В Microsoft System Center Configuration Manager 2007 появились некоторые значительные изменения системы безопасности по сравнению с Systems Management Server (SMS) 2003.
В Configuration Manager 2007 имеется один режим безопасности
В SMS 2003 можно было выбирать между обычной и повышенной безопасностью, при этом рекомендовалось использовать повышенную безопасность. В Configuration Manager 2007 имеется только один режим безопасности, который соответствует режиму повышенной безопасности в SMS 2003. В SMS 2003 некоторые сайты могли не соответствовать требованию повышенной безопасности, связанному с тем, что все системы сайта должны входить в домен Active Directory, однако теперь это требование является обязательным для использования Configuration Manager 2007.
В случае установки нового сайта появляется приглашение выбрать режим безопасности. В случае обновления от SMS 2003 необходимо перед запуском программы установки перевести сайт в режим повышенной безопасности. После перевода нужно удалить все учетные записи, которые в дальнейшем не потребуются. Дополнительные сведения см. в разделе Учетные записи для удаления после обновления с SMS 2003. Кроме того, следует проверить, что имеются учетные записи, необходимые для работы Configuration Manager 2007. Дополнительные сведения см. в разделе Контрольные списки для защиты учетной записи Configuration Manager.
В Configuration Manager 2007 имеется два режима сайта
Configuration Manager 2007 позволяет выбрать между основным режимом Configuration Manager 2007 и смешанным режимом Configuration Manager 2007. Для использования основного режима требуется готовая инфраструктура открытого ключа, но этот режим обеспечивает взаимную проверку подлинности между клиентами и серверами Configuration Manager 2007. Это наиболее безопасный вариант. Смешанный режим нужен для обеспечения обратной совместимости с иерархиями, которые должны поддерживать сайты SMS 2003, и для организаций, у которых нет ресурсов для развертывания инфраструктуры открытого ключа. В случае развертывания решения в смешанном режиме можно вручную утвердить все клиенты, прежде чем они смогут присоединиться к сайту или прежде чем будут автоматически утверждены клиенты, входящие в домен. Можно разрешить автоматическое утверждение клиентов независимо о того, входят ли они в доверенный домен, однако в этом случае возрастают угрозы безопасности, поскольку неизвестные клиенты могут присоединиться к сайту.
Configuration Manager 2007 поддерживает только один тип клиентов
В SMS 2003 можно было выбирать между стандартным и расширенным клиентом. Начиная с SMS 2003 с пакетом обновления 1 (SP1) стандартный клиент можно было устанавливать только на клиентские компьютеры под управлением Windows 98 или Windows NT 4.0. В Configuration Manager 2007 имеется лишь один клиент, называемы просто клиентом Configuration Manager 2007, и он аналогичен расширенному клиенту SMS 2003. Перед обновлением до System Center Configuration Manager 2007 необходимо удалить из иерархии сайта все стандартные клиенты.
SQL Server с Configuration Manager 2007 поддерживает только проверку подлинности Windows
В SMS 2003 на сервере SMS настраивались параметры доступа к серверу базы данных сайта с использованием проверки подлинности SQL Server, ранее называвшейся стандартной безопасностью, или проверки подлинности Windows, ранее называвшейся встроенной безопасностью. В случае использования проверки подлинности SQL Server необходимо было для работы с базой данных сайта указать имя входа SQL Server для SMS. Configuration Manager 2007 поддерживает только проверку подлинности Windows; это значит, что Configuration Manager 2007 использует для доступа к базе данных учетную запись компьютера сервера сайта. Для совершенствования методов управления доступом Configuration Manager 2007 к базе данных SQL Server было добавлено несколько новых ролей баз данных.
Безопасность взаимодействия между сайтами
В SMS 2003 можно было включить или отключить прием сайтом неподписанных данных от другого сайта. В Configuration Manager 2007 все данные, которыми обмениваются сайты, должны подписываться, и отключить это требование невозможно.
Кроме того, в SMS 2003 по умолчанию не был включен безопасный обмен ключами между сайтами. В Configuration Manager 2007 требование о безопасном обмене ключами между сайтами по умолчанию включается для вновь устанавливаемых сайтов.
Для принудительной установки клиентов можно использовать учетную запись Computer$
Даже если на сайте SMS 2003 использовалась расширенная безопасность, необходимо было настраивать учетную запись пользователя для выполнения принудительной установки клиентов. В Configuration Manager 2007, если учетная запись пользователя не настроена, Configuration Manager 2007 предпримет попытку использовать учетную запись computer$ сервера сайта. Если учетные записи для принудительной установки клиентов не заданы, а у учетной записи computer$ нет прав администратора, выполнить принудительную установку клиентов не удастся.
Важно! |
---|
Не рекомендуется добавлять учетную запись computer$ в глобальную группу администраторов домена Domain Admins, поскольку в этом случае нарушается принцип минимальных привилегий. Лучше включить учетную запись computer$ сайта сервера в другую глобальную группу, а затем с помощью групповой политики добавить эту глобальную группу в локальную группу администраторов как ограниченную группу. Дополнительные сведения см. в статье 320065 базы знаний Майкрософт "Настройка глобальной группы в качестве члена группы администраторов на всех рабочих станциях". |
Мастер настройки безопасности помогает защитить роли сайта
Начиная с выпуска Windows Server 2003 с пакетом обновления 1 (SP1) дополнительную защиту сервера в зависимости от выполняемых им ролей обеспечивает мастер настройки безопасности. В мастер настройки безопасности можно добавить шаблоны Configuration Manager 2007, чтобы реализовать рекомендуемую конфигурацию системы безопасности для ролей системы сайта Configuration Manager 2007. При использовании мастера настройки безопасности больше не требуется следовать действовавшим ранее рекомендациям по запуску средства блокировки IIS и средства URLScan для ролей Configuration Manager 2007, требующих служб IIS. Поскольку мастер настройки безопасности обеспечивает автоматическую защиту серверов, в раздел "Сценарии и процедуры для SMS 2003: безопасность" больше не включаются контрольные списки дополнительных выполняемых вручную операций по укреплению системы безопасности серверов IIS и SQL Server.
Перед запуском мастера настройки безопасности на сервере сайта и системах сайта необходимо установить шаблон Configuration Manager 2007 мастера настройки безопасности, которые планируется включить в набор средств Configuration Manager 2007 (http://go.microsoft.com/fwlink/?LinkId=93071).
У обновленных администраторов нет доступа ко всем объектам
После обновления пользователь, выполнивший обновление, имеет доступ ко всем объектам в консоли Configuration Manager 2007, а существующие администраторы имеют доступ только к тем объектам, которые существовали до обновления. Это справедливо даже для объектов обновления программного обеспечения. Пользователи, имеющие полные права на все объекты обновлений программного обеспечения SMS 2003, будут иметь полные права на такие же объекты в Configuration Manager 2007, но не будут иметь каких-либо прав на объекты новых типов, например шаблоны.
Изменения учетных записей
Поскольку в Configuration Manager 2007 не используются стандартная безопасность и стандартный клиент, учетные записи, связанные с этими режимами, больше не требуются. Во время установки Configuration Manager 2007 или установки клиента никакие учетные записи пользователей не создаются. В Configuration Manager 2007 появилось несколько новых учетных записей, описанных в следующей таблице.
Имя учетной записи | Назначение |
---|---|
Учетная запись установки систем сайта |
Установка и настройка систем сайта |
Учетная запись публикации ссылок на состояние работоспособности |
Публикация защиты доступа к сети в доменных службах Active Directory |
Учетная запись запросов на ссылки на состояние работоспособности |
Запросы защиты доступа к сети из доменных служб Active Directory |
Учетная запись записи образа операционной системы |
Захват образов для развертывания операционных систем |
Учетная запись прокси-сервера точки обновления программного обеспечения |
Синхронизация каталога обновления программного обеспечения, если прокси-сервер требует проверки подлинности |
Учетная запись присоединения к домену редактора последовательности задач |
Последовательности задач при развертывании операционных систем, если для присоединения к домену требуется контекст безопасности |
Учетная запись прокси для интернет-клиентов |
Интернет-клиенты, которым необходимо для доступа к Интернету проходить проверку на прокси-сервере |
Группа SMS_SiteSystemToSQLConnection больше не требуется, потому что за управление доступом к базе данных отвечают роли SQL Server, которые автоматически создаются во время установки Configuration Manager 2007. Дополнительные сведения см. в разделе О ролях базы данных для Configuration Manager.
Была добавлена новая группа "Пользователи удаленного управления Configuration Manager", в которую входят члены списка разрешенных наблюдателей.
См. также
Основные понятия
Сведения о конфиденциальности и рекомендации по безопасности распространения программного обеспеченияНовые возможности в Configuration Manager 2007
Другие ресурсы
Учетные записи и группы в Configuration ManagerОбеспечение безопасности и конфиденциальности в Configuration Manager 2007