监视 CIS 强化设备

CIS 强化设备在提高网络的整体安全性方面大有帮助。CIS 强化对应于根据 CIS（互联网安全中心）提供的基准来加强软件组件中的安全性。它可能意味着从禁用未使用的端口和服务到限制访客对系统的访问。

 

监视启用 CIS 的设备需要向网络监视软件提供特殊权限。请按照以下步骤在OpManager中启用对CIS强化设备的监控：

1. 通过 ICMP 监控可用性
2. 通过SNMP进行监控
3. 通过 WMI 进行监控
   • 3.1 在防火墙中启用 WMI 流量、DCOM、WMI、回调接收器和出站连接。
   • 3.2 允许使用受限权限进行远程 WMI 访问
   • 3.3 设置 Windows 服务监视的 Service Control Manager 安全性权限

1. 通过ICMP监控可用性

要通过 ICMP 监控设备可用性，我们首先必须在防火墙中启用对 ICMP v4 协议的访问。以下是在被监控设备中启用 ICMP 的步骤：

1. 在被监控的设备中，以管理员模式打开命令提示符。
2. 如果要为OpManager服务器启用防火墙访问，请执行以下命令，将<OpManager_IP>替换为OpManager服务器的IP。

   netsh advfirewall firewall add rule name="OPM_ICMP_RULE" dir=in action=allow enable=yes protocol=ICMPv4 remoteip=<OpManager_IP>


2.通过SNMP监控

要通过SNMP监控您的设备，我们只需要在所有网络设备上配置SNMP服务即可。在此处了解有关如何在网络设备中启用和配置SNMP的更多信息。

3. 通过 WMI 监控

• 3.1 在防火墙中启用 WMI 流量、DCOM、WMI、回调接收器和出站连接。

  
  要使用WMI监控强化设备，必须启用一些连接/协议，OpManager才能访问设备，其中最重要的是允许OpManager的流量（向内和向外）通过防火墙。默认情况下，Windows 防火墙设置中的 WMI 设置配置为仅启用 WMI 连接，而不是允许其他 DCOM 应用程序。我们必须在 WMI 的防火墙中添加一个例外，该例外允许远程设备接收远程连接请求和异步回调Unsecapp.exe。要在防火墙中启用必要的连接，请根据您的要求在被监控的设备中逐个执行以下命令。
  
  
  1. 要为DCOM端口135建立防火墙例外，请使用以下命令：
     
     OpManager服务器的防火墙访问：
     
     

     netsh advfirewall firewall add rule dir=in name="OPM_DCOM_CIS" program=%systemroot%\system32\svchost.exe service=rpcss action=allow protocol=TCP localport=135 remoteip=<OpManager_server_IP>

  2. 要为WMI服务建立防火墙例外，请使用以下命令：
     
     OpManager服务器的防火墙访问：
     
     

     netsh advfirewall firewall add rule dir=in name ="OPM_WMI_CIS" program=%systemroot%\system32\svchost.exe service=winmgmt action = allow protocol=TCP localport=any remoteip=<OpManager_server_IP>

  3. 要为从远程计算机接收回调的接收器建立防火墙例外，请使用以下命令：
     
     OpManager服务器的防火墙访问：
     
     
     

     netsh advfirewall firewall add rule dir=in name ="OPM_UnsecApp_CIS" program=%systemroot%\system32\wbem\unsecapp.exe action=allow remoteip=<OpManager_server_IP>

  4. 要为本地计算机异步通信的远程计算机的出站连接建立防火墙例外，请使用以下命令：
     
     OpManager服务器的防火墙访问：
     
     

     netsh advfirewall firewall add rule dir=out name ="OPM_WMI_OUT_CIS" program=%systemroot%\system32\svchost.exe service=winmgmt action=allow protocol=TCP localport=any remoteip=<OpManager_server_IP>

  1. 3.2 允许具有受限权限的远程 WMI 访问：

     通过使用 lusrmgr.msc 将必要的用户帐户添加到“分布式 COM 用户”和“性能监视器用户”组，然后配置 DCOM 安全设置以允许这些组远程访问系统（使用 dcomcnfg），可以将常规 Windows 用户配置为访问 WMI 信息。

     注意：这些配置需要在要监视的客户端设备的用户配置文件中执行。

     在“本地用户和组”设置中配置分布式 COM 用户：

     首先，我们将在本地用户设置中添加 DCOM 用户组。

     1. 1. 单击“开始→运行”，键入 lusrmgr.msc，然后单击“确定”。
     2. 2. 在“用户”文件夹中，右键单击用户以调出菜单，然后选择属性。
     3. 3. 单击成员选项卡，然后单击添加。
     4. 4. 在“输入要选择的对象名称”下，键入Distributed COM Users（不带引号），单击检查名称，然后单击OK（确定）。
     5. 5. 单击添加。
     6. 6. 对性能监视器用户组和事件日志读取者组重复步骤 3-5。

     配置 DCOM 安全设置以允许组远程访问系统：

     接下来，我们将向用户组（分布式 COM 用户和性能监视器用户）提供基本访问权限，以便能够远程控制设备。

     7. 7. 单击开始→运行，键入 dcomcnfg，然后单击“确定”。
     8. 8. 向下钻取到组件服务”树，直到进入“我的电脑”。右键单击我的电脑以调出菜单，然后单击属性。
     9. 9. 单击“COM 安全”选项卡，然后单击启动和激活权限部分下的编辑限制。
     10. 10. 单击“添加”。
     11. 11. 在“输入要选择的对象名称”下，键入Distributed COM Users（不带引号），单击检查名称然后单击OK（确定）。
     12. 12. 单击添加。
     13. 13. 对性能监视器用户组重复步骤 9-12。
     14. 14. 选中每个组的每个权限（本地启动、远程启动、本地激活、远程激活）的允许，然后单击确定。

     设置要应用于所有命名空间的 WMI 控件安全设置：

     最后，为两个用户组的所有命名空间下的所有类提供访问权限，以使OpManager能够使用WMI获取这些数据。

     15. 15. 单击开始→运行，键入 wmimgmt.msc，然后单击“确定”。
     16. 16. 右键单击“WMI 控件（本地）”以调出菜单，然后单击属性。
     17. 17. 单击“安全”选项卡，然后单击根，然后单击安全按钮。
     18. 18. 单击添加。
     19. 19. 在“输入要选择的对象名称”下，键入Distributed COM Users（不带引号），单击检查名称，然后单击确定。
     20. 20. 确保选中“分布式 COM 用户”组，然后单击高级。
     21. 21. 突出显示包含分布式 COM 用户的行，然后单击编辑。
     22. 22. 从适用于下拉列表中，选择此命名空间和子命名空间。
     23. 23. 在“允许”列下，选中执行方法”、“启用帐户和远程启用，然后单击确定。
     24. 24. 对性能监视器用户组重复步骤 17-23。
     25. 25. 单击确定关闭所有窗口。

      

  2. 3.3 设置对 Service Control Manager Security for Windows Service Monitoring 的权限：

     如果要监视 Windows 服务监视器是否已启动/关闭，则需要向 SCManager 授予权限。对 Windows 服务的访问由服务控制管理器的安全描述符控制，默认情况下，该描述符对强化的操作系统是有限的。下面提到的步骤将在用户级别授予对服务控制管理器的远程访问，以获取服务器上的服务列表。

     1. 检索用户帐户的用户 SID
        1. 在被监控的设备中，以管理员模式打开命令提示符。
        2. 运行以下命令以检索用户 SID。将 UserName 替换为用户帐户的用户名。

     1. wmic useraccount where name="UserName" get name,sid

        
        示例:
        
        

        wmic useraccount where name="administrator" get name,sid

        1. 记下 SID。（例如 S-1-0-10-200000-30000000000-4000000000-500）
     2. 检索 SC Manager 的当前 SDDL
        1. 运行以下命令，将 SC Manager 的当前 SDDL 保存到CurrentSDDL.txt。
           
           

           sc sdshow scmanager > CurrentSDDL.txt

           1. 编辑CurrentSDDL.txt并复制整个内容。
           2. SDDL 将如下所示：
              
              

              D:(A;;CC;;;AU)(A;;CCLCRPRC;;;IU)(A;;CCLCRPRC;;;SU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA)(A;;CC;;;AC)S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD)

     3. 更新 SDDL：
        1. 为上述 SID 构建新的 SDDL 代码段
           
           

           (A;;CCLCRPWPRC;;;<SID of User>)

           
           Ex.
           
           

           (A;;CCLCRPWPRC;;;S-1-0-10-200000-30000000000-4000000000-500)

           1. 现在将此代码片段放在原始 SDDL 的“S：”之前。
           2. 更新后的 SDDL 将如下所示：
              
              

              D:(A;;CC;;;AU)(A;;CCLCRPRC;;;IU)(A;;CCLCRPRC;;;SU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA)(A;;CC;;;AC)(A;;CCLCRPWPRC;;;S-1-0-10-200000-30000000000-4000000000-500)S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD)

     4. 最后，使用更新的 SDDL 执行以下命令：
        
        

        sc sdset scmanager D:(A;;CC;;;AU)(A;;CCLCRPRC;;;IU)(A;;CCLCRPRC;;;SU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA)(A;;CC;;;AC)(A;;CCLCRPWPRC;;;S-1-0-10-200000-30000000000-4000000000-500)S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD)

        
        这将向用户授予以下权限：
        CC - 获取服务的当前配置
        LC - 获取服务的当前状态
        RP - 读取属性/启动服务
        WP - 写入属性/停止服务
        RC - 读取安全描述符。