Элементы управления Microsoft System Center Configuration Manager 2007 являются гибкими и допускают внедрение или изменение в любой момент. Несколько конфигураций безопасности, например, изменение номеров портов по умолчанию и использование настраиваемых веб-сайтов, легче реализовать, если они планируются заранее. При использовании Configuration Manager 2007 также важно учитывать требования к конфиденциальности.
Рекомендуемая конфигурация безопасности
Следующая конфигурация считается наиболее защищенной средой Configuration Manager 2007 из всех возможных.
- Используйте основной режим во всей
иерархии.
- Расширьте схему Active Directory для
Configuration Manager 2007 и включите поддержку публикации Active
Directory. Настройте клиенты в том же лесу, чтобы они могли
отправлять запросы в службу Active Directory.
- Используйте протокол IPSec для защиты обмена
данными между системами сайтов
Даже если программа Configuration Manager 2007 уже установлена в другой конфигурации, можно всегда выполнить обновление до данной конфигурации.
Используйте основной режим
Основной режим требует, чтобы все сайты и клиенты были обновлены до Configuration Manager 2007, а также чтобы для проверки подлинности систем сайтов и клиентов использовалась инфраструктура открытого ключа (PKI). Хотя это увеличивает административную нагрузку, взаимная проверка подлинности и шифрование между клиентами и системами сайтов позволяют сократить подверженность многим атакам. Например, в основном режиме точка управления выполняет проверку подлинности клиента, прежде чем принимаются данные инвентаризации, но в смешанном режиме проверка подлинности клиента не выполняется. Дополнительные сведения см. в разделе Выбор между смешанным и основным режимами.
Примечание |
---|
В смешанном режиме, если установлен флажок Этот сайт содержит только клиенты Configuration Manager 2007, только утвержденные клиенты могут получать политики, содержащие конфиденциальные данные. Однако если этот флажок не установлен, политики, содержащие конфиденциальные данные, могут отправляться на любой клиент. |
Использование расширений схем и публикации Active Directory
Расширения схем не требуются для работы Configuration Manager 2007, но на самом деле они повышают защиту среды. Следует включить поддержку расширений схем Configuration Manager 2007 Active Directory и публикации Configuration Manager 2007 в Active Directory, чтобы точки управления могли публиковать свои сертификаты и их расположение в службе Active Directory. Также следует планировать сайты таким образом, чтобы все клиенты были в том же лесу, что и сервер сайта. Это позволяет клиентам в лесу определять проверенные точки управления из доверенного источника. Не следует использовать клиенты в рабочих группах, так как они не могут отправлять в службу Active Directory запросы на данные сайта.
Active Directory также может хранить открытые ключи, которые используются для подписывания межсайтовой передачи данных. Когда открытый ключ изменяется во время операции восстановления, новый ключ автоматически присваивается дочерним и родительским сайтам. Если обновление выполняется с версии SMS 2003, также следует обновить расширения схем для Configuration Manager 2007. Дополнительные сведения о расширении схем см. в разделе Определение необходимости расширения схемы Active Directory.
Используйте протокол IPSec для защиты обмена данными между системами сайтов
Ни основной, ни смешанный режимы не защищают коммуникационный канал между сервером сайта и системами сайтов. Если для защиты этих каналов не используется какой-нибудь метод наподобие протокола IPSec, атакующие могут применять различные атаки на системы сайтов, например, подделка пакетов или "злоумышленник в середине". Дополнительные сведения см. в разделе Внедрение протокола IPsec в Configuration Manager 2007.
Планирование портов
С точки зрения безопасности, рекомендуется не использовать порты по умолчанию, так как это затрудняет для атакующих анализ окружения в ходе подготовки к атаке. Если вы собираетесь использовать порты не по умолчанию, проще всего планировать их в самом начале, а затем использовать последовательно на всех сайтах иерархии, особенно если планируется поддержка роуминга. Если клиенты с выбранными портами не по умолчанию не развертываются, необходимо вернуться и перенастроить их позднее.
Планирование настраиваемых веб-сайтов
Программа Configuration Manager 2007 позволяет использовать настраиваемые веб-сайты вместо веб-сайта по умолчанию для IIS. Хотя не рекомендуется использовать системы сайтов для размещения в IIS других приложений, кроме Configuration Manager 2007, если вы решаете разместить и другие приложения, следует всегда использовать настраиваемый веб-сайт. Настраиваемые веб-сайты – это параметр, который применяется на уровне сайта, а не системы сайта; поддержку настраиваемых веб-сайтов необходимо настраивать для всех систем сайтов в организации.
Планирование учетных записей
Программа Configuration Manager 2007 использует для большинства операций сайтов прежде всего локальную системную учетную запись, но в консоли Configuration Manager 2007 также можно создать и настроить несколько дополнительных учетных записей, чтобы выполнять определенные функции. На этапе планирования следует решить, какие дополнительные учетные записи нужно настроить, и обратитесь к администратору учетных записей в организации, чтобы он их создал. Подробное описание каждого типа учетной записи см. в разделе Учетные записи и группы в Configuration Manager.
Планирование прав безопасности
Доступ к функциям System Center Configuration Manager 2007 зависит от назначенных прав безопасности. Один из этапов настройки безопасности Configuration Manager 2007 – это создание различных прав безопасности, чтобы администраторы Configuration Manager 2007 имели доступ к определенным функциям и данным.
Следует определить роли, которые будут использоваться в среде, и спланировать их таким образом, чтобы присвоить ролям наименьшие возможные права. Дополнительные сведения см. в разделе Обзор безопасности объектов Configuration Manager и WMI.
Планирование конфиденциальности
В то время как решения по управлению конфигурацией позволяют эффективно управлять большим количеством клиентов, также следует помнить о том, что данное программное обеспечение может затрагивать конфиденциальность пользователей в организации. Configuration Manager 2007 включает множество инструментов, которые позволяют собирать данные и отслеживать клиентские компьютеры, и некоторые из них могут затрагивать вопросы, связанные с конфиденциальностью. Перед развертыванием Configuration Manager 2007 следует учитывать требования к конфиденциальности. Дополнительные сведения см. в разделе Общие сведения о конфиденциальности Configuration Manager.
Вопросы, связанные с разрешениями
Если установлен новый сервер сайта Configuration Manager 2007, сброс сайта восстанавливает исходные параметры для списков управления доступом (ACL). При обновлении существующего сайта сервера Systems Management Server (SMS) 2003 программа установки не изменяет разрешения в обновленных каталогах. Также, при сбросе сайта, обновленного с версии SMS 2003, не сбрасываются списки управления доступом в обновленных каталогах.