Microsoft Just Enough Administration (JEA) für Discovery

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 4 Minuten Lesedauer

    • Microsoft JEA verbessert die Sicherheit, indem nicht-Administratoranwendern eingeschränkten Zugriff gewährt wird, die spezifischen Befehle, Skripts und ausführbaren Dateien auszuführen, die für erforderlich sind Discovery. Dadurch wird aktiviert MID-ServerDient zum Sammeln von Informationen zu einem Windows-Computer, ohne dass vollständige Administratorrechte für das Ziel erforderlich sind.

    Microsoft JEA ermöglicht rollenbasierte Verwaltung über PowerShell-Remoting, das Windows-Remoteverwaltung (WinRM) zur Verwaltung von Kommunikation und Authentifizierung verwendet. Dieses Framework bietet eine sichere und zuverlässige Methode für die Verwaltung von Computern, die das HTTP-Protokoll verwenden. PowerShell-Remoting verwendet insgesamt zwei Ports (5985, 5986) für HTTP und HTTPS, was einfacher zu sichern ist als die in der dynamischen WMI-Portzuordnung verwendeten mehrere Ports. Weitere Informationen zu Microsoft JEA finden Sie unter Gerade Genug Verwaltung .

    Übersicht über die Verbindung zwischen der ServiceNow-Instanz, dem MID-Server und dem erkannten JEA-Endpunkt und Windows-Server.

    Anforderungen für Discovery mit JEA

    • Eine ServiceNow-Instanz, die auf dem Rome-Release oder höher ausgeführt wird.
    • Der MID-Server und der Zielserver müssen Teil einer Windows-Domäne sein.
    • Die JEA-Anmeldeinformationen mit nicht-Administratorrechten müssen Anmeldeinformationen auf Domänenebene sein.
    • PowerShell 5,0 oder Windows Management Framework 5,1 muss auf den Windows-Zielcomputern installiert sein.
    • PowerShell-Entfernung muss auf den Zielcomputern von Windows aktiviert sein.
    Hinweis:
    Für die Sicherheitserweiterung gibt es ab Rom ein neues Profil mit dem Namen „je v2“. Microsoft empfiehlt, keinen anderen Sprachmodus als anzugeben Keine Sprache Im JEA-Profil. JEA v2 legt den Sitzungstyp explizit auf fest EingeschränkteRemoteServer Und der Sprachmodus bis Keine Sprache Um zu verhindern, dass Anwender beliebige Skripts am Endpunkt ausführen und Sicherheitsbeschränkungen umgehen. ServiceNow unterstützt das vorhandene Beispielprofil in KB0782125 nicht mehr. Befolgen Sie die Anweisungen in KB0965705 Zum Einrichten und Bereitstellen von JEA v2-Profilen.

    JEA-Profile

    Discovery mit JEA erfordert Profile, die aus einer PowerShell-Sitzungskonfiguration und einer oder mehreren PowerShell-Rollenfähigkeitsdateien bestehen. Sie können mehrere PowerShell-Rollenfähigkeitsdateien und mehrere Anwendergruppen erstellen, um die Rollen nach Bedarf verschiedenen Gruppen zuzuweisen. Ein Beispielprofil wird in bereitgestellt KB0965705 Als Referenzimplementierung und als Ausgangspunkt. Die Konfigurationsdatei in der KB unterstützt alle sofort einsatzbereiten horizontalen Windows-Muster zum Zeitpunkt der Erstellung. ServiceNow ist nicht verantwortlich für die Bereitstellung und das Setup des JEA-Profils auf Remote-Computern.

    Microsoft hat eine detaillierte Dokumentation unter den folgenden Links:

    Basis-Discovery mit dem Beispiel-JEA-Profil

    Das in bereitgestellte Beispiel-JEA-Profil KB0965705 Wurde so konfiguriert, dass viele grundlegende CIs und Attribute erkannt werden. Das Profil kann geändert werden und sollte nur als Baseline für Discovery mit JEA dienen.

    Basic Discovery sucht die folgenden Schlüsselattribute von Windows-Servern (cmdb_ci_win_server) oder Windows-Desktops (cmdb_ci_Computer):
    • Hostname
    • DNS-Name
    • Seriennummer
    • Betriebssystem
    • BS-Version
    • BS-Service Pack
    • Festplattenspeicher
    • RAM
    • Anzahl der CPU-Cores
    • CPU-Anzahl
    • CPU-Hersteller
    • CPU-Typ

    Enthält die folgenden CIs:

    • Netzwerkadapter (cmdb_ci_network_adapter)
    • Dateisystem (cmdb_ci_file_system)
    • Speichergeräte (cmdb_ci_Disk)
    • Software installiert (cmdb_Software_instance)
    • Laufende Prozesse (cmdb_running_Process)
    • Arbeitsspeichermodule (cmdb_ci_memory_module)
    • Seriennummern (cmdb_Serial_Numbers)
    • TCP/IP-Verbindungen (cmdb_tcp)
    • CI-IPs (cmdb_ci_ip_address)
    • DNS-Namen für CIs (cmdb_ci_dns_name)
    • Windows-Cluster (cmdb_ci_win_cluster, cmdb_ci_win_cluster_node, cmdb_ci_win_cluster_resource)
    • Nachverfolgte Konfigurationsdateien (cmdb_ci_config_file_tracked)

    Die folgenden Anwendungs-CIs können auch erkannt werden:

    • MSSQL DB unter Windows (cmdb_ci_db_mssql_instance)
    • MySQL DB unter Windows (cmdb_ci_db_mysql_instance)
    • Oracle DB unter Windows (cmdb_ci_db_ora_instance)
    • WebSphere unter Windows (cmdb_ci_app_server_websphere)

    Die folgenden Proben und Muster werden für Discovery mit dem Beispielprofil verwendet:

    • Windows – klassifizieren (Probe)
    • Windows-Betriebssystem – Server (Muster)
    • Windows-Betriebssystem – Desktops (Muster)
    • Windows – installierte Software (Probe)
    • Windows – ADM (multiprobe)
    • Mein SQL-Server unter Windows (Muster)
    • MSSQL DB unter Windows (Muster)
    • Oracle DB unter Windows (Muster)
    • Windows – WebSphere – Zelle (Probe)
    • Windows – WebSphere – Webanwendungen (Probe)
    • Windows – WebSphere – Webservices (Probe)

    Bereiten Sie die Instanz für Discovery mit JEA vor

    Zum Konfigurieren von ServiceNow®Instanz für DiscoveryDefinieren Sie mit Microsoft Just Enough Administration (JEA) die Windows-Anmeldeinformationen mit dem Domänennamen, und legen Sie fest MID-ServerKonfigurationsparameter entsprechend.

    Vorbereitungen

    Erforderliche Rolle: administrator, Discovery_admin

    Prozedur

    1. Navigieren zu Alle > Discovery > Anmeldeinformationen Und klicken Sie auf Neu .
    2. Wählen Sie Aus Windows-Anmeldeinformationen Aus der Liste der verfügbaren Anmeldeinformationstypen.
    3. Erstellen Sie die Anmeldeinformationen für den nicht-Administrator, indem Sie dieses Format für verwenden Anwendername : domain\user name.
    4. Übermitteln Sie den Datensatz.
    5. Navigieren zu Alle > MID-Server > Serveran.
    6. Wählen Sie ein aus MID-Server Zum Konfigurieren aus der Liste der MID-Server.
    7. Wählen Sie aus Konfigurationsparameter Zugehörige Liste.
    8. Legen Sie Folgendes fest Konfigurationsparameter des MID-Servers Wie angegeben:
      1. Mid.Windows.Management_Protocol: Dieser Parameter ist für Discovery mit JEA erforderlich.
        Der Standardwert ist WMI, er muss jedoch auf MID-Servern mit Discovery mit JEA auf WinRM festgelegt werden.
      2. Mid.powershell.jea.Endpunkt : Dieser Parameter ist für Discovery mit JEA erforderlich.
        Dieser Parameter gibt einen JEA-Endpunktnamen an, mit dem der MID-Server auf Remote-Hosts eine Verbindung herstellt. Der Endpunktname wird beim Registrieren einer Konfigurationsdatei erstellt und darf nicht mit dem Namen der Konfigurationsdatei selbst verwechselt werden. Die Einstellung betrifft den gesamten MID-Server, einschließlich aller WinRM-Remotesitzungen, die von der Discovery auf dem MID-Server erstellt wurden und zu diesem Endpunkt gehen.

        Beispiel: Der PowerShell-Befehl Register-PSConfiguration -Name JEA_DISCO_V2 -Pfad-<session_configuration_file> Legt den Endpunktnamen auf „je_DISCO_V2“ fest. In diesem Fall Mid.powershell.jea.Endpunkt Muss auf je_DISCO_V2 aktualisiert werden.

    9. Wahlweise: Verwenden Sie Folgendes MID-Servereigenschaft Und Systemeigenschaft So beheben Sie Probleme:
      1. mid.probe.collect_debug_info : Dies ist eine optionale MID-Servereigenschaft zum Erfassen von Debug-Informationen.
        Wenn diese Eigenschaft auf „wahr“ festgelegt ist, erfasst der MID-Server Debug-Informationen für Anmeldeinformationen und gibt sie in die Nutzlast der ECC-Eingabenachricht ein. Es hat keinen Einfluss auf die Funktionsweise von JEA.
      2. Glide.Discovery.log_Debug_info : Dies ist eine optionale Systemeigenschaft zum Erfassen von Debug-Informationen.
        Wenn diese Eigenschaft auf „wahr“ festgelegt ist, extrahiert der Discovery-Sensor die Debug-Informationen aus der ECC-Eingabenachricht und schreibt sie in die Discovery-Protokolltabelle, sodass die Debug-Informationen beim Überprüfen des Discovery-Status sichtbar sind.