Configuration Manager セキュリティについて
適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Microsoft System Center Configuration Manager 2007 のセキュリティは、いくつかの層で構成されています。まず、Windows にはオペレーティング システムとネットワークの両方に対するセキュリティ機能があります。たとえば、次のような機能があります。
Configuration Manager 2007 コンポーネント間でファイルを転送するためのファイル共有
ファイルとレジストリ キーを保護するためのアクセス制御リスト (ACL)
通信を保護するための IPsec
セキュリティ ポリシーを設定するためのグループ ポリシー
Configuration Manager 2007 コンソールのような配布されたアプリケーションに対する DCOM アクセス許可
セキュリティ プリンシパルを保存するための Active Directory ドメイン サービス
Configuration Manager 2007 のインストール中に作成された一部のグループを含む、Windows アカウント セキュリティ
さらにファイアウォールや侵入検知などのセキュリティ コンポーネントを使用することで、環境全体を徹底的に防御することができます。業界標準の PKI 実装で発行される証明書により、Configuration Manager 2007 コンポーネントの認証と、モバイル デバイス クライアントに配布されるアプリケーションへの署名が可能になります。
Configuration Manager 2007 では、いくつかの方法で Configuration Manager 2007 コンソールへのアクセスを制御します。既定では、Configuration Manager 2007 コンソールがインストールされているコンピュータ上でコンソールを実行するために必要なファイルおよびレジストリ キーへのアクセス権は、管理者のみにあります。
次のセキュリティ階層は、Windows Management Instrumentation (WMI) によるアクセスです。これは SMS プロバイダに特有のものです。SMS プロバイダは、既定でローカルの SMS 管理グループに限定されています。このグループには最初のうち、Configuration Manager 2007 をインストールしたユーザーのみが含まれています。他のアカウントに Common Information Model (CIM) リポジトリおよび SMS プロバイダへのアクセス許可を与えるには、SMS 管理グループに他のアカウントを追加します。
最後のセキュリティ階層は、サイト データベース内のオブジェクトに対するアクセス許可です。既定では、Configuration Manager 2007 をインストールする際に使用したローカル システム アカウントおよびユーザーアカウントに、サイト データベース内のすべてのオブジェクトを管理するアクセス権があります。Configuration Manager 2007 コンソールで、追加のユーザーにアクセス許可を付与することができます。
セキュリティ モード
Configuration Manager 2007 には、2 つのセキュリティ モードがあります。
ネイティブ モードではクライアントとサーバーとの間の通信を保護するための公開キー基盤 (PKI) と統合することによって、より高いレベルのセキュリティが実現されているため、新しい Configuration Manager 2007 サイトのサイト構成としてはネイティブ モードの使用をお勧めします。会社で PKI を使用することによりセキュリティやビジネス要件を満たすことは可能ですが、現在および将来のニーズを満たすためには PKI を慎重に設計および実装する必要があります。Configuration Manager 2007 の操作に対応するためだけに PKI をインストールすると、短期的な目標は達成できますが、後に他の用途に対応するときに PKI の展開が妨げられることがあります。組織が既に、よく設計された業界標準の PKI を使用している場合は、既存の PKI で発行された証明書を Configuration Manager 2007 で使用できるはずです。
重要
ネイティブ モードでは、実装前に拡張性の高い計画とラボ テストが必要となります。PKI 基盤が Configuration Manager 2007 に対応して正しく実装されていないと、サイト全体の機能が停止する場合があります。要件を完全に理解しないまま、実稼働環境にネイティブ モードを実装しないでください。
Configuration Manager 2007 で使用できる最も安全なモードはネイティブ モードですが、多くの組織では混在モードが妥当なセキュリティと考えられます。混在モードでは必要な管理オーバーヘッドも少なくなります。既存の Systems Management Server (SMS) 2003 サイトからアップグレードした場合は混在モードが既定となります。混在モードには SMS 2003 サイトと Configuration Manager 2007 サイトの両方を含む階層に対する下位互換性があります。混在モードでインストールして、後からネイティブ モードに移行することは可能です。また、ネイティブ モードから混在モードに戻すことも可能です。移行する場合も戻す場合も、実装する前に徹底的に計画する必要があります。
ネイティブ モードのサイトは、混在モードのサイトに属することはできません。混在モードからネイティブ モードへ移行する際は、必ずセントラル サイトを変換してから、下の階層へ進んでください。
インターネット ベースのクライアント
VPN またはダイアルアップ技術を使用して組織のネットワークに接続しているコンピュータを、標準の Configuration Manager 2007 クライアントとして管理できます。インターネットに接続しているが組織のネットワークに接続していないコンピュータは、インターネット ベースのクライアントとして設定できます。インターネット ベースのクライアントは、ネイティブ モードのサイトにのみ所属できます。インターネット ベースのクライアントを管理する際は、サイト システムを設置する場所を慎重に計画する必要があります。たとえば、境界ネットワーク内に管理ポイントと配布ポイントを置いたり、インターネット ベースのクライアントがファイアウォールを通過して組織のネットワーク内にあるサイト システムにアクセスできるようにしたり、インターネット ベースのクライアントに対応するためだけに境界ネットワーク内に別個のサイトを作成したりするなどです。
プライバシー
ネットワーク管理用の製品を使用すれば多数のクライアントを効果的に管理できますが、そのソフトウェアが組織内のユーザーのプライバシーにどのような影響を及ぼすかを理解しておく必要もあります。Configuration Manager 2007 には、データを収集してクライアント コンピュータを監視するツールが多数装備されていますが、中にはプライバシーの問題が発生するものがあります。
たとえば、Configuration Manager 2007 クライアントを展開するときは、Configuration Manager 2007 の機能を使用できるようにクライアント エージェントを有効にします。機能を構成するために使用する設定はサイト内のすべてのクライアントに適用されます。これは、クライアントが企業ネットワークに直接接続しているか、リモート セッションを介して接続しているか、インターネットに接続しているがサイトでサポートされているかに関係ありません。クライアント情報はデータベースに保存されます。Microsoft に送信されることはありません。Configuration Manager 2007 を実装する前に、プライバシーの要件を考慮してください。
Configuration Manager のアカウントとグループ
Configuration Manager 2007 では、ほとんどのサイト操作にローカル システム アカウントを使用します。構成によっては、追加のアカウントを作成および管理する必要があります。一部の既定のグループや SQL Server の役割はセットアップ中に作成されますが、場合によってはこれらの既定のグループや役割に手動でコンピュータやユーザー アカウントを追加する必要があります。
参照:
その他のリソース
Configuration Manager 2007 の基本情報
その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.