У клиентов смешанного режима Microsoft System Center Configuration Manager 2007 существует уязвимость, когда возникает небольшой промежуток времени при установке доверия к точке управления их сайта. Если клиент не может запросить глобальный каталог с информацией о Configuration Manager 2007 и при установке ему не был предоставлен ключ доверенного корня, клиент установит доверенное соединение с первой найденной точкой управления и установит ключ доверенного корня, предоставленный этой точкой управления. Злоумышленнику будет сложно, но не невозможно, перехватить начальное соединение и заставить клиента доверять поддельной копии ключа доверенного корня. Для уменьшения угрозы можно предоставить клиенту копию ключа доверенного корня во время установки.

Примечание
Эти действия не обязательно проделывать в основном режиме, так как доверие устанавливается с использованием сертификатов PKI. Не обязательно проделывать эти действия, если клиенты могут запросить в глобальном каталоге информацию о точке управления. Например, если включена публикация Active Directory, клиенты в одном лесу могут запросить глобальный каталог, но клиентам рабочей группы и клиентам в разных лесах рекомендуется использовать эту процедуру.

Если клиенты уже установлены, выполнение этой процедуры для уменьшения угрозы будет запоздалым, так как клиенты, скорее всего, уже установили отношение доверия с точкой управления. Однако вы по-прежнему можете проверить, что клиентский ключ является верным ключом доверенного корня. Дополнительные сведения см. в разделе Проверка ключа доверенного корня. Если вы обнаружите неверный ключ доверенного корня, удалите его и выполните эти действия для установки верного ключа доверенного корня. Дополнительные сведения об удалении ключа доверенного корня см. в разделе Удаление ключа доверенного корня.

Если клиенты перемещаются между сайтами одной иерархии, нет необходимости в изменении ключа доверенного корня, потому что все сайты одной иерархии используют один ключ. Если клиенты мигрируют в новую иерархию, необходимо заранее предоставить клиентам ключ доверенного корня новой иерархии, используя свойство SMSROOTKEYPATH, как описано ниже. SMSROOTKEYPATH перезапишет старый ключ доверенного корня. Можно также удалить ключ доверенного корня и позволить клиенту установить доверие точке управления нового сайта, однако предоставление ключа заранее — более безопасный вариант.

Дополнительные сведения о ключе доверенного корня см. в разделе О ключе доверенного корня.

Чтобы заранее предоставить клиентам ключ доверенного корня, используя файл, выполните следующие действия

  1. В текстовом редакторе отредактируйте файл <каталог_Configuration_Manager>\bin\<платформа>mobileclient.tcf.

  2. Найдите элемент SMSPublicRootKey= и скопируйте ключ из этой строки в текстовый файл.

  3. Сохраните текстовый файл с ключом доверенного корня в файл и разместите его в таком месте, где к нему может получить доступ любой компьютер, но сам файл будет защищен он попыток несанкционированного доступа.

  4. При установке клиента с использованием любого метода, воспользуйтесь свойством Client.msi SMSROOTKEYPATH=<Полный путь и имя файла>.

Чтобы заранее предоставить клиентам ключ доверенного корня без использования файла, выполните следующие действия

  1. В текстовом редакторе отредактируйте файл <каталог_Configuration_Manager>\bin\<платформа>mobileclient.tcf.

  2. Найдите элемент SMSPublicRootKey= и запишите где-нибудь этот ключ или скопируйте его в буфер обмена.

  3. При установке клиента с использованием любого метода, воспользуйтесь свойством Client.msi SMSPublicRootKey=<ключ>, где ключ — строка, которую вы скопировали из файла mobileclient.tcf.

См. также