Безопасность OneAgent в Windows¶

Latest Dynatrace

Для полной автоматизации мониторинга ваших операционных систем, процессов и сетевых интерфейсов Dynatrace требуется привилегированный доступ к вашей операционной системе как при установке, так и при работе.

OneAgent тщательно тестируется, чтобы обеспечить минимальное влияние на производительность вашей системы и соответствие самым высоким стандартам безопасности.

Разрешения¶

OneAgent требует прав администратора в Windows как для установки, так и для работы.

Установка¶

Установщику OneAgent требуются права администратора для:

Создания службы OneAgent.
Изменения определённых ключей реестра.
Установки драйвера захвата пакетов (Npcap или WinPcap) для сбора сетевых метрик. Подробнее см. Драйвер захвата пакетов (pcap).
Установки устройства oneagentmon.

Работа¶

OneAgent требует прав администратора для:

Перечисления всех процессов.
Получения статистики памяти для всех процессов.
Чтения командной строки и среды каждого процесса.
Просмотра описаний исполняемых файлов.
Чтения конфигурации приложений для Apache и IIS.
Просмотра списка библиотек, загруженных для каждого процесса.
Чтения ключей реестра Windows.
Чтения домена приложения .NET для .NET 2.0, 3.0 и 3.5.
Начала мониторинга сетевого трафика.
Анализа исполняемых файлов для обнаружения Go.
Сбора данных мониторинга, связанных с контейнерами Docker.

Изменения операционной системы¶

OneAgent вносит следующие изменения в вашу систему:

Установка¶

Установщик OneAgent изменяет следующие аспекты вашей системы:

Начиная с версии 1.195, учётная запись пользователя для запуска расширений OneAgent не создаётся. Вместо этого используется привилегированная системная учётная запись NT AUTHORITY\SYSTEM. Подробнее см. Пользователь расширения OneAgent.
Создаётся служба Dynatrace OneAgent.
Программа Dynatrace OneAgent регистрируется в Windows Installer.
Устанавливается драйвер oneagentmon и создаётся устройство OneAgentMon. Это необходимо для включения автоматического внедрения в процессы.
Создаются поддеревья реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Dynatrace\OneAgent
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oneagentmon
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dynatrace OneAgent
HKEY_LOCAL_MACHINE\SOFTWARE\Caphyon\Advanced Installer
Устранение неполадок: сбой инициализации Network Agent в Windows
Драйвер Npcap устанавливается с флагом /admin_only, который ограничивает чтение и запись пакетов Npcap только пользователями с правами администратора. Непривилегированные пользователи не могут использовать функциональность Npcap на отслеживаемом хосте. Обратите внимание, что WinPcap не предлагает такого ограничения. Подробнее см. Настройка установки OneAgent в Windows.

Убедитесь, что следующие операции Npcap и WinPcap разрешены в настройках безопасности вашей системы:

Npcap: Запись значений реестра в SYSTEM\CurrentControlSet\Services\npcap
Npcap: Чтение и запись значений реестра в SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\NpcapInst
Winpcap: Чтение и запись значений реестра в SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\WinPcapInst и SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WinPcapInst
Npcap и Winpcap: Загрузка wpcap.dll и packet.dll, расположенных в C:\WINDOWS\system32\Npcap / C:\WINDOWS\system32\WinPcap
Npcap и Winpcap: Чтение значений реестра для текущих сетевых интерфейсов в SYSTEM\CurrentControlSet\Control\Network\{Network-Service-GUID}*

Добавленные файлы¶

Установка¶

Установщик OneAgent добавляет следующие файлы в вашу систему:

Бинарные файлы и файлы конфигурации OneAgent сохраняются в %PROGRAMFILES%\dynatrace\oneagent. Обратите внимание, что вы можете изменить расположение с помощью параметра INSTALL_PATH.
Временные файлы установщика сохраняются в C:\AI_RecycleBin. Папка удаляется после завершения установки.

Работа¶

Временные файлы и конфигурация среды выполнения OneAgent сохраняются в %PROGRAMDATA%\dynatrace\oneagent\runtime.
Постоянная конфигурация OneAgent сохраняется в %PROGRAMDATA%\dynatrace\oneagent\config.
Большие данные среды выполнения, такие как дампы памяти, сохраняются в %PROGRAMDATA%\dynatrace\oneagent\datastorage. Обратите внимание, что вы можете изменить расположение больших данных среды выполнения с помощью параметра DATA_STORAGE.

Системные журналы, загружаемые OneAgent¶

OneAgent загружает системные журналы Security, System и Application за последние 14 дней, чтобы Dynatrace мог диагностировать проблемы, которые могут быть вызваны условиями в вашей среде. Чаще всего такие проблемы связаны с глубоким мониторингом или автоматическими обновлениями.

Отзыв доступа к системным журналам

Чтобы отозвать доступ к системным журналам, используйте команду oneagentctl с параметром --set-system-logs-access-enabled, установленным в false. Подробнее см. Конфигурация OneAgent через интерфейс командной строки

Глобально доступные для записи каталоги¶

Структура каталогов OneAgent содержит глобально доступные для записи каталоги (каталоги, в которых группа пользователей Everyone может записывать, изменять или выполнять). Изменение этих разрешений пользователями не поддерживается.

Механизм внедрения OneAgent¶

Такие разрешения на выбранном наборе каталогов необходимы для успешного внедрения OneAgent в процессы на отслеживаемых хостах. Когда OneAgent внедряется в процесс, кодовый модуль, ответственный за внедрение, выполняется в контексте исходного внедрённого процесса. Следовательно, пользователи, под которыми запускаются эти процессы, должны иметь разрешение на запись в структуру каталогов OneAgent, что и является причиной глобальных разрешений на запись.

Аналогично, определённые файлы журналов требуют глобальных разрешений на запись, чтобы приложения, работающие под различными пользователями, могли записывать в них данные.

Безопасность системы¶

Мы осведомлены о том, что глобальные разрешения на чтение и запись в каталогах OneAgent отмечаются эвристиками сканирования безопасности, но мы можем заверить вас, что они полностью безопасны.

Мы ограничиваем количество глобально доступных для записи каталогов до минимума.
Мы используем расширенные разрешения файлов и разрешение Creator Owner для ограничения доступа к файлам.

Подпись установщика¶

Установщик OneAgent подписан одним или несколькими корневыми сертификатами DigiCert. Для регулярно обслуживаемых систем Windows проверяет, что установщик OneAgent опубликован проверенным издателем.

Если ваша система на базе Windows была отключена от сети с марта 2021 года или дольше, Windows не сможет проверить установщик, и издатель установщика OneAgent будет отображаться как Unknown publisher (Неизвестный издатель) при попытке установки или обновления. В таком случае вам необходимо загрузить последний сертификат с корневых сертификатов DigiCert и добавить его в вашу систему. Среди всех сертификатов DigiCert сертификат DigiCert Global Root G3 является обязательным для успешной проверки установщика OneAgent.

См. How to: View certificates with the MMC snap-in в документации Microsoft, чтобы узнать, какие корневые сертификаты установлены в вашей системе.
Загрузите последние корневые сертификаты с корневых сертификатов DigiCert.

Windows 2008 R2¶

Начиная с OneAgent версии 1.225, установщик подписывается с использованием алгоритма SHA-2. Следовательно, хосты Windows 2008 R2 должны иметь установленную поддержку подписи кода SHA-2. Если вы используете Windows Update, обновления были предложены вам автоматически (KB4474419 и KB4490628). Однако, если ваша система Windows 2008 R2 не поддерживает проверку установщиков, подписанных SHA-2, автоматическое обновление и установка OneAgent не будут работать, если Applocker настроен на блокировку неизвестных издателей, и/или могут отображаться предупреждения безопасности. Подробнее см. объявление Microsoft 2019 SHA-2 Code Signing Support requirement for Windows and WSUS.