Рекомендации по безопасности отчетов
Назначение: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Как правило, злоумышленники пытаются собрать как можно больше сведений о компании, чтобы найти уязвимые места. Злоумышленник может попытаться получит доступ к отчетам Microsoft System Center Configuration Manager 2007, чтобы найти сведения о сетевом окружении. Например, если злоумышленник может видеть отчет о соответствии обновлениям программного обеспечения, он может использовать специальные атаки против компьютеров, на которых не установлено обновление против этих атак.
Атаки против отчетов Configuration Manager 2007, как правило, представляют собой меньший риск, чем атаки, направленные на сервер сайта, сервер базы данных, распространение программного обеспечения и удаленных средств.
Ограничьте запросы и отчеты, сделав их доступными только для уполномоченных наблюдателей Используйте принцип минимальных привилегий при назначении разрешений для запросов и отчетов. Отчеты могут выполняться с консоли Configuration Manager 2007 или через средство просмотра отчетов, например Internet Explorer. Только запросы, просматриваемые в консоли Configuration Manager 2007, зависят от безопасности объектов Configuration Manager 2007. При выполнении запросов Configuration Manager 2007 необходимо обладать разрешениями безопасности объектов Configuration Manager 2007 для объекта, включенного в запрос. Кроме того, когда создается запрос, поле Значения на вкладке Критерии диалогового окна Свойства формы запроса не возвращает данных, если у вас нет разрешений Читать и Читать ресурса для класса "Коллекции".
Запрос может быть ограничен коллекцией, так что пользователи могут запрашивать данные только для ресурсов в коллекции, на использование которой у них есть право. Даже когда пользователь не указывает ограничивающую коллекцию при создании запроса, Configuration Manager 2007 применяет ограничение коллекцией, если у пользователя нет разрешения для просмотра всех ресурсов. Если кому-либо требуется доступ к информации, убедитесь, что он не будет запрещен ограничением коллекцией.
Используйте для управления доступом к точкам формирования отчетов группы пользователей отчетов По умолчанию у всех членов групп "Администраторы" и "Пользователи отчетов" есть доступ к веб-сайту точки формирования отчетов. Если пользователям требуется доступ к точке формирования отчетов, добавьте их к локальным группам пользователей отчетов на каждой нужной точке формирования отчетов. По умолчанию в группе пользователей отчетов члены отсутствуют.
У группы пользователей отчетов нет прав безопасности для объекта Configuration Manager 2007, настроенных по умолчанию. Этой группе нужны права безопасности Читать для класса "Отчет SMS". В противном случае у членов группы не будет доступа к отчетам, несмотря на наличие доступа к веб-сайту отчетов.
Управляйте безопасностью для пользователей, подключающихся непосредственно к компьютеру SQL Server Если используются механизмы отчетов, отличные от консоли Configuration Manager и отчетности Configuration Manager, безопасность WMI и безопасность объектов Configuration Manager не затрагиваются. Если решено использовать механизмы отчетов, напрямую обращающиеся к представлениям SQL Server, например драйвер или сценарий ODBC, необходимо реализовать средства управления безопасностью для ограничения доступа к данным, предоставляя его только авторизованным пользователям.
Примечание
Предоставление доступа к данным непосредственно в таблицах не поддерживается. Единственный поддерживаемый метод доступа к данным — с помощью представлений.
Включите для точек формирования отчетов доступ по протоколу HTTPS При настройке роли точки формирования отчетов в системе сайта необходимо настроить точку формирования отчетов для запуска средства просмотра отчетов с помощью протокола HTTPS. Перехват состояния сеанса или учетных данных в незашифрованном HTTP-трафике — относительно простая атака, способная нарушить систему безопасности. Кража состояния сеанса может дать злоумышленнику полный доступ к точке формирования отчетов. Это значение не получает сертификат, или настройте IIS для использования SSL. Завершите эти настройки, прежде чем приступить к настройке точки формирования отчетов для доступа по протоколу HTTPS.
Примечание
Настройка протокола HTTPS на точке формирования отчетов полностью отделена от настройки основного режима. Даже в основном режиме по умолчанию точки формирования отчетов используют доступ по протоколу HTTP.
См. также
Основные понятия
Отчеты в Configuration Manager
Другие ресурсы
Рекомендации по безопасности и сведения о конфиденциальности для функций Configuration Manager
Дополнительные сведения см. на странице Configuration Manager 2007 Information and Support [Информация и поддержка Configuration Manager 2007].
Для обращений в группу разработчиков документации используйте адрес электронной почты SMSdocs@microsoft.com.