Configuration Manager のセキュリティとプライバシーの計画
適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Microsoft System Center Configuration Manager 2007 のセキュリティ コントロールは柔軟性があり、いつでも実装または変更できます。たとえば、既定のポート番号の変更やカスタム Web サイトの使用など、いくつかのセキュリティ関連の構成は、事前に計画すると実装しやすくなります。プライバシーも、Configuration Manager 2007 を使用するときに計画の考慮事項として重要です。
推奨されるセキュリティ構成
次の構成は、最も安全な Configuration Manager 2007 環境であると考えられています。
階層全体でネイティブ モードを使用する。
Configuration Manager 2007 用に Active Directory スキーマを拡張し、Active Directory の発行を有効にする。クライアントが Active Directory に照会できるように、同じフォレストにクライアントを構成する。
IPsec を使用して、サイト システム間の通信をセキュリティ保護する。
Configuration Manager 2007 を異なる構成で既にインストールしている場合も、いつでもこの構成にアップグレードできます。
ネイティブ モードを使用する
ネイティブ モードを使用するには、すべてのサイトおよびクライアントを Configuration Manager 2007 にアップグレードし、公開キー基盤 (PKI) からの証明書を使用してサイト システムおよびクライアントを認証する必要があります。この構成では管理オーバーヘッドが増大しますが、クライアントとサイト システムの間の認証と暗号化により、多くの攻撃進路が排除されます。たとえば、ネイティブ モードの場合、管理ポイントはインベントリ情報を受け入れる前にクライアントを認証しますが、混在モードの場合、クライアントは認証されません。詳細については、「ネイティブ モードまたは混在モードを選択する」を参照してください。
注意
混在モードでは、[このサイトに ConfigMgr 2007 クライアントのみを含める] チェック ボックスがオンの場合、承認されたクライアントのみが、機密データを含むポリシーを受信できます。一方、このチェック ボックスがオフの場合、機密データを含むポリシーをどのクライアントにも送信できます。
スキーマ拡張と Active Directory の発行を使用する
スキーマ拡張は、Configuration Manager 2007 の実行に必要ありませんが、より安全な環境が構築されます。管理ポイントがそれ自体の証明書と場所を Active Directory に公開できるように、Configuration Manager 2007 スキーマ拡張と、Active Directory への Configuration Manager 2007 の発行を有効にする必要があります。また、すべてのクライアントが、サイト サーバーと同じフォレストに属するように計画する必要があります。これにより、クライアントは、信頼できるソースから承認された管理ポイントを特定できます。ワークグループのクライアントは、サイト情報について Active Directory に照会できないので使用しないでください。
また、Active Directory にはサイト間のデータ転送の署名に使用される公開キーを保存できます。回復操作時に公開キーが変更されると、子サイトおよび親サイトに自動的に新しいキーが伝達されます。SMS 2003 からアップグレードする場合は、Configuration Manager 2007 用にスキーマ拡張もアップグレードする必要があります。スキーマ拡張の詳細については、「Active Directory スキーマを拡張する必要があるかどうかを判断する」を参照してください。
IPsec を使用して、サイト システム間の通信をセキュリティ保護する
ネイティブ モードも混在モードも、サイト サーバーとサイト システムの間の通信チャネルをセキュリティ保護しません。IPsec などの何らかの方法を使用してこれらのチャネルを保護しなかった場合、攻撃者は、サイト システムに対してさまざまなスプーフィングや man-in-the-middle 攻撃を仕掛けることができます。詳細については、「Configuration Manager 2007 への IPsec の実装」を参照してください。
ポート計画
セキュリティの観点からは多くの場合、既定以外のポートを使用することに利点があります。これは、攻撃準備として環境内を探索することが難しくなるからです。既定以外のポートを使用しようとする場合 (特に、ローミングをサポートする場合)、初期段階でそれらのポートを計画し、そのポートを階層内のすべてのサイトで一貫して使用するのが最も簡単です。既定以外の選択したポートを使用してクライアントを展開しなかった場合、元に戻ってクライアントを設定し直すことが必要になります。
カスタム Web サイトの計画
Configuration Manager 2007 では、IIS の既定の Web サイトの代わりに、カスタム Web サイトを使用できます。IIS で Configuration Manager 2007 以外のアプリケーションをホストするためにサイト システムを使用することはお勧めできませんが、あえてアプリケーションを共存させる場合は、常にカスタム Web サイトを使用する必要があります。カスタム Web サイトは、サイト システムの設定ではなくサイト全体の設定です。組織内のすべてのサイト システムがカスタム Web サイトを使用するように構成する必要があります。
アカウント計画
Configuration Manager 2007 はほとんどのサイト操作にローカル システム アカウントを主に使用しますが、特定の機能を実行するために、Configuration Manager 2007 コンソールで作成および構成できるオプション アカウントもいくつかあります。計画段階で、どのオプション アカウントを構成する必要があるかを決定し、組織内のアカウント管理者と協力してそれらのアカウントを作成してもらいます。詳細については、「Configuration Manager のアカウントとグループ」の各アカウントについての詳細な説明を参照してください。
セキュリティ権限計画
System Center Configuration Manager 2007 は、セキュリティ権限に基づいて機能へのアクセスを付与します。Configuration Manager 2007 のセキュリティの構成では、作業の一環として、Configuration Manager 2007 管理者が特定の機能およびデータにアクセスできるように、さまざまなセキュリティ権限を作成します。
環境内で使用する役割を決定し、その役割を実行するために必要な最小限のセキュリティ権限を割り当てるように計画する必要があります。詳細については、「Configuration Manager のオブジェクト セキュリティおよび WMI の概要」を参照してください。
プライバシー計画
構成管理用の製品を使用すれば多数のクライアントを効果的に管理できますが、そのソフトウェアが組織内のユーザーのプライバシーにどのような影響を及ぼすかを理解しておく必要もあります。Configuration Manager 2007 には、データを収集してクライアント コンピュータを監視するツールが多数装備されていますが、中にはプライバシーの問題が発生するものがあります。Configuration Manager 2007 を展開する前に、プライバシー要件を考慮してください。詳細については、「Configuration Manager のプライバシーの概要」を参照してください。
アクセス許可の考慮事項
新しい Configuration Manager 2007 サイト サーバーをインストールした場合、サイト リセットにより、アクセス制御リスト (ACL) は元の設定に戻されます。既存の Systems Management Server (SMS) 2003 サイトをアップグレードする場合、アップグレードしたディレクトリのアクセス許可は変更されません。また、SMS 2003 からアップグレードしたサイトのサイト リセットを実行した場合、アップグレードしたディレクトリの ACL はリセットされません。
参照:
その他のリソース
Configuration Manager の単一サイトの計画と展開
Configuration Manager 2007 のセキュリティとプライバシー
その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.