;?>

Feed Rss

System Center 2012 R2 DPM Güvenlik Planlaması

02.28.2014, Makale, System Center Data Protection Manager, by , .

SCDPM 2012 R2 network üzerinde yüksek ayrıcalıklı bir sunucu olarak çalışır. DPM sunucunun güvenliğini sağlamak için, DPM sunucu mimarisini oluşturan Active Directory Domain Services, SQL Server, SQL Server Reporting Servislerinin güvenlik özelliklerinin doğru yapılandırılması gerekmektedir.

DPM sunucu güvenlik mimarisini korumak için:

  • Tüm varsayılan güvenlik ayarları kabul edilmeli
  • DPM sunucu üzerine gereksiz yazılımlar yüklenmemeli
  • DPM kurulduktan sonra güvenlik ayarları değiştirilmemeli. Özellikle SQL Server , IIS ve DCOM ayarları veya DPM sunucu kurulumu sırasında oluşturulan local user ve gruplar değiştirilmemeli.
  • Uzak SQL Server Local System olarak çalıştırılmamalı.

DPM sunucu üzerine gereksiz yazılımların yüklenmesi ve default güvenlik ayarlarının değiştirilmesi DPM güvenliği tarafında ciddi tehlikelere neden olabilir.

Checklist for computer security

Antivirüs yazılımlarının yapılandırılması

DPM sunucu en popüler antivirüs yazılımları ile uyumludur. Ancak antivirüs yazılımları DPM server performansını etkileyebilir ve düzgün yapılandırılmazsa ise DPM serverin korumuş olduğu Replika ve Recovery Pointlerin bozulmasına neden olabilir.

Virüsler için Real-Time izleme yapılandırılma:

DPM Server üzerindeki performans kayıplarını önlemek için Microsoft Data Protection Manager\DPM\bin klasörünün içerisinde Dpmra.exe çalışmaktadır real-time monitoring kapsamında bulundurulmaması gerekir. Hatta Windows\Microsoft.net\Framework\v2.0.50727. ‘de bulunan csc.exe’de real time monitoring’den hariç tutulmalıdır.

Firewall yapılandırması:

Network yapılandırmasına bağlı olarak, DPM server, korunan bilgisayarlar ve domain controller’ler arasında iletişim kurulan portları firewall tarafında yapılandırmak gerekir. Aşağıdaki tabloda DPM sunucu ve iletişim kuruduğu diğer sistemler arası yapılandırılması gereken portlar belirtilmiştir.

Protokol

Port

Açılama

DCOM

135/TCP Dynamic

DPM sunucu ve Agentler arası karşılıklı.

TCP

5718/TCP
5719/TCP

DPM sunucu ve Agentler arası karşılıklı.

DNS

53/UDP

DPM sunucu ve Domain Controller arası ve Agentler ile Domain Controller Arası.

Kerberos

88/UDP

88/TCP

DPM sunucu ve Domain Controller arası ve Agentler ile Domain Controller Arası.

LDAP

389/TCP
389/UDP

DPM sunucu ve Domain controller arası.

NetBIOS

137/UDP
138/UDP
139/TCP
445/TCP

DPM ve Agentler, DPM ve Domain Controller, Agentler ve Domain Controller arası.

 

Uygun Kullanıcı Ayrıcalıklarının Verilmesi

DPM sunucu kurulumuna geçmeden önce DPM sunucu üzerindeki belli görevlerin gerçekleştirilebilmesi için uygun kullanıcı haklarının verilmiş olması gerekmektedir.

Aşağıdaki tabloda belli görevleri gerçekleştirmek için kullanıcı üzerinde verilmesi gereken yetkiler belirtilmiştir

Görev

Gerekli Yetki

DPM sunucuyu Active Directory’e dahil etmek

Domain Administrator Account veya domaine bilgisayar ekleme yetkisine sahip bir kullanıcı

DPM sunucuyu yüklemek

DPM server üzerinde Administrator hesabı.

Bilgisayar üzerine DPM agent yüklemek

Agent yüklenecek bilgisayar üzerindeki local administrator grubuna üye bir domain hesabı

DPM administrator konsolunu açmak

DPM server üzerinde Administrator hesabı.

End-user-recovery etkinleştirmek için ADDS schema extend etmek

Domainde schema administrator yetkisine sahip kullanıcı

End-user-recovery için AD içerisinde OU oluşturmak

Domain administrator yetkisine sahip bir kullanıcı

DPM server OU içeriğini değiştirme izni vermek

Domain administrator yetkisine sahip bir kullanıcı

DPM server üzerinde end-user-recovery özelliğini etkinleştirmek

DPM server üzerinde Administrator hesabı.

Client bilgisayarı üzerinde recovery point client yazılımını yüklemek

Kullanıcı bilgisayarı üzerinde local administrator yetkisi

Kullanıcı bilgisayarında korunan datanın önceki sürümlerine erişmek

DPM server üzerindeki korunan paylaşıma erişim yetkisi olan kullanıcı hesabı

Share point Services datalarını recovery etmek

Windows Share Point Services farm administrator account, aynı zamanda agent yüklü olan front-end web serverler üzerinde administrator yetkisi.

Kaynak : System Center 2012 R2 Data Protection Manager (DPM) Documentation

Ka®a

Mustafa Kara (1451 Posts)

Mustafa Kara, 1981 yılında Adana'da doğdu. Üniversite öncesi tüm öğrenimini Mersin'de tamamladı. Anadolu Üniversitesi mezunudur. İşletme Yüksek Lisansını (MBA) , Maltepe Üniversitesinde ve Bilgisayar Mühendisliği Yüksek Lisansını da Okan Üniversitesinde gerçekleştirmiştir. Eskişehir'de okuduğu yıllarda Anadolu Üniversitesi Bilgisayar Araştırma Uygulama Merkezi Bilgi işlem departmanında çalışma hayatına başladı. Üniversite sonrası İstanbul'da kendi iş dallarının öncü firmalarında görev aldı. Uzun yıllar boyunca BilgeAdam BTA ve Kurumsal‘da Sistem ve Network Eğitmeni, Kıdemli Danışman ve Birim Müdürü görevlerinde bulundu. Sonrasında COMPAREX Türkiye'de Teknik Müdür olarak çalışmıştır. Şu anda SimpliX Teknoloji Hizmetlerinde Bulut ve Güvenlik Çözümleri Direktörü olarak çalışmaktadır. Uzmanlık alanı olan Microsoft altyapı, yönetim ve iletişim ürünleri, Azure, M365 ve AWS bulut teknolojileri Veeam, Nakivo gibi yedekleme çözümleri ile sanallaştırma teknolojilerinde mimari düzeyde bilgi ve deneyime sahiptir. Ayrıca yeni nesil güvenlik çözümleri üzerine eğitim ve danışmanlık vermekte olup 15 yıldan daha fazla süredir birçok kişi ve firmaya binlerce saat teknik eğitim vermiştir. Kamu ve özel sektördeki kuruluşlara projeler gerçekleştirmiş ve bu projelerin bazıları Microsoft tarafında Case Study olarak duyurulmuştur. Türkiye'nin en büyük bilişim portallarında yazıları yayınlanmakta olup MSHOWTO Topluluk Lideri görevini üstlenmektedir. Üniversitelerde seminerler vermekte olup birçok teknoloji üreticisinin lansmanında uzman konuşmacı olarak yer almıştır. 2010 yılında çeşitli topluluklarda yapmış olduğu çalışmalar neticesinde Microsoft tarafından MVP ünvanına layık görülmüş olup günümüzde de bu ünvanı koruma başarısını göstermektedir. Sahip olduğu sertifikalar: MVP, MCT, AWS SA, Azure Administrator, Azure Security Engineer, Azure Solution Architect, MCITP, MCTS, MCDBA, MCSE+S+M, MCSA+S+M, MCDST, MCP, CCDA, CCNA, HP AIS, HP APS ve CompTIA A+'dır.


Bir cevap yazın

E-posta hesabınız yayımlanmayacak.