Microsoft System Center Configuration Manager 2007 должен принимать данные от клиентов, с чем связан риск возможной атаки сайта со стороны клиентов, например, при помощи пересылки неверных сведений инвентаризации или попытки перегрузить системы сайта. Развертывайте Configuration Manager 2007 только на компьютерах и устройствах, которым вы доверяете.
Следующий раздел касается только клиентских компьютеров. Дополнительные сведения о клиентах мобильных устройств см. в разделе Сведения о конфиденциальности и рекомендации по безопасности клиентов мобильных устройств.
Рекомендации для смешанного режима
Автоматически утвердить клиентов из доверенных доменов Одобрение может быть ручным, автоматическим для компьютеров в доверенных доменах или автоматическим для всех компьютеров и настраивается как свойство сайта на вкладке режима сайта для сайтов в смешанном режиме. Наиболее безопасный метод одобрения заключается в том, чтобы автоматически утвердить клиентов, являющихся членами доверенных доменов. В этом режиме клиенты, не являющиеся членами доверенных доменов, включая клиентов рабочих групп, должны утверждаться вручную. Если нужно вручную проверить каждого клиента прежде, чем ему будет разрешено получать политики, содержащие конфиденциальные данные, переключите режим одобрения в ручной. Автоматическое одобрение всех клиентов не рекомендуется, если нет других средств управления доступом для предотвращения доступа к сети ненадежных компьютеров. Если клиент не одобрен автоматическим методом, он все равно отображается в консоли Configuration Manager 2007 и может быть одобрен вручную, для чего нужно найти его в коллекции и выбрать команду Утвердить в меню "Действие".
 Примечание |
|---|
| Если ранее одобренный клиент удален из консоли Configuration Manager 2007, а затем не одобрен при повторном появлении в консоли, у клиента по-прежнему будут все политики, содержащие конфиденциальные данные. |
Не полагайтесь на блокировку для предотвращения доступа клиентов к сайту Заблокированные клиенты отклоняются инфраструктурой Configuration Manager 2007 и не могут обмениваться данными с системами сайта для загрузки политики, передачи данных инвентаризации или отправки сообщений об изменении состояния или статусе. Тем не менее, не полагайтесь на блокировку для защиты сайта от ненадежных компьютеров или мобильных устройств, если сайт находится в смешанном режиме, потому что заблокированный клиент мог снова присоединиться к сайту с новым самозаверяющим сертификатом и идентификатором оборудования. Эта функция предназначена для блокировки потерянных или похищенных загрузочных носителей при развертывании клиентов с функцией развертывания операционной системы, а также для клиентов в основном режиме. Если сайт находится в основном режиме, а инфраструктура открытого ключа поддерживает список отзыва сертификатов (CRL), всегда рассматривайте отзыв сертификата как первую линию обороны от потенциально сертификатов, которые могли быть похищены. Блокировка клиентов в Configuration Manager 2007 обеспечивает вторую линию обороны для защиты иерархии. Дополнительные сведения см. в разделе Определение необходимости блокировки клиентов Configuration Manager.
Обновите все клиенты до версии Configuration Manager 2007 и выберите параметр "Этот сайт содержит только клиенты Configuration Manager 2007" Если установлен флажок Этот сайт содержит только клиенты Configuration Manager 2007, только одобренные клиенты могут получать политики, содержащие конфиденциальные данные. Однако если этот флажок не установлен, политики, содержащие конфиденциальные данные, могут отправляться на любой клиент.
Рекомендации для основного режима
По возможности используйте основный режим В основном режиме используются сертификаты, изданные инфраструктурой открытого ключа (PKI) для обеспечения взаимной проверки подлинности между системами сайта и клиентами. Основной режим является самым безопасным режимом для Configuration Manager 2007.
Настройте все точки распространения на использование BITS Если не настроить параметр Разрешить клиентам передачу содержимого с этой точки распространения с использованием протоколов BITS, HTTP и HTTPS, тогда клиенты будут обмениваться данными с этими точками распространения при помощи блоков сообщений сервера (SMB), даже в основном режиме. Связь по протоколу SMB не использует проверки подлинности или шифрования Configuration Manager 2007 даже в основном режиме.
Не включайте параметр "Включить НТТР-связь для роуминга и присоединения сайтов" Включение этого параметра разрешает клиентам в основном режиме обмениваться данными с локальными точками управления и точками распространения при помощи протокола HTTP вместо HTTPS при перемещении в сайты в смешанного режима. Тем не менее, этот параметр должен быть включен, если схема доменных служб Active Directory не расширена для Configuration Manager 2007 или сайт основного режима управляет клиентами в интрасети из ненадежных доменов или рабочих групп. Дополнительные сведения см. в разделе Определение необходимости настройки HTTP-связи для роуминга и присоединения сайтов (основной режим).
Следуйте рекомендациям по управлению сертификатами Дополнительные сведения см. в разделе Рекомендации по управлению сертификатами.
Рекомендации для всех клиентских компьютеров
Выберите метод установки клиента, который соответствует вашему профилю риска Существует несколько способов установки программного обеспечения клиента Configuration Manager 2007 на управляемых компьютерах. В следующей таблице обсуждаются преимущества и недостатки каждого метода с точки зрения безопасности.
| Метод | Преимущества | Недостатки | Замечания |
|---|---|---|---|
|
установка вручную; |
Этот метод может быть очень безопасным, если внедрены элементы управления доступом и изменениями. |
Требует много ресурсов и времени. Плохо масштабируется. Требует пользователя с административными правами на каждом компьютере. |
Администратор должен создать средства управления безопасностью для всего процесса. |
|
Создание образа |
Этот метод может быть очень безопасным, если внедрены элементы управления доступом и изменениями. |
Практично только для развертывания новой клиентской базы, не для развертывания на существующие компьютеры. |
Может использоваться функция развертывания операционной системы Configuration Manager 2007 для установки клиентского программного обеспечения Configuration Manager 2007 после развертывания операционной системы. |
|
Групповая политика |
Легко масштабируется для большого количества компьютеров клиентов. Использует средства управления безопасностью, уже присутствующие в доменных службах Active Directory. Автоматически запускается с правами администратора. |
Требует согласования с администратором доменных служб Active Directory. Подразделения могут не соответствовать тому, как клиенты должны быть развернуты на сайте. Не работает для клиентов рабочих групп. |
Взаимодействия групповых политик может быть сложно оценить. Проследите, что компьютеры получили клиентское программное обеспечение и верные клиентские параметры. |
|
Принудительная установка клиента |
Легко масштабируется для большого количества компьютеров клиентов. |
Требует учетной записи с административными правами на каждом клиенте. Требует общего доступа к файлам и принтерам. Требует, чтобы порты совместного использования принтеров и службы удаленного администрирования были открыты в брандмауэре клиента. Дополнительные сведения см. в разделе Параметры брандмауэра для клиентов Configuration Manager. |
Не используйте учетную запись администратора домена в качестве учетной записи принудительной установки клиента. Используйте несколько учетных записей принудительной установки клиента с ограниченными областями администрирования, так чтобы если злоумышленники скомпрометируют одну учетную запись, они не получили бы полный административный контроль над всеми клиентскими компьютерами Configuration Manager 2007. Дополнительные сведения см. в разделе Учетная запись принудительной установки клиента. |
|
Установка клиента через точку обновления программного обеспечения |
Интегрирован с функцией обновления программного обеспечения. Низкий риск искажения файла, потому что все обновления программного обеспечения подписаны. Автоматически запускается с правами администратора. |
Требует инфраструктуры WSUS. Нельзя использовать различные серверы WSUS для установки клиента и для обновлений программного обеспечения. Если клиент еще не установлен, необходимо настроить объект групповой политики Active Directory при помощи верного формата имени сервера и номера порта. |
Неверно настроенный объект групповой политики Active Directory может помешать клиенту получить обновления программного обеспечения от точки обновления программного обеспечения. Дополнительные сведения см. в разделе Установка клиентов Configuration Manager посредством установки с точки обновления программного обеспечения . |
|
Распространение программного обеспечения |
Простой способ обновить существующие клиенты, для чего не требуется учетная запись локального администратора Легко масштабируется для большого количества компьютеров клиентов. Может быть настроена и запущена с правами администратора. |
Работает только для существующих клиентских компьютеров, которые необходимо обновить. |
Как и при распространении любого программного обеспечения, необходимо защитить исходные файлы, которые использует Configuration Manager 2007 для создания пакета. |
Удалите сертификаты перед созданием образа клиента Если планируется развертывание клиентов при помощи технологии создания образов, всегда удаляйте сертификаты, например, сертификаты подтверждения подлинности клиента в основном режиме или самозаверяющие сертификаты смешанного режима до записи образа. Если не удастся удалить сертификаты, это может позволить клиентам имитировать друг друга, в результате чего будет невозможно проверить данные для каждого клиента. Дополнительные сведения об использовании Sysprep для подготовки компьютера к созданию образа см. по адресу http://go.microsoft.com/fwlink/?LinkId=93068.
Убедитесь, что клиенты Configuration Manager получают авторизованную копию ключа доверенного корня после установки Если схема Active Directory не расширена, клиенты полагаются на ключ доверенного корня для подтверждения подлинности действительных точек управления. Без ключа доверенного корня у клиента нет способа проверить, что точка управления является доверенной точкой управления для сайта, что позволяет квалифицированному злоумышленнику направить клиент к фальшивой точке управления.
Настройте клиентские компьютеры на использование режима "Только Active Directory" Наиболее безопасный вариант для настройки клиента — это SMSDIRECTORYLOOKUP=NoWINS, однако он может использоваться, только если клиенты могут обращаться с запросами к глобальному каталогу, поэтому его нельзя применять для клиентов в удаленных лесах или рабочих группах, а также если схема Active Directory не была расширена. Если клиенты должны использовать WINS для поиска служб и SMSDIRECTORYLOOKUP=NoWINS, тогда обнаружение служб завершится неудачей. Дополнительные сведения см. в разделе Configuration Manager и расположение службы (сведения о сайте и точки управления). Если свойства не указаны, клиент устанавливается в безопасном режиме WINS. Режим "Любой WINS" не является безопасным и не рекомендуется. Дополнительные сведения см. в разделе О свойствах установки клиента Configuration Manager.
Убедитесь, что окна обслуживания достаточно большие для развертывания критических обновлений программного обеспечения Configuration Manager 2007 предоставляет возможность настраивать окна обслуживания для коллекций, членами которых являются клиенты, для ограничения времени, в течение которого Configuration Manager 2007 может устанавливать программное обеспечение. Если установить слишком маленькое окно, клиент может не успеть установить важное обновление программного обеспечения и останется уязвимым для атак, угрозу которых должно снизить данное обновление.
Проблемы безопасности
Для следующих проблем безопасности нет способов смягчения последствий.
Подлинность сообщений об изменении состояния не подтверждена Не выполнена проверка подлинности сообщений об изменении состояния. В смешанном режиме любой компьютер может посылать сообщения об изменении состояния точке управления. В основном режиме компьютер должен получить действующий сертификат подтверждения подлинности клиента от доверенного корневого центра сертификации, после чего также может послать сообщение об изменении состояния. Если клиент посылает недопустимое сообщение об изменении состояния, оно будет отвергнуто. Эта уязвимость позволяет злоумышленникам предпринимать различные атаки. Злоумышленник может переслать поддельное сообщение об изменении состояния для получения членства в коллекции на основании запросов сообщений об изменении состояния. Любой клиент может начать атаку типа "отказ в обслуживании" против точки управления, перегрузив ее сообщениями об изменении состояния. Если сообщения об изменении состояния инициируют действия в правилах фильтрации сообщений об изменении состояния, злоумышленник может инициировать правило фильтрации сообщений об изменении состояния. Злоумышленник может также послать сообщение об изменении состояния, которое будет неверно представлять информацию.
Политики могут быть перенацелены на нецелевые клиенты Существует несколько методов, при помощи которых злоумышленники могут перенацелить политику с одного клиента на другого. Например, злоумышленник на доверенном клиенте может отправить ложные сведения об инвентаризации или сведения обнаружения, чтобы компьютер оказался добавлен к коллекции, к которой он не должен принадлежать, а потом получить все объявления для этой коллекции. Хотя существуют средства, помогающие предотвращать непосредственное изменение политики злоумышленниками, злоумышленники могут использовать существующую политику для переформатирования и повторного развертывания операционной системы и отправки ее на другой компьютер, создавая атаку типа "отказ в обслуживании". Эти типы атак потребуют точного хронометража и углубленных знаний инфраструктуры Configuration Manager 2007.
Журналы клиента предоставляют пользователю доступ Все клиентские файлы журналов предоставляют пользователям доступ для чтения, а интерактивным пользователям доступ для записи. Если включить режим подробного ведения журнала, злоумышленники смогут читать файлы журнала для поиска информации о согласовании или уязвимости системы. Такие процессы, как распространение программного обеспечения, выполняемые в контексте пользователя, должны иметь возможность записи в журналы с учетной записью пользователя с низкими правами. Это означает, что злоумышленник также может писать в журналы с учетной записью с низкими правами. Наиболее серьезный риск заключается в том, что злоумышленник может удалять информацию из файлов журнала, необходимую администратору для аудита и обнаружения злоумышленника.
Сведения о конфиденциальности
При развертывании клиента Configuration Manager 2007 включаются агенты клиента, чтобы можно было пользоваться функциями Configuration Manager 2007. Параметры, которые используются для настройки функций, применяются ко всем клиентам на сайте, независимо от того, подключены ли они к корпоративной сети напрямую, через удаленный сеанс или подключены к Интернету, но поддерживаются сайтом. Клиентские данные сохраняются в базе данных и не отправляются в Майкрософт. Прежде чем настраивать клиент Configuration Manager 2007, следует рассмотреть требования к безопасности.