Verwenden Sie diese Task, um die Sicherheitsprüfung in Ihrer Umgebung mit dem Tool "wsadmin" zu aktivieren und zu konfigurieren. Die Sicherheitsprüfung unterstützt die Verfolgung und Archivierung prüfbarer Ereignisse.
Vorbereitende Schritte
Bevor Sie die Sicherheitsprüfung aktivieren, aktivieren Sie die Verwaltungssicherheit in Ihrer Umgebung.
Wenn Sie die Sicherheitsprüfung bereits aktiviert haben und die Konfigurationseinstellungen nicht ändern möchten,
verwenden Sie die Befehle "enableAudit" und "disableAudit", um die Sicherheitsprüfung zu starten bzw. zu stoppen.
Nach dem Aktivieren oder Inaktivieren der Sicherheitsprüfung müssen Sie den Server erneut starten, um die Konfigurationsänderungen anzuwenden.
Informationen zu diesem Vorgang
Die Sicherheitsprüfung gewährleistet die Integrität einer Sicherheits-IT-Umgebung.
Bei der Sicherheitsprüfung
werden Authentifizierungs-, Berechtigungs-, Systemverwaltungs-, Sicherheits- und Prüfrichtlinienereignisse
in Prüfereignisdatensätzen erfasst und protokolliert.
Sie können Prüfereignisdatensätze analysieren, um mögliche Sicherheitsverletzungen, Sicherheitsbedrohungen
Attacken und potenzielle Schwachstellen in der Sicherheitskonfiguration Ihrer Umgebung festzustellen.
Verwenden Sie die folgenden Schritte, um die Sicherheitsprüfung in Ihrer Umgebung zu aktivieren und zu konfigurieren:
Vorgehensweise
- Starten Sie das Scripting-Tool "wsadmin" mit der Scripting-Sprache Jython.
Weitere Informationen finden Sie im Artikel "wsadmin-Scripting-Client starten".
- Vergewissern Sie sich, dass das Subsystem für die Sicherheitsprüfung konfiguriert ist.
Zum Aktivieren der Sicherheitsprüfung müssen Sie Ereignisfilter, einen Prüf-Emitter und eine Prüfereignisfactory konfigurieren.
Ereignisfilter geben die vom System geprüften und aufgezeichneten Ereignistypen und das Ergebnis des Ereignisses an.
Der Prüf-Service-Provider schreibt die Prüfdatensätze in das Back-End-Repository, das der Implementierung zugeordnet ist.
Die Prüfereignisfactory generiert Sicherheitsereignisse.
Standardmäßig enthält das Sicherheitsprüfsystem einen Prüf-Service-Provider und eine Prüfereignisfactory.
Die Prüfbefehlgruppen enthalten verschiedene Befehle, mit denen Sie Ereignisfilter, Prüf-Emitter, Ereignisfactorys
und die zugehörigen Konfigurationsattribute abfragen können.
Informationen zur Verwendung der jeweiligen Abfragebefehle finden Sie in der Referenzdokumentation zu den Prüfbefehlen.
Die folgenden Beispielbefehle fragen Ihre Sicherheitsprüfkonfiguration auf eine hohen Ebene ab.
- Verwenden Sie den Befehl "getAuditFilters", wie im folgenden Beispiel gezeigt, um eine Liste mit Referenzen auf alle Prüffilter
anzuzeigen, die in Ihrer Konfiguration definiert sind:
AdminTask.getAuditFilters()
- Verwenden Sie den Befehl "listAuditEmitters", wie im folgenden Beispiel gezeigt, um eine Liste mit allen Prüf-Emittern in Ihrer Konfiguration anzuzeigen:
AdminTask.listAuditEmitters()
- Verwenden Sie den Befehl "listAuditEventFactories", wie im folgenden Beispiel gezeigt, um eine Liste mit allen Prüfereignisfactorys in Ihrer Konfiguration
anzuzeigen:
AdminTask.listAuditEventFactories()
- Aktivieren Sie die Sicherheitsprüfung in Ihrer Umgebung. Verwenden Sie den Befehl "modifyAuditPolicy", um die Sicherheitsprüfung in Ihrer Umgebung zu aktivieren.
Tabelle 1. Befehlsparameter. Verwenden Sie die folgenden optionalen Parameter für den Befehl "modifyAuditPolicy", um Ihre Sicherheitsprüfkonfiguration
anzupassen:Parameter |
Beschreibung |
Datentyp |
Erforderlich |
-auditEnabled |
Gibt an, ob die Sicherheitsprüfung aktiviert werden soll. |
Boolean |
Nein |
-auditPolicy |
Gibt das Verhalten des Serverprozesses beim Scheitern des Prüfsubsystems an.
Die gültigen Werte sind WARN, NOWARN und FATAL.
Bei der Einstellung WARN wird der Benutzer mit der Rolle "Auditor" (Prüfung) benachrichtigt, wenn ein Fehler im Prüfsubsystem auftritt.
Die Prüfung wird gestoppt, aber der Anwendungsserverprozess wird fortgesetzt.
Bei der Einstellung NOWARN wird der Benutzer mit der Rolle "Auditor" (Prüfung) nicht benachrichtigt, wenn ein Fehler im Prüfsubsystem auftritt.
Die Prüfung gestoppt, aber der Anwendungsserverprozess wird fortgesetzt.
Bei der Einstellung FATAL wird der Benutzer mit der Rolle "Auditor" (Prüfung) über den Fehler benachrichtigt, und der Anwendungsserverprozess wird gestoppt.
Standardmäßig verwendet der Befehl die Einstellung NOWARN. |
String |
Nein |
-auditorId |
Gibt die ID des Benutzers an, dem die Rolle "Auditor" (Prüfung) zugeordnet wird. |
String |
Nein |
-auditorPwd |
Gibt das Kennwort für die Rolle "Auditor" (Prüfung) an. |
String |
Nein |
-sign |
Gibt an, ob Prüfdatensätze signiert werden sollen. Standardmäßig
signiert das Sicherheitsprüfsystem keine Prüfdatensätze. Sie müssen die Signatur von Prüfdatensätzen
konfigurieren, bevor Sie diesen Parameter angeben können. |
Boolean |
Nein |
-encrypt |
Gibt an, ob Prüfdatensätze verschlüsselt werden sollen. Standardmäßig
verschlüsselt das Sicherheitsprüfsystem keine Prüfdatensätze. Sie müssen die Verschlüsselung von Prüfdatensätzen
konfigurieren, bevor Sie diesen Parameter angeben können. |
Boolean |
Nein |
-verbose |
Gibt an, ob ausführliche Prüfdaten erfasst werden sollen. Standardmäßig
erfasst das Sicherheitsprüfsystem keine ausführlichen Prüfdaten. |
Boolean |
Nein |
-encryptionCert |
Gibt die Referenz-ID des für die Verschlüsselung zu verwendenden Zertifikats an.
Geben Sie diesen Parameter an, wenn Sie den Parameter "-encrypt" auf true setzen. |
String |
Nein |
Der folgende Beispielbefehl aktiviert die Sicherheitsprüfung und gibt den primären Benutzer in der Rolle "Auditor" durch Zuordnung einer Benutzer-ID und eines Kennworts an.
AdminTask.modifyAuditPolicy('-auditEnabled true -auditorId securityAdmin -auditorPwd security4you')
- Sichern Sie die Konfigurationsänderungen.
Verwenden Sie den folgenden Beispielbefehl, um Ihre Konfigurationsänderungen zu speichern:
AdminConfig.save()
- Starten Sie den Server erneut.
Ergebnisse
Nachdem Sie die Schritte zum Aktivieren und Konfigurieren der Sicherheitsprüfung ausgeführt haben,
überprüft das gewünschte Profil Ihre Sicherheitskonfigurationen auf bestimmte Typen prüfbarer Ereignisse.
Nächste Schritte
Nach der Erstkonfiguration der Prüfrichtlinie verwenden Sie die Befehle "enableAudit" und "disableAudit", um
das Sicherheitsprüfsystem zu aktivieren bzw. zu inaktivieren.
Das System verwaltet die Einstellungen, die Sie mit dem Befehl "modifyAuditPolicy" definieren, wenn Sie das
Sicherheitsprüfsystem aktivieren und inaktivieren.
Anmerkung: Sie müssen den Server erneut starten, damit die Konfigurationsänderungen angewendet werden.