次の方法で共有

通信について推奨するセキュリティ運用方法

  • [アーティクル]

適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Microsoft System Center Configuration Manager 2007 のアクティビティは、単一のコンピュータに限られていません。次のような例があります。

  • クライアントは管理ポイントと通信します。

  • サイト サーバーは、リモート コンピュータにインストールできるすべてのサイト システムと通信します。

  • すべてのドメイン メンバが認証と承認のためドメイン コントローラと通信します。

  • サイト階層は、ファイアウォールおよび仮想プライベート ネットワーク (VPN) とのワイド エリア ネットワーク (WAN) リンクにまたがってインストールできます。

サイト間の Configuration Manager 2007 の通信をセキュリティで保護しないと、クライアントが不正なサーバーに乗っ取られたり、高い権限の資格情報が露出したり、偽のデータが Configuration Manager 2007 サイト データベースに挿入されたりする可能性があります。

推奨する運用方法

ネイティブ モードを使用する     ネイティブ モードでは、Configuration Manager 2007 クライアントとサーバー間のほとんどの通信で自動的に相互認証と暗号化が行われます。

セキュリティで保護されているキーの交換を必要とする    既定では、新規インストール時には[サイト間でセキュリティで保護されているキーの交換を必要とする]が有効になっています。既存のキー交換設定は、アップグレードしても保持されますが、攻撃者が偽のサイト管理ファイルを送信するリスクを低減するため、階層内のサイトが 1 つのみの場合も、キー交換設定を有効にする必要があります。Active Directory スキーマを拡張し、発行を構成している場合、Configuration Manager 2007 によって Active Directory を使用してキーが交換されるため、キーの交換プロセスが安全に行われます。Active Directory スキーマを拡張していない場合、または発行を正しく構成していない場合、管理者が手作業でキーを交換する必要があります。詳細については、「サイト間でセキュリティ キーの交換を必要とする方法」を参照してください。

クライアント通信に既定以外のポート番号の使用を考慮する    HTTP や HTTPS などのプロトコルに既定以外のポートを使用すると、攻撃を抑制できる場合があります。たとえば、多くの組織では、TCP ポート 80 をブロックして、別な HTTP ポートを使用しています。ポートはサイトごとに構成します。ただし、階層内のすべてのサイトで同じポートを構成しないと、ローミング時に Configuration Manager 2007 クライアントで問題が発生する可能性があります。詳細については、「Configuration Manager クライアントの要求ポートの構成方法」を参照してください。

クライアントが Active Directory をクエリできない場合、信頼されたルート キー準備処理を管理する    Active Directory の発行が有効になっていないか、またはクライアントがワークグループかリモート フォレスト クライアントであるために、クライアントがグローバル カタログをクエリできない場合、信頼されたルート キーに依存して有効な管理ポイントを認証する必要があります。信頼されたルート キーは、クライアントのレジストリに保存されており、グループ ポリシーを使用して設定するか、または手作業で構成できます。クライアントが初めて管理ポイントと通信する前に信頼されたルート キーのコピーがない場合、最初に通信した管理ポイントを信頼します。攻撃者がクライアントを承認されていない管理ポイントに方向付けるリスクを低減するため、信頼されたルート キーを持つクライアントを事前に準備することができます。詳細については、「クライアントでの信頼されたルート キーの事前準備方法」を参照してください。

サイト システム間の通信を保護するために IPsec を使用する    Configuration Manager 2007 のネイティブ モードは、Configuration Manager 2007 クライアントと Configuration Manager 2007 サイト システム間の通信チャネルを保護しますが、Configuration Manager 2007 は、サイト システムが同じサイトにあっても違うサイトにあっても、また内部ネットワークにあっても境界ネットワークにあっても、サイト モードに関係なく、サイト システム間の通信チャネルを保護しません。すべてのサイト システム間に IPsec を実装して、通信を暗号化して認証する必要があります。詳細については、「Configuration Manager 2007 への IPsec の実装」を参照してください。IPsec を有効にできない場合、少なくともすべてのサイト システム間で SMB 署名を有効にする必要があります。

ファイアウォールを構成し、必要な Configuration Manager のトラフィックを許可する    セキュリティの運用方法では、明示的に構成したものを除き、ファイアウォールではすべてのポートを拒否するように指示しています。Configuration Manager 2007 は、正しい通信に多数のポートが必要な複雑な製品です。ポートの使用は、ネイティブ モードや混在モードの使用など、構成の選択により異なります。詳細については、「Configuration Manager で使用されるポート」を参照してください。

サイト サーバーとパッケージ ソース サーバー間の通信チャネルを保護する     Configuration Manager 2007 は、サイト サーバー コンピュータと、パッケージの作成に使用されるソース ファイルを保存しているコンピュータ間の通信チャネルを保護しません。パッケージ ソース ファイルを取得する際に Configuration Manager 2007 が使用する SMB チャネルを IPsec を使用して保護して、攻撃者がファイルを改ざんするのを防ぎます。

セットアップ メディアとサイト サーバー間の通信チャネルを保護する    ネットワーク上の場所からセットアップを実行する場合、セットアップ ファイルのソースの場所とサイト サーバー間で IPsec を使用して、攻撃者がファイルを改ざんするのを防ぎます。

参照:

その他のリソース

Configuration Manager について推奨するセキュリティ運用方法

その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.