоторых файлов журнала требуются глобальные разрешения на запись, чтобы приложения, работающие под управлением разных пользователей, могли выполнять в них запись.

Безопасность системы

Мы знаем, что глобальные разрешения на чтение и запись в каталогах OneAgent помечаются эвристикой проверки безопасности, но мы можем заверить вас, что они полностью безопасны.

  • Мы максимально ограничиваем количество каталогов, доступных для глобальной записи.
  • Мы используем расширенные права доступа к файлам и используем разрешение Владельца создателя для ограничения доступа к файлам.

Подписание установщика

Установщик OneAgent подписан на один или несколько корневых сертификатов DigiCert. Для систем с регулярным обслуживанием Windows проверяет, что установщик OneAgent был опубликован проверенным издателем.

Если ваша система под управлением Windows была отключена от сети с марта 2021 года или дольше, Windows не сможет проверить установщик, а издатель установщика OneAgent будет отображаться как Неизвестный издатель при попытке установки или обновления. В таком случае вам необходимо загрузить последнюю версию сертификата из корневых сертификатов DigiCert и добавить его в свою систему. Среди всех сертификатов DigiCert глобальный корневой сертификат DigiCert G3 является обязательным для успешной проверки установщика OneAgent.

Windows 2008 R2

Начиная с версии 1.225 OneAgent, установщик подписывается с использованием алгоритма SHA-2. Следовательно, на хостах Windows 2008 R2 должна быть установлена поддержка подписи кода SHA-2. Если вы используете Центр обновления Windows, обновления были предложены вам автоматически (KB4474419 и KB4490628). Однако, если ваша система Windows 2008 R2 не поддерживает проверку установщиков, подписанных SHA-2, автоматическое обновление и установка OneAgent не будут работать, если Applocker настроен на блокировку неизвестных издателей и / или могут отображаться предупреждения о безопасности. Дополнительные сведения см. в объявлении Microsoft 2019 о требованиях к поддержке подписи кода SHA-2 для Windows и WSUS.