□

Для запуска консоли Configuration Manager следует использовать учетную запись с минимальными разрешениями.   

□

Не позволяйте пользователям, которые не являются администраторами, использовать консоль Configuration Manager на сервере сайта.

□

Ограничьте просмотр веб-страниц из консоли Configuration Manager.  

□

Не позволяйте пользователям службы терминала с ограниченными правами устанавливать подключения к ролям системы сайта. 

□

Защитите выходные данные XML от мастера передачи параметров сайта.

□

Не предоставляйте пользователям, которые не являются администраторами, доступ к серверу сайта посредством служб терминалов или удаленного рабочего стола. 

□

Всегда настраивайте объявления для загрузки содержимого. 

□

Не позволяйте пользователям взаимодействовать с программами, если для этого требуется запуск с правами администратора.

□

Не создавайте вложенные коллекции, если для них нужно ограничить распространение программного обеспечения. 

□

Установите разрешения на доступ к пакету во время его создания.

□

Защитите программного обеспечение на уровне доступа к пакету.

□

При наличии пакетов в SMS 2003 после обновления следует обновить все пакеты.

□

Не изменяйте заданные по умолчанию разрешения для пакетов обновлений программного обеспечения.

□

Управляйте доступом к месту загрузки обновлений программного обеспечения. 

□

Используйте время UTC для оценки времени развертывания.

□

Придерживайтесь рекомендаций по защите WSUS

□

Включите проверку списка отзыва сертификатов.

□

Если точка обновления программного обеспечения системы сайта настроена в демилитаризованной зоне, настройте на сервере сайта извлечение данных из системы сайта.

□

В случае необходимости развернуть обновления программного обеспечения на клиентах SMS 2003, запустите средство инвентаризации для обновлений Microsoft на сервере основного сайта, занимающего самую высокую позицию в иерархии.

□

Настройте WSUS на использование пользовательского сайта.

□

Включите BITS 2.5 для сайта и точек распространения

□

Внедрите элементы управления доступом для защиты загрузочного носителя. 

□

Если сертификат клиента скомпрометирован, заблокируйте этот сертификат. 

□

Защищайте коммуникационный канал между сервером сайта и точкой обслуживания PXE.

□

Используйте точки обслуживания PXE только в безопасных сегментах сети.

□

Настройте в точке обслуживания PXE ответ на PXE-запросы только по заданным сетевым интерфейсам.

□

Установите обязательный пароль для загрузки PXE. 

□

При выведении из эксплуатации точек миграции состояния вручную удалите их папки.  

□

Не настраивайте в политике удаления немедленное удаление состояния пользователя. 

□

Управляйте физическим доступом к компьютерам с помощью USB-устройства флэш-памяти для последовательности задач. 

□

Внедрите элементы управления доступом для защиты процесса создания образа на компьютере-образце. 

□

Всегда устанавливайте на компьютере-образце самые последние обновления безопасности

□

Отслеживайте неуполномоченные точки распространения с поддержкой многоадресной рассылки.

□

В случае необходимости развернуть операционные системы на неизвестном компьютере, внедрите элементы управления доступом для предотвращения подключения к сети неуполномоченных компьютеров.

□

Всегда настраивайте объявления последовательности задач для загрузки содержимого.

□

Включите шифрование для пакетов многоадресной рассылки.

□

Защитите регистрационный сертификат

□

Ограничьте запросы и отчеты, сделав их доступными только для уполномоченных наблюдателей.

□

Используйте для управления доступом к точкам формирования отчетов группы пользователей отчетов. 

□

Управляйте безопасностью для пользователей, подключающихся непосредственно к компьютеру SQL Server.    

□

Включите для точек формирования отчетов доступ по протоколу HTTPS.

□

Подписывайте данные конфигурации для проверки целостности элементов конфигурации. 

□

Используйте основной режим, где это возможно. 

□

Задайте в клиентах мобильных устройство обязательное использование пароля.

□

Не используйте защиту доступа к сети для защиты сети от злоумышленников. 

□

Используйте единообразные политики защиты доступа к сети во всей иерархии сайтов, сведя к минимуму расхождения.

□

Не включайте сразу агент клиента защиты доступа к сети на новых сайтах Configuration Manager. 

□

Не используйте защиту доступа к сети в качестве механизма мгновенного принудительного применения или принудительного применения в реальном времени.

□

Включите шифрование при инвентаризации.    

□

Отключите коллекции IDMIF и NOIDMIF.

□

Не используйте сбор файлов для сбора критических файлов или конфиденциальной информации.    

□

Не используйте сбор файлов для сбора критических файлов или конфиденциальной информации.    

□

Используйте для настройки параметров удаленного помощника либо групповую политику, либо Configuration Manager, но не используйте эти два средства одновременно. 

□

Параметр "Запросить разрешение" не следует рассматривать как адекватную меру безопасности для удаленных средств для клиентов Windows 2000.

□

Включите параметр "Запросить разрешение".

□

Включите уведомление. 

□

Запретите пользователям изменять политику или параметры уведомления.  

□

Ограничьте список разрешенных наблюдателей 

□

Задайте обязательные глобальные группы.

□

Задайте контекст домена для учетных записей пользователей.  

□

Не полагайтесь на защиту коллекции как на средство управления удаленным доступом к средствам. 

□

Не вводите пароли для привилегированных учетных записей во время удаленного администрирования компьютеров с операционной системой Windows 2000. 

□

Используйте для отправки пакетов пробуждения одноадресную передачу.

□

В случае необходимости использования широковещательной передачи в подсети, разрешите в настройках маршрутизатора IP-направленную широковещательную передачу только для сервера сайта и только для порта, номер которого не задан по умолчанию.

□

Заказывайте специализированные микропрограммы перед приобретением компьютеров, основанных на AMT.

□

Используйте внутреннюю подготовку вместо внешней.    

□

Вручную отзывайте сертификаты и удаляйте учетные записи Active Directory для компьютеров, основанных на AMT, заблокированных сайтом Configuration Manager 2007 с пакетом обновления 1 (SP1).

□

Управляйте запросом и установкой сертификата обеспечения.

□

Убедитесь, что новый сертификат обеспечения запрашивается до истечения срока действия существующего сертификата.

□

В случае отзыва сертификата обеспечения AMT удалите этот сертификат из хранилища на сервере системы сайта внешней точки обслуживания и настройте повторно компонент внешнего управления с использованием действительного сертификата обеспечения AMT.    

□

Если необходимо отозвать сертификат обеспечения, предоставленный внутренним центром сертификации, отзывайте сертификат в консоли центра сертификации.

□

Используйте отдельный шаблон сертификата для подготовки компьютеров, основанных на AMT.

□

Используйте внешнее управление вместо пробуждения по локальной сети.    

□

Отключите технологию AMT в микропрограмме, если внешнее управление компьютером не поддерживается.

□

Используйте отдельное подразделение (OU) для публикации компьютеров, основанных на AMT.

□

Используйте групповую политику для ограничения прав пользователей учетных записей AMT.

□

Используйте отдельную коллекцию для внутренней подготовки.

□

Настройте альтернативный порт для контроля использования сервера.    

□

Только для Configuration Manager 2007 с пакетом обновления 2 (SP2). Разрешите выполнение действий аудита и управление журналами аудита по мере необходимости только авторизованным администраторам.