Microsoft System Center Configuration Manager 2007 позволяет управлять клиентами, которые не подключаются ко внутренней сети по телефонной линии или через VPN. В то время как управление такими клиентами может быть направлено на усиление их безопасности, необходимо настроить инфраструктуру Configuration Manager 2007 таким образом, чтобы некоторые системы сайта имели подключение к Интернету. Необходимо использовать основной режим Configuration Manager 2007, если планируется поддержка интернет-клиентов, так как он помогает снизить риск, связанный с доступом к Интернету.
Используйте мост между SSL-соединениями с прерыванием и проверкой подлинности Преимущество SSL с прерыванием на веб-прокси-сервере в том, что пакеты из Интернета проходят проверку до отправления во внутреннюю сеть. Веб-прокси-сервер проверяет подлинность подключения с клиента, прерывает подключение и открывает новое проверенное соединение с интернет-системами сайта. Когда клиенты Configuration Manager используют веб-прокси-сервер, удостоверение клиента (GUID клиента) безопасно содержится в передаваемых данных пакета, таким образом точка управления не принимает веб-прокси-сервер за клиента. Если веб-прокси-сервер не отвечает требованиям для моста SSL, туннелирование SSL тоже поддерживается. Этот вариант менее безопасный, так как пакеты SSL перенаправляются из Интернета к системам сайта без прерывания и не могут быть проверены на вредное содержание.
Используйте Active Directory для развертывания сертификата для подписи сервера сайта У клиента есть три возможности получить сертификат для подписи сервера сайта: выполнение установки с параметром SMSSIGNCERT, запрос доменных служб Active Directory или автоматическое получение сертификата из точки управления. Из этих трех решений автоматическое развертывание через точку управления – наименее безопасное, к нему не следует прибегать, если вы не уверены в безопасности точки управления. Например, точка управления, находящаяся в демилитаризованной зоне, предназначенная для приема подключений из Интернета для управления клиентами по сети Интернет, считается менее надежной, чем точка управления, находящаяся в интрасети и принимающая подключения только от клиентов интрасети. Однако автоматическое развертывание копии сертификата для подписи сервера сайта через точку управления может оказаться подходящим решением, если точка управления принимает только подключения от клиентов интрасети, и необходимо избежать затрат на ручное развертывание. Дополнительные сведения см. в разделе Определение способа развертывания сертификата для подписи сервера сайта на клиентах (основной режим).
Не создавайте общие ресурсы точек распространения или точки распространения филиала на интернет-клиентах Хотя Configuration Manager 2007 и не помешает поступить так, создание любых типов точек распространения на интернет-клиентах значительно повышает уязвимость, и этого следует избегать. Создавайте точки распространения только на тех системах сайтов, которыми можно управлять в пределах интрасети или демилитаризованной зоны.
Не используйте системы сайта, соединяющие демилитаризованную зону и интрасеть Несмотря на то, что возможно настроить размещение сервера для интернет-клиентов таким образом, чтобы все необходимые системы сайта были многосетевыми и были подключены как к демилитаризованной зоне, так и к интрасети, такая конфигурация не рекомендуется, потому что не будет границы безопасности между демилитаризованной зоной и интрасетью. Есть другие возможности, более безопасные, чем соединение с демилитаризованной зоной. Дополнительные сведения см. в разделе Определение размещения сервера для интернет-управления клиентами.
Сведения о конфиденциальности
При развертывании клиента Configuration Manager 2007 включаются агенты клиента, чтобы можно было пользоваться функциями Configuration Manager 2007. Параметры функций применяются ко всем клиентам сайта, включая клиенты, подключенные к Интернету, и не подключенные напрямую к сети организации. Например, можно настроить инвентаризацию для сайта, и она также коснется подключенных к Интернету домашних рабочих компьютеров сотрудников. Клиентские данные сохраняются в базе данных и не отправляются в Майкрософт. Прежде чем настраивать клиент Configuration Manager 2007, следует рассмотреть требования к безопасности.