Agenten sichern

Agenten verwenden standardmäßig einen verschlüsselten Kommunikationskanal mit den Kommunikationsprozessen, d. h. sie führen nur vollständig authentifizierte Befehle aus, die von der Automation Engine gesendet werden. In diesem Thema wird beschrieben, wie Sie die Sicherheit des Agenten erhöhen können, indem Sie bestimmten Benutzern das Recht verweigern, Jobs auszuführen, und indem Sie die anonyme Ausführung von Jobs verhindern. Es enthält auch einige nützliche Empfehlungen.

Diese Seite beinhaltet Folgendes:

Verbindung zu Agenten

Neu installierte Agenten haben aus Sicherheitsgründen keine Rechte, können keine Aufgaben ausführen und stehen bei der Definition von Objekten nicht zur Auswahl. Um sich zum ersten Mal an der Automation Engine anzumelden, verwenden sie ein Agentenobjekt, das im Ordner HOST des Mandanten 0 verfügbar ist.  Um die Verarbeitung von Befehlen starten zu können, müssen diese den Mandanten zugeordnet sein. Weitere Informationen finden Sie unter Authentifizierung von Agenten.

Ausführung von Jobs für bestimmte Benutzer verweigern

Manchmal muss ein Agent im Kontext eines anderen Benutzers ausgeführt werden. In diesen Fällen muss er in der Lage sein, Scripts im Kontext dieses Benutzers auszuführen. Zu diesem Zweck benötigt der Agent ein bestimmtes Login-Objekt, das Sie in Ihrem AE-System definieren müssen. Dieses Login-Objekt enthält die Anmeldeinformationen, damit Jobs als ein bestimmter Benutzer auf dem Computer des Agenten ausgeführt werden können.

In einigen Fällen können Sie die Benutzerberechtigungen auf bestimmte Aufgaben oder Ausführungen beschränken (z.B. Root auf dem UNIX-Agenten).
In der INI-Datei des Agenten können Sie die Benutzer angeben, die keine Jobs oder FileTransfers ausführen dürfen. Dies gilt auch dann, wenn ein Login-Objekt angegeben wurde, das die Zugangsdaten dieses Benutzers enthält.

Konfigurieren Sie die INI-Dateien der folgenden Agenten:

Anonyme Ausführung von Jobs verhindern

Sie müssen standardmäßig ein Login-Objekt mit gültigen Benutzerdaten für die Ausführung von Jobobjekten angeben. Die Variable UC_HOSTCHAR_DEFAULT enthält die folgenden drei Schlüssel, um zu bestimmen, ob diese Berechtigungsnachweise verwendet werden müssen oder nicht:

  • ANONYMOUS_FT (für FileTransfers)
  • ANONYMOUS_JOB (für Jobs)
  • ANONYMOUS_FE (für FILE-Ereignisse)

Diese sind standardmäßig auf "N" gesetzt, was die anonyme Ausführung von FileTransfers, Jobs und FILE-Ereignissen verhindert.

Weitere Informationen finden Sie unter Login (LOGIN) und UC_HOSTCHAR_DEFAULT - Host-Charakteristika.

Empfehlungen

  • Sichern Sie die Hardware physisch.
  • Sichern Sie laufende Dienste, die das Betriebssystem / der Agent bereitstellt.
  • Verwenden Sie ein Dateisystem, das unbefugten Zugriff verhindern kann.
  • Legen Sie Dateizugriffsrechte für Daten fest, die auf der Festplatte gespeichert sind.
  • Begrenzen Sie die Anzahl der möglichen Benutzerkonten auf dem Agenten.
  • Verwenden Sie sichere Passwörter für Konten.
  • Erwägen Sie, zusätzliche Software zum Schutz Ihres Betriebssystems zu verwenden.
  • Wenden Sie Betriebssystempatch-Sets und Sicherheitspatches an.
  • Installieren Sie die neuesten Wartungspakete, kleinere Versionen und wichtige Patch-Updates.

Siehe auch:

Sicherheit und Systemhärtung