OneAgent Безопасность в Windows

Материал из Dynatrace
Версия от 11:42, 22 января 2023; Lobanov (обсуждение | вклад)
(разн.) ← Предыдущая | Текущая версия (разн.) | Следующая → (разн.)

Чтобы полностью автоматизировать мониторинг ваших операционных систем, процессов и сетевых интерфейсов, Dynatrace требует привилегированного доступа к вашей операционной системе как во время установки, так и во время работы.

Примечание: OneAgent тщательно тестируется, чтобы убедиться, что он оказывает минимальное влияние на производительность вашей системы и соответствует самым высоким стандартам безопасности.

Разрешения

OneAgent требует права администратора в Windows как для установки, так и для работы.

Установка

Установщику OneAgent требуются права администратора для:

  • Создание службы OneAgent.
  • Изменение определенных разделов реестра.
  • Установка WinPcap.
  • Установка устройства oneagentmon.

Операция

OneAgent требует прав администратора для:

  • Список всех процессов.
  • Получения статистики памяти для всех процессов.
  • Чтения командной строки и среды каждого процесса.
  • Просмотра описания исполняемых файлов.
  • Чтения конфигурации приложений для Apache и IIS
  • Просмотра списка библиотек, загруженных для каждого процесса.
  • Чтения разделов реестра Windows.
  • Чтения домена приложений .NET для .NET 2.0, 3.0 и 3.5.
  • Мониторинга сетевого трафика.
  • Разбора исполняемых файлов для обнаружения Go.
  • Сбора данных мониторинга, связанных с контейнерами Docker.

Изменения в операционной системе

OneAgent выполняет следующие изменения в вашей системе:

Установка

Установщик OneAgent изменяет следующие аспекты вашей системы:

  • Начиная с версии 1.195, учетная запись пользователя не создается для запуска расширений OneAgent. Вместо этого используется привилегированная системная учетная запись NT AUTHORITY\SYSTEM. Дополнительные сведения см. в разделе настраиваемый пользователь OneAgent.
  • Создается служба Dynatrace OneAgent.
  • Программа Dynatrace OneAgent регистрируется в программе установки Windows.
  • устанавливается драйвер oneagentmon и создается устройство OneAgentMon. Это необходимо для обеспечения автоматического внедрения в процессы.
  • устанавливается WinPcap
  • Создаются поддеревья реестра:
Операция

Каждый раз, когда служба Docker обнаруживается и группируется, dtuser добавляется в список управления доступом \\.\pipe\docker_engine с правами GENERIC_ALL.

Добавленны файлы

Установка

Установщик OneAgent добавляет в вашу систему следующие файлы:

  • Двоичные файлы и файлы конфигурации OneAgent сохраняются в %PROGRAMFILES%\Dynatrace\oneagent. Обратите внимание, что вы можете изменить местоположение, используя параметр INSTALL_PATH.
  • Временные файлы установщика сохраняются в C:\AI_RecycleBin. Папка будет удалена после завершения установки.
Операция
  • Временные файлы OneAgent и конфигурация среды выполнения сохраняются в %PROGRAMDATA%\Dynatrace\oneagent\runtime.
  • Постоянная конфигурация OneAgent сохраняется в %PROGRAMDATA%\Dynatrace\oneagent\config.
  • Большие данные во время выполнения, такие как дампы памяти, сохраняются в %PROGRAMDATA%\Dynatrace\oneagent\datastorage. Обратите внимание, что вы можете изменить расположение больших данных во время выполнения, используя параметр DATA_STORAGE.

Системные журналы, загруженные OneAgent

OneAgent загружает системные журналы безопасности, системы и приложений за последние 14 дней, чтобы Dynatrace могла диагностировать проблемы, которые могут быть вызваны условиями в вашей среде. Чаще всего такие проблемы связаны с глубоким мониторингом или автоматическими обновлениями.

Отмена доступа к системным журналам

Чтобы отменить доступ к системным журналам, используйте команду oneagentctl с параметром --set-system-logs-access-enabled, установленным в значение false.

Дополнительные сведения см. в разделе Настройка OneAgent через интерфейс командной строки

Глобально доступные для записи каталоги

Структура каталогов OneAgent содержит глобально доступные для записи каталоги (каталоги, в которые группа пользователей Everyone может записывать, изменять или выполнять). Изменение этих разрешений пользователями не поддерживается.

Механизм инъекций OneAgent

Такие разрешения для выбранного набора каталогов необходимы для успешного внедрения OneAgent в процессы на отслеживаемых хостах. Когда OneAgent внедряется в процесс, модуль кода, ответственный за внедрение, выполняется в контексте исходного внедренного процесса. Следовательно, пользователям, под управлением которых выполняются эти процессы, необходимо разрешить запись в структуру каталогов OneAgent, что является причиной глобальных разрешений на запись, которые позволяют это.

Аналогичным образом, для некоторых файлов журнала требуются глобальные разрешения на запись, чтобы приложения, работающие под управлением разных пользователей, могли выполнять в них запись.

Безопасность системы

Мы знаем, что глобальные разрешения на чтение и запись в каталогах OneAgent помечаются эвристикой проверки безопасности, но мы можем заверить вас, что они полностью безопасны.

  • Мы максимально ограничиваем количество каталогов, доступных для глобальной записи.
  • Мы используем расширенные права доступа к файлам и используем разрешение Владельца создателя для ограничения доступа к файлам.

Подписание установщика

Установщик OneAgent подписан на один или несколько корневых сертификатов DigiCert. Для систем с регулярным обслуживанием Windows проверяет, что установщик OneAgent был опубликован проверенным издателем.

Если ваша система под управлением Windows была отключена от сети с марта 2021 года или дольше, Windows не сможет проверить установщик, а издатель установщика OneAgent будет отображаться как Неизвестный издатель при попытке установки или обновления. В таком случае вам необходимо загрузить последнюю версию сертификата из корневых сертификатов DigiCert и добавить его в свою систему. Среди всех сертификатов DigiCert глобальный корневой сертификат DigiCert G3 является обязательным для успешной проверки установщика OneAgent.

Windows 2008 R2

Начиная с версии 1.225 OneAgent, установщик подписывается с использованием алгоритма SHA-2. Следовательно, на хостах Windows 2008 R2 должна быть установлена поддержка подписи кода SHA-2. Если вы используете Центр обновления Windows, обновления были предложены вам автоматически (KB4474419 и KB4490628). Однако, если ваша система Windows 2008 R2 не поддерживает проверку установщиков, подписанных SHA-2, автоматическое обновление и установка OneAgent не будут работать, если Applocker настроен на блокировку неизвестных издателей и / или могут отображаться предупреждения о безопасности. Дополнительные сведения см. в объявлении Microsoft 2019 о требованиях к поддержке подписи кода SHA-2 для Windows и WSUS.