Безопасность и конфиденциальность администрирования сайтов в Configuration Manager

 

Применимо к:System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System_CAPS_noteПримечание

Этот раздел отображается в следующей документации: в руководстве Администрирование сайтов для System Center 2012 Configuration Manager и в руководстве Безопасность и конфиденциальность System Center 2012 Configuration Manager.

Этот раздел содержит сведения о безопасности и конфиденциальности для сайтов и иерархии System Center 2012 Configuration Manager.

  • Рекомендации по обеспечению безопасности для администрирования сайтов

    • Рекомендации по обеспечению безопасности для сервера сайта

    • Рекомендации по обеспечению безопасности для SQL Server

    • Рекомендации по обеспечению безопасности для систем сайта с запущенными службами IIS

    • Рекомендации по обеспечению безопасности для точки управления

    • Рекомендации по обеспечению безопасности для резервной точки состояния

    • Проблемы безопасности, связанные с администрированием сайтов

  • Сведения о соблюдении конфиденциальности обнаружения

Рекомендации по обеспечению безопасности для администрирования сайтов

Следующие рекомендации по обеспечению безопасности помогут защитить сайты и иерархию System Center 2012 Configuration Manager.

Рекомендация по безопасности

Дополнительные сведения

Запускайте программу установки только из надежного источника и защищайте канал связи между носителем программы установки и сервером сайта.

Чтобы предотвратить несанкционированное изменение исходных файлов, запускайте программу установки из надежного источника. Если файлы хранятся в сети, защитите сетевую папку.

Чтобы при запуске программы установки из сетевого расположения предотвратить несанкционированное изменение исходных файлов, передаваемых по сети, воспользуйтесь протоколом IPsec или подписыванием SMB для защиты канала между исходным расположением программы установки и сервером сайта.

Кроме того, при использовании загрузчика программы установки для загрузки файлов, необходимых для программы установки, следует защитить папку, в которой хранятся эти файлы, а во время выполнения программы установки нужно обеспечить безопасность канала связи с этим расположением.

Расширьте схему Active Directory для System Center 2012 Configuration Manager и опубликуйте сайты в доменных службах Active Directory.

Для запуска Microsoft System Center 2012 Configuration Manager расширения схемы не требуются, однако они позволяют создать более безопасную среду, поскольку клиенты и серверы сайта Configuration Manager могут получать данные из надежного источника.

Если клиенты находятся в домене, не являющемся доверенным, разверните следующие роли в домене клиента.

  • Точка управления.

  • Точка распространения.

  • Точка веб-сайта каталога приложений.

System_CAPS_noteПримечание

Для доверенного домена Configuration Manager требуется проверка подлинности Kerberos, поэтому если клиенты находятся в другом лесу, не имеющем двустороннего доверия с лесом сервера сайта, считается, что эти клиенты находятся в домене, не являющемся доверенным. Для этой цели внешнего доверия недостаточно.

Используйте протокол IPSec для защиты взаимодействий между серверами систем сайта и сайтами.

Несмотря на то, что Configuration Manager защищает взаимодействие между сервером сайта и компьютером под управлением SQL Server, Configuration Manager не обеспечивает безопасность взаимодействия между ролями систем сайта и SQL Server. Настроить для использования протокола HTTPS для внутрисайтовой передачи данных можно только некоторые системы сайта (точка регистрации и точка веб-службы каталога приложений).

Если для защиты каналов обмена данными между серверами не используются дополнительные методы, злоумышленники могут направлять на системы сайтов различные атаки, например подделку пакетов или атаки типа "злоумышленник в середине". Если использовать протокол IPsec невозможно, замените его подписыванием SMB.

System_CAPS_noteПримечание

Особенно важно защитить канал взаимодействия между сервером сайта и исходным сервером пакета. В этом случае используетсяя SMB. Если для защиты этого взаимодействия использовать протокол IPsec невозможно, замените его подписыванием SMB, чтобы исключить несанкционированное изменение файлов до их загрузки и использования клиентами.

Не изменяйте группы безопасности, создаваемые и управляемые Configuration Manager для взаимодействия систем сайта.

  • SMS_SiteSystemToSiteServerConnection_MP_

    Рекомендации по обеспечению безопасности для сервера сайта

    Следующие рекомендации по обеспечению безопасности помогут защитить сервер сайта Configuration Manager.

    Рекомендация по безопасности

    Дополнительные сведения

    Устанавливайте Configuration Manager на рядовом сервере, а не на контроллере домена.

    Сервер сайта и системы сайта Configuration Manager не требуется устанавливать на контроллере домена. На контроллерах домена нет никакой другой локальной базы данных SAM, кроме базы данных домена. При установке Configuration Manager на рядовом сервере учетные записи Configuration Manager можно сохранить в локальной базе данных SAM, а не в базе данных домена.

    Такая практика позволяет также уменьшить площадь атаки на контроллеры доменов.

    Установите вторичные сайты, чтобы избежать копирования файлов на сервер вторичного сайта по сети.

    При выполнении установки с созданием вторичного сайта не выбирайте вариант, при котором файлы копируются с родительского сайта на вторичный, и не используйте источник, расположенный в сети. Когда файлы копируются через сеть, квалифицированный злоумышленник может перехватить установочный пакет вторичного сайта и незаконно изменить файлы до их установки, хотя правильно выбрать время для такой атаки будет трудно. Опасность данной атаки можно снизить, используя протоколы IPsec или SMB при передаче файлов.

    Вместо копирования по сети скопируйте исходные файлы на сервере вторичного сайта с носителя в локальную папку. Затем после запуска программы установки для создания вторичного сайта на странице Исходные файлы установки выберите Использовать исходные файлы в следующей папке на компьютере вторичного сайта (наиболее безопасный вариант) и укажите эту папку.

    Дополнительные сведения см. в разделе Установка вторичного сайта статьи Установка сайтов и создание иерархии для Configuration Manager.

    Рекомендации по обеспечению безопасности для SQL Server

    Configuration Manager использует SQL Server в качестве серверной базы данных. Если база данных будет скомпрометирована, злоумышленники смогут напрямую обращаться к SQL Server в обход Configuration Manager для инициирования атак через Configuration Manager. Атаки на SQL Server следует считать несущими высокий риск и с соответствующей серьезностью относиться к их предупреждению.

    Следующие рекомендации по обеспечению безопасности помогут защитить сервер SQL Server в контексте Configuration Manager.

    Рекомендация по безопасности

    Дополнительные сведения

    Не пользуйтесь сервером базы данных сайта Configuration Manager для выполнения других приложений SQL Server.

    Чем шире доступ к серверу базы данных сайта Configuration Manager, тем выше риск для данных Configuration Manager. Если база данных сайта Configuration Manager будет скомпрометирована, под угрозу будут поставлены другие приложения на том же компьютере SQL Server.

    Настройте SQL Server для использования проверки подлинности Windows.

    Хотя Configuration Manager обращается к базе данных сайта с использованием учетной записи Windows и проверки подлинности Windows, по-прежнему сохраняется возможность настройки SQL Server для использования смешанного режима. В смешанном режиме SQL Server разрешаются дополнительные сеансы входа SQL Server для доступа к базе данных, что не является необходимым и увеличивает площадь атаки.

    Особо позаботьтесь о том, чтобы на сайтах, использующие SQL Server Express, были установлены последние обновления программного обеспечения.

    Когда устанавливается первичный сайт, Configuration Manager загружает SQL Server Express из Центра загрузки Майкрософт и копирует файлы на сервер первичного сайта. При установке вторичного сайта, если пользователь выбрал вариант с установкой SQL Server Express, Configuration Manager устанавливает ранее загруженную версию и не проверяет наличие новых версий. Чтобы обеспечить наличие последних версий программного обеспечения на вторичном сайте, действуйте одним из перечисленных ниже способов.

    • После установки вторичного сайта запустите обновление Windows на сервере вторичного сайта.

    • Прежде чем устанавливать вторичный сайт, вручную установите SQL Server Express на компьютере, который станет сервером вторичного сайта, и при этом убедитесь, что устанавливаете последнюю версию со всеми вышедшими обновлениями. После этого установите вторичный сайт и выберите вариант с использованием существующего экземпляра SQL Server.

    Периодически запускайте обновление Windows для этих сайтов и всех установленных версий SQL Server, чтобы на них всегда были установлены последние обновления программного обеспечения.

    Соблюдайте рекомендации по использованию SQL Server.

    Узнайте, каковы рекомендации по использованию вашей версии SQL Server, и следуйте этим рекомендациям. При этом учитывайте следующие требования Configuration Manager.

    • Учетная запись компьютера сервера сайта должна входить в группу "Администраторы" на компьютере, на котором работает SQL Server. Если вы используете рекомендацию о явной подготовке к работе субъектов администрирования для SQL Server, то учетная запись, от имени которой запускается программа установки на сервере сайта, должна входить в группу "Пользователи SQL".

    • Если SQL Server устанавливается с использованием учетной записи пользователя домена, убедитесь, что для компьютера сервера сайта указано имя субъекта-службы (SPN), опубликованное в доменных службах Active Directory. Без SPN не пройдет проверка подлинности Kerberos, и установка Configuration Manager завершится неудачно.

    Рекомендации по обеспечению безопасности для систем сайта с запущенными службами IIS

    В Configuration Manager есть несколько ролей системы сайта, требующих использования служб IIS. Защита служб IIS обеспечит корректную работу Configuration Manager и снизит риск атак на систему безопасности. Сведите к практически целесообразному минимуму количество серверов, требующих наличия служб IIS. Например, используйте не больше точек управления, чем требуется для поддержки клиентской базы, учитывая требования высокой доступности и сетевой изоляции для управления клиентами через Интернет.

    Следующие рекомендации по безопасности помогут защитить системы сайта, использующие службы IIS.

    Рекомендация по безопасности.

    Дополнительные сведения

    Отключите ненужные функции служб IIS.

    Устанавливайте лишь минимально необходимое количество компонентов служб IIS для устанавливаемой роли системы сайта. Дополнительные сведения см. в разделе Требования к системе сайта статьи Поддерживаемые конфигурации для диспетчера конфигурации.

    Настройка ролей системы сайта для обязательного использования протокола HTTPS

    Когда клиенты подключаются к системе сайта по протоколу HTTP, а не HTTPS, они проходят проверку подлинности Windows, которая может выполняться с использованием протокола NTLM вместо Kerberos. Когда используется проверка подлинности NTLM, существует опасность подключения клиентов к незаконному серверу.

    Исключением из этой рекомендации по безопасности могут быть точки распространения, поскольку учетные записи доступа к пакетам не работают, если точка распространения настроена для использования протокола HTTPS. Учетные записи доступа к пакетам обеспечивают авторизацию для содержимого, позволяя указывать, какие пользователи будут иметь к нему доступ. Дополнительные сведения см. в разделе Рекомендации по обеспечению безопасности для управления содержимым.

    Задайте список доверия сертификатов (CTL) в службах IIS для следующих ролей системы сайта:

    • точка распространения, настроенная для использования HTTPS;

    • точка управления с включенной поддержкой мобильных устройств, настроенная для использования HTTPS.

    Список доверия сертификатов (CTL) — это определенный список доверенных корневых центров сертификации. Список доверия сертификатов, используемый с групповой политикой в развернутой инфраструктуре первичных ключей, позволяет расширять перечень доверенных корневых центров сертификации, заданных для данной сети (например, тех, которые автоматически устанавливаются с Microsoft Windows или добавляются через корневые ЦС предприятия Windows). Но когда список доверия сертификатов задан в службах IIS, он определяет подмножество доверенных корневых центров сертификации.

    Это подмножество обеспечивает больший контроль над безопасностью, поскольку список доверия сертификатов ограничивает круг принимаемых сертификатов только теми, которые выданы перечисленными в нем центрами сертификации. Например, Windows поставляется с сертификатами ряда хорошо известных сторонних центров сертификации, таких как VeriSign и Thawte. По умолчанию компьютер, на котором работают службы IIS, доверяет сертификатам, которые восходят по цепочке к этим хорошо известным центрам сертификации. Если в службах IIS не задан список доверия сертификатов для перечисленных ролей системы сайта, любое устройство с сертификатом клиента, выпущенным этими центрами сертификации, будет принято в качестве допустимого клиента Configuration Manager. Если в службах IIS задан список доверия сертификатов, не включающий эти центры сертификации, то клиенту будет отказано в подключении, если его сертификат восходит по цепочке к одному из этих центров. Но чтобы клиенты Configuration Manager принимались перечисленными ролями системы сайта, необходимо задать в службах IIS список доверия сертификатов с указанием центров сертификации, используемых клиентами Configuration Manager.

    System_CAPS_noteПримечание

    Задавать список доверия сертификатов в службах IIS требуется только для перечисленных ролей системы сайта; список издателей сертификатов, который Configuration Manager использует для точек управления, обеспечивает ту же функциональность для клиентских компьютеров, когда они подключаются к точкам управления, настроенным для использования протокола HTTPS.

    Дополнительные сведения о том, как задать список доверенных центров сертификации в IIS, см. в документации служб IIS.

    Не размещайте сервер сайта на компьютере со службами IIS.

    Разделение ролей позволяет уменьшить профиль атаки и повысить способность к восстановлению. Вдобавок, учетная запись компьютера сервера сайта обычно имеет права администратора всех ролей системы сайта (а возможно, и клиентов Configuration Manager, если используется принудительная установка клиента).

    Используйте выделенные серверы IIS для Configuration Manager.

    Хотя на серверах IIS, которые среди прочего используются системой Configuration Manager, можно размещать несколько веб-приложений, это может существенно увеличить площадь атаки. Неправильно настроенное приложение может позволить злоумышленнику получить контроль над системой сайта Configuration Manager, а через нее, возможно, и над всей иерархией.

    Если все же необходимо, чтобы на серверах системы сайта Configuration Manager работали другие веб-приложения, создайте специальный веб-сайт для систем сайта Configuration Manager.

    Используйте специальный веб-сайт.

    Для систем сайта, использующих службы IIS, можно настроить Configuration Manager для использования настраиваемого веб-сайта вместо веб-сайта IIS по умолчанию. Если необходимо, чтобы на серверах системы сайта работали другие веб-приложения, обязательно должен использоваться настраиваемый веб-сайт. Этот параметр распространяется на весь сайт, а не на конкретную систему сайта.

    Кроме соображений повышенной безопасности, настраиваемый веб-сайт необходимо использовать в случае, если на серверах системы сайта работают другие веб-приложения.

    Если переключение с веб-сайта по умолчанию на настраиваемый веб-сайт было произведено после установки ролей точек распределения, удалите заданные по умолчанию виртуальные каталоги.

    При переключении с веб-сайта по умолчанию на настраиваемый веб-сайт Configuration Manager не удаляет старые виртуальные каталоги. Удалите виртуальные каталоги, изначально созданные Configuration Manager для веб-сайта по умолчанию.

    Например, в случае точки распределения необходимо удалить следующие виртуальные каталоги:

    • SMS_DP_SMSPKG$

    • SMS_DP_SMSSIG$

    • NOCERT_SMS_DP_SMSPKG$

    • NOCERT_SMS_DP_SMSSIG$

    Соблюдайте рекомендации по использованию IIS Server.

    Узнайте, каковы рекомендации по использованию вашей версии IIS Server, и следуйте этим рекомендациям. При этом следует учитывать все требования Configuration Manager для конкретных ролей системы сайта. Дополнительные сведения см. в разделе Требования к системе сайта статьи Поддерживаемые конфигурации для диспетчера конфигурации.

    Рекомендации по обеспечению безопасности для точки управления

    Точки управления — это основной интерфейс между устройствами и Configuration Manager. Атаки на точку управления и сервер, на котором она работает, следует считать несущими высокий риск и с соответствующей серьезностью относиться к их предупреждению. Реализуйте все надлежащие рекомендации по безопасности и отслеживайте любые необычные действия.

    Следующие рекомендации по безопасности помогут защитить точку управления Configuration Manager.

    Рекомендация по безопасности

    Дополнительные сведения

    Устанавливая клиент Configuration Manager в точке управления, назначьте его сайту данной точки управления.

    Избегайте ситуаций, когда клиент Configuration Manager, находящийся в системе сайта точки управления, назначается другому сайту.

    Если осуществляется миграция с Configuration Manager 2007 на System Center 2012 Configuration Manager, переведите клиент с Configuration Manager 2007 на System Center 2012 Configuration Manager как можно скорее.

    Рекомендации по обеспечению безопасности для резервной точки состояния

    Приведенными ниже рекомендациями по безопасности следует пользоваться в случае установки резервной точки состояния в Configuration Manager.

    Дополнительные сведения об аспектах безопасности при установке резервной точки состояния см. в разделе Определение необходимости резервной точки состояния.

    Рекомендация по безопасности

    Дополнительные сведения

    Не допускайте выполнения других ролей системы сайта в данной системе сайта и не устанавливайте эту роль на контроллере домена.

    Поскольку резервная точка состояния рассчитана на прием входящих подключений от любого компьютера без проверки подлинности, выполнение этой роли системы сайта на контроллере домена серьезно повышает риск для соответствующего сервера.

    Когда для связи с клиентами в Configuration Manager используются PKI-сертификаты, устанавливайте резервную точку состояния до установки клиентов.

    Если системы сайта Configuration Manager не принимают от клиентов подключения по протоколу HTTP, пользователь может и не узнать, что клиенты остались без управления из-за проблем, связанных с PKI-сертификатами. Но если клиентам назначена резервная точка состояния, она будет уведомлять о подобных проблемах.

    По соображениям безопасности резервную точку состояния нельзя назначить клиентам после их установки — назначение этой роли возможно только во время установки клиентов.

    Старайтесь не использовать резервную точку состояния в сети периметра.

    Резервная точка состояния специально устроена так, чтобы принимать данные от любого клиента. Хотя резервная точка состояния в сети периметра могла бы помочь в устранении неполадок интернет-клиентов, необходимо соблюдать баланс между этим преимуществом и риском для системы сайта, которая принимает данные без проверки подлинности в общедоступной сети.

    Если резервная точка состояния все-таки устанавливается в сети периметра или другой ненадежной сети, настройте сервер сайта для инициирования передачи данных, а не для инициирования подключения к серверу сайта резервной точкой состояния, как это сделано по умолчанию.

    Проблемы безопасности, связанные с администрированием сайтов

    Ознакомьтесь со следующими проблемами безопасности Configuration Manager:

    • Configuration Manager не имеет защиты от авторизованного пользователя с правами администратора, использующего Configuration Manager для атаки на сеть. Неавторизованные пользователи представляют собой высокий риск с точки зрения безопасности и могут инициировать разнообразные атаки, в том числе:

      • использовать развертывание программного обеспечения для автоматической установки и запуска вредоносного ПО на каждом клиентском компьютере Configuration Manager, имеющемся на предприятии;

      • использовать дистанционное управление для получения контроля над клиентом Configuration Manager без разрешения со стороны клиента;

      • задавать короткие интервалы опроса и чрезмерно большие перечни активов с целью организации атак типа "отказ в обслуживании" на клиенты и серверы;

      • использовать один из сайтов в иерархии для записи данных Active Directory, относящихся к другому сайту.

      Границей безопасности является иерархия сайтов; сами сайты следует считать только границами управления.

      Подвергайте аудиту все действия пользователей с правами администратора и регулярно просматривайте журналы аудита. Требуйте от всех пользователей Configuration Manager проходить проверку анкетных данных перед наймом с периодической перепроверкой как условием найма.

    • Если точка регистрации атакована, злоумышленник сможет получить сертификаты для проверки подлинности и похитить учетные данные пользователей, регистрирующих свои мобильные устройства.

      Точка регистрации соединяется с центром сертификации и может создать, изменить и удалить объекты Active Directory. Никогда не следует устанавливать точку регистрации в демилитаризованной зоне; отслеживайте необычную активность.

    • Если в политиках пользователей разрешено управление клиентами через Интернет или настроена точка веб-сайта каталога приложений для пользователей, находящихся в Интернете, имеет место повышенный риск успешного проведения атак злоумышленниками.

      Помимо использования PKI-сертификатов для соединений "клиент-сервер", в таких конфигурациях требуется проверка подлинности Windows, в качестве которой может использоваться проверка подлинности NTLM, а не Kerberos. Проверка подлинности NTLM уязвима для атак олицетворения и воспроизведения. Чтобы пользователь из Интернета смог успешно проходить проверку подлинности, необходимо разрешить подключение с сервера системы сайта в Интернете к контроллеру домена.

    • На серверах системы сайта требуется общий ресурс Admin$.

      Сервер сайта Configuration Manager использует общий ресурс Admin$ для подключения с системам сайта и выполнения на них операций обслуживания. Не отключайте и не удаляйте общий ресурс Admin$.

    • Configuration Manager использует службы разрешения имен для подключения к другим компьютерам, и эти службы трудно защитить от таких атак, как спуфинг, несанкционированное вмешательство, отказ от ответственности, разглашение сведений, отказ в обслуживании и повышение привилегий.

      Изучите и соблюдайте рекомендации по обеспечению безопаности для версиq DNS и WINS, используемых для разрешения имен.

    Сведения о соблюдении конфиденциальности обнаружения

    Функция обнаружения создает записи о сетевых ресурсах и сохраняет их в базе данных System Center 2012 Configuration Manager. Записи данных обнаружения содержат сведения о компьютерах, такие как IP-адрес, операционная система и имя компьютера. Методы обнаружения Active Directory также могут быть настроены на обнаружение любых сведений, сохраняемых в доменных сулжбах Active Directory.

    Единственный метод обнаружения, включенный по умолчанию, – это heartbeat-обнаружение, однако этот метод позволяет обнаруживать только те компьютеры, на которых уже установлено программное обеспечение клиента System Center 2012 Configuration Manager.

    Сведения об обнаружении не отправляются в корпорацию Майкрософт. Информация об обнаружении сохраняется в базе данных Configuration Manager. Информация хранится в базе данных до тех пор, пока не будет удалена при выполнении задачи обслуживания сайта Удалить устаревшие данные управления конфигурацией. Эта задача выполняется каждые 90 дней. Можно настроить интервал удаления.

    Пеед настройкой других методов обнаружения или расширением обнаружения Active Discovery следует принять во внимание имеющиеся требования к конфиденциальности.