インターネット ベースのクライアントについて推奨するセキュリティ運用方法
適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Microsoft System Center Configuration Manager 2007 では、ダイアルアップまたは VPN 技術で内部ネットワークに接続していないクライアントを管理できます。これらのクライアントを管理することはセキュリティの向上に役立ちますが、サイト システムの一部をインターネット通信に公開するような方法で Configuration Manager 2007 インフラストラクチャを構成する必要があります。インターネット ベースのクライアントのサポートを計画している場合は、Configuration Manager 2007 ネイティブ モードを使用する必要があります。これは、インターネットに公開されるというリスクの一部の軽減に役立つためです。
SSL への SSL ブリッジを使用し、認証では終了を使用する プロキシ Web サーバーにおける SSL 終了の利点は、インターネットからのパケットが内部ネットワークに転送される前に検査されることです。プロキシ Web サーバーは、クライアントからの接続を認証し、終了させて、インターネット ベースのサイト システムへの新しい認証接続を開きます。Configuration Manager クライアントがプロキシ Web サーバーを使用する場合、クライアント ID (クライアント GUID) がパケット ペイロードに安全に格納されるため、管理ポイントはプロキシ Web サーバーがクライアントであるとは見なしません。プロキシ Web サーバーが SSL ブリッジの要件をサポートしていない場合、SSL トンネルもサポートされています。これは、インターネットからの SSL パケットが終了なしでサイト システムに転送され、有害な内容の検査を受けることができないため、安全性の点では劣るオプションです。
Active Directory を使用してサイト サーバー署名証明書を展開する クライアントがサイト サーバー署名証明書を受け取るオプションには、SMSSIGNCERT パラメータを使用して証明書をインストールするオプション、Active Directory ドメイン サービスに照会するオプション、管理ポイントから自動的に取得するオプションの、3 つがあります。これら 3 つのソリューションのうち、管理ポイントで自動的に展開するソリューションは最もセキュリティが低いため、管理ポイントのセキュリティに不安がある場合は使用しないでください。たとえば、境界ネットワークに存在してインターネット ベースのクライアントの管理のためにインターネットからの接続を受け入れる管理ポイントは、イントラネット内でイントラネット クライアントからの接続のみを受け入れる管理ポイントよりセキュリティが低いと見なされます。ただし、管理ポイントがイントラネット クライアントからの接続のみを受け入れる場合に、手動展開の管理オーバーヘッドを回避するには、管理ポイントを介してサイト サーバー署名証明書のコピーを自動的に展開することが適切なソリューションである可能性があります。詳細については、「クライアントにサイト サーバー署名証明書を展開する方法を決定する (ネイティブ モード)」を参照してください。
インターネット ベースのクライアントで配布ポイント共有およびブランチ配布ポイントを作成しない Configuration Manager 2007 ではこれは禁止されていませんが、インターネット ベースのクライアントでどの種類の配布ポイントを作成することも、攻撃対象を大幅に拡げるため、避けてください。イントラネット内または境界ネットワーク内で管理可能なサイト システムでのみ配布ポイントを作成します。
境界ネットワークとイントラネットをブリッジするサイト システムを使用しない インターネット ベースのクライアント向けに、必要なすべてのサイト システムをマルチホームにし、境界ネットワークとイントラネットの両方に接続するようにサーバーの配置を構成することは可能ですが、この構成は、境界ネットワークとイントラネットの間にセキュリティの境界がないため、お勧めしません。境界ネットワークをブリッジするより安全なオプションがいくつかあります。詳細については、「インターネット ベースのクライアント管理のサーバーの配置を決定する」を参照してください。
プライバシー情報
Configuration Manager 2007 クライアントを展開すると、クライアント エージェントを有効にして Configuration Manager 2007 機能を使用できます。機能の構成に使用する設定は、組織のネットワークに直接接続されないが、インターネットに接続されているクライアントも含む、サイト内のすべてのクライアントに適用されます。たとえば、サイトに従業員が所有する、インターネット ベースのホーム オフィス コンピュータをインベントリするインベントリも構成できます。クライアント情報はデータベースに保存されます。Microsoft に送信されることはありません。Configuration Manager 2007 クライアントを構成する前に、プライバシー要件について検討してください。
参照:
概念
その他のリソース
Configuration Manager について推奨するセキュリティ運用方法
その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.