OneAgent Безопасность в Windows: различия между версиями
Lobanov (обсуждение | вклад) м (Lobanov переименовал страницу ЕдиныйАгент Безопасность в Windows в OneAgent Безопасность в Windows) |
Lobanov (обсуждение | вклад) |
||
Строка 1: | Строка 1: | ||
Чтобы полностью автоматизировать мониторинг ваших операционных систем, процессов и сетевых интерфейсов, | Чтобы полностью автоматизировать мониторинг ваших операционных систем, процессов и сетевых интерфейсов, Dynatrace требует привилегированного доступа к вашей операционной системе как во время установки, так и во время работы. | ||
Примечание: | Примечание: OneAgent тщательно тестируется, чтобы убедиться, что он оказывает минимальное влияние на производительность вашей системы и соответствует самым высоким стандартам безопасности. | ||
==== '''Разрешения''' ==== | ==== '''Разрешения''' ==== | ||
OneAgent требует права администратора в Windows как для установки, так и для работы. | |||
==== '''Установка''' ==== | ==== '''Установка''' ==== | ||
Установщику | Установщику OneAgent требуются права администратора для: | ||
* Создание службы | * Создание службы OneAgent. | ||
* Изменение определенных разделов реестра. | * Изменение определенных разделов реестра. | ||
* Установка WinPcap. | * Установка WinPcap. | ||
Строка 14: | Строка 14: | ||
==== '''Операция''' ==== | ==== '''Операция''' ==== | ||
OneAgent требует прав администратора для: | |||
* Список всех процессов. | * Список всех процессов. | ||
Строка 29: | Строка 29: | ||
==== '''Изменения в операционной системе''' ==== | ==== '''Изменения в операционной системе''' ==== | ||
OneAgent выполняет следующие изменения в вашей системе: | |||
===== '''Установка''' ===== | ===== '''Установка''' ===== | ||
Установщик | Установщик OneAgent изменяет следующие аспекты вашей системы: | ||
* Начиная с версии 1.195, учетная запись пользователя не создается для запуска расширений | * Начиная с версии 1.195, учетная запись пользователя не создается для запуска расширений OneAgent. Вместо этого используется привилегированная системная учетная запись NT AUTHORITY\SYSTEM. Дополнительные сведения см. в разделе [[Настройка установки OneAgent в Windows|настраиваемый пользователь OneAgent]]. | ||
* Создается служба | * Создается служба Dynatrace OneAgent. | ||
* Программа | * Программа Dynatrace OneAgent регистрируется в программе установки Windows. | ||
* устанавливается драйвер oneagentmon и создается устройство OneAgentMon. Это необходимо для обеспечения автоматического внедрения в процессы. | * устанавливается драйвер oneagentmon и создается устройство OneAgentMon. Это необходимо для обеспечения автоматического внедрения в процессы. | ||
* устанавливается WinPcap | * устанавливается WinPcap | ||
Строка 47: | Строка 47: | ||
===== '''Установка''' ===== | ===== '''Установка''' ===== | ||
Установщик | Установщик OneAgent добавляет в вашу систему следующие файлы: | ||
* Двоичные файлы и файлы конфигурации | * Двоичные файлы и файлы конфигурации OneAgent сохраняются в <code>%PROGRAMFILES%\key-astrom\oneagent.</code> Обратите внимание, что вы можете изменить местоположение, используя параметр INSTALL_PATH. | ||
* Временные файлы установщика сохраняются в <code>C:\AI_RecycleBin</code>. Папка будет удалена после завершения установки. | * Временные файлы установщика сохраняются в <code>C:\AI_RecycleBin</code>. Папка будет удалена после завершения установки. | ||
===== '''Операция''' ===== | ===== '''Операция''' ===== | ||
* Временные файлы | * Временные файлы OneAgent и конфигурация среды выполнения сохраняются в <code>%PROGRAMDATA%\key-astrom\oneagent\runtime</code>. | ||
* Постоянная конфигурация | * Постоянная конфигурация OneAgent сохраняется в <code>%PROGRAMDATA%\key-astrom\oneagent\config</code>. | ||
* Большие данные во время выполнения, такие как дампы памяти, сохраняются в <code>%PROGRAMDATA%\key-astrom\oneagent\datastorage</code>. Обратите внимание, что вы можете изменить расположение больших данных во время выполнения, используя параметр <u>DATA_STORAGE</u>. | * Большие данные во время выполнения, такие как дампы памяти, сохраняются в <code>%PROGRAMDATA%\key-astrom\oneagent\datastorage</code>. Обратите внимание, что вы можете изменить расположение больших данных во время выполнения, используя параметр <u>DATA_STORAGE</u>. | ||
==== '''Системные журналы, загруженные | ==== '''Системные журналы, загруженные OneAgent''' ==== | ||
OneAgent загружает системные журналы безопасности, системы и приложений за последние 14 дней, чтобы Dynatrace могла диагностировать проблемы, которые могут быть вызваны условиями в вашей среде. Чаще всего такие проблемы связаны с глубоким мониторингом или автоматическими обновлениями. | |||
===== '''Отмена доступа к системным журналам''' ===== | ===== '''Отмена доступа к системным журналам''' ===== | ||
Чтобы отменить доступ к системным журналам, используйте команду <code>oneagentctl</code> с параметром <code>--set-system-logs-access-enabled</code>, установленным в значение <code>false</code>. | Чтобы отменить доступ к системным журналам, используйте команду <code>oneagentctl</code> с параметром <code>--set-system-logs-access-enabled</code>, установленным в значение <code>false</code>. | ||
Дополнительные сведения см. в разделе Настройка | Дополнительные сведения см. в разделе [[Настройка OneAgent через интерфейс командной строки]] | ||
==== '''Глобально доступные для записи каталоги''' ==== | ==== '''Глобально доступные для записи каталоги''' ==== | ||
[[ | [[OneAgent Требования к дисковому пространству в Windows|Структура каталогов OneAgent]] содержит глобально доступные для записи каталоги (каталоги, в которые группа пользователей <code>Everyone</code> может записывать, изменять или выполнять). Изменение этих разрешений пользователями не поддерживается. | ||
===== '''Механизм инъекций | ===== '''Механизм инъекций OneAgent''' ===== | ||
Такие разрешения для выбранного набора каталогов необходимы для успешного внедрения | Такие разрешения для выбранного набора каталогов необходимы для успешного внедрения OneAgent в процессы на отслеживаемых хостах. Когда OneAgent внедряется в процесс, модуль кода, ответственный за внедрение, выполняется в контексте исходного внедренного процесса. Следовательно, пользователям, под управлением которых выполняются эти процессы, необходимо разрешить запись в структуру каталогов OneAgent, что является причиной глобальных разрешений на запись, которые позволяют это. | ||
Аналогичным образом, для некоторых файлов журнала требуются глобальные разрешения на запись, чтобы приложения, работающие под управлением разных пользователей, могли выполнять в них запись. | Аналогичным образом, для некоторых файлов журнала требуются глобальные разрешения на запись, чтобы приложения, работающие под управлением разных пользователей, могли выполнять в них запись. | ||
===== '''Безопасность системы''' ===== | ===== '''Безопасность системы''' ===== | ||
Мы знаем, что глобальные разрешения на чтение и запись в каталогах | Мы знаем, что глобальные разрешения на чтение и запись в каталогах OneAgent помечаются эвристикой проверки безопасности, но мы можем заверить вас, что они полностью безопасны. | ||
* Мы максимально ограничиваем количество каталогов, доступных для глобальной записи. | * Мы максимально ограничиваем количество каталогов, доступных для глобальной записи. | ||
Строка 81: | Строка 81: | ||
==== '''Подписание установщика''' ==== | ==== '''Подписание установщика''' ==== | ||
Установщик | Установщик OneAgent подписан на один или несколько корневых сертификатов DigiCert. Для систем с регулярным обслуживанием Windows проверяет, что установщик OneAgent был опубликован проверенным издателем. | ||
Если ваша система под управлением Windows была отключена от сети с марта 2021 года или дольше, Windows не сможет проверить установщик, а издатель установщика | Если ваша система под управлением Windows была отключена от сети с марта 2021 года или дольше, Windows не сможет проверить установщик, а издатель установщика OneAgent будет отображаться как Неизвестный издатель при попытке установки или обновления. В таком случае вам необходимо загрузить последнюю версию сертификата из корневых сертификатов DigiCert и добавить его в свою систему. Среди всех сертификатов DigiCert глобальный корневой сертификат DigiCert G3 является обязательным для успешной проверки установщика OneAgent. | ||
* См. раздел [https://docs.microsoft.com/en-us/dotnet/framework/wcf/feature-details/how-to-view-certificates-with-the-mmc-snap-in Как: Просмотр сертификатов с помощью оснастки MMC] в Microsoft docs, чтобы узнать, какие корневые сертификаты установлены в вашей системе. | * См. раздел [https://docs.microsoft.com/en-us/dotnet/framework/wcf/feature-details/how-to-view-certificates-with-the-mmc-snap-in Как: Просмотр сертификатов с помощью оснастки MMC] в Microsoft docs, чтобы узнать, какие корневые сертификаты установлены в вашей системе. | ||
Строка 89: | Строка 89: | ||
===== '''Windows 2008 R2''' ===== | ===== '''Windows 2008 R2''' ===== | ||
Начиная с версии 1.225 | Начиная с версии 1.225 OneAgent, установщик подписывается с использованием алгоритма SHA-2. Следовательно, на хостах Windows 2008 R2 должна быть установлена поддержка подписи кода SHA-2. Если вы используете Центр обновления Windows, обновления были предложены вам автоматически (KB4474419 и KB4490628). Однако, если ваша система Windows 2008 R2 не поддерживает проверку установщиков, подписанных SHA-2, автоматическое обновление и установка OneAgent не будут работать, если <code>Applocker</code> настроен на блокировку неизвестных издателей и / или могут отображаться предупреждения о безопасности. Дополнительные сведения см. в объявлении Microsoft [https://support.microsoft.com/en-us/topic/2019-sha-2-code-signing-support-requirement-for-windows-and-wsus-64d1c82d-31ee-c273-3930-69a4cde8e64f 2019 о требованиях к поддержке подписи кода SHA-2 для Windows и WSUS]. |
Версия 11:12, 22 января 2023
Чтобы полностью автоматизировать мониторинг ваших операционных систем, процессов и сетевых интерфейсов, Dynatrace требует привилегированного доступа к вашей операционной системе как во время установки, так и во время работы.
Примечание: OneAgent тщательно тестируется, чтобы убедиться, что он оказывает минимальное влияние на производительность вашей системы и соответствует самым высоким стандартам безопасности.
Разрешения
OneAgent требует права администратора в Windows как для установки, так и для работы.
Установка
Установщику OneAgent требуются права администратора для:
- Создание службы OneAgent.
- Изменение определенных разделов реестра.
- Установка WinPcap.
- Установка устройства oneagentmon.
Операция
OneAgent требует прав администратора для:
- Список всех процессов.
- Получения статистики памяти для всех процессов.
- Чтения командной строки и среды каждого процесса.
- Просмотра описания исполняемых файлов.
- Чтения конфигурации приложений для Apache и IIS
- Просмотра списка библиотек, загруженных для каждого процесса.
- Чтения разделов реестра Windows.
- Чтения домена приложений .NET для .NET 2.0, 3.0 и 3.5.
- Мониторинга сетевого трафика.
- Разбора исполняемых файлов для обнаружения Go.
- Сбора данных мониторинга, связанных с контейнерами Docker.
Изменения в операционной системе
OneAgent выполняет следующие изменения в вашей системе:
Установка
Установщик OneAgent изменяет следующие аспекты вашей системы:
- Начиная с версии 1.195, учетная запись пользователя не создается для запуска расширений OneAgent. Вместо этого используется привилегированная системная учетная запись NT AUTHORITY\SYSTEM. Дополнительные сведения см. в разделе настраиваемый пользователь OneAgent.
- Создается служба Dynatrace OneAgent.
- Программа Dynatrace OneAgent регистрируется в программе установки Windows.
- устанавливается драйвер oneagentmon и создается устройство OneAgentMon. Это необходимо для обеспечения автоматического внедрения в процессы.
- устанавливается WinPcap
- Создаются поддеревья реестра:
Операция
Каждый раз, когда служба Docker обнаруживается и группируется, dtuser
добавляется в список управления доступом \\.\pipe\docker_engine
с правами GENERIC_ALL
.
Добавленны файлы
Установка
Установщик OneAgent добавляет в вашу систему следующие файлы:
- Двоичные файлы и файлы конфигурации OneAgent сохраняются в
%PROGRAMFILES%\key-astrom\oneagent.
Обратите внимание, что вы можете изменить местоположение, используя параметр INSTALL_PATH. - Временные файлы установщика сохраняются в
C:\AI_RecycleBin
. Папка будет удалена после завершения установки.
Операция
- Временные файлы OneAgent и конфигурация среды выполнения сохраняются в
%PROGRAMDATA%\key-astrom\oneagent\runtime
. - Постоянная конфигурация OneAgent сохраняется в
%PROGRAMDATA%\key-astrom\oneagent\config
. - Большие данные во время выполнения, такие как дампы памяти, сохраняются в
%PROGRAMDATA%\key-astrom\oneagent\datastorage
. Обратите внимание, что вы можете изменить расположение больших данных во время выполнения, используя параметр DATA_STORAGE.
Системные журналы, загруженные OneAgent
OneAgent загружает системные журналы безопасности, системы и приложений за последние 14 дней, чтобы Dynatrace могла диагностировать проблемы, которые могут быть вызваны условиями в вашей среде. Чаще всего такие проблемы связаны с глубоким мониторингом или автоматическими обновлениями.
Отмена доступа к системным журналам
Чтобы отменить доступ к системным журналам, используйте команду oneagentctl
с параметром --set-system-logs-access-enabled
, установленным в значение false
.
Дополнительные сведения см. в разделе Настройка OneAgent через интерфейс командной строки
Глобально доступные для записи каталоги
Структура каталогов OneAgent содержит глобально доступные для записи каталоги (каталоги, в которые группа пользователей Everyone
может записывать, изменять или выполнять). Изменение этих разрешений пользователями не поддерживается.
Механизм инъекций OneAgent
Такие разрешения для выбранного набора каталогов необходимы для успешного внедрения OneAgent в процессы на отслеживаемых хостах. Когда OneAgent внедряется в процесс, модуль кода, ответственный за внедрение, выполняется в контексте исходного внедренного процесса. Следовательно, пользователям, под управлением которых выполняются эти процессы, необходимо разрешить запись в структуру каталогов OneAgent, что является причиной глобальных разрешений на запись, которые позволяют это.
Аналогичным образом, для некоторых файлов журнала требуются глобальные разрешения на запись, чтобы приложения, работающие под управлением разных пользователей, могли выполнять в них запись.
Безопасность системы
Мы знаем, что глобальные разрешения на чтение и запись в каталогах OneAgent помечаются эвристикой проверки безопасности, но мы можем заверить вас, что они полностью безопасны.
- Мы максимально ограничиваем количество каталогов, доступных для глобальной записи.
- Мы используем расширенные права доступа к файлам и используем разрешение Владельца создателя для ограничения доступа к файлам.
Подписание установщика
Установщик OneAgent подписан на один или несколько корневых сертификатов DigiCert. Для систем с регулярным обслуживанием Windows проверяет, что установщик OneAgent был опубликован проверенным издателем.
Если ваша система под управлением Windows была отключена от сети с марта 2021 года или дольше, Windows не сможет проверить установщик, а издатель установщика OneAgent будет отображаться как Неизвестный издатель при попытке установки или обновления. В таком случае вам необходимо загрузить последнюю версию сертификата из корневых сертификатов DigiCert и добавить его в свою систему. Среди всех сертификатов DigiCert глобальный корневой сертификат DigiCert G3 является обязательным для успешной проверки установщика OneAgent.
- См. раздел Как: Просмотр сертификатов с помощью оснастки MMC в Microsoft docs, чтобы узнать, какие корневые сертификаты установлены в вашей системе.
- Загрузите последние корневые сертификаты из корневых сертификатов DigiCert.
Windows 2008 R2
Начиная с версии 1.225 OneAgent, установщик подписывается с использованием алгоритма SHA-2. Следовательно, на хостах Windows 2008 R2 должна быть установлена поддержка подписи кода SHA-2. Если вы используете Центр обновления Windows, обновления были предложены вам автоматически (KB4474419 и KB4490628). Однако, если ваша система Windows 2008 R2 не поддерживает проверку установщиков, подписанных SHA-2, автоматическое обновление и установка OneAgent не будут работать, если Applocker
настроен на блокировку неизвестных издателей и / или могут отображаться предупреждения о безопасности. Дополнительные сведения см. в объявлении Microsoft 2019 о требованиях к поддержке подписи кода SHA-2 для Windows и WSUS.