Безопасность и конфиденциальность администрирования сайтов в Configuration Manager
Относится к Configuration Manager (Current Branch)
Эта статья содержит сведения о безопасности и конфиденциальности для Configuration Manager сайтов и иерархии.
Руководство по безопасности для администрирования сайта
Используйте следующие рекомендации, чтобы защитить Configuration Manager сайтов и иерархии.
Запуск установки из надежного источника и безопасный обмен данными
Чтобы предотвратить изменение исходных файлов, запустите Configuration Manager установки из надежного источника. Если файлы хранятся в сети, защитите сетевое расположение.
Если программа установки выполняется из сетевого расположения, чтобы предотвратить незаконное изменение файлов при их передаче по сети, используйте протокол IPsec или SMB между исходным расположением файлов установки и сервером сайта.
Если вы используете загрузчик установки для скачивания файлов, необходимых для установки, убедитесь, что вы защищаете расположение, в котором хранятся эти файлы. Также защитите коммуникационный канал для этого расположения при запуске установки.
Расширение схемы Active Directory и публикация сайтов в домене
Расширения схемы не требуются для запуска Configuration Manager, но они создают более безопасную среду. Клиенты и серверы сайта могут получать сведения из доверенного источника.
Если клиенты находятся в недоверенном домене, разверните следующие роли системы сайта в доменах клиентов:
Точка управления
Точка распространения
Примечание.
Для доверенного домена для Configuration Manager требуется проверка подлинности Kerberos. Если клиенты находятся в другом лесу, который не имеет двустороннего доверия леса с лесом сервера сайта, эти клиенты считаются ненадежными доменами. Для этой цели недостаточно внешнего доверия.
Использование IPsec для защиты обмена данными
Хотя Configuration Manager обеспечивает безопасный обмен данными между сервером сайта и компьютером, на котором выполняется SQL Server, Configuration Manager не защищает обмен данными между ролями системы сайта и SQL Server. Для внутрисайтового взаимодействия можно настроить только некоторые системы сайта с помощью ПРОТОКОЛА HTTPS.
Если вы не используете дополнительные элементы управления для защиты этих каналов между серверами, злоумышленники могут использовать различные спуфинговы и атаки "злоумышленник в середине" на системы сайта. Используйте подписывание SMB, если вы не можете использовать IPsec.
Важно!
Защитите канал связи между сервером сайта и исходным сервером пакета. В этом обмене данными используется протокол SMB. Если вы не можете использовать IPsec для защиты этого обмена данными, используйте подпись SMB, чтобы убедиться, что файлы не были изменены, прежде чем клиенты скачивают и запускают их.
Не изменяйте группы безопасности по умолчанию
Не изменяйте следующие группы безопасности, которые Configuration Manager создает и управляет для взаимодействия с системой сайта:
<SMS_SiteSystemToSiteServerConnection_MP_SiteCode>
<SMS_SiteSystemToSiteServerConnection_SMSProv_SiteCode>
<SMS_SiteSystemToSiteServerConnection_Stat_SiteCode>
Configuration Manager автоматически создает эти группы безопасности и управляет ими. Это поведение включает удаление учетных записей компьютеров при удалении роли системы сайта.
Чтобы обеспечить непрерывность обслуживания и минимальные привилегии, не изменяйте эти группы вручную.
Управление процессом подготовки доверенного корневого ключа
Если клиенты не могут запрашивать Configuration Manager сведения в глобальном каталоге, они должны полагаться на доверенный корневой ключ для проверки подлинности допустимых точек управления. Доверенный корневой ключ хранится в реестре клиентов. Его можно задать с помощью групповой политики или настройки вручную.
Если у клиента нет копии доверенного корневого ключа, прежде чем он впервые обращается к точке управления, он доверяет первой точке управления, с которой он взаимодействует. Чтобы снизить риск неправильного направления клиентов злоумышленником в несанкционированную точку управления, можно предварительно подготовить клиенты с доверенным корневым ключом. Дополнительные сведения см. в разделе Планирование доверенного корневого ключа.
Использование номеров портов, отличных от номеров портов по умолчанию
Использование номеров портов, отличных от стандартных, может обеспечить дополнительную безопасность. Они усложняют для злоумышленников изучение среды в ходе подготовки к атаке. Если вы решили использовать порты, отличные от стандартных, запланируйте их перед установкой Configuration Manager. Используйте их согласованно на всех сайтах в иерархии. Порты запроса клиента и пробуждение по локальной сети — это примеры, в которых можно использовать номера портов, отличные от номеров портов по умолчанию.
Использование разделения ролей в системах сайта
Хотя вы можете установить все роли системы сайта на одном компьютере, эта практика редко используется в рабочих сетях. Он создает единую точку сбоя.
Уменьшение профиля атаки
Изоляция каждой роли системы сайта на разных серверах снижает вероятность того, что атака на уязвимости в одной системе сайта может быть использована против другой системы сайта. Для многих ролей требуется установка служб IIS в системе сайта, и это увеличивает область атаки. Если необходимо объединить роли для сокращения расходов на оборудование, объедините роли IIS только с другими ролями, для которых требуются службы IIS.
Важно!
Роль резервной точки состояния является исключением. Так как эта роль системы сайта принимает от клиентов данные без проверки подлинности, не назначайте роль резервной точки состояния другим Configuration Manager роли системы сайта.
Настройка статических IP-адресов для систем сайта
Статические IP-адреса проще защитить от атак с разрешением имен.
Статические IP-адреса также упрощают настройку IPsec. Использование IPsec — это рекомендация по обеспечению безопасности для защиты обмена данными между системами сайта в Configuration Manager.
Не устанавливайте другие приложения на серверах системы сайта
При установке других приложений на серверах системы сайта увеличивается область атак для Configuration Manager. Вы также рискуете проблемами несовместимости.
Требовать подписывание и включить шифрование в качестве параметра сайта
Включите параметры подписывания и шифрования для сайта. Убедитесь, что все клиенты могут поддерживать хэш-алгоритм SHA-256, а затем включите параметр Требовать SHA-256.
Ограничение и мониторинг пользователей с правами администратора
Предоставьте административный доступ к Configuration Manager только пользователям, которым вы доверяете. Затем предоставьте им минимальные разрешения с помощью встроенных ролей безопасности или путем настройки ролей безопасности. Пользователи с правами администратора, которые могут создавать, изменять и развертывать программное обеспечение и конфигурации, могут управлять устройствами в иерархии Configuration Manager.
Периодически проводите аудит административных назначений пользователей и уровня их авторизации для проверки необходимых изменений.
Дополнительные сведения см. в разделе Настройка ролевого администрирования.
Безопасные резервные копии Configuration Manager
При резервном копировании Configuration Manager эти сведения включают сертификаты и другие конфиденциальные данные, которые могут использоваться злоумышленником для олицетворения.
Используйте подписывание SMB или IPsec при передаче этих данных по сети и защитите расположение резервного копирования.
Безопасные расположения для экспортированных объектов
При экспорте или импорте объектов из консоли Configuration Manager в сетевое расположение обеспечьте безопасность расположения и сетевого канала.
Ограничьте доступ к сетевой папке.
Чтобы предотвратить незаконное изменение экспортированных данных, используйте подписывание SMB или IPsec между сетевым расположением и сервером сайта. Кроме того, защитите обмен данными между компьютером, на котором работает консоль Configuration Manager, и сервером сайта. Используйте протокол IPsec для шифрования данных в сети, чтобы предотвратить раскрытие информации.
Удаление сертификатов вручную с серверов, на которые произошел сбой
Если система сайта не удалена должным образом или перестает работать и не может быть восстановлена, вручную удалите сертификаты Configuration Manager для этого сервера с других Configuration Manager серверов.
Чтобы удалить доверие однорангового узла, которое было изначально установлено с ролями системы сайта и системы сайта, вручную удалите сертификаты Configuration Manager для сервера, завершившемся сбоем, в хранилище сертификатов доверенного Люди на других серверах системы сайта. Это действие важно при повторном использовании сервера без его переформатирования.
Дополнительные сведения см. в разделе Криптографические элементы управления для взаимодействия с сервером.
Не настраивайте интернет-системы сайтов для моста сети периметра
Не настраивайте серверы системы сайта для нескольких серверов, чтобы они подключались к сети периметра и интрасети. Хотя эта конфигурация позволяет интернет-системам сайта принимать клиентские подключения из Интернета и интрасети, она устраняет границу безопасности между сетью периметра и интрасетью.
Настройка сервера сайта для запуска подключений к сетям периметра
Если система сайта находится в недоверенной сети, например сети периметра, настройте сервер сайта для запуска подключений к системе сайта.
По умолчанию системы сайта инициируют подключения к серверу сайта для передачи данных. Эта конфигурация может быть угрозой безопасности, если подключение выполняется из ненадежной сети к доверенной сети. Если системы сайта принимают подключения из Интернета или находятся в недоверенном лесу, настройте для параметра системы сайта значение Требовать от сервера сайта инициировать подключения к этой системе сайта. После установки системы сайта и любых ролей все подключения инициируются сервером сайта из доверенной сети.
Использование мостов и завершения SSL с проверкой подлинности
Если вы используете веб-прокси-сервер для управления клиентами через Интернет, используйте подключение SSL к SSL, используя завершение с проверкой подлинности.
При настройке завершения SSL на прокси-веб-сервере пакеты из Интернета проверяются перед их пересылкой во внутреннюю сеть. Прокси-сервер проверяет подлинность подключения от клиента, прерывает его, а затем открывает новое подключение, прошедшее проверку подлинности, к системам веб-сайтов.
Когда Configuration Manager клиентские компьютеры используют прокси-сервер для подключения к интернет-системам сайта, удостоверение клиента (GUID) безопасно содержится в полезных данных пакета. Тогда точка управления не считает прокси-веб-сервер клиентом.
Если прокси-веб-сервер не поддерживает требования для моста SSL, также поддерживается туннелирование SSL. Этот параметр менее защищен. SSL-пакеты из Интернета перенаправляются в системы сайта без завершения работы. Затем их нельзя проверить на наличие вредоносного содержимого.
Предупреждение
Мобильные устройства, зарегистрированные Configuration Manager, не могут использовать мост ssl. Они должны использовать только туннелирование SSL.
Конфигурации, используемые при настройке сайта для пробуждения компьютеров для установки программного обеспечения
Если вы используете традиционные пакеты пробуждения, используйте одноадресную рассылку, а не трансляции, направленные на подсеть.
Если необходимо использовать широковещательную передачу, направленную на подсеть, настройте маршрутизаторы так, чтобы разрешить широковещательную передачу, направленную по IP-адресу, только с сервера сайта и только по номеру порта, отличному от номера порта по умолчанию.
Дополнительные сведения о различных технологиях пробуждения по локальной сети см. в разделе Планирование пробуждения клиентов.
Если вы используете уведомление по электронной почте, настройте доступ к SMTP-серверу с проверкой подлинности.
По возможности используйте почтовый сервер, поддерживающий доступ с проверкой подлинности. Используйте учетную запись компьютера сервера сайта для проверки подлинности. Если необходимо указать учетную запись пользователя для проверки подлинности, используйте учетную запись с наименьшими привилегиями.
Принудительное применение привязки канала LDAP и подписывания LDAP
Безопасность контроллеров домена Active Directory можно повысить, настроив сервер для отклонения привязок LDAP уровня простой проверки подлинности и безопасности (SASL), которые не запрашивают подписывание, или для отклонения простых привязок LDAP, выполняемых при подключении с четким текстом. Начиная с версии 1910, Configuration Manager поддерживает применение привязки канала LDAP и подписывания LDAP. Дополнительные сведения см. в статье Привязка канала LDAP 2020 года и требования к подписыванию LDAP для Windows.
Руководство по безопасности для сервера сайта
Используйте следующие рекомендации, чтобы защитить сервер сайта Configuration Manager.
Предупреждение
Учетная запись доступа к сети. Не предоставляйте этой учетной записи права интерактивного входа на серверах SQL Server. Не предоставляйте этой учетной записи право на присоединение компьютеров к домену. Если необходимо присоединить компьютеры к домену во время последовательности задач, используйте учетную запись присоединения к домену последовательности задач.
Установка Configuration Manager на рядовом сервере вместо контроллера домена
Сервер Configuration Manager сайта и системы сайта не требуют установки на контроллере домена. Контроллеры домена не имеют локальной базы данных управления учетными записями безопасности (SAM), кроме базы данных домена. При установке Configuration Manager на рядовом сервере можно вести Configuration Manager учетные записи в локальной базе данных SAM, а не в базе данных домена.
Эта практика также снижает уровень атаки на контроллерах домена.
Установка вторичных сайтов без копирования файлов по сети
При запуске установки и создании вторичного сайта не выбирайте параметр для копирования файлов с родительского сайта на дополнительный сайт. Кроме того, не используйте расположение источника в сети. При копировании файлов по сети опытный злоумышленник может перехватить пакет установки вторичного сайта и изменить файлы перед их установкой. Время этой атаки было бы трудно. Эту атаку можно устранить с помощью IPsec или SMB при передаче файлов.
Вместо копирования файлов по сети на сервере вторичного сайта скопируйте исходные файлы из папки мультимедиа в локальную папку. Затем при запуске программы установки для создания вторичного сайта на странице Исходные файлы установки выберите Использовать исходные файлы в следующем расположении на компьютере вторичного сайта (наиболее безопасный) и укажите эту папку.
Дополнительные сведения см. в разделе Установка вторичного сайта.
Установка роли сайта наследует разрешения от корневого каталога диска
Перед установкой первой роли системы сайта на любом сервере убедитесь в правильной настройке разрешений системного диска. Например, C:\SMS_CCM
наследует разрешения от C:\
. Если корневой каталог диска не защищен должным образом, пользователи с низкими правами могут получить доступ к содержимому или изменить его в папке Configuration Manager.
Руководство по безопасности для SQL Server
Configuration Manager использует SQL Server в качестве серверной базы данных. Если база данных скомпрометирована, злоумышленники могут обойти Configuration Manager. Если они обращаются к SQL Server напрямую, они могут запускать атаки через Configuration Manager. Учитывайте, что атаки на SQL Server сопряжены с высоким риском и соответствующим образом устраняют их.
Используйте следующие рекомендации по безопасности, чтобы защитить SQL Server для Configuration Manager.
Не используйте сервер базы данных сайта Configuration Manager для запуска других приложений SQL Server
При увеличении доступа к серверу базы данных сайта Configuration Manager это действие повышает риск для Configuration Manager данных. Если база данных сайта Configuration Manager скомпрометирована, другие приложения на том же SQL Server компьютере также подвергаются риску.
Настройка SQL Server для использования проверка подлинности Windows
Хотя Configuration Manager обращается к базе данных сайта с помощью учетной записи Windows и проверка подлинности Windows, по-прежнему можно настроить SQL Server для использования SQL Server смешанном режиме. SQL Server смешанном режиме позволяет дополнительным SQL Server входам получить доступ к базе данных. Эта конфигурация не является обязательной и увеличивает область атаки.
Обновление SQL Server Express на дополнительных сайтах
При установке первичного сайта Configuration Manager скачивает SQL Server Express из Центра загрузки Майкрософт. Затем файлы копируются на сервер первичного сайта. При установке вторичного сайта и выборе параметра, который устанавливает SQL Server Express, Configuration Manager устанавливает ранее скачаемую версию. Не проверка, доступны ли новые версии. Чтобы убедиться, что дополнительный сайт имеет последние версии, выполните одну из следующих задач:
После установки вторичного сайта запустите клиентский компонент Центра обновления Windows на сервере вторичного сайта.
Перед установкой вторичного сайта вручную установите SQL Server Express на сервере вторичного сайта. Убедитесь, что установлена последняя версия и все обновления программного обеспечения. Затем установите дополнительный сайт и выберите вариант использования существующего экземпляра SQL Server.
Периодически запускайте клиентский компонент Центра обновления Windows для всех установленных версий SQL Server. Эта практика гарантирует, что у них есть последние обновления программного обеспечения.
Следуйте общим рекомендациям по SQL Server
Определите и следуйте общим рекомендациям для своей версии SQL Server. Однако учитывайте следующие требования к Configuration Manager:
Учетная запись компьютера сервера сайта должна быть членом группы администраторов на компьютере, на котором выполняется SQL Server. При выполнении SQL Server рекомендации "явно подготовить субъектов-администраторов", учетная запись, используемая для запуска установки на сервере сайта, должна быть членом группы SQL Server Пользователи.
Если вы устанавливаете SQL Server с помощью учетной записи пользователя домена, убедитесь, что учетная запись компьютера сервера сайта настроена для имени субъекта-службы (SPN), опубликованного в доменные службы Active Directory. Без имени субъекта-службы проверка подлинности Kerberos завершается сбоем, а настройка Configuration Manager завершается сбоем.
Рекомендации по безопасности для систем сайта, на которые выполняются службы IIS
Для нескольких ролей системы сайта в Configuration Manager требуются службы IIS. Процесс защиты СЛУЖБ IIS позволяет Configuration Manager работать правильно и снижает риск атак безопасности. При необходимости сведите к минимуму количество серверов, которым требуются службы IIS. Например, запустите только количество точек управления, необходимое для поддержки клиентской базы, учитывая высокий уровень доступности и сетевую изоляцию для управления клиентами через Интернет.
Используйте следующие рекомендации, чтобы защитить системы сайта под управлением IIS.
Отключение функций IIS, которые не требуются
Установите только минимальные компоненты IIS для роли системы сайта, которую вы устанавливаете. Дополнительные сведения см. в разделе Предварительные требования для сайта и системы сайта.
Настройка ролей системы сайта для требования HTTPS
Когда клиенты подключаются к системе сайта по протоколу HTTP, а не по ПРОТОКОЛу HTTPS, они используют проверка подлинности Windows. Это поведение может привести к использованию проверки подлинности NTLM вместо проверки подлинности Kerberos. При использовании проверки подлинности NTLM клиенты могут подключаться к серверу-изгоев.
Исключением из этого руководства могут быть точки распространения. Учетные записи доступа к пакету не работают, если точка распространения настроена для HTTPS. Учетные записи доступа к пакету обеспечивают авторизацию для содержимого, что позволяет ограничить доступ пользователей к содержимому. Дополнительные сведения см. в статье Руководство по безопасности для управления содержимым.
Важно!
Начиная с Configuration Manager версии 2103, сайты, которые разрешают обмен данными с клиентом HTTP, не рекомендуется использовать. Настройте сайт для HTTPS или расширенного HTTP. Дополнительные сведения см. в статье Включение сайта только для HTTPS или расширенного HTTP.
Настройка списка доверия сертификатов (CTL) в IIS для ролей системы сайта
Роли системы сайта:
Точка распространения, настроенная для HTTPS;
Точка управления, настроенная для HTTPS и включенная для поддержки мобильных устройств.
CTL — это определенный список доверенных корневых центров сертификации (ЦС). При использовании CTL с групповой политикой и развертыванием инфраструктуры открытых ключей (PKI) CTL позволяет дополнить существующие доверенные корневые ЦС, настроенные в сети. Например, ЦС, которые автоматически устанавливаются в Microsoft Windows или добавляются через корпоративные корневые ЦС Windows. При настройке CTL в IIS определяется подмножество этих доверенных корневых ЦС.
Это подмножество обеспечивает больший контроль над безопасностью. CTL ограничивает принимаемые клиентские сертификаты только теми сертификатами, которые выдаются из списка ЦС в списке центров сертификации в списке CTL. Например, Windows поставляется с рядом хорошо известных сертификатов сторонних ЦС.
По умолчанию компьютер, на котором выполняются службы IIS, доверяет сертификатам, которые связаны с этими хорошо известными ЦС. Если вы не настраиваете iis с CTL для перечисленных ролей системы сайта, сайт принимает в качестве допустимого клиента любое устройство с сертификатом, выданным этими ЦС. Если вы настроили IIS с CTL, который не включал эти ЦС, сайт откажет клиентские подключения, если сертификат связан с этими ЦС. Чтобы Configuration Manager клиенты были приняты для перечисленных ролей системы сайта, необходимо настроить iis с CTL, который указывает ЦС, используемые Configuration Manager клиентами.
Примечание.
Только перечисленные роли системы сайта требуют настройки CTL в IIS. Список издателей сертификатов, который Configuration Manager использует для точек управления, предоставляет те же функции для клиентских компьютеров при подключении к точкам управления HTTPS.
Дополнительные сведения о настройке списка доверенных ЦС в IIS см. в документации по IIS.
Не помещайте сервер сайта на компьютер с IIS
Разделение ролей помогает уменьшить профиль атаки и улучшить возможность восстановления. Учетная запись компьютера сервера сайта обычно имеет права администратора для всех ролей системы сайта. Он также может иметь эти привилегии на Configuration Manager клиентах, если вы используете принудительную установку клиента.
Использование выделенных серверов IIS для Configuration Manager
Хотя вы можете разместить несколько веб-приложений на серверах IIS, которые также используются Configuration Manager, эта практика может значительно увеличить область атак. Плохо настроенное приложение может позволить злоумышленнику получить контроль над системой сайта Configuration Manager. Это нарушение может позволить злоумышленнику получить контроль над иерархией.
Если необходимо запустить другие веб-приложения в системах сайта Configuration Manager, создайте пользовательский веб-сайт для Configuration Manager систем сайта.
Использование пользовательского веб-сайта
Для систем сайта под управлением IIS настройте Configuration Manager использование пользовательского веб-сайта вместо веб-сайта по умолчанию. Если необходимо запустить другие веб-приложения в системе сайта, необходимо использовать настраиваемый веб-сайт. Этот параметр является параметром для всего сайта, а не параметром для конкретной системы сайта.
При использовании пользовательских веб-сайтов удалите виртуальные каталоги по умолчанию.
При переходе с веб-сайта по умолчанию на пользовательский веб-сайт Configuration Manager не удаляет старые виртуальные каталоги. Удалите виртуальные каталоги, которые Configuration Manager изначально созданы на веб-сайте по умолчанию.
Например, удалите следующие виртуальные каталоги для точки распространения:
SMS_DP_SMSPKG$
SMS_DP_SMSSIG$
NOCERT_SMS_DP_SMSPKG$
NOCERT_SMS_DP_SMSSIG$
Следуйте рекомендациям по безопасности сервера IIS
Определите и следуйте общим рекомендациям для своей версии IIS Server. Примите во внимание все требования, которые Configuration Manager предъявляет к определенным ролям системы сайта. Дополнительные сведения см. в разделе Предварительные требования для сайта и системы сайта.
Настройка настраиваемых заголовков IIS
Настройте следующие настраиваемые заголовки, чтобы отключить распознавание MIME:
x-content-type-options: nosniff
Дополнительные сведения см. в разделе Пользовательские заголовки.
Если другие службы используют тот же экземпляр IIS, убедитесь, что эти настраиваемые заголовки совместимы.
Руководство по безопасности для точки управления
Точки управления — это основной интерфейс между устройствами и Configuration Manager. Учитывайте высокий риск атак на точку управления и сервер, на котором она работает, и соответствующим образом устраняйте их. Применяйте все соответствующие рекомендации по безопасности и отслеживайте необычные действия.
Используйте следующие рекомендации, чтобы защитить точку управления в Configuration Manager.
Назначение клиента в точке управления тому же сайту
Избегайте сценария, в котором клиент Configuration Manager, на котором находится точка управления, сайту, отличному от сайта точки управления.
Если вы переходите с более ранней версии на Configuration Manager текущую ветвь, как можно скорее перенесите клиент в точке управления на новый сайт.
Рекомендации по безопасности для резервной точки состояния
Если вы устанавливаете резервную точку состояния в Configuration Manager, используйте следующие рекомендации по безопасности:
Дополнительные сведения о безопасности при установке резервной точки состояния см. в разделе Определение того, требуется ли резервная точка состояния.
Не запускайте другие роли в той же системе сайта
Резервная точка состояния предназначена для приема обмена данными без проверки подлинности с любого компьютера. Если вы запускаете эту роль системы сайта с другими ролями или контроллером домена, риск для этого сервера значительно возрастает.
Установка резервной точки состояния перед установкой клиентов с PKI-сертификатами
Если системы Configuration Manager сайта не принимают обмен данными с клиентами HTTP, вы можете не знать, что клиенты неуправляемы из-за проблем с сертификатами, связанными с PKI. Если вы назначите клиентам резервную точку состояния, они сообщают об этих проблемах сертификата через резервную точку состояния.
По соображениям безопасности вы не можете назначить клиентам резервную точку состояния после их установки. Эту роль можно назначить только во время установки клиента.
Избегайте использования резервной точки состояния в сети периметра
По умолчанию резервная точка состояния принимает данные от любого клиента. Хотя резервная точка состояния в сети периметра может помочь устранить неполадки с интернет-клиентами, сбалансируйте преимущества устранения неполадок с риском системы сайта, которая принимает неавтогентизованные данные в общедоступной сети.
Если резервная точка состояния устанавливается в сети периметра или в любой недоверенной сети, настройте сервер сайта для запуска передачи данных. Не используйте параметр по умолчанию, который позволяет резервной точке состояния инициировать подключение к серверу сайта.
Проблемы безопасности при администрировании сайта
Ознакомьтесь со следующими проблемами безопасности для Configuration Manager:
Configuration Manager не имеет защиты от авторизованного администратора, который использует Configuration Manager для атаки на сеть. Несанкционированные администраторы представляют высокий риск безопасности. Они могут совершать множество атак, включая следующие стратегии:
Используйте развертывание программного обеспечения для автоматической установки и запуска вредоносных программ на каждом Configuration Manager клиентском компьютере в организации.
Удаленное управление клиентом Configuration Manager без разрешения клиента.
Настройте интервалы быстрого опроса и экстремальные объемы запасов. Это действие создает атаки типа "отказ в обслуживании" на клиентах и серверах.
Используйте один сайт в иерархии для записи данных в данные Active Directory другого сайта.
Иерархия сайта — это граница безопасности. Сайты считаются только границами управления.
Аудит всех административных действий пользователей и регулярное просмотр журналов аудита. Требовать, чтобы все Configuration Manager администраторы проходили фоновую проверка, прежде чем они будут приняты на работу. Требовать периодические перепроверки в качестве условия занятости.
Если точка регистрации скомпрометирована, злоумышленник может получить сертификаты для проверки подлинности. Они могут украсть учетные данные пользователей, которые регистрируют свои мобильные устройства.
Точка регистрации взаимодействует с ЦС. Он может создавать, изменять и удалять объекты Active Directory. Никогда не устанавливайте точку регистрации в сети периметра. Всегда отслеживайте необычные действия.
Если вы разрешаете политики пользователей для управления клиентами через Интернет, вы увеличиваете профиль атаки.
Помимо использования PKI-сертификатов для подключений между клиентом и сервером, для этих конфигураций требуется проверка подлинности Windows. Они могут вернуться к использованию проверки подлинности NTLM, а не Kerberos. Проверка подлинности NTLM уязвима для атак олицетворения и воспроизведения. Для успешной проверки подлинности пользователя в Интернете необходимо разрешить подключение из интернет-системы сайта к контроллеру домена.
Общая папка Администратор$ требуется на серверах системы сайта.
Сервер сайта Configuration Manager использует общую папку Администратор$ для подключения к системам сайта и выполнения операций службы. Не отключайте и не удаляйте эту общую папку.
Configuration Manager использует службы разрешения имен для подключения к другим компьютерам. Эти службы трудно защитить от следующих атак безопасности:
- Спуфинг
- Фальсификации
- Отказ
- Раскрытие информации
- Отказ в обслуживании
- несанкционированное получение прав;
Определите и следуйте любым рекомендациям по безопасности для версии DNS, используемой для разрешения имен.
Сведения о конфиденциальности для обнаружения
Обнаружение создает записи для сетевых ресурсов и сохраняет их в базе данных Configuration Manager. Записи данных обнаружения содержат сведения о компьютере, такие как IP-адреса, версии ОС и имена компьютеров. Вы также можете настроить методы обнаружения Active Directory для возврата любых сведений, которые ваша организация хранит в доменные службы Active Directory.
Единственным методом обнаружения, который Configuration Manager включен по умолчанию, является обнаружение пульса. Этот метод обнаруживает только компьютеры, на которых уже установлено клиентское программное обеспечение Configuration Manager.
Сведения об обнаружении не отправляются в корпорацию Майкрософт напрямую. Он хранится в базе данных Configuration Manager. Configuration Manager сохраняет сведения в базе данных до тех пор, пока не будут удалены данные. Этот процесс выполняется каждые 90 дней с помощью задачи обслуживания сайта Удаление устаревших данных обнаружения.