Для управления мобильными устройствами в Microsoft System Center Configuration Manager 2007 необходимо, чтобы системы сайта, поддерживающие мобильные устройства, отвечали всем необходимым условиям и чтобы с мобильных устройств была доступна надлежащая инфраструктура сертификации. В этом разделе описываются три типа необходимых условий и инфраструктура сертификации, обеспечивающая управление мобильными устройствами после того, как будет установлен клиент управления мобильным устройством и мобильное устройство будет готово к обмену данными с сервером Configuration Manager 2007.

Необходимые условия для системы сайта

Для поддержки мобильных устройств в смешанном и основном режиме безопасности на используемых устройствами точках распространения должны выполняться указанные ниже условия.

Примечание
Для управления мобильными Интернет-устройствами сайт должен работать в основном режиме безопасности.
  • Службы IIS и брандмауэры должны быть настроены для связи между серверами сайта Configuration Manager 2007 и мобильными устройствами.

  • Для служб IIS должны быть включены расширения WebDAV.

  • На точке распространения должны быть включены расширения фоновой интеллектуальной службы передачи (BITS).

  • Только для смешанного режима: должен быть разрешен анонимный доступ к точке распространения.

Необходимые условия для безопасной связи

Для поддержки мобильных устройств в основном режиме безопасности требуются наличие указанных ниже отношений доверия, установленных с помощью сертификатов.

  • Клиент мобильного устройства должен доверять SSL-сертификату проверки подлинности любого сервера, с которого он получает политику или загружает программное обеспечение. Это может быть брандмауэр или прокси-сервер, защищающий системы сайта, или же сами системы сайта, например в сценарии с использованием Интернета.

  • Системы сайта (или брандмауэр либо прокси-сервер) должны доверять SSL-сертификату проверки подлинности пользователя, используемому клиентом мобильного устройства для защиты SSL-подключения со своей стороны.

  • Клиент мобильного устройства должен доверять сертификату подписи сервера сайта, используемому сервером сайта Configuration Manager 2007 для подписи политики, которая отправляется клиенту мобильного устройства.

  • На устройстве должны быть установлены сертификаты всех промежуточных центров сертификации, образующих цепочку доверия на основе сертификатов до корня инфраструктуры открытого ключа.

Необходимые условия защиты программного обеспечения

Для защиты мобильных устройств от вредоносного или небезопасного программного обеспечения на все устройства Windows Mobile, начиная с Windows Mobile 5.0 и Windows Mobile Smartphone 2003, программное обеспечение должно устанавливаться из доверенного источника.

  • Платформа Windows Mobile проверяет, чтобы распространяемое программное обеспечения и все распространяемые CAB-файлы были подписаны доверенным сертификатом издателя программного обеспечения (SPC). Кроме того, установленный на мобильном устройстве клиент мобильного устройства при каждом запуске программного обеспечения проверяет, чтобы сертификат издателя программного обеспечения, которым подписан код, был из доверенного источника.

  • Некоторое программное обеспечение должно работать на мобильном устройстве на привилегированном уровне. Для работы на устройстве агенту управления устройствами Configuration Manager 2007 требуются привилегированные разрешения. Чтобы запустить его с привилегиями, сертификат издателя программного обеспечения (SPC), которым подписывается код программного обеспечения, должен находиться в хранилище сертификатов издателей программного обеспечения (SPC) и привилегированном хранилище сертификатов на мобильном устройстве. Программное обеспечение, подписанное сертификатами из привилегированного хранилища, запускается с более высоким уровнем привилегий. Программное обеспечение, подписанное сертификатами из непривилегированного хранилища, запускается в обычном контексте пользователя.

Сертификаты на мобильных устройствах

В основном режиме безопасность Microsoft System Center Configuration Manager 2007 во многом зависит от сертификатов инфраструктуры открытого ключа X.509v3. Сами по себе мобильные устройства не предусматривают вход пользователя в систему или доступ к Active Directory для обеспечения безопасности. Сертификаты играют очень важную роль в управлении мобильными устройствами и участвуют по всех процессах, начиная с регистрации клиента мобильного устройства и защиты SSL-подключений и заканчивая проверкой, чтобы источник полученного программного обеспечения был доверенным.

На устройстве сертификаты хранятся в указанных ниже местах.

  • Корневое хранилище сертификатов. Здесь хранится корневой сертификат для проверки подлинности SSL-соединения сервера и сертификат подписи сервера сайта, используемый сервером сайта для подписи политики. В корневом хранилище сертификатов также хранятся сертификаты всех промежуточных центров сертификации, образующих цепочку доверия до корня инфраструктуры открытого ключа, для которых выполняется проверка подлинности.

  • Личное хранилище сертификатов. Здесь хранится сертификат проверки подлинности пользователя, используемый для проверки подлинности пользователя при SSL-соединении с сервером. Он также используется для регистрации клиента мобильного устройства на сервере сайта.

  • Хранилище сертификатов издателей программного обеспечения (SPC). Здесь хранятся любые сертификаты издателей, являющиеся доверенными для устройства, например сертификат Microsoft Authenticode, используемый для подписи клиента мобильного устройства Microsoft System Center Configuration Manager 2007, чтобы его можно было установить на мобильном устройстве. Дополнительные сведения о требованиях к сертификату для связи с Configuration Manager 2007 см. в разделе О сертификатах основного режима для клиентов мобильных устройств.

  • Привилегированное хранилище. Здесь хранятся любые сертификаты издателей программного обеспечения, необходимые для разрешения запуска приложений на мобильном устройстве с более высокими правами.

См. также