La seguridad dentro de SCCM 2012 ha cambiado desde Configuration Manager 2007, el modelo de clases e instancias ha cambiado. Ahora el modelo que se usa es el de Control de Acceso Basado en Roles (RBAC Role-Based Access Control). Loas administradores tienen ahora la posibilidad de configurar roles de seguridad y ámbitos de seguridad, que combinados dan una herramienta muy potente a la hora de configurar la seguridad dentro de SCCM 2012, podría parecer que el trabajo se multiplica, pero solo el trabajo inicial, una vez definidos y configurados los roles de seguridad y los ámbitos de seguridad la administración es muy sencilla y muy potente.
El modelo RBAC usa los roles de seguridad, los ámbitos de seguridad y las colecciones para definir modelos de seguridad para diferentes usuarios y funciones de administración. Esto permite que configuremos la seguridad para que un usuario administrador encargado de una tarea solo pueda acceder a aquellos nodos del SCCM a los que tiene derecho y tener ocultos los demás.
Los roles de seguridad se usan para organizar tareas o funciones y los ámbitos de seguridad se usan para definir accesos a objetos.
En Configuration Manager 2012 hay predefinidos unos roles y ámbitos de seguridad. Un administrador puede combinar estos roles y funciones según sus necesidades, así como crear nuevos modelos.
El objetivo de la jerarquía en SCCM 2012 es la simplificación de la misma en pisos. Muchas empresas puede que cuenten con un solo sitio en SCCM 2012 para administrar la compañía entera. En versiones anteriores el producto estaba totalmente separado del entorno, lo que provocaba que hubiera muchos sitios para cubrir distintas funciones. Si querías administrar por separado los servidores y las estaciones de trabajo, tenias que tener dos sitios primarios, lo que hacía muy farragosa la tarea de administración.
Con este nuevo modelo de seguridad esto se ha superado y ya no es necesario tener dos sitios para administrar por ejemplo servidores y pc´s, ahora con un solo sitio y los ámbitos y funciones de seguridad con un solo sitio tenemos todo controlado.
Otro beneficio es que con este modelo solo necesitamos crear una vez las funciones y ámbitos de seguridad y las colecciones, ya que esto se propaga a través de nuestra jerarquía mediante la replicación de datos.
Funciones (roles) de Seguridad:
Hay definidos una serie de roles de seguridad predeterminados:
- Administrador de Aplicación (Application administrador): Este rol da permisos para realizar despliegues de aplicaciones y el da el rol de Autor de aplicaciones. También se obtiene el permiso de administrar consultas (queries), ver las configuraciones del sitio, administrar colecciones y editar las configuraciones para la afinidad de dispositivos de un usuario.
- Autor de Aplicación (Application Autor): Este rol da permisos para crear, modificar y borrar aplicaciones. También para administrar paquetes y programas, administrar alertas y ver mensajes de estado.
- Administrador de despliegue de aplicaciones (Application Deployment Manager): Permite distribuir aplicaciones. Puede ver la lista de aplicaciones y puede administrar otros Ítems relacionados con las aplicaciones, incluyendo las alertas, plantillas, paquetes y programas. Puede ver colecciones y los miembros de estas, así como los mensajes de estado, consultas.
- Administrador de Activos (Asset Manager): administra el punto de sincronización de activos inteligentes, los reportes de los activos inteligentes, el inventario de hardware y software y las configuraciones de Software Metering.
- Administrador de los Ajustes de Cumplimiento (Compliance Settings Manager): Administra la característica de los ajustes de cumplimiento. Pueden crear, modificar y borrar los ítems y las líneas base. También pueden desplegar líneas base de configuración a colecciones, iniciar la evaluación de cumplimiento e iniciar la reparación o remediación de los Pc´s que no cumplen la configuración base.
- Administrador Endpoint Protection: Administra y monitoriza las políticas de seguridad de Endpoint protection. Puede crear, modificar y borrar políticas de Endpoint protection. Puede desplegar políticas de Endpoint Protection a colecciones, crear y modificar alertas y monitorizar el estatus de este componente.
- Administrador total (Full Administrador): Como su nombre indica nos permite acceso a todos los objetos, el administrador que instala Configuration Manager, por defecto obtiene este permiso de forma automática.
- Administrador de Infraestructura (Infraestructura administrador): Permite crear, borrar y modificar la infraestructura de servidor de Configuration Manager y acceso a las tareas de migración del sitio.
- Administrador de despliegue de sistemas operativos (Operating System Deployment Manager): Permite la creación de imágenes de sistemas operativos y su distribución a Pc´s. Pueden administrar varios aspectos del proceso de despliegue de sistemas operativos como la instalación de paquetes e imágenes de sistemas operativos, secuencias de tareas, drivers, imágenes de arranque y configuraciones del estado de migración.
- Administrador de Operaciones (Operations Administrador): Tiene permisos para todas las acciones en Configuration Manager excepto para administrar la seguridad (administración, usuarios administradores, funciones de seguridad, colecciones y ámbitos de seguridad).
- Analista de solo lectura (read-only Analyst): Permite ver en modo lectura todos los objetos en Configuratrion Manager.
- Operador de herramientas remotas (Remote Tools Operador): Da permisos para ejecutar y auditar las herramientas remotas. Los usuarios administradores con este rol pueden usar la consola para realizar la administración fuera de banda, y el control remoto, también pueden utilizar Windows Remote Assitance y Remote Desktop Services.
- Administrador de seguridad (Security Administrador): Permisos para añadir o quitar usuarios administradores, asociar usuarios administradores a funciones de seguridad, colecciones y ámbitos de seguridad.
- Administración de las actualizaciones de Software (Software Update Administrador): permisos para definir y desplegar actualizaciones de software. Pueden crear colecciones, grupos de actualización de software, despliegues, plantillas y pueden habilitar la actualización de software para NAP (Network Access Protection).
Si quieres ver los permisos concretos de una función de seguridad, lo puedes hacer mediante la consola:
- Selecciona el nodo “Administration”à”Security”à”Security Roles”
- Selecciona el rol del que quieres ver los permisos.
- Con el botón derecho del ratón (o en el Ribbon lo llama Microsoft, son los iconos que aparecen arriba cuando seleccionas un objeto) selecciona “Properties”, se abrirá la venta de propiedades.
- Selecciona la pestaña “Permisions”
- Ahora puedes ver los permisos específicos del rol que has seleccionado.
Hay que advertir que no puedes cambiar los permisos en los roles de seguridad predefinidos, ni borrarlos, ni exportarlos. Si necesitas personalizar uno lo que puedes hacer es copiar uno de los predefinidos y cambiar el nombre al rol de seguridad copiado y ya sobre este puedes cambiar los permisos, borrarlo, exportarlo y lo que quieras
Ámbitos de Seguridad:
Sirven para dar acceso a usuarios administradores a los objetos seguros de SCCM. Todos los objetos seguros en SCCM deben estar asignados al menos a un ámbito de seguridad. La asociación entre objeto y ámbito de seguridad es administrado desde el mismo objeto, no desde el ámbito de seguridad.
Se incluyen dos ámbitos de seguridad por defecto “ALL” y “Default”.
ALL: Da acceso a todos los ámbitos. Los objetos no pueden ser asignados a este ámbito de seguridad.
Default: Todos los objetos son asignados al ámbito de seguridad “All” cuando se instala SCCM 2012. Si un objeto nuevo es añadido a SCCM se añade automáticamente al ámbito de seguridad “Default”.
El administrador puede crear ámbitos de seguridad personalizados basados en sus necesidades del entorno y añadir objetos a estos ámbitos personalizados.
Como crear un ámbito de seguridad personalizado:
- 1. En La Consola pincha en el espacio de trabajo “Administration”à”Security”à”Security Scopes”
- 2. Haz click con el botón derecho del ratón en “Security Scopes” y selecciona la opción “Create Security Scope”
- 3. Pon un nombre que describa el ámbito se seguridad que vas a crear en el campo “Name”.
- 4. Una vez que lo hayas completado pulsa en “OK”
El nuevo ámbito creado con el nombre que le has dado se muestra en la consola.
Si te fijas en la columna “in use” en el panel, verás que los ámbitos “All” y “Default” están como “yes” y el ámbito nuevo que has creado está como “no”, eso es por que este ámbito aún no ha sido aplicado a ningún objeto. Cuando asignes este ámbito recién creado a un objeto se cambiará automáticamente a “yes”. Esto te sirve par ver que ámbitos están siendo usados y cuales no.
Los ámbitos de seguridad pueden contener uno o más tipos de objetos:
- Aplicaciones (Applications)
- Paquetes (Packages)
- Imágenes de arranque (Boot images)
- Sitios ( Sites)
- Configuraciones personalizadas de clientes (Custom client settings)
- Puntos de Distribución y grupos de puntos de distribución.
- Grupos de actualización de software (Software update points)
Hay muchos objetos que no se pueden incluir en los ámbitos de seguridad y deben “asegurarse” a través de las funciones o roles de seguridad:
- Usuarios administradores (Administratives Users)
- Roles o funciones de seguridad. (Security roles)
- Ámbitos de seguridad ( Security scopes)
- Configuraciones por defecto de clientes (Default client settings)
- Límites (Boundaries)
- Conector Exchange Server (Exchange Server conector)
- Direcciones de sitios (Sites addresses)
- Bosques de Directorio Activo (Active directory forest)
- Funciones o roles de sitios de sistema (Site System roles).
Asignación de recursos a un ámbito de seguridad:
- En la consola, selecciona el recurso al que quieres aplicar el ámbito de seguridad nuevo que has creado.
- Selecciona por ejemplo una aplicación que haya creada. Marca la aplicación que hayas seleccionado y con el botón derecho selecciona la opción “Classify”à”Set security scopes”.
- Saldrá una ventana con los ámbitos de seguridad disponibles, marca el que corresponda y pulsa “ok”.
Si te fijas de nuevo en los ámbitos de seguridad de la consola, verás que el nuevo ámbito creado se ha cambia en la columna “in use” a “yes”.
Ver los ámbitos de seguridad de los objetos:
Si quieres ver todos los objetos asociados dados a un ámbito de seguridad puedes hacer un Report:
- En la consola ce al nodo “Monitoring”à”Overview”à”Reporting”à”Reports”
- Como verás hay varios informes relacionados con los ámbitos de seguridad, ejecuta el informe “Objects Secured by a Single Security Scope”
- Introduce en el campo “Value” el nombre del ámbito que quieras mostrar y pulsa “View Report” saldrá el informe requerido.
Colecciones:
Una vez vistos las funciones y ámbitos de seguridad para que un usuario administrador realice sus funciones tiene que tener acceso a las colecciones que contienen los recursos.
Las colecciones se usan en este contexto para delimitar lo que pueden ver y lo que no los usuarios administradores.
Las colecciones han sufrido unos cambios para bien en Configuration Manager 2012 y vamos a ver un poco en que consisten:
Uso de Colecciones:
Las colecciones son la forma de agrupar lógicamente recursos, como dispositivos o usuarios, y se pueden usar para usos administrativos para separar recursos:
Usa las colecciones para separar servidores, estaciones de trabajo o portátiles. Para tener usuarios o dispositivos pilotos, separados del entrono de producción. Para construir colecciones basadas en departamentos, unidades de negocio, localizaciones geográficas etc….
Una vez que hemos creado una colección se la pueden asignar usuarios administradores.
Las reglas de acceso para ser miembro de una colección son las siguientes:
- Regla directa (Direct rule): los miembros de la colección se introducen manualmente.
- Regla mediante consulta (Quero rule): Se actualizan dinámicamente los miembros de este tipo de colecciones ya que están basados en consultas a la base de datos y estas consultas se ejecutan de forma programada, esta opción es la más cómoda, ya que se automatiza la inclusión de los miembros en una colección.
- Regla de inclusión de colecciones (Incluye Collections rule): es un nuevo tipo de regla y permite a los administradores incluir miembros de otras colecciones.
- Regla de exclusión de colecciones ( Exclude collections rule): también es una regla nueva que permite a los administradores excluir a los miembros de otra colección
Comprensión de las colecciones por defecto:
SCM 2012 incluye colecciones por defecto. Algunas de estas colecciones pueden ser modificadas si es necesario, pero hay otras que no pueden si eliminarse.
Las colecciones por defecto son: (las voy a poner solo en ingles por que es así como aparecen en la consola y para no generar confusión)
- All user group: Contiene los grupos descubiertos cuando se ejecutó Active Directory Security Group Discovery.
- All Users: Contiene los usuarios descubiertos mediante el Active Directory User Discovery.
- All Users and User Groups: Contiene todos los usuarios y todos los grupos. No se puede modificar.
- All Desktop and Server Clients: contiene los dispositivos Servidores y estaciones de trabajo con el cliente SCCM 2012 instalado descubiertos por el método de descubrimiento Heartbeat Discovery.
- All Mobile devices: contiene los dispositivos móviles que están administrados por SCCM 2012. Los miembros están restringidos a aquellos dispositivos móviles que están correctamente asignados a un sitio o aquellos descubiertos mediante “Exchange Server connector”.
- All system: contiene todos los clientes Servidores y estaciones de trabajo, todos los dispositivos móviles y todos los pc´s desconocidos.
- All Unknown Computers: Contiene grabaciones de de pc´s genéricos de muchas plataformas distintas. Se usa normalmente pare desplegar los sistemas operativos vía arranque PXE, disco de arranque,….
Usuarios Administradores:
Es un individuo o grupo que administrará recursos en la infraestructura de Configuration Manager 2012. Los usuarios administradores pueden tener muy limitado el acceso a los recursos en el entorno o tener acceso completo a todo.
Los usuarios administradores son cuentas de usuario Windows (o grupos) con al menos una función e seguridad y un ámbito de seguridad definidos. Si es necesario, una colección puede ser usada para limitar el ámbito de lo que puede administrar un usuario administrador. Estas opciones son configuradas cuando un usuario administrador es creado y se puede cambiar después si es necesario.
Ejemplo de creación de usuarios administradores, funciones de seguridad y ámbitos de seguridad:
Vamos a crear un usuario administrador que necesita distribuir un determinado software a una colección de pc´s determinada:
Vamos a configurar un usuario administrador llamado: “xxxx” para que pueda desplegar el Software “Microsoft Maths” en la colección “All Desktop”
Lo primero es ver que rol o función de seguridad de las predefinidas nos viene bien para nuestro propósito, el rol adecuado en este caso sería “Application Deployment Manager”:
Pinchando en las propiedades en el “Ribbon” nos aparece que los permisos de este rol son:
Ahora vamos a crear un ámbito de seguridad nuevo, nos situamos en “security scope” y le damos a “create security scope” Saldrá un asistente:
Le ponemos un nombre al ámbito en este caso: “Instalacion Software XXXXX”
El siguiente paso es ir a la aplicación que el usuario administrador podrá administrar:
Pinchar con el botón derecho del ratón en la aplicación “Microsoft Match” y seleccionar “Set Security Scope” y seleccionar el ámbito creado:
El siguiente paso es la colección a la que aplicar el ámbito de seguridad. En este ejemplo lo vamos ha hacer sobre una ya creada, pero puedes crear la colección que quieras dependiendo de tus necesidades.
Crear ahora el Usuario Administrador, ir al nodo “Administration”à”Overview”à”Security”à”Administrative User” seleccionar el Ribbon “Add user or group” se abrirá una ventana y seleccionamos, la cuenta Windows , el rol de seguridad y el ámbito y la colección como se muestra en la pantalla siguiente:
En mi caso he creado un grupo administrador en “active directory user and computers”, cualquier usuario dentro de este grupo tendrá los derechos que hemos configurado, es decir al abrir la consola verá solo los nodos de la colección “all desktop” y administrar la aplicación “Microsoft Mach” para desplegarla.
Hay un laboratorio de microsoft bastante completo sobre este tema: https://cmg.vlabcenter.com/default.aspx?moduleid=0ebe424c-d676-4a68-a1c3-c4090e76f88d
No hay comentarios:
Publicar un comentario