Последнее обновление раздела: ноябрь 2007 г.
При использовании Microsoft System Center Configuration Manager 2007 в основном режиме используются сертификаты, созданные PKI. Возможно использование сертификатов PKI при работе с мобильными устройствами и управлении пользовательским обновлением программного обеспечения.
Тщательно планируйте и защищайте инфраструктуру PKI Если инфраструктура PKI уже существует, Configuration Manager 2007 должен иметь возможность использовать сертификаты, выданные этой инфраструктурой. Однако, если нет существующей PKI, но требуется реализовать PKI с поддержкой Configuration Manager 2007, необходимо тщательно планировать реализацию PKI. Например, неверное планирование корневого ЦС в иерархии PKI может скомпрометировать все сертификаты, выданные вашим ЦС. К тому же, настройка PKI для поддержки одного приложения без учета возможных будущих требований PKI может привести к удалению и повторной установке PKI, что, в свою очередь, может скомпрометировать безопасность и доступность Configuration Manager 2007. Дополнительные сведения о планировании и защите инфраструктуры PKI см. в документации своего поставщика PKI.
Следуйте отраслевым и корпоративным рекомендациям по управлению сертификатами Configuration Manager 2007 не содержит особых требований к управлению сертификатами. Например, в Configuration Manager 2007 нет рекомендаций по поводу минимальной длины ключа, максимальной даты истечения срока действия сертификата или политики выдачи сертификатов.
Включить проверку списка отзыва сертификатов для клиентов в основном режиме Сертификаты могут быть отозваны администратором центра сертификации, например, если известно или подозревается, что выданный сертификат скомпрометирован. Более безопасным является включение проверки списка отозванных сертификатов на клиентах, хотя это может вызвать потерю производительности и создать дополнительную административную нагрузку. Дополнительные сведения см. в разделе Определение необходимости включения проверки отзыва сертификатов (CRL) на клиентах (основной режим).
 Примечание |
|---|
| В IIS проверка списка отозванных сертификатов включена по умолчанию, поэтому не требуется каких-либо дополнительных действий для систем сайтов Configuration Manager 2007 в основном режиме. |
Обеспечьте целостность сертификатов проверки подлинности клиентов Configuration Manager 2007 может использовать сертификаты проверки подлинности клиентов из любого хранилища сертификатов. Если права доступа хранилища сертификатов разрешают доступ пользователю с низкими правами, он может воспользоваться сертификатом для доступа к политике Configuration Manager 2007 и получить учетные данные учетной записи доступа к сети и учетной записи присоединения домена редактора последовательности задач. Пользователь с низкими правами может получить доступ и подделать сведения об инвентаризации, состоянии и статусе, посланные этим клиентским компьютером.
Используйте список доверия сертификатов, чтобы определить доверенные корневые центры сертификации Список доверия сертификатов (CTL) — это определенный список доверенных корневых центров сертификации. По умолчанию операционные системы Windows настроены на доверие сертификатам от некоторых общеизвестных центров сертификации, таких как VeriSign и Thawte, потому что сертификаты этих центров сертификации предварительно установлены в операционной системе. Если список доверия сертификатов (CTL) не определен явным образом, все клиенты с сертификатами проверки подлинности клиента, выданные этими предустановленными центрами сертификации, будут иметь права клиентов Configuration Manager. Если самостоятельно настроить список доверия сертификатов, Configuration Manager будет доверять только доверенным корневым центрам сертификации, указанным в этом списке. Дополнительные сведения см. в разделе Определение необходимости настройки IIS для списка доверия сертификатов (основной режим).
Используйте доменные службы Active Directory при развертывании сертификата для подписи сервера сайта У клиента есть следующие возможности получения сертификата для подписи сервера сайта:
- использование параметра SMSSIGNCERT во время
установки;
- запрос доменных служб Active Directory;
- автоматическое получение сертификата из точки
управления.
Автоматическое развертывание сертификата через точку управления — наименее безопасное, к нему не следует прибегать, если вы не уверены в безопасности точки управления. Например, точка управления, находящаяся в демилитаризованной зоне, предназначенная для приема подключений из Интернета для управления клиентами через Интернет, считается менее надежной, чем точка управления, находящаяся в интрасети и принимающая подключения только от клиентов интрасети. Однако автоматическое развертывание копии сертификата для подписи сервера сайта через точку управления может оказаться подходящим решением, если точка управления принимает только подключения от клиентов интрасети, и необходимо избежать затрат на ручное развертывание. Дополнительные сведения см. в разделе Определение способа развертывания сертификата для подписи сервера сайта на клиентах (основной режим).
Обеспечьте защиту сертификата для подписи сервера сайта Если сертификат для подписи сервера сайта скомпрометирован, вся политика в иерархии находится под подозрением. Даже в основном режиме злоумышленники могут создать политику по своему усмотрению и запустить ее с высокими правами на всех клиентах Configuration Manager 2007. Убедитесь, что копия сертификата для подписи сервера сайта находится в безопасном месте. Следуйте рекомендациям по безопасности PKI для управления критическими сертификатами. Например, разработайте подходящую политику выдачи сертификатов в вашей среде и составьте план безопасного развертывания сертификата.
Используйте новую пару ключей при обновлении сертификата для подписи сервера сайта Сохранение исходной пары ключей снижает административную нагрузку и не нарушает функции сайта Configuration Manager 2007 , однако это дает дополнительное время злоумышленникам для попытки расшифровать ключи. Если новый сертификат для подписи сервера сайта присоединяется к тому же доверенному корневому центру, что и предыдущий сертификат, клиенты Configuration Manager 2007 автоматически загружают копию нового сертификата для подписи сервера сайта из доменных служб Active Directory или с точки управления. Затем они проверяют свою политику по новому сертификату для подписи сервера сайта и продолжают свою работу. Это может вызвать задержку в получении новых политик клиентами, особенно если большое количество клиентов начнет запрашивать новый сертификат. Дополнительные сведения см. в разделе Продление или изменение сертификата для подписи сервера сайта.
| Примечание |
|---|
| Когда остается 10 дней до истечения срока действия сертификата для подписи сервера сайта, Configuration Manager 2007 раз в день посылает сообщение об изменении состояния с идентификатором 5112. Можно создать правило фильтрации состояний, чтобы назначить исполнение какого-либо действия при получении идентификатора 5112. Например, можно настроить правило фильтрации состояний таким образом, чтобы отсылалось текстовое уведомление об истечении срока действия сертификата. |
Убедитесь, что все сертификаты хранятся в защищенных хранилищах сертификатов По умолчанию Configuration Manager 2007 ищет сертификаты проверки подлинности клиента в персональном хранилище локального компьютера, которое доступно только администратору. Тем не менее, можно использовать сертификаты клиентов из хранилища сертификатов любого компьютера. Невозможность обеспечить должным образом защиту хранилища, в котором хранится сертификат проверки подлинности клиента, может привести к захвату управления сертификатом пользователем с низкими правами.