Служба диспетчера распространения на сервере сайта хэширует файлы содержимого всех пакетов. Поставщик политик содержит хэш в политике распространения программного обеспечения. Если для рекламы задан параметр Загрузить содержимое с точки распространения и запустить его локально, при загрузке содержимого клиент воссоздает хэш локально и сравнивает его с тем, который содержится в политике. Если хэши совпадают, это означает, что содержимое не изменено и клиент может его устанавливать. Если же в программном обеспечении изменен хотя бы один байт, хэши не совпадут, и программное обеспечение не будет установлено. Кроме того, эта проверка помогает убедиться, что устанавливается правильное программное обеспечение, поскольку фактическое содержимое подвергается перекрестной проверке с помощью политики Однако, если для рекламы задан параметр Запустить программу из точки распространения, хэш на клиентском компьютере не проверяется.

Когда клиенты Configuration Manager 2007 запрашивают политику, они сначала получают назначение политики, где сообщается, какая политика к ним применима, и запрашивают только соответствующие тексты политик. В каждом назначении политики содержится хэш, вычисленный по тексту соответствующей политики. Клиент получает тексты соответствующих политик и вычисляет по ним хэш. Если хэш в тексте загруженной политики не совпадает с хэшем в назначении политики, текст политики не применяются.

Перед импортом данных конфигурации Configuration Manager 2007 проверяет цифровую подпись файла. Если файлы не подписаны или в случае неудачи при проверке цифровой подписи будет выдано предупреждение и предложение продолжить импорт. Продолжайте импорт данных конфигурации только в случае полного доверия издателю и целостности файлов.

Файл параметров сайта содержит все свойства конфигурации сайта и всех дочерних сайтов. Если администратор изменяет конфигурацию дочернего сайта, родительский сайт отправляет сведения об изменениях в файл параметров сайта, расположенный на сервере дочернего сайта. Если конфигурацию изменяет администратор дочернего сайта, сведения об изменениях отправляются в файл параметров родительского сайта. Дочерние сайты также отправляют на родительский сайт другие данные, такие как данные инвентаризации или данные состояния, а родительские сайты отправляют на дочерние сайты такие данные, как определения пакетов и коллекций.

Прежде чем пересылать какие-либо данные с одного сайта на другой, сервер сайта-отправителя создает хэш и подписывает его с помощью закрытого ключа. Сервер сайта-получателя проверяет подпись с помощью открытого ключа и сравнивает хэш с локально вычисленным значением. В случае совпадения сайт-получатель принимает файл параметров сайта. В противном случае файл параметров сайта отклоняется.

Связанная конфигурация позволяет автоматически распространять в Configuration Manager 2007 ключи связи между сайтами на родительском или дочернем сайте, даже если коммуникационный канал не является безопасным. При новой установке программы параметр Требовать обмен ключами безопасности по умолчанию включен, а при его обновлении сохраняется его текущее значение.

После того как параметр Требовать обмен ключами безопасности включен, появляется возможность обмениваться открытыми ключами между сайтами. Это можно сделать одним из двух описанных ниже способов.

• Если схема доменных служб Active Directory расширена на Configuration Manager 2007, и у приложения Configuration Manager 2007 есть разрешение на публикацию в Active Directory, сервер сайта автоматически опубликует открытый ключ связи между сайтами в объекте сайта в контейнере System Management.
  
  
• Если схема Active Directory не включена, или у приложения Configuration Manager 2007 нет разрешения на публикацию в каталоге Active Directory, администратор Configuration Manager 2007 должен записать открытый ключ в дамп с помощью команды Preinst, а затем вручную скопировать его на сайт назначения.
  
  

  Важно!
  Автоматический обмен ключами между лесами не поддерживается. Если иерархия сайта выходит за границы леса, администратор должен произвести обмен ключами вручную, даже если схема обоих лесов расширена, и приложение Configuration Manager 2007 выполняет публикацию в каталоге Active Directory.

Какая-то часть информации в файле параметров сайта шифруется, однако при передаче с одного сайта на другой сам этот файл не шифруется. Чтобы обмен данными между сайтами шифровался, следует включить протокол IPsec. Дополнительные сведения см. в разделе Внедрение протокола IPsec в Configuration Manager 2007.

Данные инвентаризации компьютеров всегда подписываются, независимо от режима работы сайта, а данные инвентаризации мобильных устройств подписываются только в основном режиме. В смешанном режиме шифровать данные не обязательно, но желательно. Дополнительные сведения см. в разделе Шифрование отчетов инвентаризации клиентов.

Данные, которые хранятся в точке миграции состояния развертывания операционной системы, шифруются всегда.

Все обновления программного обеспечения должен подписать доверенный издатель, чтобы защитить их от подделки. Агент Windows Update Agent (WUA) будет сканировать обновления из каталога на клиентских компьютерах, но не сможет установить эти обновления, если не найдет цифровой сертификат в хранилище доверенных издателей на локальном компьютере. Если при публикации каталога обновлений использовался самозаверяющий сертификат, например, самозаверяющий сертификат издателей WSUS, он также должен содержаться в хранилище сертификатов "Доверенные корневые центры сертификации" на локальном компьютере, чтобы можно было проверить его срок действия. Агент WUA также проверяет, включен ли на локальном компьютере параметр Разрешено ли подписанное содержимое из групповой политики расположения службы обновления Microsoft в интрасети. Этот параметр политики должен быть включен, чтобы агент WUA проверял наличие обновлений, созданных и опубликованных с помощью издателя обновлений.

Когда обновления программного обеспечения публикуются в средстве публикации обновлений System Center Updates Publisher, они подписываются с помощью цифрового сертификата при публикации на сервере обновлений. Для подписи обновления можно указать сертификат PKI или создать с помощью средства Updates Publisher самозаверяющий сертификат.

Если оператор мобильной связи не заблокировал мобильное устройство, приложение Configuration Manager 2007 может помочь в установке сертификатов, необходимых для проверки подписей мобильных приложений. Установка производится путем отправки сертификатов в виде элементов конфигурации или путем их установки вместе с программным обеспечением клиента. Если же мобильное устройство заблокировано, нельзя развернуть сертификаты с помощью приложения Configuration Manager 2007. Дополнительные сведения см. в разделе Развертывание сертификатов на клиентах мобильных устройств.

Если включена инвентаризация оборудования мобильных устройств, приложение Configuration Manager 2007 также выполняет инвентаризацию сертификатов, установленных на этих мобильных устройствах.

При внешнем управлении используются не менее двух типов сертификатов, выданных инфраструктурой открытых ключей (PKI): сертификат подготовки AMT и сертификат веб-сервера.

Внешняя точка обслуживания использует сертификат обеспечения AMT для подготовки компьютеров к внешнему управлению. Подготавливаемые компьютеры на основе AMT должны доверять сертификату, представленному внешней точкой обслуживания. По умолчанию компьютеры, основанные на АМТ, настраиваются производителем компьютера на использование внешних центров сертификации, например, VeriSign, Go Daddy, Comodo и Starfield. Если сертификат обеспечения приобретен у одного из внешних центров сертификации, и в программе Configuration Manager настроено использование этого сертификата обеспечения, компьютеры, основанные на АМТ, доверяют центру сертификации сертификата обеспечения, и подготовка выполняется успешно. Тем не менее для выпуска сертификата подготовки AMT безопаснее всего использовать собственный внутренний центр сертификации. Дополнительные сведения см. в разделе Рекомендации по безопасности и конфиденциальности внешнего управления.

На компьютерах на основе AMT выполняется встроенный микропрограммный компонент веб-сервера, который шифрует коммуникационный канал внешней точки обслуживания с помощью протокола TLS. В AMT BIOS отсутствует пользовательский интерфейс, который позволил бы настроить сертификат вручную, поэтому требуется наличие центра сертификации предприятия Microsoft, который автоматически одобряет запросы сертификатов с сервера основного сайта и установит сертификаты на компьютеры на основе AMT. В запросах используется формат PKCS#10, а в нем, в свою очередь, стандарт PKCS#7 для передачи информации о сертификате на компьютер на основе AMT.

Хотя компьютер, основанный на АМТ, проходит проверку подлинности для управляющего компьютера, на самом управляющем компьютере отсутствует соответствующий клиентский сертификат PKI. Вместо него при таком обмене информацией используется проверка подлинности Kerberos или дайджест-проверка подлинности HTTP. Если используется дайджест-проверка подлинности HTTP, данные шифруются с помощью протокола TLS.

Для Configuration Manager 2007 с пакетом обновления 2 (SP2) может потребоваться дополнительный тип сертификата: дополнительный сертификат клиента для проводных и беспроводных сетей с проверкой подлинности 802.1X. Для проверки подлинности на сервере RADIUS компьютеру, основанному на AMT, может потребоваться сертификат клиента. Если на сервере RADIUS настроена проверка подлинности EAP-TLS, сертификат клиента требуется всегда. Если на сервере RADIUS настроена проверка подлинности EAP-TTLS/MSCHAPv2 и PEAPv0/EAP-MSCHAPv2, необходимость сертификата клиента определяется в конфигурации сервера RADIUS. Этот сертификат запрашивается сервером сайта и устанавливается на компьютеры, основанные на AMT. Такой процесс ничем не отличается от запроса и установки сертификата веб-сервера на компьютеры, основанные на AMT.

Дополнительные сведения см. в разделе О сертификатах, необходимых для внешнего управления.

В пакете развертывания каждой операционной системы есть возможность включить шифрование пакетов, которые передаются с помощью многоадресной рассылки. Если шифрование разрешено, дополнительная настройка сертификатов не нужна. В точке распространения с поддержкой многоадресной рассылки автоматически создаются симметричные ключи для шифрования пакета. Для каждого пакета создается свой ключ шифрования. Ключи шифрования сохраняются в точке распространения с поддержкой многоадресной рассылки с помощью интерфейсов API Windows. Когда клиент подключается к сеансу многоадресной рассылки, происходит обмен ключами по каналу, зашифрованному либо с помощью сертификата проверки подлинности клиента, выданного инфраструктурой PKI (в основном режиме), либо с помощью самозаверяющего сертификата (в смешанном режиме). Сертификат хранится в памяти клиента только во время многоадресной рассылки.

В основном режиме необходимы сертификаты нескольких типов.

Системы сайта, для работы которых необходимы службы IIS, также необходимы сертификаты веб-сервера для шифрования обмена данными с клиентами по протоколу SSL. Ниже перечислены системы сайта, для которых нужны сертификаты веб-сервера.

• Точка управления
  
  
• Прокси-точка управления
  
  
• Точка распространения
  
  
• Точка обновления программного обеспечения
  
  
• Точка миграции состояния
  
  

Всем клиентам, как клиентским компьютерам, так и клиентским мобильным устройствам, необходимы сертификаты проверки подлинности клиента. В точке управления и в точке миграции состояния также необходимо развернуть сертификат проверки подлинности клиента, даже если на этих системах сайта не установлен клиент Configuration Manager 2007. Если на клиентах уже есть сертификаты проверки подлинности клиента, приложение Configuration Manager 2007 должно иметь возможность использовать имеющиеся сертификаты.

Для подписи политик, которые отправляются клиентам, серверу сайта необходим настраиваемый сертификат подписи сайта. У этого сертификата должна быть возможность подписывать документы, а в роли имени его получателя должна выступать определенная текстовая строка. Копия сертификата подписи сервера сайта должна быть на всех клиентах, чтобы они могли проверить подпись политики.

Дополнительные сведения см. в разделе Требования к сертификатам для работы в основном режиме.

Если все компьютеры в иерархии Configuration Manager 2007 используют сертификаты от одного и того же центра сертификации, достаточно развертывания только одного доверенного корневого центра сертификации. Тем не менее, использование одного и того же центра сертификации не является обязательным требованием, поэтому может понадобиться установить на клиентах и серверах несколько корневых ЦС. Если инфраструктура Microsoft PKI не используется, возможно, также нужно будет установить на системах сайта сертификаты промежуточных ЦС.

Дополнительные сведения см. в разделе Развертывание сертификатов PKI, необходимых для работы в основном режиме.

Примечание
Имя или дополнительное имя получателя всех сертификатов Configuration Manager 2007 должно состоять только из однобайтовых символов. Дополнительные сведения см. в разделе Сертификаты основного режима и двухбайтовые кодировки.

Чтобы можно было управлять клиентами по Интернету, необходимо, чтобы сайт работал в основном режиме, и на нем была установлена вся необходимая для основного режима структура сертификатов. Кроме того, если сайт поддерживает управление клиентами по Интернету, и для входящих подключений к Интернету используется прокси-сервер с завершением запросов SSL (мост), на прокси-сервере необходимо настроить сертификат для проверки подлинности сервера и клиента. Если же используется прокси-сервер без завершения запросов SSL (туннелирование), на прокси-сервере дополнительные сертификаты не нужны. Дополнительные сведения см. в разделе Определение требований к прокси-серверам для использования интернет-управления клиентами.

Если сайту в основном режиме назначены мобильные устройства, для поддержки основного режима необходимы сертификаты. Для клиентов мобильных устройств в основном режиме необходима копия сертификата подписи сервера сайта, копия сертификата веб-сервера для точек управления и точек распространения, которые поддерживают мобильные устройства, и копии промежуточных ЦС и корневых ЦС. Для мобильных устройств требуется наличие в персональном хранилище сертификата с возможностями проверки подлинности клиента. Дополнительные сведения см. в разделе О сертификатах основного режима для клиентов мобильных устройств.

В отличие от клиентских компьютеров, для проверки подлинности которых требуется сертификат, для мобильных устройств необходимы сертификаты проверки подлинности пользователя, чтобы проверять подлинность систем сайта в основном режиме.

Если операционная система развертывается в основном режиме с помощью Configuration Manager 2007, на клиентском компьютере также должен быть сертификат для связи с точкой управления, даже если компьютер находится в переходном состоянии, например, загружается с носителя с файлами последовательности задач или с точки обслуживания PXE. Для поддержки этого сценария необходимо создать сертификат проверки подлинности клиента в инфраструктуре PKI и экспортировать его с закрытым ключом. Кроме того, в свойствах сервера сайта необходимо настроить сертификат для доверенного корневого ЦС для точки управления.

При создании загрузочного носителя импортируется сертификат проверки подлинности клиента. На загрузочный носитель следует установить пароль для защиты закрытого ключа и других конфиденциальных данных, настроенных в последовательности задач. Каждый компьютер, который загружается с загрузочного носителя, будет представлять в точку управления один и тот же сертификат, когда это потребуется для выполнения функций клиента, таких как запрос политики.

Если используется загрузка PXE, сертификат проверки подлинности клиента следует импортировать в точку обслуживания PXE, и с нее один и тот же сертификат будет временно записываться на каждый клиент, загрузка которого производится с точки обслуживания PXE. Следует потребовать, чтобы пользователи, которые подключаются к точке обслуживания PXE, вводили пароль. Это поможет защитить закрытый ключ и другие конфиденциальные данные, настроенные в последовательностях задач.

Если какой-то из этих сертификатов проверки подлинности клиента будет скомпрометирован, сертификаты следует заблокировать в свойствах сайта на узле Сертификаты. Для управления этими сертификатами необходимо право на управление сертификатами развертывания операционных систем.

После того как операционная система развернута, и продукт Configuration Manager 2007 установлен, клиенту понадобится собственный сертификат проверки подлинности клиента, выданный инфраструктурой PKI, для обмена данными в основном режиме (см. выше в этом разделе).

Дополнительные сведения см. в разделе Управление сертификатами основного режима и развертывание операционной системы.

Независимые поставщики программных продуктов могут создавать приложения, которые расширяют возможности программы Configuration Manager 2007, например, расширения для поддержки клиентских платформ, отличных от Windows, таких как Macintosh или UNIX. Однако если сайт работает в основном режиме, для связи с точкой управления Configuration Manager 2007 даже расширенные клиенты должны использовать сертификаты. В приложении Configuration Manager 2007 есть возможность назначить прокси-серверу ISV сертификат, благодаря которому станет возможным связь между клиентами прокси-сервера ISV и точкой управления. Если используются расширения, для работы которых необходимы сертификаты прокси-сервера ISV, ознакомьтесь с документацией к продукту. Если нужно создать сертификаты прокси-сервера ISV, дополнительные сведения можно получить в документации к набору разработчика SDK Configuration Manager 2007.

Если сертификат ISV скомпрометирован, его следует заблокировать в свойствах сайта на узле Сертификаты.

В основном режиме обмен данными обычно шифруется по протоколу SSL. Однако в перечисленных ниже ситуациях клиенты в основном режиме обмениваются с системами сайта незашифрованными данными.

• Для объявлений настроен параметр Запустить программу из точки распространения.
  
  
• Клиенту не удается установить подключение HTTPS к точке распространения
  
  
• Клиент обменивается информацией с такими системами сайта:
  
  
  • Резервная точка состояния
    
    
  • Точка обнаружения серверов
    
    
  • Точка обслуживания PXE
    
    
  • Точка средства проверки работоспособности системы
    
    
• Для взаимодействия с точкой обнаружения серверов в основном режиме клиентские компьютеры необходимо настроить на передачу данных по протоколу HTTP для роуминга и назначения сайта.
  
  
• Точки распространения филиала, в которых всегда используется протокол SMB (даже в основном режиме)
  
  
• Точки распределения, в которых не настроен параметр Разрешить передачу клиентами содержимого с этой точки распределения с использованием протоколов BITS, HTTP и HTTPS. Без этого параметр клиенты всегда, даже в основном режиме используют протокол SMB.
  
  

Точки формирования отчетов, в которых настроено использование протокола HTTP или HTTPS, независимо от режима сайта.

Дополнительные сведения см. в разделе Обмен данными между клиентами в смешанном и основном режимах.

В основном режиме назначения политики клиента подписываются с помощью сертификата подписания сервера сайта. Это помогает ограничить риски, связанные с рассылкой искаженных политик точкой управления, к которой получил доступ злоумышленник. Такая мера защиты является особенно эффективной в случае использования интернет-управления клиентами, поскольку в данной ситуации точка управления должна иметь доступ к Интернету. Кроме того, подписываются данные, которыми клиенты обмениваются с серверами, за исключением случаев, описанных в разделе "Обмен данными, которые в основном режиме не шифруются".

В службах IIS проверка отзыва сертификатов включена по умолчанию, поэтому при использовании списка CRL с развертыванием PKI дополнительная настройка большинства систем сайта Configuration Manager не требуется. Исключение составляют обновления программного обеспечения, для которых необходимо вручную включить проверку списка отзыва сертификатов, чтобы проверять подписи в файлах обновления программного обеспечения. Дополнительные сведения см. в разделе Включение проверки списка отзыва сертификатов для обновлений программного обеспечения.

Проверка списка отзыва сертификатов включена по умолчанию для клиентских компьютеров в основном режиме, если сайт установлен в основном режиме, но отключена по умолчанию, если сайт установлен в смешанном режиме и затем переведен в основной режим. Включение проверки списка отзыва сертификатов повышает административные затраты и затраты на обработку, но повышает уровень безопасности. Однако если проверка списка отзыва сертификатов включена, но у клиента нет доступа к списку отзыва сертификатов, он не сможет связаться с сайтом. Дополнительные сведения см. в разделе Определение необходимости включения проверки отзыва сертификатов (CRL) на клиентах (основной режим).

В смешанном режиме в ответ на запрос клиентом политики ему возвращается назначение политики, подписанное с помощью самозаверяющего сертификата точки управления. Одна из причин, по которым основной режим является более безопасным, заключается в том, что политика подписывается не только сертификатом точки управления, выданным инфраструктурой PKI, но и сертификатом подписи сервера центрального сайта. В смешанном режиме злоумышленник, который получил несанкционированный доступ к точке управления, может создать и подписать произвольную политику. Если клиент не сможет проверить подпись на назначении политики, он не применяет это назначение.

Если операционная система развертывается в смешанном режиме с помощью Configuration Manager 2007, на клиентском компьютере также должен быть сертификат для связи с точкой управления, даже если компьютер находится в переходном состоянии, например, загружается с носителя с файлами последовательности задач или с точки обслуживания PXE. Для поддержки этого сценария в смешанном состоянии приложение Configuration Manager 2007 создает самозаверяющие сертификаты. Если самозаверяющие сертификаты скомпрометированы, их следует блокировать в свойствах сайта на узле Сертификаты, чтобы злоумышленники не смогли с их помощью выдать себя за доверенных клиентов.

В смешанном режиме клиенты проверяют подлинность своих точек управления с помощью доменных служб Active Directory или с помощью ключа доверенного корня Configuration Manager 2007, как описано в разделе О ключе доверенного корня. Подлинность других ролей сервера, таких как точки миграции состояния или точки обновления программного обеспечения на клиентах не проверяется. В смешанном состоянии клиенты создают самозаверяющие сертификаты, с помощью которых точки управления проверяют подлинность клиентов. Поскольку самозаверяющий сертификат, который примет точка управления, может создать любой клиент, безопасность в смешанном режиме является минимальной. Однако только утвержденные клиенты пользуются достаточным доверием для того, чтобы получить любую политику, которая содержит конфиденциальную информацию.