Независимо от режима сайта Configuration Manager клиенты должны проверять подлинность своих точек управления до установки соединения, чтобы злоумышленники не смогли вставить поддельные точки управления и перенаправить на них клиентов. При создании точки управления она создает сертификат, используемый для подписи. Этот сертификат является самозаверяющим и действителен в течение 99 лет. Он создается и сохраняется в хранилище сертификатов на точке управления. Точка управления всегда создает этот самозаверяющий сертификат, даже если сайт работает в основном режиме и имеет сертификат, выданный PKI.
Когда клиент Configuration Manager получает сообщение от точки управления, у клиента есть несколько способов проверки того, что сообщение поступило от действительной точки управления. Если клиенты могут выполнить запрос доменных служб Active Directory в лесу сервера сайта, они могут проверить, что данная точка управления является доверенной. Если клиенты не могут выполнить запрос доменных служб Active Directory, чтобы проверить доверенные точки управления, они используют ключ доверенного корня.
Что такое ключ доверенного корня
Ключ доверенного корня обеспечивает для клиентов механизм проверки подлинности точки управления и ее сертификата, если невозможен запрос доменных службы Active Directory. Каждый сервер основного сайта создает ключ доверенного корня, даже если сайт работает в основном режиме и включена публикация доменных служб Active Directory. Если основной сайт подсоединяется к родительскому сайту, дочерний сайт удаляет свой собственный ключ доверенного корня и доверяет ключу доверенного корня родительского сайта. Функция ключа доверенного корня сходна с корневым сертификатом в инфраструктуре открытого ключа в том отношении, что все данные, подписанные закрытым ключом доверенного корня, становятся доверенными данными вниз по иерархии. Если сертификат точки управления подписан с помощью закрытого ключа пары ключа доверенного корня, и копия открытого ключа этой пары доступна для клиентов, клиенты могут отличать действительные точки управления от поддельных точек. Ключ доверенного корня требуется клиентам только в том случае, если они не могут запрашивать информацию Configuration Manager 2007 в глобальном каталоге – из-за того, что они являются клиентами рабочей группы или удаленного леса, или из-за того, что схема доменных служб Active Directory не расширена для Configuration Manager 2007. Ключ доверенного корня хранится в WMI в пространстве имен root\ccm\locationservices.
Как точки управления получают ключ доверенного корня
При создании новой точки управления она, независимо от режима сайта, создает самозаверяющий сертификат в хранилище сертификатов. В смешенном режиме этот самозаверяющий сертификат сохраняется в реестре. В общем режиме в реестре сохраняется сертификат точки управления, выданный инфраструктурой PKI. Диспетчер компонентов сайта берет сертификат из реестра и передает этот сертификат на свой сервер сайта. Если сервер сайта не является центральным сайтом, сертификат передается вверх по иерархии, пока не поступает на центральный сайт, на котором хранится ключ доверенного корня. Сервер центрального сайта подписывает сертификат точки управления с помощью закрытого ключа доверенного корня и посылает его обратно по иерархии на точку управления вместе с копией открытого ключа доверенного корня. Когда точка управления получает копию открытого ключа доверенного корня, она подписывает этот ключ доверенного корня с помощью собственного закрытого ключа. Это улучшает возможности восстановления, как обсуждается далее в этом разделе. На этом этапе в точке управления имеются несколько ключей, использующихся в процессе с ключом доверенного корня:
- Сертификат точки управления (самозаверяющий
для смешанного режима или выданный инфраструктурой PKI для
основного режима).
- Сертификат точки управления, подписанный
ключом доверенного корня.
- Копия открытого ключа доверенного корня с
центрального сайта.
- Копия открытого ключа доверенного корня,
подписанная закрытым ключом точки управления.
Как клиенты проверяют подлинность точки управления
В классах WMI клиента хранятся следующие ключи и сведения о сертификате:
- Сведения о каждой точке управления в списке
точек управления, включая сертификаты точек управления.
- Копия открытого ключа доверенного корня.
- Список точек управления, с которыми клиент
устанавливает связь.
Примечание Если точка управления находится в кластере NLB, список точек управления, которым доверяет клиент, содержит все системы сайта в этом кластере. Если на сайте нет кластера NLB, список содержит только точку управления по умолчанию.
Когда клиент посылает запрос на точку управления, от пытается проверить ответ. Клиент проверяет, присутствует ли точка управления, соответствующая коду сайта, в списке точек управления, хранящемся в WMI. Если присутствует, клиент пытается извлечь копию сертификата точки управления из WMI. Если сертификат найден, клиент проверяет сообщение. Каждое сообщение должно быть проверено, в противном случае оно отбрасывается.
Если в WMI клиента отсутствует сертификат точки управления, клиент проверяет время последнего обновления списка точек управления. Если последнее обновление производилось более пяти минут назад, клиент получает новый список точек управления. Кроме того, если в WMI нет списка точек управления, клиент должен получить точку управления. Место, из которого клиент получает список точек управления, зависит от режима клиента и от того, расширена ли схема доменных служб Active Directory для Configuration Manager 2007.
Для клиента можно настроить один из трех режимов, запустив программу установки клиента со свойством установки SMSDIRECTORYLOOKUP=<параметр>. В следующей таблице описываются каждый из режимов и соответствующий ему процесс проверки подлинности точки управления.
Режим | Параметр | Процесс проверки подлинности точки управления |
---|---|---|
Только Active Directory |
NOWINS |
В этом режиме клиент не может получать список точек управления от служб WINS. Если клиент не может получить этот список от сервера глобального каталога или от службы DNS, поиск заканчивается сбоем и клиент не сможет установить соединение с точкой управления. |
Безопасный WINS |
WINSSECURE |
В этом режиме клиент сначала пытается получить список точек управления от доменных служб Active Directory. Если попытка заканчивается сбоем, клиент находит точку управления по умолчанию для данного сайта с помощью службы WINS, а затем запрашивает у этой точки управления список точек управления. Клиент также запрашивает у точки управления по умолчанию ее сертификат и проверяет, что этот сертификат был подписан ключом доверенного корня по своей копии ключа доверенного корня из WMI. Если сертификат действителен, клиент доверяет ему и может использовать его для проверки сообщений, поступающих от этой точки управления. Если подпись сертификата точки управления не соответствует имеющейся у клиента копии ключа доверенного корня, клиент отбрасывает сообщения, поступающие от этой точки управления. |
Любой WINS |
WINSPROMISCUOUS |
В режиме "Любой WINS" клиент сначала пытается получить список управляющих точек в доменных службах Active Directory. Если попытка заканчивается сбоем, клиент находит точку управления по умолчанию для данного сайта с помощью службы WINS, а затем запрашивает у этой точки управления список точек управления. Клиент доверяет этой точке управления без какой-либо проверки сертификата. |
Если параметр не указан, клиент устанавливается в безопасном режиме WINS. Режим "Только Active Directory" является самым безопасным, так как основан на безопасности процесса запросов доменных служб Active Directory, однако он может использоваться, только если клиенты могут обращаться с запросами к глобальному каталогу, поэтому его нельзя применять для клиентов в удаленных лесах или рабочих группах. Режим "Любой WINS" не является безопасным и не рекомендуется.
Как клиенты получают ключ доверенного корня
Если произведено расширение доменных служб Active Directory и включена публикация для Configuration Manager, клиенты, находящиеся в одном лесу с сервером сайта, могут получить открытую копию ключа доверенного корня, запросив сервер глобального каталога. Если клиент не может получить исходную копию ключа доверенного корня от доменных служб Active Directory, можно заранее записать ключ доверенного корня во время установки клиента.
Что если у клиентов отсутствует ключ доверенного корня
Если у клиентов отсутствует ключ доверенного корня, они доверяют ключу доверенного корня, полученному от первой точку управления, с которой они установили связь; это означает, что клиент может быть направлен на точку управления злоумышленника, где он получит политику от поддельной точки управления. Такие действия возможны со стороны подготовленного злоумышленника и могут происходить в течение ограниченного времени, пока клиент не получит ключ доверенного корня с действительной точки управления. Для снижения рисков того, что атаки на компьютер направят клиентов на поддельную точку управления, можно заранее предоставить клиентам ключ доверенного корня. Дополнительные сведения см. в разделе Предоставление заранее клиентам ключа доверенного корня.
Примечание |
---|
Чтобы уменьшить риск того, что новые клиенты будут направлены на поддельную точку управления, клиенту следует заранее предоставить ключ доверенного корня, если тот не может запрашивать доменные службы Active Directory. |
Как клиенты обновляют ключ доверенного корня
После того, как клиент получил копию ключа доверенного корня, эта копия хранится в реестре. Если клиент сталкивается со сбоем при проверке подлинности сообщения от точки управления, клиент обновляет ключ доверенного корня, отбрасывает текущий сертификат точки управления и получает новую копию сертификата точки управления, подписанную этим ключом доверенного корня.
Как производится восстановление клиентов после сбоя центрального сайта
Если требуется восстановление сервера центрального сайта, он создает новый ключ доверенного корня. Сертификаты со всех точек управления из других сайтов иерархии собираются, передаются на центральный сайт, подписываются ключом доверенного корня и, в конечном счете, возвращаются на каждую точку управления. Поскольку клиент из другого сайта доверяет точке управления, он примет новый ключ доверенного корня. Если клиент устанавливает контакт с точкой управления, которой он еще не доверяет, и при этом не может проверить точку управления, запросив доменные службы Active Directory, клиент не примет информацию от этой точки управления. Клиент будет неуправляемым до тех пор, пока не сможет проверить точку управления.
Если у клиента нет соединения с доверенной точкой управления, могут возникнуть проблемы. Например, клиенты могут направлять отчеты серверу центрального сайта, который выполняет функции точки управления для этого сайта и этот сервер сайта не работает. Это часто происходит в небольших развертываниях, где имеется только один сайт, и сервер сайта выполняет все роли для этого сайта. В случае сбоя системы на сервере сайта новый ключ доверенного корня создается во время восстановления сервера сайта, и точка управления получает новый сертификат, либо создав самозаверяющий сертификат для смешанного режима, либо получив новый сертификат от инфраструктуры PKI для основного режима. У клиента нет ни текущей копии сертификата точки управления, ни копии ключа доверенного корня – и при этом отсутствует механизм их автоматического получения. Если клиент не может запросить службы доменов Active Directory для проверки точки управления, то клиент не сможет установить связь с сайтом, пока администратор не удалит с клиента старый ключ доверенного корня, а затем либо запишет новый ключ доверенного корня, либо разрешит клиенту получить этот ключ от первой точки управления, с которой клиент установит контакт.
Что делать, если ключ доверенного корня скомпрометирован
Если клиенты могут выполнять запрос доменных служб Active Directory, они не полагаются на ключ доверенного корня, поэтому его компрометация не представляет серьезной опасности. Для работы в основном режиме для точки управления требуется сертификат, выданный инфраструктурой PKI, поэтому компрометация ключа доверенного корня менее рискованна в основном режиме, чем в смешанном режиме.
При наличии оснований полагать, что ключ доверенного корня скомпрометирован, необходимо контролировать в аудите сайта сообщения об изменении состояния клиента для поиска признаков несанкционированных действий на сайте, таких как несанкционированный запуск пакетов.
Если переустановить и восстановить сервер центрального сайта, будет создан новый ключ доверенного корня. Если изменить структуру иерархии сайта таким образом, чтобы дочерний сайт стал новым центральным сайтом, Configuration Manager 2007 создает для иерархии новый ключ доверенного корня. Можно подготовить клиентов для использования нового ключа доверенного корня, как это описано ранее, однако при этом сохраняется опасность того, что в результате атаки в системе были созданы "черные входы". Чтобы полностью восстановить систему после того, как был скомпрометирован ключ доверенного корня, необходимо заново установить все серверы сайта, точки управления и клиентские компьютеры.
Ключ доверенного корня в развертывании операционной системы
После того, как в точке распространения включена поддержка многоадресной рассылки, точка распространения создает в локальном хранилище сертификатов самозаверяющий сертификат и помещает подпись сертификата в реестр. Диспетчер компонентов сайта находит эту подпись в реестре, замечает, что она не была подписана ключом доверенного корня, и направляет ее диспетчеру иерархии для подписи ключом доверенного корня сайта. Подпись сертификата, подписанная ключом доверенного корня, записывается обратно в реестр. После завершения процесса подписывания точка распространения готова для поддержки клиентов с многоадресной рассылкой. При истечении срока действия самозаверяющего сертификата точка распространения создает новый сертификат и заново начинает процесс его подписывания.