Наиболее серьезный риск, связанный с использованием Microsoft System Center Configuration Manager 2007, состоит в возможности захвата контроля над функциональностью программы неавторизованным пользователем, который затем сможет распространить программное обеспечение среди всех клиентов Configuration Manager 2007. Поскольку Configuration Manager 2007 располагает возможностью установки ПО с использованием прав администратора, злоумышленник может получить контроль над всеми клиентами Configuration Manager 2007 — как компьютерами, так и устройствами. Configuration Manager 2007 также обладает способностью извлекать любые файлы с любого клиентского компьютера, что может привести к серьезным последствиям в плане безопасности и конфиденциальности, в зависимости от характера документа.
Напротив, характер собираемых Configuration Manager 2007 данных (инвентаризация оборудования, инвентаризация программного обеспечения, контроль использования, нужные конфигурации) обычно не считается конфиденциальным. Аналогично, потеря функциональности Configuration Manager 2007 на короткое время в результате атаки типа "отказ в обслуживании" обычно не влечет за собой катастрофических последствий, в отличие, например, от отказов электронной почты, сетевого взаимодействия, освещения и энергоснабжения. Наиболее серьезные последствия недоступности программы обычно связаны с невозможностью развернуть новые обновления ПО, призванные устранить возможность реализации совершенно новой атаки. Потеря инфраструктуры Configuration Manager 2007 также может поставить под угрозу возможность исправления клиентов, если на них наложены ограничения в результате оценки защиты доступа к сети, что может потенциально ограничить их доступ ко всей сети.
Рекомендации
Обеспечьте физическую защиту компьютеров Безопасность невозможна без физической защиты. Получив физический доступ к системе сайта Configuration Manager 2007, злоумышленник потенциально может использовать Configuration Manager 2007 для атаки на всю клиентскую базу. Все потенциальные физические атаки необходимо рассматривать как риск высокой степени и предотвращать их соответствующим образом. Сервер сайта и все системы сайта должны размещаться в защищенной серверной с контролируемым доступом. В идеале компьютеры с консолью Configuration Manager 2007 следует хранить в запертом помещении для защиты их от несанкционированного доступа. Если, однако, такая возможность отсутствует — например, для точки распространения филиала — защитить такие компьютеры в физическое отсутствие администратора можно путем блокирования рабочей станции операционной системой или путем использования защищенной паролем заставки. Для обеспечения соблюдения принципа минимальных привилегий создайте политики, в соответствии с которыми будет Configuration Manager 2007 входить в удаленные консоли администрирования с использованием пользовательской учетной записи с низкими правами, а затем запускать консоль Configuration Manager 2007 с помощью команды "Запуск от имени".
Сложнее обеспечить физическую защиту клиентских компьютеров Configuration Manager 2007, поскольку они обычно должны быть доступны конечным пользователям. Для уменьшения угрозы необходимо ограничить доступ в офисы организации уполномоченными сотрудниками и гостями. При наличии клиентских компьютеров с высоким риском компрометации храните их в запертых офисах и используйте дополнительные средства защиты, такие как кейсы с замками и защитные тросики. Клиентами Configuration Manager 2007 могут быть мобильные компьютеры и устройства. Необходимо знакомить пользователей с рекомендуемыми мерами безопасности, такими как установка замков на переносных компьютерах и паролей на устройствах. В организации должны иметься установленные процедуры на случай утери или кражи переносного компьютера или мобильного устройства, направленные на предотвращение доступа этого компьютера или устройства к корпоративной сети, немедленное блокирование компьютера в консоли Configuration Manager 2007 и, если используется основной режим, отзыв сертификата клиента.
Развертывайте последние обновления безопасности на всех компьютерах Для развертывания обновлений на клиентских компьютерах Configuration Manager 2007 можно использовать функцию обновления программного обеспечения Configuration Manager 2007. Для своевременного получения сведений о новых обновлениях для операционных систем, Microsoft SQL Server и Configuration Manager 2007 можно подписаться на службу Security Notification (http://go.microsoft.com/fwlink/?LinkId=28819).
Применяйте защиту от несанкционированных учетных записей с правами администратора Configuration Manager 2007 не располагает защитой от полномочного администратора Configuration Manager 2007, использующего Configuration Manager 2007 для атаки на сеть. Несанкционированные учетные записи с правами администратора представляют собой риск высокой степени. Такой администратор может инициировать различные атаки, в том числе следующие:
- использование распространения ПО для
автоматической установки и запуска вредоносных программ на каждом
клиентском компьютере Configuration Manager 2007 предприятия;
- настройка удаленного управления для получения
удаленного контроля над клиентом Configuration Manager 2007 без
разрешения клиента;
- настройка очень малых интервалов опроса и
очень больших объемов данных инвентаризации для создания атак типа
"отказ в обслуживании" против клиентов и серверов;
- использование одного сайта в иерархии для
записи данных в данные Active Directory другого сайта.
Полностью запретить административный доступ к консоли Configuration Manager 2007 и системам сайта Configuration Manager 2007 нельзя, поскольку пользоваться Configuration Manager 2007 в этом случае будет невозможно. Проводите аудит всей административной деятельности и регулярно просматривайте журналы аудита. Перед наймом на работу все администраторы Configuration Manager 2007 должны подвергаться проверке биографических данных; периодическая их перепроверка должна быть одним из условий найма. Должности, связанные с высокими требованиями к безопасности, предполагают регулярные принудительные отпуска, поскольку обнаружить несанкционированную административную деятельность в отсутствие администратора может быть легче.
Используйте разделение ролей, чтобы ограничить риски администрирования Не всем администраторам необходим полный административный доступ к Configuration Manager 2007. Используйте безопасность коллекций для ограничения сферы административного контроля как можно меньшим числом администраторов. Применяйте разделение ролей; например, можно разрешить одному человеку создавать объекты пакетов, а другому — распространять их, чтобы ни один отдельно взятый человек не мог использовать Configuration Manager 2007 для развертывания вредоносных программ. Дополнительные сведения о назначении прав объектам Configuration Manager 2007 см. в разделе Обзор безопасности объектов Configuration Manager и WMI.
Рассмотрите возможность проектирования сайтов для ограничения сферы административного контроля; например, можно создать разные сайты или иерархии сайтов для клиентов и серверов.
Важно! |
---|
Иерархия сайта — это граница управления. После объединения сайтов в иерархию схема работы Configuration Manager 2007 позволяет родительскому сайту отправлять пакеты программного обеспечения, коллекции и конфигурации дочерним сайтам, даже хотя дочернему сайту не предоставлены явно разрешения на действия с объектом. Существуют направления атак, позволяющие администраторам-злоумышленникам в дочерних сайтах управлять родительскими сайтами. Для уменьшения риска следует ограничить количество сайтов в иерархии и тщательно проверять на благонадежность администраторов всех сайтов в иерархии. |
Спроектируйте многоуровневую оборону Поскольку программа Configuration Manager 2007 способна взаимодействовать с множеством систем, важно представлять себе существующие в сети уровни безопасности и как эти уровни будут взаимодействовать с Configuration Manager 2007. При всей важности защиты демилитаризованной зоны использование исключительно защиты демилитаризованной зоны, такой как брандмауэры, увеличивает риск в случае компрометации брандмауэра. Проектирование сетей таким образом, чтобы менее защищенные клиенты были изолированы от более защищенных, обеспечивает дополнительный уровень защиты. Еще один уровень — установка персональных брандмауэров на клиентских компьютерах. Запуск ПО для обнаружения вторжений на уровне сети и на уровне узла помогает отфильтровать подозрительную активность. Неотъемлемым элементом защиты является запуск антивирусного ПО, причем Configuration Manager 2007 можно также использовать для развертывания и обслуживания антивирусного ПО. Ознакомление пользователей с правилами компьютерной безопасности — критически важный компонент стратегии безопасности сети.
Создавайте и поддерживайте базовые показатели безопасности для всех систем Базовые показатели безопасности — это подробное описание процедур настройки и администрирования компьютера. Они описывают все параметры конфигурации, необходимые для безопасной работы. Помимо всего прочего, создание базовой конфигурации безопасности подразумевает использование максимально безопасной операционной системы. Чем новее операционная система, тем больше вероятность того, что она разрабатывалась с учетом требований к безопасности, и что в ней предусмотрены соответствующие функции. Поддерживайте операционную систему в актуальном состоянии путем установки обновлений безопасности по мере их выхода. Можно использовать функцию обновления программного обеспечения Configuration Manager 2007 для развертывания обновлений ПО на всех клиентах Configuration Manager 2007. Всегда используйте разделы NTFS, а не разделы FAT, чтобы можно было задействовать управление доступом. Проводите аудит на предмет изменений в базовом уровне безопасности. Для мониторинга изменений в базовом уровне безопасности можно использовать функцию управления требуемой конфигурацией Configuration Manager 2007.
Используйте надежные пароли или парольные фразы Всегда используйте для всех учетных записей Configuration Manager 2007 и администраторских учетных записей Configuration Manager 2007 надежные пароли, состоящие из 15 или более символов. Никогда не используйте пустые пароли. Дополнительные сведения о концепциях парольной защиты см. в техническом документе "Account Passwords and Policies" на веб-сайте TechNet (http://go.microsoft.com/fwlink/?LinkId=30009). Configuration Manager 2007 автоматически создает определенные учетные записи и генерирует для них надежные пароли.
Контролируйте доступ к экспортированным файлам Configuration Manager 2007 дает возможность экспорта в текстовые файлы некоторых объектов (например, последовательностей задач, коллекций, пакетов, параметров сайта и отчетов) для последующего их импорта. Необходимо реализовать процедуры контроля доступа, обеспечивающие безопасное хранение всех экспортированных файлов и невозможность изменения их содержимого злоумышленниками перед импортом, равно как и поиска информации в содержимом файлов.
Защищайте исходные файлы пакетов Для многих пакетов Configuration Manager 2007, например, пакетов развертывания операционных систем, распространения ПО и обновления ПО необходимы исходные файлы из каталога или общей папки, однако Configuration Manager 2007 не контролирует местонахождение исходных файлов. Необходимо реализовать процедуры контроля доступа для предотвращения возможных изменений исходных файлов злоумышленниками перед преобразованием файлов в пакеты Configuration Manager 2007.