Создайте политики безопасности и придерживайтесь их    Задокументированные политики и процедуры полезны для любой системы, следует их использовать для обеспечения безопасности Configuration Manager 2007. Политики безопасности — это инструкции о стандартах и поведении. Процедуры безопасности представляют собой подробные инструкции о том, как каждая организация реализует политики безопасности. Например, в политике безопасности могут быть прописаны случаи, когда допускается использование удаленных средств. Процедуры безопасности должны предусматривать действия, позволяющие убедиться в том, что собираются сообщения об изменении состояния удаленного средства. В процедурах также необходимо предусмотреть, как часто будут просматриваться отчеты, а также действия, предпринимаемые в случае подозрений о наличии нарушений. Для сохранения эффективности следует периодически рассматривать политики и вносить в них изменения, если это необходимо.

Дополнительные сведения о политиках и процедурах см. на веб-сайте http://go.microsoft.com/fwlink/?LinkId=50941 в Центре безопасности TechNet.

Используйте лабораторию тестирования, чтобы проверить будущие изменения конфигурации на наличие проблем безопасности    Не устанавливайте Configuration Manager 2007 на рабочие серверы, пока решение не будет установлено и испытано в лаборатории тестирования. Установка Configuration Manager 2007 в рабочей среде без предварительного тестирования продукта в изолированной сети может привести к нежелательным и потенциально опасным результатам. Проверьте новые меры безопасности в лаборатории перед тем, как внедрять их в рабочей среде. Убедитесь в том, что можно внедрить процедуры безопасности, избежав появления новых уязвимостей в сети. Убедитесь в том, что новые меры не создают помех критически важной деловой активности. Например, реализация IPsec является важной мерой по обеспечению безопасности передачи данных, но ее неправильная реализация может привести к полной остановке передачи данных в сети.

Обеспечьте безопасность лаборатории тестирования    Для лабораторий тестирования требуется такой же уровень безопасности, как и для рабочей среды. Незащищенные лаборатории тестирования могут позволить злоумышленникам изучить уязвимости, которые затем могут быть воспроизведены в рабочей среде. В лабораторной среде часто используется низкий уровень безопасности паролей. Пароли могут закрепляться за лабораторными компьютерами или меняться очень редко, чтобы это не мешало процессу тестирования. Злоумышленник может получить доступ к сценариям и пакетам, разрабатываемым в лаборатории, выявить уязвимости в системе безопасности и использовать их в рабочей среде.

Обеспечьте физическую защиту лабораторной среды. Для лаборатории используйте такие же стандарты безопасности паролей, как и для рабочей среды. Проводите аудит лабораторной среды на наличие признаков вторжения.

Тестируйте процедуры резервного копирования и восстановления    Процедуры резервного копирования бесполезны, если их периодически не тестировать. Резервное копирование и восстановление Configuration Manager 2007 — это сложные процедуры, которые необходимо регулярно тестировать. Дополнительные сведения о разработке и реализации процедур резервного копирования и восстановления см. в разделе Обзор резервного копирования и восстановления.

Обеспечьте защиту резервных носителей    Задача резервного копирования Configuration Manager 2007 создает копии реестра, структуры файлов и базы данных сайта Configuration Manager 2007. Злоумышленники, получившие доступ к носителям резервных копий, могут воспользоваться такими ценными сведениями о сети, как IP-адреса, имена сайтов Active Directory и состояние всех клиентских компьютеров. Атаки на носители резервных копий потенциально так же опасны, как и физические атаки на серверы. Как при любом резервном копировании, сохраняйте носители резервных копий Configuration Manager 2007 в безопасном месте; также можно воспользоваться шифрованием файлов резервных копий и установить управляемую процедуру проверки и восстановления носителей.

Проверяйте параметры Configuration Manager    Правильное управление изменениями и конфигурациями позволяет обеспечить надлежащую безопасность. В идеальном случае в производственную среду не должны вноситься изменения без надлежащего планирования, тестирования, проверки подлинности и отслеживания изменений. Даже в случае наличия самых лучших элементов управления изменениями следует периодически проверять настройки Configuration Manager 2007, чтобы убедиться в отсутствии несанкционированных изменений. Используйте управление требуемой конфигурацией для отслеживания изменений в разрешенных конфигурациях базовых показателей.

Примечание
При списании систем сайта и учетных записей пользователя убедитесь в том, что также удалены соответствующие права и разрешения.

Просматривайте журналы аудита    Безопасность операционной системы можно контролировать с помощью средства аудита. После включения аудита безопасности отслеживайте в журнале событий безопасности события, связанные с Configuration Manager 2007. Внимательно проверьте на наличие любых сбоев, связанных с учетными записями и ресурсами Configuration Manager 2007. Журналы событий Windows могут заполниться, и по умолчанию новые элементы будут перезаписывать более ранние элементы. Для диагностики проблем и по другим причинам может понадобиться обратиться к более ранней версии журнала событий. Рекомендуется создавать резервные копии журналов событий Windows и хранить их в безопасном и доступном месте. При необходимости увеличьте размер файла журнала по умолчанию, чтобы он мог вместить больший объем данных.

Отслеживайте операции Configuration Manager    Отслеживайте выполняемые действия Configuration Manager 2007, чтобы убедиться в том, что выполняются только разрешенные действия. Например, отслеживайте создание больших или подозрительных коллекций, создание объявлений, добавление ссылок с больших коллекций на объявленные коллекции или создание пакетов обновлений.

Подсистема состояния Configuration Manager 2007 предоставляет события аудита для отслеживания таких действий. Все события аудита по умолчанию сохраняются в течение 180 дней. Другие сообщения об изменении состояния сервера по умолчанию сохраняются в течение 30 дней. В Configuration Manager 2007 по умолчанию имеется несколько запросов сообщений об изменении состояния, которые можно использовать для проведения аудита действий, связанных с безопасностью. Ниже приведены некоторые запросы сообщений об изменении состояния, которые могут быть полезны для мониторинга несанкционированных действий.

• Создание, изменение или удаление разрешений безопасности
  
  
• Создание, изменение или удаление объявлений
  
  
• Создание, изменение или удаление пакетов
  
  
• Создание, изменение или удаление программ
  
  
• Клиенты, которым не удалось выполнить (запустить) определенную объявленную программу
  
  
• Изменение конфигурации серверных компонентов
  
  
• Изменение конфигурации клиентских компонентов
  
  
• Операции удаленных средств (все)
  
  
• Создание, изменение или удаление адресов сайтов
  
  
• Создание, изменение или удаление границ сайтов
  
  
• Создание, изменение или удаление SQL-команд
  
  
• Создание, изменение или удаление SQL-задач
  
  
• Все сообщения об изменении состояния аудита (для определенного пользователя) (с определенного сайта)
  
  

Периодически проверяйте безопасность Configuration Manager    Проверяйте безопасность Configuration Manager 2007 при его установке, а также проводите периодические проверки в дальнейшем. Попытайтесь получить доступ ко всем типам ресурсов Configuration Manager 2007 с помощью созданных учетных записей с делегированными задачами. Это необходимо для того, чтобы проверить безопасность объектов и данных Configuration Manager 2007. Попытайтесь получить доступ к ресурсам с помощью неавторизованных учетных записей.

Разработайте план реагирования на инциденты    План реагирования на инциденты может быть очень простым, например: "отключите от сети затронутые компьютеры, выполните переформатирование и переустановку компьютера", или это может быть подробный план с привлечением квалифицированных судебных экспертов, владеющих методами сбора доказательств, которые могут быть использованы для судебного преследования. Выберите необходимый уровень реагирования и периодически применяйте план на практике. Дополнительные сведения об аварийном восстановлении и реагировании на инциденты см. в разделе "Аварийное восстановление и реагирование на инциденты" (http://go.microsoft.com/fwlink/?LinkId=28825) на веб-сайте Microsoft TechNet.

Обеспечьте защиту внутренней документации Configuration Manager    Сетевая документация содержит все необходимые сведения, с помощью которой злоумышленник может успешно атаковать сеть. Даже список внутренних контактов Configuration Manager 2007 может применяться злоумышленником для реализации атак с использованием социальной инженерии. Храните документацию по Configuration Manager 2007 в безопасном месте. Удаление документации по Configuration Manager 2007 в уничтожителе бумаг или с помощью службы по безопасному уничтожению документов. В случае создания резервных копий документации по Configuration Manager 2007 обеспечьте их безопасное хранение.

Организуйте обучение в организации по выполнению рекомендаций безопасности    Разработайте комплексную программу обучения, которая доводит до каждого конечного пользователя, что безопасность зависит от каждого из них. Обучите сетевых администраторов надлежащим процедурам безопасности и добивайтесь строгого выполнения политики безопасности. Администраторы Configuration Manager 2007, не блокирующие консоли Configuration Manager 2007, напрашиваются на атаки со стороны недовольных сотрудников. Секретари в приемной в стремлении помочь могут непреднамеренно дать злоумышленникам всю необходимую информацию для доступа к важным коммерческим секретам.

Носитель с резервной копией содержит все сведения о сайте, включая конфиденциальную информацию, например, имена компьютеров и IP-адреса, собранные функциями Configuration Manager 2007. Безопасность персональных данных в файлах резервной копии должна обеспечиваться в соответствии с местными регулятивными нормами конфиденциальности.