Рекомендации по защите систем сайтов
Назначение: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Последнее обновление раздела: ноябрь 2007 г.
Microsoft System Center Configuration Manager 2007 использует различные системы сайта со специализированными функциями. Клиенты Configuration Manager 2007 взаимодействуют с точками управления. Точки управления взаимодействуют с сервером сайта и сервером базы данных сайта Configuration Manager 2007. Клиентам для поиска точки управления необходима точка обнаружения серверов. Кроме того, функции, выбранные при установке, могут потребовать дополнительных ролей системы сайта, в том числе роли системы сайта в демилитаризованной зоне для поддержки интернет-управления клиентами. Это различие систем сайта неизбежно увеличивает площадь атаки Configuration Manager 2007 для всего предприятия. Сбой в системе защиты серверов сайта, точек управления и серверов базы данных сайта может позволить злоумышленнику провести атаку систем сайта путем подделки и затем распространить среди клиентов несанкционированное программное обеспечение. Неправильно защищенные системы сайта могут также привести к дискредитации сервера сайта. Для снижения степени опасности этих угроз каждая система сайта должна быть защищена как можно лучше.
Рекомендации для всех систем сайтов
Используйте разделение роли по системам сайта Можно установить все роли системы сайта на один компьютер, но обычно это не рекомендуется, потому что в таком случае создается единственная точка отказа. Однако существует несколько исключений из правила разделения роли. Как правило, желательно устанавливать назначенную версию SQL Server на том же самом компьютере, на котором расположен сервер сайта, и использовать его как сервер базы данных сайта. Такая конфигурация обеспечивает для Configuration Manager 2007 высокую степень управляемости конфигурацией базы данных и упрощает настройку безопасности SQL Server.
Уменьшите профиль атаки Разместите каждую роль сервера сайта на отдельном сервере, чтобы снизить вероятность того, что атака уязвимости на одной системе сайта будет использована против другой системы сайта. Многие роли системы сайта требуют установки Internet Information Services (IIS) на данной системе сайта. Дополнительные сведения см. в разделе Необходимые условия для установки Configuration Manager. В результате установки IIS площадь атаки увеличивается. Если необходимо комбинировать роли системы сайта с целью снижения расходов на приобретение аппаратного обеспечения, комбинируйте роли, требуемые IIS, только с другими ролями, требуемыми IIS.
Важно!
Этот совет не распространяется на случай комбинирования ролей системы сайта, когда IIS требует резервная точка состояния. Роль резервной точки состояния никогда не следует связывать с какой-то другой ролью системы сайта Configuration Manager 2007, потому что она получает от клиентов непроверенные данные, даже при работе в основном режиме.
Запустите мастер настройки безопасности на всех системах сайта Мастер настройки безопасности (SCW) поможет создать политику безопасности, которую можно будет использовать на любом сервере сети. После установки шаблона Configuration Manager 2007 SCW распознает роли сервера Configuration Manager 2007, службы. порты, приложения и разрешает необходимый трафик, одновременно блокируя связи, не признанные необходимыми. Шаблон для SCW Configuration Manager 2007 запланирован для отправки в Configuration Manager 2007 Набор средств (см. https://go.microsoft.com/fwlink/?LinkId=93071).
Используйте NTFS для всех систем сайтов Хотя некоторые системы сайтов разрешают использование разделов FAT32, следует всегда использовать NTFS, чтобы обеспечить управление уровнем доступа к файлу.
Не удаляйте общий ресурс admin$ на системах сайта Общий ресурс Admin$ на системах сайта необходим для Configuration Manager 2007 и поэтому не должен удаляться или делаться недоступным. Сервер сайта Configuration Manager 2007 использует общий ресурс Admin$ для подключения и выполнения операций обслуживания на системах сайта.
Тщательно отслеживайте настройки систем сайта, базирующиеся на Интернете Консоль Configuration Manager 2007 не препятствует настройке роли сайта с целью поддержки им интернет-клиентов, даже если она она не поддерживается как роль интернет-сайта. Например, после создания точки распространения филиала можно настроить свойства системы сайта для такой роли, чтобы использовать полное доменное имя в Интернете и разрешить использование интернет-соединений, даже если точкам распространения филиала не разрешено поддерживать интернет-клиентов. Периодически отслеживайте интернет-конфигурации ваших систем файла.
Укажите статические IP-адреса систем сайта Статические IP-адреса помогают при конфигурировании IPSec между системами сайтов, и такая практика рекомендуется как наилучшая. Статические IP-адреса проще защитить от атак, основанных на разрешении имен.
Используйте полные доменные имена сервера Хотя полные доменные имена сервера используются только в некоторых ситуациях, таких как поддержка управления интернет-клиентами или использование протокола IPv6, следует конфигурировать полные имена сервера для всех систем сайта, поскольку в таком случае для разрешения имен используется DNS, а не WINS, а управление DNS осуществляется в более защищенном режиме, чем управление WINS. Дополнительные сведения см. в разделе Определение необходимости использования полных доменных имен серверов.
Не устанавливайте другие службы, использующие локальную системную учетную запись Минимизируйте использование локальной системной учетной записи на серверах и системах сайтов, для чего не устанавливайте другие службы, использующие локальную системную учетную запись. Это гарантирует, что другие процессы не смогут воспользоваться преимуществом расширенных привилегий учетной записи компьютера такой системы, обращаясь к файлам и данным Configuration Manager 2007 через другие системы. Настройте сервер SQL Server для запуска с учетной записью пользователя домена вместо локальной системной учетной записи.
Примечание
IIS требует локальную систему, но невозможно избежать установки IIS на системах сайта, поскольку эта программа необходима для многих ролей системы сайта. Чтобы снизить риск того, что злоумышленник дискредитирует IIS и затем воспользуется локальная система для дискредитации серверов Configuration Manager 2007, не запускайте интернет-приложения, не относящиеся к Configuration Manager 2007, и применяйте метод разделения роли для ролей системы сайта, требующих IIS, как описано ниже в данном разделе.
Рекомендации для сервера сайта
Вместо контроллера домена установите на рядовом сервере Configuration Manager 2007 Сервер сайта Configuration Manager 2007 и системы сайта не требуют установки контроллера домена. Контроллеры домена не имеют базы данных диспетчера учетных записей безопасности (Security Accounts Management, SAM), отличной от базы данных домена. Установка Configuration Manager 2007 на рядовом сервере позволит поддерживать учетные записи Configuration Manager 2007 в локальных базах данных SAM, а не в базе данных домена. Это также снижает площадь атаки на контроллеры домена.
Устанавливайте дополнительные сайты на сервере дополнительных сайтов, вместо того чтобы использовать принудительную установку Теоретически возможно, что злоумышленник похитит пакет установки дополнительного сайта и подделает файлы перед установкой, хотя определить время для такой атаки затруднительно. Атака может быть предотвращена за счет использования IPSec для взаимной проверки подлинности сервера основного и дополнительного сайта перед передачей файлов. Также, в случае применения принудительной установки, учетная запись компьютера основного сайта должна быть участником группы Администраторы на сервере дополнительного сайта, обладающей чрезвычайными правами на выполнение обычных операций.
Рекомендации для SQL Server
Configuration Manager 2007использует в качестве серверной базы данных SQL Server. Если эта база данных дискредитирована, злоумышленники могут обойти консоль Configuration Manager 2007 и получить доступ к SQL Server напрямую, чтобы провести атаки через Configuration Manager 2007. Атаки против SQL Server необходимо рассматривать как риск очень высокой степени и предотвращать их соответствующим образом.
Используйте для каждого сайта выделенный SQL Server Хотя многие сайты и могут для сохранения данных использовать SQL Server, запущенный на одном компьютере, такая конфигурация не рекомендуется. Если база данных одного сайта Configuration Manager 2007 дискредитирована на одном SQL Server, злоумышленник легко получает доступ к другой базе данных сайта Configuration Manager 2007 на том же SQL Server. Распределение SQL Server между сайтами может затруднить восстановление сайта, из-за чего может задержаться восстановление функционирования Configuration Manager 2007 в критические периоды. Если какой-то сайт использует SQL Server совместно с другим сайтом и последний допустил сбой, следует убедиться в том, что процесс восстановления поврежденного сайта не повлияет на другие, "здоровые" сайты. Процесс восстановления становится в данной ситуации более сложным, поскольку применение процедур восстановления необходимо ограничить только поврежденным сайтом.
Не используйте сервер базы данных сайта Configuration Manager для запуска других приложений SQL Server Расширение доступа к серверу базы данных сайта Configuration Manager 2007 повышает степень риска для данных Configuration Manager 2007. Как правило, если база данных сайта Configuration Manager 2007 дискредитирована, другие приложения на том же самом компьютере с SQL Server также подвергнуты риску.
Настраивайте SQL Server на использование проверки подлинности Windows Configuration Manager 2007 должен всегда получать доступ к к базе данных сайта, используя учетную запись и проверку подлинности Windows, но можно настроить SQL Server на использование SQL Server в смешанном режиме. Смешанный режим SQL Server позволяет вводить дополнительные имена пользователей SQL для доступа к базе данных, что не является необходимым и и увеличивает площадь атаки.
Устанавливайте Configuration Manager и SQL Server на одном и том же компьютере Установка SQL Server и Configuration Manager 2007 на одном и том же компьютере может показаться противоречащей правилу разделения роли с целью повышения доступности, но это не оказывает большого влияния на безопасность. Если база данных сайта Configuration Manager 2007 или сервер сайта переходит в автономный режим работы, этот другой сервер становится виртуально неработоспособным. В случае установки Configuration Manager 2007 и SQL Server на одном компьютере упрощается настройка SQL Server.
Следуйте наилучшим рекомендациям по обеспечению безопасности SQL Server Следуйте наилучшим рекомендациям для SQL 2005 https://go.microsoft.com/fwlink/?LinkId=95071, с учетом следующих дополнительных инструкций.
Учетная запись компьютера сервера сайта должна быть участником группы Администраторы на компьютере под управлением SQL Server. Если вы следовали рекомендациям раздела "Provision admin principals explicitly," учетная запись, использованная для запуска программы установки на сервере сайта, должна быть членом группы SQL Users.
Если SQL Server устанавливается с использованием учетной записи пользователя домена, необходимо убедиться в том, что имя участника-службы (SPN) передается в доменные службы Active Directory, или проверка подлинности Kerberos завершилась неудачей и установка Configuration Manager 2007 также потерпит неудачу. Дополнительные сведения см. в разделе Настройка имени участника-службы для серверов базы данных на сайте SQL Server.
Рекомендации для систем сайтов, которые требуют IIS
Несколько ролей сервера, требующих IIS. Система защиты IIS позволяет Configuration Manager 2007 работать со сниженным риском нарушения безопасности. Там, где это возможно, минимизируйте использование серверов, требующих IIS. Например, объединяйте точки управления с тем, чтобы их количество стало минимально возможным. Используйте только одну точку обнаружения серверов во всей среде.
Отключите функции IIS, в использовании которых нет необходимости Установите лишь минимально необходимое количество функций IIS, необходимых для выполнения поддерживаемой роли сервера. Дополнительные сведения см. в разделе Необходимые условия для установки Configuration Manager.
Не размещайте сервер сайта на компьютере с IIS Разделение роли поможет снизить площадь атаки и повысить восстанавливаемость. Кроме того, учетная запись на компьютере с сервером сайта обычно имеет права администратора для всех ролей системы сайта (и, возможно, для клиентов Configuration Manager 2007, если использовалась принудительная установка клиента). Как IIS, так и Configuration Manager 2007 запускаются с использованием локальной системной учетной записи, поэтому злоумышленник, который сможет дискредитировать запуск IIS на сервере сайта, сможет также воспользоваться локальная система для доступа ко всем функциям Configuration Manager 2007.
Используйте для Configuration Manager выделенные IIS-серверы Хотя с помощью Configuration Manager 2007 и можно разместить несколько веб-приложений на IIS-серверах, из-за этого может значительно увеличиться площадь атаки. Неправильно настроенное приложение может позволить злоумышленнику получить контроль над расположенными там же системами сайта, а затем и над сайтом в целом. Если на системах сайта Configuration Manager 2007 необходимо запускать другие веб-приложения, следует всегда создавать пользовательский сайт для систем сайта Configuration Manager 2007. Дополнительные сведения см. в разделе Настройка пользовательских веб-сайтов для сайтов Configuration Manager.
Рекомендации для точек управления
В иерархии с единственным сайтом, когда требуется проверка подлинности по ключу доверенного корня, всегда используйте отдельную точку управления Если схема Active Directory не была расширена и если Configuration Manager 2007 не имеет разрешения на публикацию объявлений в доменных службах Active Directory, клиенты Configuration Manager 2007, прежде чем начать обмен данными, используют ключ доверенного корня для проверки подлинности точек управления. Ключ доверенного корня на сервере центрального сайта используется для подписи сертификата этой точки управления. Если центральный сайт подлежит восстановлению, клиенты будут продолжать доверять точкам управления, пока не будет создан новый ключ доверенного корня на восстановленном сервере центрального сайта. Также, если необходимо восстанавливать точку управления, клиенты будут продолжать доверять новой точке управления, пока сертификаты этой точки управления не будут подписаны ключом доверенного корня. Однако, если клиенты сообщают серверу центрального сайта, что функционируют также как точки управления для этого сайта и что данный компьютер восстанавливается, клиенты не будут доверять точке управления до тех пор, пока на них не будет удален текущий ключ доверенного корня и им не будет предоставлен новый ключ доверенного корня. Чтобы избежать возникновения такой ситуации, расширьте схему Active Directory и включите поддержку публикации для данного сайта. Если это невозможно, не назначайте роль точки управления серверу центрального сайта, если имеются клиенты, отсылающие отчеты этому центральному сайту. Дополнительные сведения о ключе доверенного корня см. в разделе О ключе доверенного корня.
Если роль системы этого сайта настроена в демилитаризованной зоне, настройте сервере сайта на извлечение данных из системы сайта. По умолчанию система сайта принудительно возвращает данные серверу сайта. Систему сайта можно настроить так, чтобы вместо принудительного возвращения сервер сайта самостоятельно извлекал эти данные, что позволяет строже контролировать порты и разрешения, необходимые для передачи данных. Параметр Разрешить только инициированные сервером сайта передачи данных из этой системы сайта, применяется ко всей системе сайта и всем настроенным в ней ролям системы сайта.
Используйте как можно меньше точек управления Если на каждом основном сайте имеется точка управления, степень риска для системы безопасности не повышается, но при снижении количества точек управления уменьшается площадь атаки. Точки управления требуют IIS. Чтобы уменьшить для своих сетей площадь атаки, некоторые компании придерживаются политики уменьшения количества IIS-серверов. Если это очень важно для вас, можно установить минимально возможное количество точек управления, назначив всех клиентов одному сайту и рассматривая их в качестве клиентов роуминга для этого локального сайта.
Рекомендации для резервной точки состояния
Не размещайте совместно какие-то другие роли сайта вместе с резервной точкой состояния Резервная точкой состояния предназначена для установления связи с любым компьютером без проверки подлинности. Размещение резервной точки состояния совместно с любой другой ролью сайта значительно повышает степень риска для этой роли.
Не устанавливайте резервную точку состояния на контроллере домена
При работе в основном режиме развертывайте резервную точку состояния до развертывания клиентов Наличие сайта с основным режимом без резервной точки состояния может привести к возникновению ситуации, когда будет неизвестно о том, что многие клиенты стали неуправляемыми из-за возникновения проблем с PKI-сертификатами. Например, если существует проблема с сертификатом клиента основного режима, точка управления основного режима будет отвергать все попытки связи с этим клиентом, и он станет неуправляемым. Однако если этот клиент назначен резервной точке состояния , он сможет сообщить о невозможности установления связи с резервной точкой состояния в основном режиме, потому что она не использует сертификаты PKI. Резервные точки состояния полезны как в основном, так и в смешанном режимах, но при большом количестве клиентов со смешанным режимом снижается вероятность того, что они станут неуправляемыми, поскольку такие резервные точки состояния не зависят от сертификатов PKI, управляемых внешне Configuration Manager.
Избегайте использования резервной точки состояния в демилитаризованной зоне Резервная точка состояния всегда принимает данные от любого клиента. При размещении резервной точки состояния в демилитаризованной зоне она может оказаться полезной для выявления неисправностей у интернет-клиентов, но следует учитывать также повышение степени риска получения системой сайта недостоверных данных в общедоступной сети. Если необходимо установить резервную точку состояния в демилитаризованной зоне или в какой-то ненадежной сети, настройте сервер сайта на извлечение данных из системы сайта вместо того, чтобы разрешить резервной точке состояния устанавливать соединение с сервером этого сайта и инициировать передачу данных. Чтобы настроить сервер сайта на извлечение данных, установите в свойствах системы сайта флажок Разрешить только инициированные сервером сайта передачи данных из этой системы сайта.
Рекомендации для точки обнаружения серверов
Не устанавливайте точку обнаружения серверов в демилитаризованной зоне Если необходимо иметь клиентские компьютеры среди ресурсов Configuration Manager 2007, расположенных в демилитаризованной зоне, настройте эти клиенты вручную с именем их точки обнаружения серверов.
Дополнительные ресурсы с рекомендациями по безопасности
Дополнительные сведения о безопасности компьютеров с установленной консолью Configuration Manager 2007см. в Рекомендации по безопасности и сведения о конфиденциальности для консоли Configuration Manager.
Сведения о защите точек распределения и точек распространения филиала см. в разделе Сведения о конфиденциальности и рекомендации по безопасности распространения программного обеспечения.
Дополнительные сведения о защите точки обслуживания PXE и точки миграции состояния, которые используются при развертывании операционных систем, см. в разделе Сведения о конфиденциальности и рекомендации по безопасности развертывания операционной системы.
Дополнительные сведения о точках формирования отчетов о безопасности см. в разделе Рекомендации по безопасности отчетов.
См. также
Другие ресурсы
Рекомендации по безопасности для Configuration Manager
Дополнительные сведения см. на странице Configuration Manager 2007 Information and Support [Информация и поддержка Configuration Manager 2007].
Для обращений в группу разработчиков документации используйте адрес электронной почты SMSdocs@microsoft.com.