Чтобы защитить данные, которые передаются по сети, их можно подписать. Подпись позволяет выявить факт изменения данных во время передачи. Данные также можно зашифровать, чтобы злоумышленник не смог их прочитать с помощью анализатора сетевых протоколов сетевого монитора. В смешанном и основном режимах Microsoft System Center Configuration Manager 2007 используется как подписывание, так и шифрование (см. разделы ниже).

Элементы управления шифрованием во всех режимах сайта

Определенную информацию в Configuration Manager 2007 всегда можно подписать и зашифровать независимо от режима работы сайта.

Хеширование содержимого

Служба диспетчера распространения на сервере сайта хэширует файлы содержимого всех пакетов. Поставщик политик содержит хэш в политике распространения программного обеспечения. Если для рекламы задан параметр Загрузить содержимое с точки распространения и запустить его локально, при загрузке содержимого клиент воссоздает хэш локально и сравнивает его с тем, который содержится в политике. Если хэши совпадают, это означает, что содержимое не изменено и клиент может его устанавливать. Если же в программном обеспечении изменен хотя бы один байт, хэши не совпадут, и программное обеспечение не будет установлено. Кроме того, эта проверка помогает убедиться, что устанавливается правильное программное обеспечение, поскольку фактическое содержимое подвергается перекрестной проверке с помощью политики Однако, если для рекламы задан параметр Запустить программу из точки распространения, хэш на клиентском компьютере не проверяется.

Политика хеширования

Когда клиенты Configuration Manager 2007 запрашивают политику, они сначала получают назначение политики, где сообщается, какая политика к ним применима, и запрашивают только соответствующие тексты политик. В каждом назначении политики содержится хэш, вычисленный по тексту соответствующей политики. Клиент получает тексты соответствующих политик и вычисляет по ним хэш. Если хэш в тексте загруженной политики не совпадает с хэшем в назначении политики, текст политики не применяются.

Подписывание нужных данных управления требуемой конфигурацией

Перед импортом данных конфигурации Configuration Manager 2007 проверяет цифровую подпись файла. Если файлы не подписаны или в случае неудачи при проверке цифровой подписи будет выдано предупреждение и предложение продолжить импорт. Продолжайте импорт данных конфигурации только в случае полного доверия издателю и целостности файлов.

Подписывание и шифрование данных при передаче между сайтами

Файл параметров сайта содержит все свойства конфигурации сайта и всех дочерних сайтов. Если администратор изменяет конфигурацию дочернего сайта, родительский сайт отправляет сведения об изменениях в файл параметров сайта, расположенный на сервере дочернего сайта. Если конфигурацию изменяет администратор дочернего сайта, сведения об изменениях отправляются в файл параметров родительского сайта. Дочерние сайты также отправляют на родительский сайт другие данные, такие как данные инвентаризации или данные состояния, а родительские сайты отправляют на дочерние сайты такие данные, как определения пакетов и коллекций.

Прежде чем пересылать какие-либо данные с одного сайта на другой, сервер сайта-отправителя создает хэш и подписывает его с помощью закрытого ключа. Сервер сайта-получателя проверяет подпись с помощью открытого ключа и сравнивает хэш с локально вычисленным значением. В случае совпадения сайт-получатель принимает файл параметров сайта. В противном случае файл параметров сайта отклоняется.

Связанная конфигурация позволяет автоматически распространять в Configuration Manager 2007 ключи связи между сайтами на родительском или дочернем сайте, даже если коммуникационный канал не является безопасным. При новой установке программы параметр Требовать обмен ключами безопасности по умолчанию включен, а при его обновлении сохраняется его текущее значение.

После того как параметр Требовать обмен ключами безопасности включен, появляется возможность обмениваться открытыми ключами между сайтами. Это можно сделать одним из двух описанных ниже способов.

  • Если схема доменных служб Active Directory расширена на Configuration Manager 2007, и у приложения Configuration Manager 2007 есть разрешение на публикацию в Active Directory, сервер сайта автоматически опубликует открытый ключ связи между сайтами в объекте сайта в контейнере System Management.

  • Если схема Active Directory не включена, или у приложения Configuration Manager 2007 нет разрешения на публикацию в каталоге Active Directory, администратор Configuration Manager 2007 должен записать открытый ключ в дамп с помощью команды Preinst, а затем вручную скопировать его на сайт назначения.

    Важно!
    Автоматический обмен ключами между лесами не поддерживается. Если иерархия сайта выходит за границы леса, администратор должен произвести обмен ключами вручную, даже если схема обоих лесов расширена, и приложение Configuration Manager 2007 выполняет публикацию в каталоге Active Directory.

Какая-то часть информации в файле параметров сайта шифруется, однако при передаче с одного сайта на другой сам этот файл не шифруется. Чтобы обмен данными между сайтами шифровался, следует включить протокол IPsec. Дополнительные сведения см. в разделе Внедрение протокола IPsec в Configuration Manager 2007.

Подписывание и шифрование данных инвентаризации

Данные инвентаризации компьютеров всегда подписываются, независимо от режима работы сайта, а данные инвентаризации мобильных устройств подписываются только в основном режиме. В смешанном режиме шифровать данные не обязательно, но желательно. Дополнительные сведения см. в разделе Шифрование отчетов инвентаризации клиентов.

Точка миграции состояния

Данные, которые хранятся в точке миграции состояния развертывания операционной системы, шифруются всегда.

Подписывание обновлений программного обеспечения

Все обновления программного обеспечения должен подписать доверенный издатель, чтобы защитить их от подделки. Агент Windows Update Agent (WUA) будет сканировать обновления из каталога на клиентских компьютерах, но не сможет установить эти обновления, если не найдет цифровой сертификат в хранилище доверенных издателей на локальном компьютере. Если при публикации каталога обновлений использовался самозаверяющий сертификат, например, самозаверяющий сертификат издателей WSUS, он также должен содержаться в хранилище сертификатов "Доверенные корневые центры сертификации" на локальном компьютере, чтобы можно было проверить его срок действия. Агент WUA также проверяет, включен ли на локальном компьютере параметр Разрешено ли подписанное содержимое из групповой политики расположения службы обновления Microsoft в интрасети. Этот параметр политики должен быть включен, чтобы агент WUA проверял наличие обновлений, созданных и опубликованных с помощью издателя обновлений.

Когда обновления программного обеспечения публикуются в средстве публикации обновлений System Center Updates Publisher, они подписываются с помощью цифрового сертификата при публикации на сервере обновлений. Для подписи обновления можно указать сертификат PKI или создать с помощью средства Updates Publisher самозаверяющий сертификат.

Сертификаты для управления мобильными устройствами

Если оператор мобильной связи не заблокировал мобильное устройство, приложение Configuration Manager 2007 может помочь в установке сертификатов, необходимых для проверки подписей мобильных приложений. Установка производится путем отправки сертификатов в виде элементов конфигурации или путем их установки вместе с программным обеспечением клиента. Если же мобильное устройство заблокировано, нельзя развернуть сертификаты с помощью приложения Configuration Manager 2007. Дополнительные сведения см. в разделе Развертывание сертификатов на клиентах мобильных устройств.

Если включена инвентаризация оборудования мобильных устройств, приложение Configuration Manager 2007 также выполняет инвентаризацию сертификатов, установленных на этих мобильных устройствах.

Сертификаты, используемые при внешнем управлении (Configuration Manager 2007 SP1 и более поздние версии)

При внешнем управлении используются не менее двух типов сертификатов, выданных инфраструктурой открытых ключей (PKI): сертификат подготовки AMT и сертификат веб-сервера.

Внешняя точка обслуживания использует сертификат обеспечения AMT для подготовки компьютеров к внешнему управлению. Подготавливаемые компьютеры на основе AMT должны доверять сертификату, представленному внешней точкой обслуживания. По умолчанию компьютеры, основанные на АМТ, настраиваются производителем компьютера на использование внешних центров сертификации, например, VeriSign, Go Daddy, Comodo и Starfield. Если сертификат обеспечения приобретен у одного из внешних центров сертификации, и в программе Configuration Manager настроено использование этого сертификата обеспечения, компьютеры, основанные на АМТ, доверяют центру сертификации сертификата обеспечения, и подготовка выполняется успешно. Тем не менее для выпуска сертификата подготовки AMT безопаснее всего использовать собственный внутренний центр сертификации. Дополнительные сведения см. в разделе Рекомендации по безопасности и конфиденциальности внешнего управления.

На компьютерах на основе AMT выполняется встроенный микропрограммный компонент веб-сервера, который шифрует коммуникационный канал внешней точки обслуживания с помощью протокола TLS. В AMT BIOS отсутствует пользовательский интерфейс, который позволил бы настроить сертификат вручную, поэтому требуется наличие центра сертификации предприятия Microsoft, который автоматически одобряет запросы сертификатов с сервера основного сайта и установит сертификаты на компьютеры на основе AMT. В запросах используется формат PKCS#10, а в нем, в свою очередь, стандарт PKCS#7 для передачи информации о сертификате на компьютер на основе AMT.

Хотя компьютер, основанный на АМТ, проходит проверку подлинности для управляющего компьютера, на самом управляющем компьютере отсутствует соответствующий клиентский сертификат PKI. Вместо него при таком обмене информацией используется проверка подлинности Kerberos или дайджест-проверка подлинности HTTP. Если используется дайджест-проверка подлинности HTTP, данные шифруются с помощью протокола TLS.

Для Configuration Manager 2007 с пакетом обновления 2 (SP2) может потребоваться дополнительный тип сертификата: дополнительный сертификат клиента для проводных и беспроводных сетей с проверкой подлинности 802.1X. Для проверки подлинности на сервере RADIUS компьютеру, основанному на AMT, может потребоваться сертификат клиента. Если на сервере RADIUS настроена проверка подлинности EAP-TLS, сертификат клиента требуется всегда. Если на сервере RADIUS настроена проверка подлинности EAP-TTLS/MSCHAPv2 и PEAPv0/EAP-MSCHAPv2, необходимость сертификата клиента определяется в конфигурации сервера RADIUS. Этот сертификат запрашивается сервером сайта и устанавливается на компьютеры, основанные на AMT. Такой процесс ничем не отличается от запроса и установки сертификата веб-сервера на компьютеры, основанные на AMT.

Дополнительные сведения см. в разделе О сертификатах, необходимых для внешнего управления.

Шифрование для пакетов многоадресной рассылки (Configuration Manager 2007 R2)

В пакете развертывания каждой операционной системы есть возможность включить шифрование пакетов, которые передаются с помощью многоадресной рассылки. Если шифрование разрешено, дополнительная настройка сертификатов не нужна. В точке распространения с поддержкой многоадресной рассылки автоматически создаются симметричные ключи для шифрования пакета. Для каждого пакета создается свой ключ шифрования. Ключи шифрования сохраняются в точке распространения с поддержкой многоадресной рассылки с помощью интерфейсов API Windows. Когда клиент подключается к сеансу многоадресной рассылки, происходит обмен ключами по каналу, зашифрованному либо с помощью сертификата проверки подлинности клиента, выданного инфраструктурой PKI (в основном режиме), либо с помощью самозаверяющего сертификата (в смешанном режиме). Сертификат хранится в памяти клиента только во время многоадресной рассылки.

Элементы управления шифрованием в основном режиме сайта

Основной режим является рекомендуемым, так как он обеспечивает более высокий уровень безопасности за счет интеграции с инфраструктурой открытого ключа для защиты обмена данными между клиентами и серверами. Однако в результате реализации основного режима без четкого представления о планировании, развертывании и работе инфраструктуры PKI сайт все равно может остаться уязвимым. Например, если не защитить как следует корневой ЦС, у злоумышленников будет возможность скомпрометировать доверие всей инфраструктуры PKI. Кроме того, если не развернуты необходимые для основного режима сертификаты, и если не организовано надлежащее управление ними, клиенты могут остаться без управления и не смогут получать критические пакеты и обновления программного обеспечения.

Важно!
Основной режимы помогает защищать только обмен данными между клиентом и некоторыми системами сайтов. Но коммуникационный канал между сервером сайта и системами сайта или между серверами сайта остается незащищенным.

Сертификаты для основного режима

В основном режиме необходимы сертификаты нескольких типов.

Системы сайта, для работы которых необходимы службы IIS, также необходимы сертификаты веб-сервера для шифрования обмена данными с клиентами по протоколу SSL. Ниже перечислены системы сайта, для которых нужны сертификаты веб-сервера.

  • Точка управления

  • Прокси-точка управления

  • Точка распространения

  • Точка обновления программного обеспечения

  • Точка миграции состояния

Всем клиентам, как клиентским компьютерам, так и клиентским мобильным устройствам, необходимы сертификаты проверки подлинности клиента. В точке управления и в точке миграции состояния также необходимо развернуть сертификат проверки подлинности клиента, даже если на этих системах сайта не установлен клиент Configuration Manager 2007. Если на клиентах уже есть сертификаты проверки подлинности клиента, приложение Configuration Manager 2007 должно иметь возможность использовать имеющиеся сертификаты.

Для подписи политик, которые отправляются клиентам, серверу сайта необходим настраиваемый сертификат подписи сайта. У этого сертификата должна быть возможность подписывать документы, а в роли имени его получателя должна выступать определенная текстовая строка. Копия сертификата подписи сервера сайта должна быть на всех клиентах, чтобы они могли проверить подпись политики.

Дополнительные сведения см. в разделе Требования к сертификатам для работы в основном режиме.

Если все компьютеры в иерархии Configuration Manager 2007 используют сертификаты от одного и того же центра сертификации, достаточно развертывания только одного доверенного корневого центра сертификации. Тем не менее, использование одного и того же центра сертификации не является обязательным требованием, поэтому может понадобиться установить на клиентах и серверах несколько корневых ЦС. Если инфраструктура Microsoft PKI не используется, возможно, также нужно будет установить на системах сайта сертификаты промежуточных ЦС.

Дополнительные сведения см. в разделе Развертывание сертификатов PKI, необходимых для работы в основном режиме.

Примечание
Имя или дополнительное имя получателя всех сертификатов Configuration Manager 2007 должно состоять только из однобайтовых символов. Дополнительные сведения см. в разделе Сертификаты основного режима и двухбайтовые кодировки.

Сертификаты управления клиентами по Интернету

Чтобы можно было управлять клиентами по Интернету, необходимо, чтобы сайт работал в основном режиме, и на нем была установлена вся необходимая для основного режима структура сертификатов. Кроме того, если сайт поддерживает управление клиентами по Интернету, и для входящих подключений к Интернету используется прокси-сервер с завершением запросов SSL (мост), на прокси-сервере необходимо настроить сертификат для проверки подлинности сервера и клиента. Если же используется прокси-сервер без завершения запросов SSL (туннелирование), на прокси-сервере дополнительные сертификаты не нужны. Дополнительные сведения см. в разделе Определение требований к прокси-серверам для использования интернет-управления клиентами.

Сертификаты клиентского мобильного устройства в основном режиме

Если сайту в основном режиме назначены мобильные устройства, для поддержки основного режима необходимы сертификаты. Для клиентов мобильных устройств в основном режиме необходима копия сертификата подписи сервера сайта, копия сертификата веб-сервера для точек управления и точек распространения, которые поддерживают мобильные устройства, и копии промежуточных ЦС и корневых ЦС. Для мобильных устройств требуется наличие в персональном хранилище сертификата с возможностями проверки подлинности клиента. Дополнительные сведения см. в разделе О сертификатах основного режима для клиентов мобильных устройств.

В отличие от клиентских компьютеров, для проверки подлинности которых требуется сертификат, для мобильных устройств необходимы сертификаты проверки подлинности пользователя, чтобы проверять подлинность систем сайта в основном режиме.

Сертификаты развертывания операционных систем в основном режиме

Если операционная система развертывается в основном режиме с помощью Configuration Manager 2007, на клиентском компьютере также должен быть сертификат для связи с точкой управления, даже если компьютер находится в переходном состоянии, например, загружается с носителя с файлами последовательности задач или с точки обслуживания PXE. Для поддержки этого сценария необходимо создать сертификат проверки подлинности клиента в инфраструктуре PKI и экспортировать его с закрытым ключом. Кроме того, в свойствах сервера сайта необходимо настроить сертификат для доверенного корневого ЦС для точки управления.

При создании загрузочного носителя импортируется сертификат проверки подлинности клиента. На загрузочный носитель следует установить пароль для защиты закрытого ключа и других конфиденциальных данных, настроенных в последовательности задач. Каждый компьютер, который загружается с загрузочного носителя, будет представлять в точку управления один и тот же сертификат, когда это потребуется для выполнения функций клиента, таких как запрос политики.

Если используется загрузка PXE, сертификат проверки подлинности клиента следует импортировать в точку обслуживания PXE, и с нее один и тот же сертификат будет временно записываться на каждый клиент, загрузка которого производится с точки обслуживания PXE. Следует потребовать, чтобы пользователи, которые подключаются к точке обслуживания PXE, вводили пароль. Это поможет защитить закрытый ключ и другие конфиденциальные данные, настроенные в последовательностях задач.

Если какой-то из этих сертификатов проверки подлинности клиента будет скомпрометирован, сертификаты следует заблокировать в свойствах сайта на узле Сертификаты. Для управления этими сертификатами необходимо право на управление сертификатами развертывания операционных систем.

После того как операционная система развернута, и продукт Configuration Manager 2007 установлен, клиенту понадобится собственный сертификат проверки подлинности клиента, выданный инфраструктурой PKI, для обмена данными в основном режиме (см. выше в этом разделе).

Дополнительные сведения см. в разделе Управление сертификатами основного режима и развертывание операционной системы.

Поддержка расширений программы Configuration Manager в основном режиме

Независимые поставщики программных продуктов могут создавать приложения, которые расширяют возможности программы Configuration Manager 2007, например, расширения для поддержки клиентских платформ, отличных от Windows, таких как Macintosh или UNIX. Однако если сайт работает в основном режиме, для связи с точкой управления Configuration Manager 2007 даже расширенные клиенты должны использовать сертификаты. В приложении Configuration Manager 2007 есть возможность назначить прокси-серверу ISV сертификат, благодаря которому станет возможным связь между клиентами прокси-сервера ISV и точкой управления. Если используются расширения, для работы которых необходимы сертификаты прокси-сервера ISV, ознакомьтесь с документацией к продукту. Если нужно создать сертификаты прокси-сервера ISV, дополнительные сведения можно получить в документации к набору разработчика SDK Configuration Manager 2007.

Если сертификат ISV скомпрометирован, его следует заблокировать в свойствах сайта на узле Сертификаты.

Обмен данными, которые в основном режиме не шифруются

В основном режиме обмен данными обычно шифруется по протоколу SSL. Однако в перечисленных ниже ситуациях клиенты в основном режиме обмениваются с системами сайта незашифрованными данными.

  • Для объявлений настроен параметр Запустить программу из точки распространения.

  • Клиенту не удается установить подключение HTTPS к точке распространения

  • Клиент обменивается информацией с такими системами сайта:

    • Резервная точка состояния

    • Точка обнаружения серверов

    • Точка обслуживания PXE

    • Точка средства проверки работоспособности системы

  • Для взаимодействия с точкой обнаружения серверов в основном режиме клиентские компьютеры необходимо настроить на передачу данных по протоколу HTTP для роуминга и назначения сайта.

  • Точки распространения филиала, в которых всегда используется протокол SMB (даже в основном режиме)

  • Точки распределения, в которых не настроен параметр Разрешить передачу клиентами содержимого с этой точки распределения с использованием протоколов BITS, HTTP и HTTPS. Без этого параметр клиенты всегда, даже в основном режиме используют протокол SMB.

Точки формирования отчетов, в которых настроено использование протокола HTTP или HTTPS, независимо от режима сайта.

Дополнительные сведения см. в разделе Обмен данными между клиентами в смешанном и основном режимах.

Подписывание в основном режиме

В основном режиме назначения политики клиента подписываются с помощью сертификата подписания сервера сайта. Это помогает ограничить риски, связанные с рассылкой искаженных политик точкой управления, к которой получил доступ злоумышленник. Такая мера защиты является особенно эффективной в случае использования интернет-управления клиентами, поскольку в данной ситуации точка управления должна иметь доступ к Интернету. Кроме того, подписываются данные, которыми клиенты обмениваются с серверами, за исключением случаев, описанных в разделе "Обмен данными, которые в основном режиме не шифруются".

Проверка списка отзыва сертификатов

В службах IIS проверка отзыва сертификатов включена по умолчанию, поэтому при использовании списка CRL с развертыванием PKI дополнительная настройка большинства систем сайта Configuration Manager не требуется. Исключение составляют обновления программного обеспечения, для которых необходимо вручную включить проверку списка отзыва сертификатов, чтобы проверять подписи в файлах обновления программного обеспечения. Дополнительные сведения см. в разделе Включение проверки списка отзыва сертификатов для обновлений программного обеспечения.

Проверка списка отзыва сертификатов включена по умолчанию для клиентских компьютеров в основном режиме, если сайт установлен в основном режиме, но отключена по умолчанию, если сайт установлен в смешанном режиме и затем переведен в основной режим. Включение проверки списка отзыва сертификатов повышает административные затраты и затраты на обработку, но повышает уровень безопасности. Однако если проверка списка отзыва сертификатов включена, но у клиента нет доступа к списку отзыва сертификатов, он не сможет связаться с сайтом. Дополнительные сведения см. в разделе Определение необходимости включения проверки отзыва сертификатов (CRL) на клиентах (основной режим).

Элементы управления шифрованием в смешанном режиме

В смешанном режиме тоже используются некоторые сертификаты, однако они самозаверяющие, и инфраструктура PKI для них не нужна. В большинстве случаев самозаверяющие сертификаты не требуют от администратора никаких действий.

Подписывание политик

В смешанном режиме в ответ на запрос клиентом политики ему возвращается назначение политики, подписанное с помощью самозаверяющего сертификата точки управления. Одна из причин, по которым основной режим является более безопасным, заключается в том, что политика подписывается не только сертификатом точки управления, выданным инфраструктурой PKI, но и сертификатом подписи сервера центрального сайта. В смешанном режиме злоумышленник, который получил несанкционированный доступ к точке управления, может создать и подписать произвольную политику. Если клиент не сможет проверить подпись на назначении политики, он не применяет это назначение.

Сертификаты развертывания операционной системы

Если операционная система развертывается в смешанном режиме с помощью Configuration Manager 2007, на клиентском компьютере также должен быть сертификат для связи с точкой управления, даже если компьютер находится в переходном состоянии, например, загружается с носителя с файлами последовательности задач или с точки обслуживания PXE. Для поддержки этого сценария в смешанном состоянии приложение Configuration Manager 2007 создает самозаверяющие сертификаты. Если самозаверяющие сертификаты скомпрометированы, их следует блокировать в свойствах сайта на узле Сертификаты, чтобы злоумышленники не смогли с их помощью выдать себя за доверенных клиентов.

Проверка подлинности клиента и сервера

В смешанном режиме клиенты проверяют подлинность своих точек управления с помощью доменных служб Active Directory или с помощью ключа доверенного корня Configuration Manager 2007, как описано в разделе О ключе доверенного корня. Подлинность других ролей сервера, таких как точки миграции состояния или точки обновления программного обеспечения на клиентах не проверяется. В смешанном состоянии клиенты создают самозаверяющие сертификаты, с помощью которых точки управления проверяют подлинность клиентов. Поскольку самозаверяющий сертификат, который примет точка управления, может создать любой клиент, безопасность в смешанном режиме является минимальной. Однако только утвержденные клиенты пользуются достаточным доверием для того, чтобы получить любую политику, которая содержит конфиденциальную информацию.

Алгоритмы шифрования в программе Configuration Manager

Основным алгоритмом хэширования в Configuration Manager 2007 является SHA-1. Во время сеанса связи два сайта Configuration Manager 2007 подписывают данные, которыми они обмениваются, с помощью алгоритма SHA-2. Основным алгоритмом шифрования, реализованным в Configuration Manager 2007, является 3DES. Кроме того, если реализован основной режим, инфраструктуру PKI можно настроить, чтобы в ней использовались сертификаты RSA с максимальной длиной ключа, как описано в разделе Требования к сертификатам для работы в основном режиме. Для большинства криптографических операций Configuration Manager используются алгоритмы SHA-1, SHA-2, 3DES и RSA, реализованные в библиотеке Windows CryptoAPI rsaenh.dll.

Примечание
Если в иерархию сайтов входят сайты SMS 2003, данные, которыми Configuration Manager 2007 обменивается с дочерними сайтами SMS 2003, подписываются с помощью хэшей MD5. Пакеты, созданные на сайтах SMS 2003 (на которых не установлены пакеты обновления) хэшируются по алгоритму MD5. А после обновления с помощью мастера обновления точек распространения в SMS 2003 (любым пакетом обновления) или в Configuration Manager 2007 пакеты хэшируются по алгоритму SHA-1.

См. также