Вопросы безопасности могут оказывать влияние на принятие решения о необходимости использования сайтов или систем сайтов Microsoft System Center Configuration Manager 2007 в структуре иерархии и на их размещение в этой структуре. Вопросы безопасности могут иметь важное значение при развертывании клиентов. В плане развертывания следует как можно раньше предусмотреть меры обеспечения безопасности, чтобы реализация Configuration Manager 2007 была функционально правильной и безопасной. Если приложение Configuration Manager 2007 уже развернуто, пересмотрите решения этапа разработки и проанализируйте их с точки зрения безопасности.
Рекомендации
Изолируйте сайты в средах с высоким уровнем безопасности. При соединении двух или более сайтов в иерархии родительский сайт по проекту может изменять любой дочерний сайт первого или второго уровня. Однако любой сайт потенциально может использоваться для проведения атак на любой другой сайт в иерархии и потенциально может получить управление родительским сайтом, дочерним сайтом или сайтом того же уровня. Кроме того, в случае публикации в доменные службы Active Directory любой сайт потенциально может делать записи в объекты любого другого сайта того же леса, включая сайты, находящиеся в другой иерархии. Единственный способ запретить тому или иному сайту делать записи в другой сайт — размещение сайтов в отдельных лесах.
Используйте как можно меньше сайтов. При большом количестве сайтов степень риска довольно низка, но при сокращении количества сайтов уменьшается возможное число направлений атак, и это необходимо учитывать при проектировании развертывания. Вопрос сокращения количества сайтов для повышения безопасности следует рассматривать в совокупности с другими параметрами проекта, например с полосой пропускания, производительностью и конфигурацией клиентов. Единственный сайт — наиболее безопасный вариант, поскольку не требуется:
- передавать данные между сайтами;
- управлять учетными записями отправителей
между сайтами;
- доверять администраторам на других
сайтах.
Благодаря мерам, принятым в Configuration Manager 2007 для повышения производительности, один сайт может поддерживать больше клиентов, что позволяет объединить сайты, которые были разделены для повышения производительности. Небольшие сайты можно заменить защищенными точками распространения и, таким образом, сократить число сайтов, если это соответствует другим целям проекта.
Избегайте размещения систем одного сайта в разных лесах. Лес является административной границей Active Directory. Если сайт имеет системы в разных лесах, разрешается осуществлять администрирование из другого леса, вследствие чего названная граница нарушается. Ниже перечислены системы сайта, которые поддерживаются в случае их установки в лесу, удаленном по отношению к лесу сервера сайта (однако с точки зрения безопасности это не лучшее решение).
- Точка обнаружения серверов
- Резервная точка состояния
- Точка распространения, настроенная на
поддержку интернет-клиентов.
- Точка управления, настроенная на поддержку
интернет-клиентов.
- Точка обновления программного обеспечения,
настроенная на поддержку интернет-клиентов.
- Для защиты доступа к сети, если необходимо
наличие точки средства проверки работоспособности системы в
удаленном лесу, так как сервер политики сети (NPS) расположен не в
том лесу, в котором находится сервер сайта.
- Для развертывания операционных систем при
использовании точек обслуживания PXE.
- Для интернет-клиентов, если роли системы
сайта должны быть установлены в демилитаризованной зоне для
поддержки интернет-клиентов.
Основной сайт может быть расположен в одном лесу, а дочерний сайт — в удаленном лесу. Дополнительный сайт должен находиться в том же лесу, что и родительский сайт. Клиенты могут находиться в лесах, удаленных по отношению к серверу сайта.
Требуйте защищенного обмена ключами между всеми сайтами в иерархии. Защищенный обмен ключами включается по умолчанию для новых установок, но не для обновлений. Любой сайт в иерархии, допускающий незащищенный обмен ключами, потенциально может реплицировать незащищенные данные сайта по всей иерархии. Всегда требуйте защищенного обмена ключами на всех сайтах в иерархии, включая сайты SMS 2003. Дополнительные сведения см. в разделе Обмен открытыми ключами между сайтами вручную.
В смешанном режиме обновите все клиенты до Configuration Manager 2007 и настройте сайт так, чтобы он содержал только клиенты Configuration Manager 2007. Несмотря на то что лучше всего использовать основной режим, в котором на всех клиентах должно быть запущено приложение Configuration Manager 2007, при необходимости применения смешанного режима следует тем не менее обновить все клиенты в иерархии до Configuration Manager 2007. После обновления всех клиентов необходимо для каждого сайта в иерархии выбрать на вкладке Режим сайта свойств сайта параметр Этот сайт содержит только клиенты Configuration Manager 2007, чтобы предотвратить передачу любому клиенту политик, содержащих конфиденциальные данные.
Обновите все сайты до Configuration Manager 2007. Если в иерархии сайтов имеются сайты SMS 2003, Configuration Manager 2007 использует функцию MD5 для хэширования данных, отправляемых на сайты SMS 2003.