Защита Microsoft System Center Configuration Manager 2007 включает несколько уровней. Прежде всего ОС Windows предоставляет возможности защиты как для операционной системы, так и для сети. Например, Windows предоставляет следующие возможности:
- Совместное использование файлов для
перемещения файлов между компонентами Configuration Manager
2007
- Списки управления доступом для защиты файлов
и разделов реестра
- IPSec для защиты обмена данными
- Групповая политика для настройки политики
безопасности
- Разрешения DCOM для распределенных
приложений, например, консоли Configuration Manager 2007
- Доменные службы Active Directory для хранения
данных участников безопасности
- Защита учетных записей Windows, в том числе
несколько групп, созданных в ходе установки Configuration Manager
2007
Дополнительные компоненты защиты, например, брандмауэры и средства обнаружения атак, обеспечивают комплексную защиту для всей среды. Сертификаты, выданные реализациями отраслевого стандарта PKI, позволяют выполнять проверку подлинности компонентов Configuration Manager 2007 и подписывать приложения, которые распространяются на клиенты мобильных устройств.
Элементы управления Configuration Manager 2007 получают доступ к консоли Configuration Manager 2007 несколькими способами. По умолчанию только администраторы имеют права для файлов и разделов реестра, необходимые для запуска консоли Configuration Manager 2007 на компьютерах, где она установлена.
Следующий уровень безопасности – это доступ через инструментарий Windows Management Instrumentation (WMI), в частности, для поставщика SMS. Поставщиками SMS по умолчанию могут быть только участники локальной группы администраторов SMS. Данная группа изначально включает только пользователя, который установил Configuration Manager 2007. Чтобы присвоить другим учетным записям разрешение для репозитория CIM и поставщика SMS, добавьте другие учетные записи к группе администраторов SMS.
Последний уровень защиты – это разрешения для объектов в базе данных сайта. По умолчанию локальная системная учетная запись и учетная запись пользователя, который установил Configuration Manager 2007, имеют доступ ко всем функциями администрирования в базе данных сайта. В консоли Configuration Manager 2007 можно присваивать разрешения другим пользователям.
Режимы безопасности
Программа Configuration Manager 2007 имеет два режима безопасности.
Основной режим является рекомендуемой конфигурацией сайта для новых сайтов Configuration Manager 2007, так как он обеспечивает более высокий уровень защиты, интегрируясь с инфраструктурой PKI для защиты обмена данными между клиентом и сервером. Инфраструктура PKI может помочь компаниям соблюсти требования к безопасности и бизнес-требования, но она должна тщательно планироваться и внедряться, если необходимо, чтобы она соответствовала текущим и будущим потребностям. Если инфраструктура PKI устанавливается только для поддержки работы Configuration Manager 2007, это может помочь достичь определенных кратковременных целей, но может затруднить последующее развертывание расширенной инфраструктуры PKI для поддержки других приложений. Если организация уже использует инфраструктуру PKI, хорошо спроектированную в соответствии с отраслевым стандартом, программа Configuration Manager 2007 должна иметь возможность использовать сертификаты существующей инфраструктуры PKI.
Важно! |
---|
Перед внедрением основной режим требует тщательного планирования и тестовых испытаний. Если инфраструктура PKI не внедрена соответствующим образом для поддержки Configuration Manager 2007, весь сайт может прекратить работу. Не внедряйте основной режим в рабочей среде, если вы не понимаете полностью требования. |
Хотя основной режим является наиболее защищенным из всех доступных режимов Configuration Manager 2007, смешанный режим может обеспечивать достаточную защиту для многих организаций, и в то же время он требует меньше дополнительных расходов на администрирование. Смешанный режим выбирается по умолчанию при обновлении с существующего сайта Systems Management Server (SMS) 2003 и обеспечивает обратную совместимость для иерархий, которые включают как сайты SMS 2003, так и сайты Configuration Manager 2007. Можно установить смешанный режим, а затем перейти на основной режим. Также можно вернуться из основного режима в смешанный. Перед реализацией перехода и возврата требуется тщательное планирование.
Сайты основного режима не могут отправлять отчеты на сайты смешанного режима. При переходе из смешанного режима в основной следует всегда преобразовывать сначала центральный сайт, а затем переходить дальше.
интернет-клиенты
Компьютеры, которые подключаются к сети организации через подключение VPN или по телефонной линии, могут управляться как обычные клиенты Configuration Manager 2007. Компьютеры, которые подключаются к Интернету, но никогда не подключаются к сети организации, можно настроить как интернет-клиенты. интернет-клиенты могут относиться только к сайтам основного режима. Для управления интернет-клиентами требуется тщательно планировать расположение систем сайтов. Например, можно разместить точки управления и распространения в демилитаризованной зоне или можно разрешить интернет-клиентам подключаться к системам сайта в сети организации через брандмауэр; кроме того, можно создать отдельный сайт в демилитаризованной зоне только для поддержки интернет-клиентов.
Конфиденциальность
В то время как продукты управления сетью позволяют эффективно управлять большим количеством клиентов, также следует помнить о том, что данное программное обеспечения затрагивает конфиденциальность пользователей в организации. Программа Configuration Manager 2007 включает множество инструментов, которые позволяют собирать данные и отслеживать клиентские компьютеры, и некоторые из них могут затрагивать вопросы, связанные с конфиденциальностью.
Например, при развертывании клиента Configuration Manager 2007 включаются агенты клиента, чтобы можно было пользоваться функциями Configuration Manager 2007. Параметры, которые используются для настройки функций, применяются ко всем клиентам на сайте, независимо от того, подключены ли они к корпоративной сети напрямую, через удаленный сеанс или подключены к Интернету, но поддерживаются сайтом. Клиентские данные сохраняются в базе данных и не отправляются в Майкрософт. Перед внедрением Configuration Manager 2007 следует учитывать требования к конфиденциальности.
Учетные записи и группы Configuration Manager
Программа Configuration Manager 2007 использует для большинства операций сайта локальную системную учетную запись. При определенных конфигурациях может потребоваться создать и обслуживать дополнительные учетные записи. Во время установки создается несколько групп и ролей SQL Server по умолчанию, но может понадобиться вручную добавить компьютер или учетную запись пользователя к данным группам и ролям.