Ключ доверенного корня обеспечивает для клиентов механизм проверки подлинности точки управления и ее сертификата, если невозможен запрос доменных службы Active Directory. Каждый сервер основного сайта создает ключ доверенного корня, даже если сайт работает в основном режиме и включена публикация доменных служб Active Directory. Если основной сайт подсоединяется к родительскому сайту, дочерний сайт удаляет свой собственный ключ доверенного корня и доверяет ключу доверенного корня родительского сайта. Функция ключа доверенного корня сходна с корневым сертификатом в инфраструктуре открытого ключа в том отношении, что все данные, подписанные закрытым ключом доверенного корня, становятся доверенными данными вниз по иерархии. Если сертификат точки управления подписан с помощью закрытого ключа пары ключа доверенного корня, и копия открытого ключа этой пары доступна для клиентов, клиенты могут отличать действительные точки управления от поддельных точек. Ключ доверенного корня требуется клиентам только в том случае, если они не могут запрашивать информацию Configuration Manager 2007 в глобальном каталоге – из-за того, что они являются клиентами рабочей группы или удаленного леса, или из-за того, что схема доменных служб Active Directory не расширена для Configuration Manager 2007. Ключ доверенного корня хранится в WMI в пространстве имен root\ccm\locationservices.

При создании новой точки управления она, независимо от режима сайта, создает самозаверяющий сертификат в хранилище сертификатов. В смешенном режиме этот самозаверяющий сертификат сохраняется в реестре. В общем режиме в реестре сохраняется сертификат точки управления, выданный инфраструктурой PKI. Диспетчер компонентов сайта берет сертификат из реестра и передает этот сертификат на свой сервер сайта. Если сервер сайта не является центральным сайтом, сертификат передается вверх по иерархии, пока не поступает на центральный сайт, на котором хранится ключ доверенного корня. Сервер центрального сайта подписывает сертификат точки управления с помощью закрытого ключа доверенного корня и посылает его обратно по иерархии на точку управления вместе с копией открытого ключа доверенного корня. Когда точка управления получает копию открытого ключа доверенного корня, она подписывает этот ключ доверенного корня с помощью собственного закрытого ключа. Это улучшает возможности восстановления, как обсуждается далее в этом разделе. На этом этапе в точке управления имеются несколько ключей, использующихся в процессе с ключом доверенного корня:

• Сертификат точки управления (самозаверяющий для смешанного режима или выданный инфраструктурой PKI для основного режима).
  
  
• Сертификат точки управления, подписанный ключом доверенного корня.
  
  
• Копия открытого ключа доверенного корня с центрального сайта.
  
  
• Копия открытого ключа доверенного корня, подписанная закрытым ключом точки управления.
  
  

В классах WMI клиента хранятся следующие ключи и сведения о сертификате:

• Сведения о каждой точке управления в списке точек управления, включая сертификаты точек управления.
  
  
• Копия открытого ключа доверенного корня.
  
  
• Список точек управления, с которыми клиент устанавливает связь.
  
  

  Примечание
  Если точка управления находится в кластере NLB, список точек управления, которым доверяет клиент, содержит все системы сайта в этом кластере. Если на сайте нет кластера NLB, список содержит только точку управления по умолчанию.

Когда клиент посылает запрос на точку управления, от пытается проверить ответ. Клиент проверяет, присутствует ли точка управления, соответствующая коду сайта, в списке точек управления, хранящемся в WMI. Если присутствует, клиент пытается извлечь копию сертификата точки управления из WMI. Если сертификат найден, клиент проверяет сообщение. Каждое сообщение должно быть проверено, в противном случае оно отбрасывается.

Если в WMI клиента отсутствует сертификат точки управления, клиент проверяет время последнего обновления списка точек управления. Если последнее обновление производилось более пяти минут назад, клиент получает новый список точек управления. Кроме того, если в WMI нет списка точек управления, клиент должен получить точку управления. Место, из которого клиент получает список точек управления, зависит от режима клиента и от того, расширена ли схема доменных служб Active Directory для Configuration Manager 2007.

Для клиента можно настроить один из трех режимов, запустив программу установки клиента со свойством установки SMSDIRECTORYLOOKUP=<параметр>. В следующей таблице описываются каждый из режимов и соответствующий ему процесс проверки подлинности точки управления.

Если параметр не указан, клиент устанавливается в безопасном режиме WINS. Режим "Только Active Directory" является самым безопасным, так как основан на безопасности процесса запросов доменных служб Active Directory, однако он может использоваться, только если клиенты могут обращаться с запросами к глобальному каталогу, поэтому его нельзя применять для клиентов в удаленных лесах или рабочих группах. Режим "Любой WINS" не является безопасным и не рекомендуется.

Если произведено расширение доменных служб Active Directory и включена публикация для Configuration Manager, клиенты, находящиеся в одном лесу с сервером сайта, могут получить открытую копию ключа доверенного корня, запросив сервер глобального каталога. Если клиент не может получить исходную копию ключа доверенного корня от доменных служб Active Directory, можно заранее записать ключ доверенного корня во время установки клиента.

Если у клиентов отсутствует ключ доверенного корня, они доверяют ключу доверенного корня, полученному от первой точку управления, с которой они установили связь; это означает, что клиент может быть направлен на точку управления злоумышленника, где он получит политику от поддельной точки управления. Такие действия возможны со стороны подготовленного злоумышленника и могут происходить в течение ограниченного времени, пока клиент не получит ключ доверенного корня с действительной точки управления. Для снижения рисков того, что атаки на компьютер направят клиентов на поддельную точку управления, можно заранее предоставить клиентам ключ доверенного корня. Дополнительные сведения см. в разделе Предоставление заранее клиентам ключа доверенного корня.

Примечание
Чтобы уменьшить риск того, что новые клиенты будут направлены на поддельную точку управления, клиенту следует заранее предоставить ключ доверенного корня, если тот не может запрашивать доменные службы Active Directory.

После того, как клиент получил копию ключа доверенного корня, эта копия хранится в реестре. Если клиент сталкивается со сбоем при проверке подлинности сообщения от точки управления, клиент обновляет ключ доверенного корня, отбрасывает текущий сертификат точки управления и получает новую копию сертификата точки управления, подписанную этим ключом доверенного корня.

Если требуется восстановление сервера центрального сайта, он создает новый ключ доверенного корня. Сертификаты со всех точек управления из других сайтов иерархии собираются, передаются на центральный сайт, подписываются ключом доверенного корня и, в конечном счете, возвращаются на каждую точку управления. Поскольку клиент из другого сайта доверяет точке управления, он примет новый ключ доверенного корня. Если клиент устанавливает контакт с точкой управления, которой он еще не доверяет, и при этом не может проверить точку управления, запросив доменные службы Active Directory, клиент не примет информацию от этой точки управления. Клиент будет неуправляемым до тех пор, пока не сможет проверить точку управления.

Если у клиента нет соединения с доверенной точкой управления, могут возникнуть проблемы. Например, клиенты могут направлять отчеты серверу центрального сайта, который выполняет функции точки управления для этого сайта и этот сервер сайта не работает. Это часто происходит в небольших развертываниях, где имеется только один сайт, и сервер сайта выполняет все роли для этого сайта. В случае сбоя системы на сервере сайта новый ключ доверенного корня создается во время восстановления сервера сайта, и точка управления получает новый сертификат, либо создав самозаверяющий сертификат для смешанного режима, либо получив новый сертификат от инфраструктуры PKI для основного режима. У клиента нет ни текущей копии сертификата точки управления, ни копии ключа доверенного корня – и при этом отсутствует механизм их автоматического получения. Если клиент не может запросить службы доменов Active Directory для проверки точки управления, то клиент не сможет установить связь с сайтом, пока администратор не удалит с клиента старый ключ доверенного корня, а затем либо запишет новый ключ доверенного корня, либо разрешит клиенту получить этот ключ от первой точки управления, с которой клиент установит контакт.

Если клиенты могут выполнять запрос доменных служб Active Directory, они не полагаются на ключ доверенного корня, поэтому его компрометация не представляет серьезной опасности. Для работы в основном режиме для точки управления требуется сертификат, выданный инфраструктурой PKI, поэтому компрометация ключа доверенного корня менее рискованна в основном режиме, чем в смешанном режиме.

При наличии оснований полагать, что ключ доверенного корня скомпрометирован, необходимо контролировать в аудите сайта сообщения об изменении состояния клиента для поиска признаков несанкционированных действий на сайте, таких как несанкционированный запуск пакетов.

Если переустановить и восстановить сервер центрального сайта, будет создан новый ключ доверенного корня. Если изменить структуру иерархии сайта таким образом, чтобы дочерний сайт стал новым центральным сайтом, Configuration Manager 2007 создает для иерархии новый ключ доверенного корня. Можно подготовить клиентов для использования нового ключа доверенного корня, как это описано ранее, однако при этом сохраняется опасность того, что в результате атаки в системе были созданы "черные входы". Чтобы полностью восстановить систему после того, как был скомпрометирован ключ доверенного корня, необходимо заново установить все серверы сайта, точки управления и клиентские компьютеры.

После того, как в точке распространения включена поддержка многоадресной рассылки, точка распространения создает в локальном хранилище сертификатов самозаверяющий сертификат и помещает подпись сертификата в реестр. Диспетчер компонентов сайта находит эту подпись в реестре, замечает, что она не была подписана ключом доверенного корня, и направляет ее диспетчеру иерархии для подписи ключом доверенного корня сайта. Подпись сертификата, подписанная ключом доверенного корня, записывается обратно в реестр. После завершения процесса подписывания точка распространения готова для поддержки клиентов с многоадресной рассылкой. При истечении срока действия самозаверяющего сертификата точка распространения создает новый сертификат и заново начинает процесс его подписывания.

Задачи