Последнее обновление раздела: август 2007 г.
С помощью данного контрольного списка можно убедиться, что среда Microsoft System Center Configuration Manager 2007 соответствует рекомендациям по безопасности. Данный раздел обобщает содержимое раздела "Безопасность и конфиденциальность в Configuration Manager 2007" в библиотеке документов для Configuration Manager. Прежде чем следовать этим рекомендациям в конкретной среде, следует тщательно их тестировать.
Если вы знакомы с концепциями и процедурами безопасности Configuration Manager 2007, возможно, вы сможете работать непосредственно с данным контрольным списком и использовать это руководство в качестве справочной информации.
Рекомендуемая конфигурация безопасности
Планирование безопасности и конфиденциальности в Configuration Manager
|
□ |
Используйте основной режим во всей иерархии |
|
□ |
Расширьте схему Active Directory для Configuration Manager 2007 и включите поддержку публикации Active Directory |
|
□ |
Не используйте клиенты рабочей группы или клиенты в других лесах, так как они не могут отправлять запросы в службу Active Directory |
|
□ |
Используйте протокол IPSec для защиты обмена данными между системами сайтов |
Рекомендации по основам безопасности
Рекомендации по основам безопасности
|
□ |
Обеспечьте физическую защиту компьютеров |
|
□ |
Развертывайте последние обновления безопасности на всех компьютерах |
|
□ |
Применяйте защиту от несанкционированных учетных записей с правами администратора |
|
□ |
Используйте делегирование ролей, чтобы ограничить риски администрирования |
|
□ |
Тщательно планируйте защиту |
|
□ |
Создавайте и поддерживайте базовые уровни безопасности для всех систем |
|
□ |
Используйте надежные пароли или парольные фразы |
|
□ |
Контролируйте доступ к экспортированным файлам |
|
□ |
Защищайте исходные файлы пакета |
Рекомендации по безопасности для иерархии
Рекомендации по безопасности иерархии
|
□ |
Изолируйте сайты в окружении с высоким уровнем безопасности |
|
□ |
Используйте как можно меньшее число сайтов |
|
□ |
Избегайте того, чтобы сайты охватывали леса |
|
□ |
Требуйте безопасного обмена ключами между всеми сайтами в иерархии |
|
□ |
В смешанном режиме обновите все клиенты до версии Configuration Manager 2007 и настройте сайт таким образом, чтобы он включал только клиенты Configuration Manager 2007 |
|
□ |
Обновите все сайты до версии Configuration Manager 2007 |
Рекомендации по обеспечению непрерывности обслуживания
Рекомендации по обеспечению непрерывности обслуживания
|
□ |
Проектируйте отказоустойчивые сайты |
|
□ |
Разработайте план резервного копирования и восстановления |
|
□ |
Обеспечьте защиту резервных носителей |
|
□ |
Используйте делегирование ролей, чтобы повысить уровень восстановления |
Рекомендации по защите обмена данными
Рекомендации по защите обмена данными
|
□ |
Используйте основной режим |
|
□ |
Требуйте безопасного обмена ключами |
|
□ |
Используйте номера портов, отличные от портов по умолчанию, для обмена данными между клиентами |
|
□ |
Если клиенты не могут запрашивать службу Active Directory, используйте процесс обеспечения ключей доверенного корня |
|
□ |
Используйте протокол IPSec для защиты обмена данными между системами сайтов |
|
□ |
Настраивайте брандмауэры, чтобы разрешить обязательный трафик Configuration Manager |
|
□ |
Защищайте коммуникационный канал между сервером сайта и сервером источника пакета |
|
□ |
Защищайте коммуникационный канал между установочным носителем и сервером сайта |
Рекомендации по защите систем сайтов
Рекомендации по защите систем сайтов
|
□ |
Используйте делегирование ролей на системах сайтов |
|
□ |
Сократите зону, подверженную атакам |
|
□ |
Запустите мастер настройки безопасности на всех системах сайтов с помощью шаблона Configuration Manager 2007 |
|
□ |
Используйте файловую систему NTFS для всех систем сайтов |
|
□ |
Не удаляйте общую папку администратора на системах сайтов |
|
□ |
Тщательно отслеживайте интернет-параметры сайта на системах сайтов |
|
□ |
Настройте статичные IP-адреса для систем сайтов |
|
□ |
Используйте полные доменные имена серверов |
|
□ |
Не устанавливайте другие службы, которые используют локальную системную учетную запись |
Рекомендации для сервера сайта
|
□ |
Устанавливайте программу Configuration Manager 2007 на рядовом сервере, а не на контроллере домена |
|
□ |
Устанавливайте дополнительные сайты на сервере дополнительных сайтов вместо использования принудительной установки |
Рекомендации для SQL Server
|
□ |
Используйте выделенный SQL Server для каждого сайта |
|
□ |
Не используйте сервер базы данных сайта Configuration Manager для запуска других приложений SQL Server |
|
□ |
Настройте SQL Server на использование проверки подлинности Windows |
|
□ |
Устанавливайте Configuration Manager и SQL Server на одном компьютере |
|
□ |
Следуйте рекомендациям безопасности для SQL Server, обращая внимание на следующие моменты:
|
Рекомендации для систем сайтов, которые требуют IIS
|
□ |
Отключите ненужные функции IIS |
|
□ |
Не размещайте сервер сайта на компьютере с IIS |
|
□ |
Используйте для Configuration Manager выделенные серверы IIS |
Рекомендации для точек управления
|
□ |
В иерархии одного сайта, которая требует проверки подлинности ключей доверенного корня, всегда следует использовать отдельную точку управления |
|
□ |
Если данная роль системы сайта настроена в демилитаризованной зоне, настройте сервер сайта на извлечение данных из системы сайта |
|
□ |
Используйте как можно меньше точек управления |
Рекомендации для резервной точки состояния
|
□ |
Не размещайте другие роли системы сайта совместно с резервной точкой состояния |
|
□ |
Не устанавливайте резервную точку состояния на контроллере домена |
|
□ |
В основном режиме следует развернуть резервную точку состояния до развертывания клиентов |
|
□ |
Избегайте использования резервной точки состояния в демилитаризованной зоне |
Рекомендации для точки обнаружения серверов
|
□ |
Не размещайте точку обнаружения серверов в демилитаризованной зоне |
Рекомендации по защите клиентов
Следующий раздел касается только клиентских компьютеров. Дополнительные сведения о клиентах мобильных устройств см. в разделе Сведения о конфиденциальности и рекомендации по безопасности клиентов мобильных устройств. Дополнительные сведения об этом контрольном списке см. в разделе Рекомендации по защите клиентов.
Рекомендации для смешанного режима
|
□ |
Автоматически утверждайте клиенты из доверенных доменов |
|
□ |
Не используйте блокирование доступа клиентов к сайту |
|
□ |
Обновите все клиенты до версии Configuration Manager 2007 и выберите параметр Этот сайт содержит только клиенты Configuration Manager 2007 |
Рекомендации для основного режима
|
□ |
Используйте основный режим, где это возможно |
|
□ |
Настройте все точки распространения на использование BITS |
|
□ |
Не включайте параметр "Включить НТТР-связь для роуминга и присоединения сайтов" |
|
□ |
Следуйте рекомендациям по управлению сертификатами |
Рекомендации для всех клиентских компьютеров
|
□ |
Выберите метод установки клиента, который соответствует вашему профилю риска |
|
□ |
Удаляйте сертификаты перед созданием образа клиента |
|
□ |
Настройте клиентские компьютеры на использование режима "Только Active Directory" |
|
□ |
Обеспечьте, чтобы периоды обслуживания были достаточно большими для развертывания критических обновлений программного обеспечения |
Рекомендации по защите интернет-клиентов
Рекомендации по защите интернет-клиентов
|
□ |
Используйте мост SSL для подключения к SSL, при этом должно использоваться прерывание с проверкой подлинности |
|
□ |
Используйте службу Active Directory для развертывания сертификата подписи сервера сайта |
|
□ |
Не создавайте общие папки точки распространения или точки распространения филиала на интернет-клиентах |
|
□ |
Не используйте системы сайтов, которые подключены к демилитаризованной зоне и интрасети |
Рекомендации по защите разрешения имен
Рекомендации по защите разрешения имен
|
□ |
Не используйте службу WINS для разрешения имен |
|
□ |
Указывайте полные доменные имена для всех систем сайтов и отправителей |
Рекомендации по управлению сертификатами
Рекомендации по управлению сертификатами
|
□ |
Тщательно планируйте и защищайте инфраструктуру PKI |
|
□ |
Следуйте отраслевым и корпоративным рекомендациям по управлению сертификатами |
|
□ |
Используйте проверку списка отзыва сертификатов на клиентах основного режима |
|
□ |
Обеспечьте целостность сертификатов проверки подлинности клиентов |
|
□ |
Используйте список доверия сертификатов, чтобы определить доверенные корневые центры сертификации |
|
□ |
Используйте службу Active Directory для развертывания сертификата подписи сервера сайта |
|
□ |
Обеспечьте защиту сертификата подписи сервера сайта |
|
□ |
Используйте новую пару ключей при обновлении сертификата подписи сервера сайта |
|
□ |
Убедитесь, что все сертификаты хранятся в защищенных хранилищах сертификатов |
Рекомендации по поддержке безопасности Configuration Manager
Рекомендации по поддержке безопасности Configuration Manager
|
□ |
Создавайте политики безопасности и придерживайтесь их |
|
□ |
Используйте лабораторию тестирования, чтобы проверить будущие изменения конфигурации на наличие проблем безопасности |
|
□ |
Обеспечьте защиту лаборатории тестирования |
|
□ |
Тестируйте процедуры резервного копирования и восстановления |
|
□ |
Обеспечьте защиту резервных носителей |
|
□ |
Просматривайте параметры Configuration Manager |
|
□ |
Просматривайте журналы аудита |
|
□ |
Периодически проверяйте безопасность Configuration Manager |
|
□ |
Разработайте план реагирования на инциденты |
|
□ |
Обеспечьте защиту внутренней документации Configuration Manager |
|
□ |
Организуйте обучение в организации по выполнению рекомендаций безопасности |
|
□ |
Отслеживайте операции Configuration Manager:
|