Recomendações gerais de segurança do PI AF

• Requisitos de segurança dos coletivos PI AF

• Configuração de segurança da conta do serviço de aplicativo PI AF • Configurar o banco de dados PI AF e SQL em domínios não confiáveis • PI AF Clients e autenticação do Windows

• Configurações de segurança do recurso AF Link para PI

Recomendações gerais de segurança do PI AF

Este tópico contém recomendações gerais de segurança do PI AF:

• O Mecanismo de Banco de Dados do SQL Server deve ser executado em uma conta com poucos privilégios. Algumas versões do SQL Server, por padrão, executarão esse serviço com a identidade Sistema Local, mas o NetworkService ou o Serviço Local são uma escolha mais adequada; uma conta com privilégios limitados criada especificamente para esse fim é ainda melhor.

• Não conceda privilégios administrativos à identidade na qual o serviço de aplicativo PI AF é executado em qualquer instância do SQL Server.

Nota:

Por padrão, a instalação do PI AF configura a conta do serviço de aplicativo PI AF para ser executada como uma conta virtual, o NT SERVICE\AFService e o SQL Server para conceder privilégios mínimos a esse login.

• Não execute o serviço PI AF na conta Sistema Local, pois isso geralmente concede a ela privilégio sysadmin em qualquer instância local do SQL Server.

O serviço PI AF registra uma mensagem de aviso ao log de eventos AF do Windows se o serviço está em execução em uma conta ou com um login SQL Server com altos privilégios desnecessários.

• Limite o acesso ao arquivo AFService.exe.config dos usuários autorizados. Use a segurança de arquivo e pasta para garantir que apenas os usuários autorizados possam alterar esse arquivo. Isso deve ser limitando o acesso de login ao PI AF Server ou

configurando um descritor de segurança no arquivo AFService.exe.config ou em seu diretório.

• Desabilite Xp_cmdshell e OLE Automation no SQL Server. Um invasor com privilégios sysadmin pode reativar esses recursos.

• Certifique-se de que a conta que está executando o Mecanismo de Banco de Dados do SQL Server não tenha acesso a objetos do Windows não necessários (arquivos, chaves de registros, outros serviços e assim por diante).

• Não conceda aos usuários não administrativos do PI AF privilégios de acesso ao SQL Server em um banco de dados SQL do PI AF, exceto para os administradores do coletivo PI AF, que devem ter privilégio sysadmin em suas contas do Windows.

• Consulte estes documentos de Segurança do Microsoft SQL Server para obter mais informações:

◦ Considerações de segurança para uma instalação do SQL Server (http:// msdn.microsoft.com/en-us/library/ms144228.aspx)

◦ Proteção ao SQL Server (http://msdn.microsoft.com/en-us/library/bb283235.aspx)

Requisitos de segurança dos coletivos PI AF

Por motivos de segurança, as seguintes contas (ou usuários) em um coletivo do PI AF exigem um nível reduzido de permissões:

• Serviço do SQL Server Database Engine • Serviço do SQL Server Agent

• Serviço do PI AF

• Usuário do criador de coletivos do PI AF • Grupo local AFServers

Para obter mais informações sobre os níveis de privilégios mínimos necessários para a replicação, consulte os seguintes artigos da Microsoft:

• Modelo de segurança do agente de replicação (http://technet.microsoft.com/en-us/library/ ms151868(v=sql.105))

• Requisitos de função de segurança para replicação (http://technet.microsoft.com/en-us/ library/ms152528(v=sql.105))

Cada conta de coletivo do PI AF tem os requisitos de acesso a seguir.

SQL Server Database Engine

Componente Ação necessária

Permissões _{• Executar como uma conta de poucos privilégios.}

• Não execute o serviço SQL Server Database Engine com uma conta com privilégios administrativos locais ou de domínio.

SQL Server Agent

Componente Ação necessária

Permissões _{• Executar como uma conta de poucos privilégios.} • Não executar como NetworkService.

PI AF Server principal Nenhuma ação necessária. PI AF Servers

Componente Ação necessária Banco de dados

primário do PI AF SQL • Se ele ainda não existir, crie um login no SQL Server para a conta na qual o_{serviço do SQL Server Agent é executado.} ◦ Atribuir a função de banco de dados do db_owner no banco de dados

do PIFD para essa conta.

◦ Não conceda a função do sysadmin Server a essa conta.

• Atribuir permissão de leitura à pasta \repldata. Caminho de exemplo: C:\Program Files\Microsoft SQL Server\MSSQL10_50.TEST \MSSQL\repldata

Para obter mais informações, consulte Configurar permissões de pasta no servidor primário coletivo do PI AF.

Bancos de dados secundários do PI AF SQL

• Se ele ainda não existir, crie um login no SQL Server para a conta na qual o serviço do SQL Server Agent é executado no primário.

◦ Atribuir a função de banco de dados do db_owner no banco de dados do PIFD para essa conta.

◦ Não conceda a função do sysadmin Server a essa conta.

Serviço do PI AF

A partir do PI AF 2.7, por padrão, o serviço do PI AF é executado em uma conta virtual, NT SERVICE\AFService. Não executar na conta Local System. A melhor prática é usar uma conta de domínio com poucos privilégios, pois essa conta não exige acesso especial ao banco de dados do PI AF SQL. A conta de serviço do PI AF é adicionada ao grupo de segurança local do Windows, que tem o acesso apropriado atribuído a ele no banco de dados do PI AF SQL.

Componente Ação necessária

Permissões _{• Executar como uma conta de poucos privilégios.} • Não executar como Local System.

PI AF Server principal Nenhuma ação necessária. PI AF Servers

secundários Nenhuma ação necessária. Banco de dados

primário do PI AF SQL • No Windows, adicione a conta de domínio na qual o serviço do PI AF é_{executado para o grupo local do AFServers.} • Não crie um login do SQL Server para a conta de serviço do aplicativo PI

AF.

• Não atribua a função de banco de dados db_owner ao banco de dados do PIFD para a conta de serviço do PI AF.

• Não conceda a função do sysadmin Server à conta de serviço do PI AF. Bancos de dados

secundários do PI AF SQL

• No Windows, adicione a conta de domínio na qual o serviço do PI AF é executado para o grupo local do AFServers.

• Não crie um login do SQL Server para a conta de serviço do aplicativo PI AF.

• Não atribua a função de banco de dados db_owner ao banco de dados do PIFD para a conta de serviço do PI AF.

• Não conceda a função do sysadmin Server à conta de serviço do PI AF.

Criador de coletivo do PI AF

Um usuário do domínio, com credenciais do Windows que são autenticadas pelo PI AF, Windows e SQL Server, executa o cliente do PI System Explorer que é usado para criar o coletivo do PI AF.

Componente Ação necessária

Permissões As credenciais que são usadas para criar o coletivo do PI AF são válidas apenas uma vez para criar o coletivo do PI AF. Depois de criar o coletivo do PI AF, você pode remover as permissões especiais.

PI AF Server principal Adicionar as credenciais usadas para criar o coletivo do PI AF no PI System Explorer para o grupo Local Administrators.

PI AF Servers

secundários Adicionar as credenciais usadas para criar o coletivo do PI AF no PI SystemExplorer para o grupo Local Administrators. Banco de dados

primário do PI AF SQL • Se ele ainda não existir, crie um login no SQL Server para a conta de_{domínio do criador de coletivo do PI AF.} • Adicionar as credenciais usadas para criar o coletivo do PI AF no PI

System Explorer para o grupo Local Administrators. • Conceder a função do sysadmin Server a essa conta. Bancos de dados

secundários do PI AF SQL

• Se ele ainda não existir, crie um login no SQL Server para a conta de domínio do criador de coletivo do PI AF.

• Conceder a função do sysadmin Server a essa conta.

Grupo local AFServers

A única conta que deve existir no grupo local AFServers do Windows é a conta na qual o serviço do PI AF é executado.

Nota:

O grupo local AFServers do Windows é tipicamente criado durante a instalação do banco de dados do PI AF SQL. No entanto, se você usar scripts do SQL para instalar o banco de dados do PIFD, você precisará configurar esse grupo de usuários manualmente.

Componente Ação necessária

Permissões Esse grupo nunca deve receber privilégios de administrador local ou do domínio.

PI AF Server principal Nenhuma ação necessária. PI AF Servers

secundários Nenhuma ação necessária. Banco de dados

primário do PI AF SQL • Se ele ainda não existir, crie um login no SQL Server para o grupo local_AFServers. Nota:

A função de banco de dados do db_AFServer para o banco de dados do PIFD_distribution é automaticamente atribuída a essa conta quando o coletivo do PI AF é criado.

• Conceder a função de banco de dados do db_AFServer no banco de dados do PIFD para essa conta.

• Não atribua a função de banco de dados do db_owner no banco de dados do PIFD para essa conta.

• Não conceda a função do sysadmin Server a essa conta. Bancos de dados

secundários do PI AF SQL

• Se ele ainda não existir, crie um login no SQL Server para o grupo local AFServers.

• Conceder a função de banco de dados do db_AFServer no banco de dados do PIFD para essa conta.

• Não atribua a função de banco de dados do db_owner no banco de dados do PIFD para essa conta.

Coletivos PI AF em um domínio ou grupo de trabalho

Qualquer PI AF Server (um computador no qual o serviço de aplicativo PI AF está instalado) em um coletivo PI AF deve estar em um domínio; grupos de trabalho não têm suporte.

Os computadores do banco de dados SQL do PI AF podem estar em um grupo de trabalho ou domínio.

Se os computadores do banco de dados SQL do PI AF estiverem em um grupo de trabalho, será necessário usar uma conta local do Windows que exista no computador executando o PI System Explorer (PSE) para criar o coletivo no computador do SQL Server. As contas devem ter senhas correspondentes, estar no grupo de administradores local do Windows em todos os computadores e ser membro da função sysadmin do SQL Server. Essa conta local será usada para executar o PSE e criar o coletivo PI AF.

Nota:

Se executar o PSE como uma conta de domínio mapeada para sysadmin no SQL Server, mas o SQL Server estiver em um grupo de trabalho, você verá este erro: cannot open service control manager on computer '172.30.86.10'. This

operation might require other privileges. Do you wish to continue?

Verificar as credenciais e as conexões de segurança dos coletivos PI AF

Para assegura que o usuário tenha as permissões de acesso necessárias, e que é possível se conectar a cada SQL Server no coletivo, siga estas etapas:

Procedimento

1. Usando as credenciais do Windows que serão usadas para criar o coletivo, faça login na estação de trabalho em que o coletivo será criado (não faça isso no computador SQL Server) e conecte-se a cada PI AF Server que será parte do coletivo.

2. Na mesma estação de trabalho, verifique se é possível realizar um acesso de compartilhamento de arquivo simples a cada SQL Server:

a. Selecione Iniciar > Executar.

b. Insira \\SQL_Server_computer_name para cada SQL Server.

Isso garante que as credenciais sejam autenticadas para cada SQL Server no nível do Windows.

3. Estabeleça uma conexão para cada SQL Server por meio do SQL Server Management Studio (SSMS) ou sqlcmd.exe.

4. Quando estiver conectado, execute a seguinte consulta:

SELECT IS_SRVROLEMEMBER (‘sysadmin’) "is sysadmin", CURRENT_USER "connected as", SYSTEM_USER "login user" ;

onde

"is sysadmin" retorna 1=true, 0=false "connected as" retorna "dbo"

"login user" retorna o usuário principal do Windows

Não continue até que a conexão e a consulta sejam bem-sucedidas para cada SQL Server que será parte do coletivo PI AF.

Configuração de segurança da conta do serviço de aplicativo

No documento PI Asset Framework. Guia de Instalação e Upgrade de Serviços. Para os Serviços do PI Asset Framework incluído no PI Server 2016 R2 (páginas 171-176)