Активность Microsoft System Center Configuration Manager 2007 никогда не ограничивается одним компьютером. Далее представлено несколько примеров.

Если не удается обезопасить взаимосвязь между сайтами Configuration Manager 2007, клиенты могут быть подвержены несанкционированным атакам со стороны других серверов, могут быть взломаны учетные записи пользователей или в базу данных сайта Configuration Manager 2007 могут быть записаны фальшивые данные.

Рекомендации

Используйте основной режим    Основной режим автоматически обеспечивает взаимную проверку подлинности и шифрование большинства диалогов между клиентами Configuration Manager 2007 и серверами.

Запрос обмена ключами безопасности    По умолчанию функция Запрос обмена ключами безопасности подключена; текущие настройки протокола IKE сохраняются на обновлениях, однако их нужно подключить во избежание атак на компьютер и несанкционированного считывания данных из файла параметров сайта, даже если иерархия содержит только один сайт. Если вы расширили схему Active Directory и настроили публикации, Configuration Manager 2007 обменивается ключами посредством Active Directory, что помогает защитить процесс обмена. Если вы не расширяли схему Active Directory или не до конца настроили публикации, администратор должен произвести процесс обмена ключами вручную. Дополнительные сведения см. в разделе Затребование безопасного обмена ключами между сайтами.

Использование номеров порта не по умолчанию для взаимосвязи между клиентами    Использование портов не по умолчанию в таких протоколах, как HTTP и HTTPS может препятствовать атакам. Например, во многих организациях заблокирован порт TCP 80 и используется другой порт HTTP. Порты настраиваются по принципу сайт-сайт. Однако если не настроить эти же порты внутри иерархии, клиенты Configuration Manager 2007 могут сталкиваться с проблемами во время использования роуминга. Дополнительные сведения см. в разделе Настройка портов для запроса клиента Configuration Manager.

Если у клиентов нет доступа в Active Directory, настройте процесс подготовки ключа доверенного корня    Если у клиентов нет доступа в глобальный каталог – возможно, по причине того, что не подключена функция публикации Active Directory или потому, что клиенты входят в рабочую группу, – им следует положиться на доверенный ключ для проверки рабочих точек управления. Основной ключ доверенного корня хранится в клиентском реестре и может быть использован с помощью групповой политики или настроен вручную. Если у клиента нет копии ключа доверенного корня до момента первой связи с точкой управления, доверенной считается первая же точка управления, с которой состоялась взаимосвязь. Для снижения рисков того, что атаки на компьютер направят клиентов на неверную точку управления, можно предварительно предоставить клиентам ключ доверенного корня. Дополнительные сведения см. в разделе Предоставление заранее клиентам ключа доверенного корня.

Использование IPsec для защиты взаимосвязи между системами сайта    Тогда как основной режим Configuration Manager 2007 защищает каналы связи между клиентами Configuration Manager 2007 и системами сайта Configuration Manager 2007, Configuration Manager 2007 не обеспечивает защиты каналов связи между системами сайта как в рамках одного сайта, так и между разными сайтами, как во внутренней сети, так и в демилитаризованной зоне, независимо от режима работы сайта. Рекомендуется настроить Ipsec между всеми системами сайта для шифрования и защиты связей. Дополнительные сведения см. в разделе Внедрение протокола IPsec в Configuration Manager 2007. Если не удается подключить IPsec, рекомендуется по крайней мере подключить подписи SMB между всеми системами сайта.

Настройка брандмауэра на разрешение трафика обязательного набора конфигураций    Из соображений безопасности рекомендуется удалить все порты в брандмауэре, кроме явно настроенных. Configuration Manager 2007 - это сложный продукт, для нормальной взаимосвязи в котором необходимо множество портов. Использование портов в большой мере зависит от настроек конфигурации, таких как использование основного или смешанного режимов. Дополнительные сведения см. в разделе Порты, используемые программой Configuration Manager.

Безопасность каналов связи между сервером сайта и сервером исходного пакета    Configuration Manager 2007 не обеспечивает защиты каналов связи между компьютером сервера сайта и компьютером, на котором хранятся исходные файлы для создания пакетов. Используйте IPsec для защиты канала SMB, который используется в Configuration Manager 2007 при поиске исходных файлов пакета для защиты файлов от несанкционированного вмешательства.

Безопасность канала связи между носителями установочных файлов и сервером сайта    Если установочные файлы запускаются из сети, предварительно удостоверьтесь, что вы используете IPsec для связи между исходным расположением файлов и сервером сайта во избежание скачивания файлов третьей стороной.

См. также