Microsoft Just Enough Administration (JEA) para Descoberta

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 5 min. de leitura

    • O Microsoft JEA melhora a segurança, permitindo que usuários não administradores tenham acesso limitado para executar os comandos, scripts e executáveis específicos necessários para o. Descoberta. Isso habilita MID ServerPara coletar informações sobre uma máquina Windows sem exigir privilégios totais de administrador no destino.

    O Microsoft JEA habilita a administração baseada em função por meio do PowerShell Remoting, que usa o Gerenciamento remoto do Windows (WinRM) para gerenciar a comunicação e a autenticação. Esta estrutura fornece um método seguro e confiável para gerenciar computadores que usam o protocolo HTTP. O PowerShell Remoting usa duas portas no total (5985, 5986) para HTTP e HTTPS, o que é mais fácil de proteger do que as várias portas usadas no mapeamento dinâmico de portas WMI. Para obter mais informações sobre o Microsoft JEA, consulte Administração suficiente .

    Visão geral da conexão entre a instância da ServiceNow, o MID Server e o endpoint da JEA e o Windows Server que está sendo descoberto.

    Requisitos para Descoberta com JEA

    • Uma instância da ServiceNow em execução na versão ROME ou posterior.
    • O MID Server e o servidor de destino devem fazer parte de um domínio do Windows.
    • As credenciais do JEA com direitos não de administrador devem ser credenciais de nível de domínio.
    • O PowerShell 5,0 ou a Estrutura de gestão do Windows 5,1 devem ser instalados nas máquinas Windows de destino.
    • O PowerShell Remoting deve estar habilitado nas máquinas Windows de destino.
    Nota:
    Para aprimoramento de segurança, a partir de Roma, há um novo perfil chamado JEA v2. A Microsoft não recomenda especificar nenhum outro modo de idioma além de Sem idioma No perfil JEA. O JEA v2 define explicitamente o tipo de sessão como Servidor remoto restrito e o modo de idioma para Sem idioma para impedir que usuários executem scripts arbitrários no endpoint e ignorem restrições de segurança. A ServiceNow não oferece mais suporte ao perfil de amostra existente em KB0782125. Siga as instruções em KB0965705 Para configurar e implantar perfis JEA v2.

    Perfis do JEA

    A Descoberta com JEA requer perfis compostos de uma configuração de sessões do PowerShell e um ou mais arquivos de capacidades de função do PowerShell. Você pode criar vários arquivos de capacidade de função do PowerShell e vários grupos de usuários para atribuir as funções a diferentes grupos conforme necessário. Um perfil de amostra é fornecido em KB0965705 como implementação de referência e servir como ponto de partida. O arquivo de configuração na base de conhecimento oferece suporte a todos os padrões horizontais do Windows prontos para uso no momento em que foi criado. A ServiceNow não é responsável pela implantação e configuração do perfil JEA em máquinas remotas.

    A Microsoft tem documentação detalhada nos seguintes links:

    Descoberta básica com o perfil JEA de amostra

    O perfil JEA de amostra fornecido em KB0965705 Foi configurado para descobrir muitos ICs e atributos básicos. O perfil pode ser modificado e só deve servir como linha de base para Descoberta com JEA.

    A Descoberta básica encontra os seguintes atributos-chave de servidores Windows (cmdb_ci_win_server) ou desktops Windows (cmdb_ci_computer):
    • Nome do host
    • Nome DNS
    • Número de Série
    • Sistema Operacional
    • Versão do SO
    • Service pack do SO
    • Espaço em disco
    • RAM
    • Contagem de núcleos de CPU
    • Contagem de CPUs
    • Fabricante da CPU
    • Tipo de CPU

    Ele inclui os seguintes ICs:

    • Adaptadores de rede (cmdb_ci_network_adapter)
    • Sistema de arquivos (cmdb_ci_file_system)
    • Dispositivos de armazenamento (cmdb_ci_disk)
    • Software instalado (cmdb_software_instance)
    • Processos em execução (cmdb_running_process)
    • Módulos de memória (cmdb_ci_memory_module)
    • Números de série (cmdb_serial_numbers)
    • Conexões TCP/IP (cmdb_tcp)
    • IPS de IC (cmdb_ci_ip_address)
    • Nomes DNS para ICs (cmdb_ci_dns_name)
    • Clusters do Windows (cmdb_ci_win_cluster, cmdb_ci_win_cluster_node, cmdb_ci_win_cluster_resource)
    • Arquivos de configuração rastreada (cmdb_ci_config_file_tracked)

    Os seguintes ICs de aplicação também podem ser descobertos:

    • MSSQL DB no Windows (cmdb_ci_db_mssql_instance)
    • Banco de dados MySQL no Windows (cmdb_ci_db_mysql_instance)
    • Oracle DB no Windows (cmdb_ci_db_ora_instance)
    • WebSphere no Windows (cmdb_ci_app_server_websphere)

    Os probes e padrões a seguir são usados para a Descoberta com o perfil de amostra:

    • Windows - Classificar (probe)
    • SO WINDOWS - Servidores (padrão)
    • SO WINDOWS - Ambientes de trabalho (padrão)
    • Windows - Software instalado (probe)
    • Windows - ADM (multiprobe)
    • Meu SQL Server no Windows (padrão)
    • MSSQL DB no Windows (padrão)
    • Oracle DB no Windows (padrão)
    • Windows - WebSphere - Célula (probe)
    • Windows - WebSphere - Aplicações web (probe)
    • Windows - WebSphere - Serviços da web (probe)

    Prepare a instância para Descoberta com JEA

    Para configurar o. ServiceNow®instância para DescobertaCom o Microsoft Just Enough Administration (JEA), defina a credencial do Windows com o nome de domínio e defina o. MID Serverparâmetros de configuração adequadamente.

    Antes de Iniciar

    Função necessária: administrador, discovery_admin

    Procedimento

    1. Navegar até Tudo > Descoberta > Credenciais e clique em Novo .
    2. Selecione Credenciais do Windows na lista de tipos de credencial disponíveis.
    3. Crie as credenciais para o não administrador, usando este formato para Nome de usuário : domain\user name.
    4. Envie o registro.
    5. Navegar até Tudo > MID Server > Servidores.
    6. Selecione um MID Server Para configurar na lista de MID Servers.
    7. Selecione a lista relacionada Parâmetros de configuração.
    8. Defina o seguinte Parâmetros de configuração do MID Server conforme indicado:
      1. mid.windows.management_protocol: Este parâmetro é necessário para Descoberta com JEA.
        Seu valor padrão é WMI, mas deve ser definido como WinRM em MID Servers usando Descoberta com JEA.
      2. mid.powershell.jea.endpoint : Este parâmetro é necessário para Descoberta com JEA.
        Este parâmetro especifica um nome de endpoint do JEA ao qual o MID Server se conecta em hosts remotos. O nome do endpoint é criado ao registrar um arquivo de configuração e não deve ser confundido com o nome do próprio arquivo de configuração. A configuração afeta todo o MID Server, incluindo todas as sessões remotas do WinRM criadas pela Descoberta no MID Server que vão para esse endpoint.

        Por exemplo, o comando powershell <session_configuration_file>-PSConfiguration - nome JEA_DISCO_V2 - PATH Define o nome do endpoint como jea_DISCO_V2. Nesse caso, mid.powershell.jea.endpoint Deve ser atualizado para jea_DISCO_V2.

    9. Opcional: Use o seguinte Propriedade do MID Server e. Propriedade do sistema para solucionar problemas:
      1. mid.probe.collect_debug_info : Esta é uma propriedade opcional do MID Server para coletar informações de depuração.
        Quando esta propriedade é definida como verdadeira, o MID Server coleta informações de depuração de credenciais e as coloca na carga da mensagem de entrada ECC. Isso não afeta como o JEA funciona.
      2. descoberta.log_debug_info : Esta é uma propriedade opcional do sistema para coletar informações de depuração.
        Quando esta propriedade é definida como verdadeira, o sensor de descoberta extrai as informações de depuração da mensagem de entrada ECC e as grava na tabela de log de descoberta, de modo que as informações de depuração fiquem visíveis ao inspecionar o status da descoberta.