Последнее обновление раздела: март 2008 г.
Microsoft System Center Configuration Manager 2007 служит надежным основанием для безопасного управления подключением клиента к серверу в интрасети и через Интернет. Однако существует множество других методов проникновения злоумышленников в сеть. Использование протокола IPsec является наиболее распространенным средством защиты от множества других типов атак. Программа Configuration Manager 2007 будет работать в среде IPsec и должна использоваться при наличии угрозы перехвата, отслеживания или фальсификации путем подключения к сети со стороны злоумышленников.
Протокол IPsec позволяет сохранять высокий уровень контроля в сфере безопасности обмена данными. Однако для эффективной настройки, управления и устранения неполадок политик IPsec нужны углубленные знания о работе в сети по протоколу IP, опыт администрирования брандмауэров и фильтрации маршрутизаторов, а также навыки использование сетевых инструментов. Для понимания этого документа нужны практические знание о структуре и реализации протокола IPsec.
Дополнительные сведения об изоляции сервера и домена с помощью протокола IPsec и групповой политики см. на странице http://go.microsoft.com/fwlink/?LinkId=93073 Центра загрузки Майкрософт. Ознакомьтесь также с практическим примером развертывания IPsec, а также уроками, изложенными в технической документации на странице http://go.microsoft.com/fwlink/?LinkId=93074.
Взаимодействие между IPsec и поддерживающей инфраструктурой
Для работы Configuration Manager 2007 необходимо множество стандартных служб, предоставляемых операционными системами Windows. К этим службам относятся разрешение имен, DHCP, RRAS, службы теневого копирования тома, и другие базовые службы, необходимые для работы в безопасной сетевой среде. При утверждении политик IPsec следует тщательно изучить эти службы и их использование в среде Configuration Manager.
Пути обмена данными
В диспетчере Configuration Manager существует три основных пути обмена данными, которые рекомендуется защищать с помощью протокола IPsec.
- Обмен данными между сайтами
- Обмен данными между сайтом и системой
сайта
- Обмен данными между клиентом и системой
сайта
Обмен данными между сайтами
Обмен данными между сайтами осуществляется путем реализации двух разных сценариев:
- межсайтовой репликации данных;
- принудительной установки дополнительного
сайта.
Межсайтовая репликации происходит, когда обмен данными осуществляется между сайтами, настроенными в иерархии как родительский и дочерний. С дочернего сайта на родительский по восходящей передаются сообщения о статусе, данные инвентаризации и сообщения об изменении состояния. С родительского сайта на дочерний по нисходящей передаются пакеты распространения программного обеспечения, обновления программного обеспечения, политики доступа к сети, образы развертываний операционных систем, последовательности задач, назначения базовых показателей конфигурации. Хотя при таком обмене данными применяется подпись Configuration Manager 2007, без использования протокола IPsec сами эти данные не шифруются.
При установке дополнительного сайта из консоли Configuration Manager 2007 родительского основного сайта файлы шифруются исключительно при включенном IPsec. Применение протокола IPsec между основным и устанавливаемым дополнительным сайтом помогает защитить процесс обмена данными при начальной загрузке, в том числе все данные конфигурации, отправляемые с основного сайта на дополнительный.
Обмен данными между сервером сайта и системой сайта
При обмене данными между сайтом и системой сайта выполняется три важные функции:
- изначальное предоставление роли системы
сайта;
- конфигурация служб;
- перемещение данных о конфигурации, статусе и
операциях.
При удаленном вызове процедур (RPC) и перемещении данных с использованием протокола SMB происходит первичная подготовка служб систем сайтов. Хотя в основном режиме политика подписывается с использованием сертификата подписи сервера сайта, ослабляя некоторые атаки, направленные на обмен данными межу сервером сайта и системой сайта, такой обмен данными остается незащищенным ни в смешанном, ни в основном режиме. Для защиты обмена данными между сервером сайта и системой сайта необходимо включить IPsec, особенно если система сайта пересекает границы безопасности, установленные, например, между лесами Active Directory или демилитаризованной зоной и интрасетью.
Протокол IPsec помогает защититься от атак, в которых неавторизованная система сайта олицетворяет допустимую систему сайта и использует надежное подключение для получения контроля над сервером сайта или базой данных системы сайта.
Обмен данными между клиентом и системой сайта
Если сайт Configuration Manager 2007 работает в основном режиме, программа Configuration Manager 2007 с помощью служб IIS устанавливает безопасное соединение по протоколу SSL между клиентом и некоторыми из его систем сайта, в том числе с точкой управления, однако обмен данными с другими системами, например, с резервной точкой состояния, остается нешифрованным. Когда сайт работает в смешанном режиме, шифруются только некоторые соединения. Единственный способ, позволяющий гарантировать подпись и шифрование обмена данными между клиентом и всеми системами сайта во всех режимах, заключается в использовании протокола IPsec.
Дополнительные сведения об использовании протоколов HTTP и HTTPS в смешанном и основном режимах см. в разделе Обмен данными между клиентами в смешанном и основном режимах.
 Примечание |
|---|
| Политики IPsec не следует настраивать для AMT-взаимодействия между сервером системы сайта внешней точки обслуживания и компьютерами, управление которыми будет осуществляться извне. |
Конфигурация политики IPsec
Рекомендуется создать политику IPsec, для которой между заданными конечными точками (серверами сайтов, системами сайтов, клиентами) нужно использовать ESP/3DES. Шифрование на пакетном уровне увеличивает нагрузку на ЦП таких систем, поэтому перед развертыванием рекомендуется также обязательно провести надлежащее лабораторное тестирования конфигурации. Ограничьте доступ к заданным системам сайтов, ограничив число компьютеров, которые могут пройти проверку подлинности по протоколу IPsec IKE, воспользовавшись для этого политикой Configuration Manager IPsec. Кроме того, можно ограничить доступ к системе, используя проверку подлинности по сертификату в центре сертификации (ЦС), предназначенном исключительно для выдачи сертификатов для протокола Configuration Manager IPsec.
Для построения карты сетевого трафика в соответствии с конфигурацией ролей сервера на каждом компьютере, входящем в состав сайта, воспользуйтесь данными о портах, изложенными в разделе Порты, используемые программой Configuration Manager. Роли клиента также важны в случае, если протокол IPsec планируется использовать для шифрования обмена данными между клиентом и системами сайтов или когда при выполнении клиента Configuration Manager 2007 в системах сайтов необходимо разрешить определенный трафик.
| Примечание |
|---|
| Чтобы упростить создание и обслуживание фильтров IPsec, можно воспользоваться обновлением до Windows Server 2003 и Windows XP. Дополнительные сведения см. в разделе http://go.microsoft.com/fwlink/?LinkId=93076. |
IPsec для контроллера домена
При настройке IPsec на котроллерах домена следует учитывать дополнительные особенности, которые, в случае размещения ролей сайта в контроллерах домена, могут повлиять на связанные с Configuration Manager 2007 политики IPsec. Дополнительные сведения о настройке IPsec между рядовыми серверами Windows Server 2003 и контроллерами доменов Windows Server 2003 см. в документе http://go.microsoft.com/fwlink/?LinkId=93078.
Сервера сайтов с установленными клиентскими компонентами
В конфигурациях с настроенными для использования протокола IPsec системами сайтов, в которых также установлен агент клиента Configuration Manager 2007, настроенный для работы в основном режиме, можно изменить фильтр, разрешив трафик HTTP и HTTPS для соединений Configuration Manager 2007 и трафик ICMP для диагностики. Такую конфигурацию рекомендуется реализовывать с помощью групповой политики, в которой содержится политика IPsec.
Общая сетевая схема развертывания для интернет-серверов
В этом сценарии рассматривается сайт Configuration Manager 2007, который не поддерживает клиенты интрасети и охватывает демилитаризованную зону и интрасеть. Все интернет-системы сайтов располагаются в демилитаризованной зоне и принимают подключения клиентов через Интернет. Сервер сайта и сервер базы данных сайта образуют интрасеть. Точка управления, поддерживающая интернет-клиент, обменивается данными с репликой базы данных сайта в демилитаризованной зоне.
В этом общем сценарии применяется стандартная конфигурация изоляции сервера. В этой конфигурации подключение между сервером сайта и системами сайтов, а также между базой данных сайта и точкой управления следует настраивать с использованием фильтров подсети на основе протокола IPsec. Если при использовании фильтров на основе подсети нет необходимости поддерживать входящие сеансы, которые не были зашифрованы при помощи IPsec, можно воспользоваться структурой политики IPsec "Любая <-> подсеть" При этом можно использовать Kerberos или проверку подлинности компьютера по сертификату. Рекомендуется использоваться проверку подлинности компьютера по сертификату, однако для развертывания сертификатов компьютера требуется дополнительная административная нагрузка, и таким развертыванием нельзя управлять при помощи Configuration Manager 2007. В настройках брандмауэров между сайтами и системами сайтов нужно разрешить трафик ISAKMP (порт UDP 500), а также порт UDP 4500 при использовании обхода NAT через брандмауэр.
Ниже перечислены рекомендуемые политики IPsec для данной конфигурации.
- Список IP-фильтров:
- адрес источника <любой IP-адрес>;
- адрес назначения <ваша подсеть>.
- адрес источника <любой IP-адрес>;
- Действие фильтра: установите Запретить
небезопасную связь.
- Методы проверки подлинности: установите
Использовать сертификат данного центра сертификации
(ЦС).
Другие параметры политики следует устанавливать в соответствии с собственными стандартами компании.