Последнее обновление раздела: август 2008 г.

Распространение программного является мощным компонентом, который можно использовать в качестве основного объекта для атак, если не обеспечить надлежащую защиту. При установке пакетов в Microsoft System Center Configuration Manager 2007 могут использоваться повышенные права пользователя или системы, даже если у пользователя нет прав администратора. Эта особенность Microsoft System Center Configuration Manager 2007 может использоваться злоумышленниками для проведения атак, повышающих права.

Рекомендации

Всегда настраивайте объявления для загрузки содержимого    Использование параметра Загрузить содержимое с точки распространения и запустить его локально более безопасно, поскольку Configuration Manager 2007 проверяет хэш пакета после загрузки пакета и отклоняет пакеты, если хэш не соответствует хэшу в политике. Если для объявления включен параметр Запустить программу из точки распространения, проверка не выполняется, и злоумышленники могут исказить содержимое. При необходимости запустить программу из точки распространения следует использовать минимальные разрешения NTFS для пакетов в точках распространения и протокол IPsec, чтобы защитить канал между клиентом и точкой распространения и между точкой распространения и сервером сайта.

Не позволяйте пользователям взаимодействовать с программами, которые требуется запускать с правами администратора    При настройке программы можно установить параметр Разрешить пользователям взаимодействовать с этой программой, чтобы пользователи могли реагировать на появляющиеся на экране запросы. Если при этом для программы включен режим Запустить с правами администратора, злоумышленник может воспользоваться пользовательским интерфейсом, чтобы повысить права на клиентском компьютере, на котором запускается программа. Если для установки программ требуются учетные записи администратора, следует использовать программы с установщиком Windows и повышением прав на уровне отдельных пользователей, при этом программы установки должны запускаться в контексте пользователя, у которого нет учетных записей администратора. Использование установщика Windows с повышением прав на уровне отдельных пользователей является наиболее безопасным способом развертывания приложений в таких случаях.

Не создавайте вложенных коллекций, если требуется ограничить распространение в них    Объявление, предназначенное для коллекции с вложенными коллекциями, отправляется всем членам коллекции и вложенных коллекций, даже если у администратора есть только разрешение "Объявление" для данной коллекции (не для вложенных коллекций). Любой администратор, который может создать для коллекции ссылку на другую коллекцию, может сделать так, чтобы коллекция получала объявления, предназначенные для других коллекций, даже если у администратора нет разрешения "Объявление" для какой-либо из коллекций. Поэтому следует соблюдать осторожность при добавлении вложенных коллекций в коллекции с объявлениями и следить за тем, кто имеет разрешение на чтение коллекций, получающих объявления.

Устанавливайте разрешения на доступ к пакетам во время их создания    Изменения учетных записей доступа в файлах пакета (в отличие от общих папок точек распространения) вступают в силу только при обновлении пакета. Поэтому следует с осторожностью устанавливать разрешения на доступ к пакету при его создании, особенно если пакет большой, если пакет распространяется по многим точкам распространения, или если возможности сети по распространению пакетов ограничены. Чтобы быстро запустить процесс обновления всех точек распространения, необходимо воспользоваться задачей "Обновить точки распространения" для пакета.

Обеспечивайте безопасность программного обеспечения на уровне доступа к пакетам    По умолчанию администраторы имеют право полного доступа к файлам пакетов в точках распространения, а пользователи имеют разрешение на чтение этих файлов. Пользователи, обладающие правами администраторов на клиентских компьютеров, могут добавить клиент к любому сайту, даже если компьютер находится за пределами границ данного сайта. После присоединения клиентов к сайту они могут получать любое распространяемое программное обеспечение, доступное на этом сайте, если компьютер или пользователь соответствуют параметрам соответствующих коллекций. По этой причине программное обеспечение, которое должно распространяться только для конкретных пользователей, должно быть защищено уровнем доступа этих пользователей к пакету, а не только доступностью сайта или критериями коллекции. Однако в случае запрета доступа к пакетам для гостевой учетной записи Интернета, интернет-клиентам также не удастся получить доступ к этим пакетам. Дополнительные сведения см. в разделе Примеры сценариев доступа к пакету.

Если имеются пакеты SMS 2003, после обновления платформы необходимо обновить все пакеты    В SMS 2003 (без пакетов обновления) для создания хэша пакетов использовался алгоритм MD5; в Configuration Manager 2007 и SMS 2003 с пакетами обновления более поздними, чем 1 (SP1), используется алгоритм SHA-1. Чтобы заново создать хэши пакетов с помощью алгоритма SHA-1, необходимо обновить все пакеты, созданные в SMS 2003 (без пакетов обновления), которые не были обновлены с помощью пакета обновления для SMS. Если не сделать этого, клиенты могут отклонить действительные пакеты, если в соответствии с объявлением эти пакеты должны загружаться и запускаться локально.

Рекомендации для точек распространения

Удалите роль точки распространения с сервера сайта    По умолчанию сервер сайта настраивается в качестве стандартной точки распространения. Однако следует назначить эту роль другим системам сайта и удалить ее с сервера сайта, чтобы снизить вероятность атаки. Нет разумных причин для того, чтобы клиенты напрямую взаимодействовали с сервером сайта или настроенными на нем ролями. Это особенно важно, если в точке распространения включена фоновая интеллектуальная служба передачи (Background Intelligent Transfer Service, BITS), поскольку установка служб IIS для создания точки распространения с поддержкой BITS делает систему сайта еще более уязвимой.

Не создавайте общих ресурсов точек распространения и точек распространения филиала на интернет-клиентах    Хотя Configuration Manager 2007 и не препятствует возникновению такой ситуации, создание точек распространения любых типов на интернет-клиентах значительно повышает уязвимость, и этого следует избегать. Создавайте точки распространения только на тех системах сайта, которыми можно управлять в пределах интрасети или демилитаризованной зоны.

После переключения на пользовательский веб-сайт удалите заданные по умолчанию виртуальные каталоги    Если после использования веб-сайта по умолчанию перейти на использование пользовательского веб-сайта, Configuration Manager 2007 не удаляет старые виртуальные каталоги автоматически. Эти виртуальные каталоги, созданные для веб-сайта по умолчанию, необходимо удалить вручную. Это особенно важно, если при использовании веб-сайта по умолчанию в точке распространения включен параметр Разрешить клиентам анонимное подключение (требуется для клиентов мобильных устройств), а после перехода на пользовательский веб-сайт анонимные подключения отключаются. В этом случае старые виртуальные каталоги будут все еще настроены для анонимного доступа. Список виртуальных каталогов, создаваемых в точках распространения с поддержкой BITS, см. в разделе О точках распространения с поддержкой BITS.

Реализуйте меры управления доступом для защиты точек распространения филиалов    Точки распространения филиалов можно устанавливать на любые клиенты Configuration Manager 2007, в том числе на рабочие станции под управлением Microsoft Windows XP Professional. Обычно к рабочим станциям не применяются такие же меры управления доступом, как к серверным компьютером, поэтому необходимо следить за использованием точек распространения филиала. Не распространяйте через точки распространения филиалов конфиденциальные исходные файлы, если есть риск того, что злоумышленник похитит жесткий диск или всю точку распространения филиала. Необходимо настраивать все объявления таким образом, чтобы клиенты загружали пакеты из точки распространения филиала и запускали их локально, а не через сеть. Configuration Manager 2007 проверяет хэш загруженных пакетов и отклоняет все пакеты с неверным хэшем. Если же пакеты запускаются из точки распространения, то проверка хэша не выполняется.

Включите режим шифрования для точек распространения с поддержкой потоковой передачи виртуализации приложения    В Configuration Manager 2007 R2 при настройке точек распространения с поддержкой потоковой передачи виртуализации приложения можно выбрать протокол RTSP (Real Time Streaming Protocol) или протокол RTSP поверх TLS (RTSPS). Включение шифрования помогает защититься от злоумышленников, которые искажают этот поток данных.

Проблема безопасности

Следующую проблему невозможно решить.

Пакеты не проверяются, пока они будут загружены    Configuration Manager 2007 проверяет подписи пакетов только после их загрузки в кэш клиента. Если злоумышленник исказил пакет, клиент может создать значительную нагрузку на сеть, прежде чем загрузит пакет и отклонит его из-за недействительной подписи.

Конфиденциальные сведения

Функция распространения программного обеспечения позволяет запустить на клиенте сайта любую программу или сценарий. Configuration Manager 2007 не позволяет следить за тем, какого рода программы и сценарии запускаются и какую информацию они передают. В процессе распространения программного обеспечения Configuration Manager 2007 может передавать данные между клиентами и серверами, которые позволяют идентифицировать компьютер и определить учетные данные для входа в систему.

Configuration Manager 2007 сохраняет сведения о состоянии, касающиеся процесса распространения программного обеспечения. Сведения о состоянии распространения программного обеспечения не шифруются при передаче, если только не включен основной режим. Сведения о состоянии не хранятся в базе данных в зашифрованной форме.

Сведения о состоянии сохраняются в базе данных сайта и по умолчанию удаляются каждые 30 дней. Для управления параметрами удаления используются свойства правила фильтрации состояний и задача обслуживания сайта. Сведения о состоянии в корпорацию Майкрософт не отправляются.

Использование установки программного обеспечения Configuration Manager 2007 для удаленной интерактивной установки программного обеспечения на клиентских компьютерах без вмешательства пользователя может подчиняться условиям лицензий на программное обеспечение для этих обновлений, независимых от условий лицензии на программное обеспечение для программы Configuration Manager 2007. Перед установкой программного обеспечения с помощью Configuration Manager 2007 нужно обязательно ознакомиться с условиями лицензии на программное обеспечение и принять эти условия.

По умолчанию распространение программного обеспечения не выполняется и требует выполнения нескольких операций по настройке. Перед настройкой распространения программного обеспечения следует проанализировать действующие в компании требования к безопасности.

См. также