Segurança do Windows

Este tópico descreve os grupos e as contas de segurança do Windows Server que o Windows Server AppFabric cria e aproveita. Esses grupos oferecem a implementação física das funções de segurança conceitual definidas pelo sistema AppFabric.

Dois grupos de segurança são criados pelo AppFabric durante a instalação: COMPUTERNAME\AS_Administrators e COMPUTERNAME\AS_Observers. AppFabric também utiliza as contas NT AUTHORITY\Local Service e BUILTIN\IIS_IUSRS incorporadas do Windows. NT AUTHORITY\Local Service funciona na identidade de login para o Serviço de Coleta de Eventos e o Serviço de Gerenciamento de Fluxo de Trabalho. A conta BUILTIN\IIS_IUSRS é usada como uma conta de login do SQL Server para a identidade do pool de aplicativos de serviços NET com o banco de dados de persistência. As tarefas relacionadas ao administrador de sistema do AppFabric, como implantar aplicativos e configurar segurança de sistema de arquivos, requerem associação no grupo local de Administradores.

Funções de Segurança Conceituais do AppFabric

Modele sua solução de segurança classificando seus usuários em uma das três funções de segurança conceituais do AppFabric: Administradores de servidor de aplicativos, Observadores de servidor de aplicativos e Usuários de servidor de aplicativos. Essas três funções de segurança conceituais contêm permissões específicas para suporte de administradores, observadores e usuários, respectivamente. Você pode comparar usando as funções de segurança conceituais do AppFabric para criar um fluxograma lógico simples no início do desenvolvimento de um programa de computador. Ao concluir o projeto conceitual primeiro, a implementação física torna-se um processo mais simples e mais rápido. Depois, você pode guiar os usuários atribuídos a cada função e mapeá-los inicialmente em contas e grupos de segurança do Windows e em funções de banco de dados do SQL Server. Para obter mais informações sobre as funções de segurança conceituais do AppFabric, consulte Modelo de segurança para o Windows Server AppFabric.

Grupos de segurança do AppFabric Windows

Grupo de administradores do AppFabric

O grupo de segurança do Windows de administradores do AppFabric, AS_Administrators, oferece a você controle total sobre configuração, monitoramento e persistência do aplicativo. Os membros do grupo podem:

  • Suspender, reiniciar, encerrar e excluir instâncias persistidas

  • Criar e remover origens de eventos e coletores de eventos

  • Exibir, expurgar e arquivar dados de monitoramento

Os serviços NT do sistema AppFabric (Serviço de Coleta de Eventos e Serviço de Gerenciamento de Fluxo de Trabalho) automatizam tarefas de gerenciamento do AppFabric, como coletar eventos e recuperar instâncias depois de uma falha ou reinicialização do sistema. A configuração do AppFabric designa NT AUTHORITY\Local Service como a conta de login para Serviço de Coleta de Eventos e Serviço de Gerenciamento de Fluxo de Trabalho. Durante a configuração, a conta NT AUTHORITY\Local Service também é colocada como membro do grupo de segurança local COMPUTERNAME\AS_Administrators. Isso garante que os serviços do sistema do AppFabric tenham as permissões adequadas para executar suas operações.

Observação

Outros serviços NT também podem usar o LocalService como conta de login. Para evitar que qualquer serviço executado como a conta LocalService tenha permissão para todos os outros serviços executados como essa mesma identidade de conta, o Windows usa o conceito de um SID conforme cada serviço. Isso significa que Serviço de Coleta de Eventos e Serviço de Gerenciamento de Fluxo de Trabalho usam uma conta de proxy em LocalService para o grupo de segurança local COMPUTERNAME\AS_Administrators. As contas estão no formato NT SERVICE\AppFabricEventCollectionService e NT SERVICE\AppFabricWorkflowManangementService e serão vistas no grupo de segurança local COMPUTERNAME\AS_Administrators após a conclusão da instalação.

Atributo Valor

Nome

COMPUTERNAME\AS_Administrators

Direitos

  • Ler/administrar dados de persistência

  • Ler/gravar/administrar dados de monitoramento

  • Ler informações da configuração

  • Aplicativos de comando

  • Cadastrar-se em eventos

Membros padrão

NT AUTHORITY\Local Service representado por NT SERVICE\AppFabricEventCollectionService e NT SERVICE\AppFabricWorkflowManangementService

Membro padrão de

Nenhuma

Grupo de observadores do AppFabric

O grupo de segurança do Windows Observadores do Servidor de Aplicativos, AS_Observers, oferece a você visibilidade total sobre dados de persistência e de monitoramento do aplicativo. Os Observadores de servidor de aplicativos (AS_Observers) podem:

  • Enumerar aplicativos e serviços

  • Exibir a configuração do aplicativo e do serviço

  • Exibir dados de monitoramento

  • Examinar instâncias persistidas

Importante

Por padrão, os membros do grupo de segurança Observadores do servidor de aplicativos podem exibir os dados de persistência e rastreamento para todos os aplicativos no servidor local ou no domínio.

Atributo Valor

Nome

COMPUTERNAME\AS_Observers

Direitos

  • Ler dados de persistência

  • Ler dados de monitoramento

  • Ler informações da configuração

Membros padrão

Nenhuma

Membro padrão de

Nenhuma

Grupo de usuários do AppFabric

Atribua contas de identidade de pool do aplicativos IIS para essa função, a fim de permitir que aplicativos usem locais de armazenamento de persistência compartilhados e serviços de sistema compartilhados, como temporizadores. A função Usuários de servidor de aplicativos é atribuída ao grupo de segurança do IIS BUILTIN\IIS_IUSRS. Para obter mais informações sobre o grupo incorporado IIS_IUSRS, consulte IIS 7.0: Configurar segurança de servidor da Web (https://go.microsoft.com/fwlink/?LinkID=131918).

Devido a esse escopo local, o grupo BUILTIN\IIS_IUSRS não é usado dentro de um ambiente de domínio. Conforme você desenvolve seu modelo de segurança de domínio, os tipos de membros que estariam no grupo BUILTIN\IIS_IUSRS com escopo local serão substituídos pelas identidades de aplicativo dos pools de aplicativos do IIS que hospedam serviços NET WCF e WF em um grupo de usuários de domínio.   Como as contas de domínio não são criadas pelo programa de instalação do AppFabric, você precisará criar manualmente um representante de nível de domínio do BUILTIN\IIS_IUSRS. Por exemplo, você pode criar o grupo MyDomain\MyDomainASUsers e adicionar as identidades de domínio dos pools de aplicativos do IIS do AppFabric a esse grupo. Ao configurar a persistência do AppFabric, você especificará esse grupo  (MyDomain\MyDomainASUsers), conforme apropriado. Isso ocorre ao fornecer entrada no campo Usuários dentro da seção Configuração de segurança da caixa de diálogo Configuração do Repositório de Persistência ou no campo –Users dentro do cmdlet Initialize-ASPersistenceSqlDatabase.  Fazer isso adicionará o login de SQL MyDomain\MyDomainASUsers ao banco de dados de persistência do AppFabric.  No tempo de execução, as identidades dos pools de aplicativos do IIS terão permissão para o banco de dados de persistência na função System.Activities.DurableInstancing.InstanceStoreUsers. Para obter mais informações sobre como configurar o grupo Usuários durante a configuração usando o cmdlet Initialize-ASPersistenceSqlDatabase, consulte Criar e inicializar um banco de dados usando cmdlets do Windows Server AppFabric. Para obter mais informações sobre como configurar o grupo Usuários durante a configuração usando o Assistente de Configuração do Windows Server AppFabric, consulte Assistente de Configuração do Windows Server AppFabric. Para obter informações sobre a diferença na identidade padrão do pool de aplicativos do IIS 7 para o IIS 7.5, consulte Identidades do pool de aplicativos (a página pode estar em inglês).

Atributo Valor

Nome

BUILTIN\IIS_IUSRS

Direitos

  • Ler/gravar dados de persistência

  • Publicar eventos

  • Ler informações da configuração

Grupo Administradores do sistema Windows

Atribua usuários ao grupo normal Administradores do sistema Windows para permitir que eles implantem e retirem a implantação de aplicativos usando ferramentas como o Gerenciador de IIS ou MSDeploy. A associação nesse grupo também permite a edição do servidor, site ou configuração do aplicativo.

Atributo Valor

Nome

COMPUTERNAME\Administrators

Direitos

Controle total sobre arquivos, diretórios e configuração de aplicativos.

Segurança de domínio do AppFabric

Ao usar mais de um servidor do AppFabric em um web farm, é uma prática recomendável trocar a segurança dos grupos locais de segurança AS_Administrators e AS_Observers Windows criados durante a instalação em um único computador para usar seus equivalentes de domínio em vários computadores. As contas e grupos de segurança de domínio devem ser configurados corretamente antes que você possa configurar com êxito o AppFabric em servidores de web farm. Se você estiver usando o Active Directory, será possível criar suas funções de segurança do AppFabric, usando as contas do domínio para simplificar a segurança nos computadores.  O administrador do AppFabric pode criar explicitamente duas contas de grupo personalizadas no Active Directory para as funções de administradores e observadores. Por exemplo, você pode chamá-las de “DOMAIN\MyAppFabricAdmins” e “DOMAIN\MyAppFabricObservers”.   O administrador pode então conceder permissões administrativas ao grupo DOMAIN\MyAppFabricAdmins no computador que está usando o AppFabric. Isso também pode ser feito com “DOMAIN\MyAppFabricObservers”.

Os grupos local AS_Administrators e AS_Observers criados durante a instalação do AppFabric em um único servidor não são usados para proteger um web farm usando vários servidores do AppFabric. Você terá que usar contas de domínio. Observe que os programas de instalação e configuração do AppFabric não criarão nenhuma conta de domínio para você, assim, você deverá criá-las manualmente usando o Active Directory. Crie grupos de segurança de domínio do Windows que representam cada uma das funções conceituais do AppFabric (Administradores, Observadores e Usuários). Conceda aos usuários atribuídos a esses grupos os privilégios apropriados associados a cada função conceitual do AppFabric, mas no nível de escopo do domínio. Você terá que especificá-los durante o processo de configuração do AppFabric.

As identidades de serviço nas quais o Serviço de Coleta de Eventos e o Serviço de Gerenciamento de Fluxo de Trabalho serão executados nos diversos servidores no web farm devem estar no grupo de administradores de domínio do AppFabric. Normalmente, isso inclui a conta de usuário de administrador de domínio do AppFabric. O privilégio “Login como um serviço” deve ser concedido aos usuários desse grupo e reforçado no domínio. Esse direito permite que uma entidade de segurança faça login como um serviço. Qualquer serviço executado em uma conta de usuário separada deve ser atribuído ao direito.

  2011-12-05