Поделиться через


Безопасность и конфиденциальность клиентов в Configuration Manager

 

Применимо к:System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

В этом разделе содержатся сведения о безопасности и конфиденциальности клиентов System Center 2012 Configuration Manager и мобильных устройств под управлением коннектора Exchange Server.

  • Рекомендации по безопасности для клиентов Configuration Manager и мобильных устройств под управлением коннектора Exchange Server

    • Вопросы безопасности клиентов Configuration Manager
  • Сведения о конфиденциальности клиентов Configuration Manager

  • Сведения о конфиденциальности мобильных устройств под управлением соединителя Exchange Server

Рекомендации по безопасности для клиентов Configuration Manager и мобильных устройств под управлением коннектора Exchange Server

Если Configuration Manager принимает данные с устройств с клиентом Configuration Manager, возникает риск атаки сайта клиентами. Например, они могут отправлять данные инвентаризации в неверном формате или пытаться перегружать системы сайта. Развертывайте клиент Configuration Manager только на устройствах, которым вы доверяете. Кроме того, используйте следующие рекомендации безопасности, чтобы защитить сайт от посторонних или атакованных злоумышленником устройств.

Рекомендация по безопасности

Дополнительные сведения

Используйте сертификаты инфраструктуры открытых ключей (PKI) для подключения клиентов к системам сайта, использующим IIS.

  • Настройте для свойства сайта Параметры системы сайта значение Только HTTPS.

  • Устанавливайте клиенты со свойством CCMSetup /UsePKICert.

  • Используйте список отзыва сертификатов (CRL) и убедитесь, что клиенты и серверы всегда имеют доступ к нему.

Эти сертификаты требуются для клиентов мобильных устройств и для подключений клиентских компьютеров к Интернету. За исключением точек распространения, такие сертификаты рекомендуются и для всех клиентских подключений к интрасети.

Дополнительные сведения о требованиях, предъявляемых к PKI-сертификатам, и об их использовании для защиты Configuration Manager, см. в разделе Требования к PKI-сертификатам для Configuration Manager.

Автоматически утверждайте все клиенты из доверенных доменов и вручную проверяйте и утверждайте все прочие компьютеры

С помощью утверждения можно указать доверенный компьютер для управления при посредством Configuration Manager в случаях, если использовать проверку подлинности PKI невозможно.

Можно настроить ручное утверждение для иерархии, автоматическое для компьютеров в доверенных доменах, или автоматическое для всех компьютеров. Наиболее безопасным походом является автоматическое утверждение клиентов, входящих в довере��ные домены, с последующей ручной проверкой и утверждением всех прочих компьютеров. Автоматическое одобрение всех клиентов не рекомендуется, если нет других средств управления доступом для предотвращения доступа к сети ненадежных компьютеров.

Дополнительные сведения об утверждении компьютеров вручную см. в статье Управление клиентами из узла "Устройства".

Не полагайтесь на блокировку для предотвращения доступа клиентов к иерархии Configuration Manager

Заблокированные клиенты отклоняются инфраструктурой Configuration Manager и не могут обмениваться данными с системами сайта для загрузки политики, передачи данных инвентаризации или отправки сообщений об изменении состояния или статуса. Не полагайтесь на блокировку для защиты иерархии Configuration Manager от недоверенных компьютеров, если системы сайта принимают подключения клиентов по протоколу HTTP. В этом сценарии заблокированный клиент может снова присоединиться к сайту, используя новый самозаверяющий сертификат и идентификатор оборудования. Блокирование предназначено для утерянных или взломанных загрузочных носителей при развертывании операционной системы на клиентах, когда все системы сайта принимают подключения клиентов по протоколу HTTPS. Если используется инфраструктура открытых ключей (PKI), поддерживающая список отзыва сертификатов (CRL), всегда рассматривайте отзыв сертификата как первую линию защиты от сертификатов, которые могли быть взломаны. Блокировка клиентов в Configuration Manager обеспечивает вторую линию обороны для защиты иерархии.

Дополнительные сведения см. в статье Определение необходимости блокировки клиентов в Configuration Manager.

Используйте наиболее безопасные методы установки клиента, целесообразные для используемой среды.

  • Для компьютеров, входящих в домен, установка клиентов с помощью групповой политики и установка клиентов на основе обновления программного обеспечения являются более безопасными методами установки по сравнению с принудительной установкой клиентов.

  • Создание образов и ручная установка могут обеспечить высокий уровень безопасности при использовании управления доступом и управления изменениями.

Из всех способов установки клиентов принудительная установка является наименее безопасной из-за множества зависимостей, к которым относятся локальные права администраторов, доступ к ресурсу Admin$ и множество исключений в брандмауэре. Эти зависимости увеличивают уязвимость.

Дополнительные сведения о различных способах установки клиентов см. в разделе Определение метода установки клиента для компьютеров под управлением Windows в Configuration Manager.

Кроме того, во всех возможных случаях выбирайте метод установки клиента, требующий наименьших разрешений безопасности в Configuration Manager, и ограничьте количество пользователей с правами администраторов, которым назначены роли безопасности с разрешениями, допускающими использование в целях, отличных от развертывания клиентов. Например, для автоматического обновления клиента требуется роль безопасности Полный администратор, предоставляются доступ пользователя с правами администратора ко всем разрешениям безопасности.

Дополнительные сведения о зависимостях и разрешениях безопасности, требуемых для каждого способа установки клиентов, см. в части "Зависимости, связанные с конкретными методами установки" раздела Необходимые условия для клиентов на компьютерах статьи Необходимые условия для развертывания клиента Windows в Configuration Manager.

Если использование принудительной установки клиентов необходимо, предпримите дополнительные меры защиты учетной записи принудительной установки клиентов.

Эта учетная запись должна входить в локальную группу Администраторы на каждом компьютере, на которые устанавливается клиентское программное обеспечение Configuration Manager, но ни в коем случае не добавляйте учетную запись принудительной установки клиентов в группу Администраторы домена. Вместо этого следует создать глобальную группу и добавить ее в локальную группу Администраторы на клиентских компьютерах. Также можно создать объект групповой политики, чтобы добавить параметр "Ограниченная группа" для добавления учетной записи для принудительной установки клиента до в локальную группу Администраторы.

Для дальнейшего повышения безопасности можно создать несколько учетных записей для принудительной установки клиента. Каждая такая учетная запись должна иметь права администратора на ограниченном числе компьютеров. В этом случае при уязвимости одной учетной записи опасности подвергнутся не все клиентские компьютеры, а лишь те, к которым имеет доступ эта учетная запись.

Удалите сертификаты перед созданием образа клиентского компьютера

Если планируется развертывание клиентов с помощью технологии создания образов, всегда удаляйте сертификаты, например, сертификаты PKI, включающие проверку подлинности клиентов, и самозаверяющие сертификаты перед записью образа. Если не удалить сертификаты, клиенты смогут имитировать друг друга, в результате чего будет невозможно проверить данные для каждого клиента.

Дополнительные сведения об использовании Sysprep для подготовки компьютера к созданию образов см. в документации по развертыванию Windows.

Убедитесь, что клиенты компьютера Configuration Manager получат авторизованную копию сертификатов.

  • Доверенный корневой ключ Configuration Manager

  • Сертификат подписи сервера сайта

  • Доверенный корневой ключ:

    Если схема Active Directory не расширена для Configuration Manager, а клиенты не используют сертификаты PKI при подключении к точкам управления, то клиенты будут использовать корневой ключ доверия Configuration Manager для проверки подлинности допустимых точек управления. В этом случае клиенты не смогут проверить, является ли точка управления доверенной в иерархии, не используя корневой ключ доверия. Без корневого ключа доверия опытный злоумышленник сможет перенаправлять клиентов на фальшивую точку управления.

    Если клиенты не могут загрузить корневой ключ доверия Configuration Manager из глобального каталога или с помощью сертификатов PKI, нужно заранее подготовить для клиентов корневой ключ доверия, чтобы гарантировать, что они не будут направлены на фальшивую точку управления. Дополнительные сведения см. в разделе Планирование доверенного корневого ключа статьи Планирование безопасности в Configuration Manager.

  • Сертификат для подписи сервера сайта.

    Клиенты используют сертификат подписи сервера сайта, чтобы убедиться в том, клиентская политика, загружаемая из точки управления, подписана сервером сайта. Это самозаверяющий сертификат сервера сайта, он публикуется в доменных службах Active Directory.

    Если клиенты не могут загрузить сертификат подписи сервера сайта из глобального каталога, то по умолчанию они загружают его из точки управления. Если точка управления раскрыта для недоверенной сети (например, для Интернета), необходимо вручную установить сертификат подписи сервера сайта на клиенты, чтобы гарантировать невозможность запуска поддельных клиентских политик со взломанных точек управления.

    Чтобы вручную установить сертификат для подписи сервера сайта, используйте свойство CCMSetup client.msi SMSSIGNCERT. Дополнительные сведения см. в статье О свойствах установки клиента в Configuration Manager.

Не используйте автоматическое назначение сайта, если клиент будет выполнять загрузку корневого ключа доверия с первой точки управления, к которой он сможет обратиться.

Лучший методом обеспечения безопасности связан с предшествующим разделом. Чтобы избежать опасности загрузки новым клиентом корневого ключа доверия из фальшивой точки управления, используйте автоматическое назначение сайта только в следующих случаях:

  • Клиент может получить доступ к сведениям о сайте Configuration Manager, опубликованным в доменных службах Active Directory.

  • Вы можете заранее предоставить клиентам корневой ключ доверия.

  • Вы используете сертификаты PKI из центра сертификации предприятия для создания доверительных отношений между клиентом и точкой управления.

Дополнительные сведения о корневом ключе доверия см. в разделе Планирование доверенного корневого ключа статьи Планирование безопасности в Configuration Manager.

Установите клиентские компьютеры с параметром CCMSetup Client.msi SMSDIRECTORYLOOKUP=NoWINS

Наиболее безопасным способом обнаружения обслуживания клиентами, с помощью которого можно обнаруживать сайты и точки управления, является использование доменных служб Active Directory. Если это невозможно, к примеру, из-за невозможности расширения схемы Active Directory для Configuration Manager, или из-за расположения клиентов в недоверенном лесу или рабочей группе, можно использовать публикацию DNS в качестве альтернативного способа обнаружения обслуживания. При невозможности использовать оба этих способа клиенты применяют WINS, если точка управления не настроена для подключения клиентов по протоколу HTTPS.

Публикация в WINS менее безопасна по сравнению с другими способами публикации, поэтому настройте клиентские компьютеры так, чтобы они не применяли WINS, с помощью параметра SMSDIRECTORYLOOKUP=NoWINS. Если необходимо использовать WINS обнаружения обслуживания, используйте параметр SMSDIRECTORYLOOKUP=WINSSECURE (по умолчанию). В этом случае корневой ключ доверия Configuration Manager используется для проверки самозаверяющего сертификата точки управления.

System_CAPS_noteПримечание

Если клиент, для которого настроен параметр SMSDIRECTORYLOOKUP=WINSSECURE, находит точку управления с помощью WINS, клиент проверяет копию корневого ключа доверия Configuration Manager в WMI. Если подпись сертификата точки управления совпадает с клиентской копией корневого ключа доверия, то сертификат подтверждается и клиент взаимодействует с точкой управления, найденной посредством WINS. Если подпись сертификата точки управления не совпадает с клиентской копией корневого ключа доверия, то сертификат считается недействительным, и клиент не будет взаимодействовать с точкой управления, обнаруженной посредством WINS.

Убедитесь, что периоды обслуживания обладают достаточной длительностью для развертывания критических обновлений программного обеспечения.

Можно настроить периоды обслуживания для коллекций устройств, чтобы ограничить интервалы времени, в течение которых Configuration Manager может устанавливать программное обеспечение на устройства. Если установить слишком маленький период обслуживания, клиент может не успеть установить важные обновления программного обеспечения и останется уязвимым для атак, для защиты от которых и предназначены обновления.

Для устройств под управлением Windows Embedded, на которых включены фильтры записи, примите дополнительные меры безопасности, чтобы снизить вероятность атак злоумышленников, если Configuration Manager отключает фильтры записи с целью проведения установки и обновления программного обеспечения.

Когда фильтры записи включены для устройств Windows Embedded, установка и изменения программного обеспечения производятся только в перекрытии и не сохраняются после перезагрузки устройства. При использовании Configuration Manager для временного отключения фильтров записи с целью сохранения изменений и установок программного обеспечения в течение этого периода встраиваемое устройство может подвергаться изменениям на всех томах, куда входят и общие папки.

Хотя Configuration Manager блокирует компьютер в течение данного периода, оставляя доступ только для локальных администраторов, при возможности следует предпринять дополнительные меры безопасности, чтобы защитить компьютер. Например, следует включить дополнительные ограничения на брандмауэре или отключить устройство от сети.

Если вы используете периоды обслуживания для сохранения изменений, планируйте их тщательно, чтобы минимизировать время выключения фильтров записи, оставив его достаточно долгим для того, чтобы позволить обновить ПО и осуществить перезагрузку для завершения установки.

Если применяется установка клиентов на основе обновления программного обеспечения, а затем на сайт устанавливается более поздняя версия клиента, следует обновить обновление, опубликованное в точке обновления, чтобы клиенты получили последнюю версию

Если установить более позднюю версию клиента на сайте, например, при обновлении сайта, то обновление для развертывания, опубликованное в точке обновление, не будет обновлено автоматически. Необходимо заново опубликовать клиент Configuration Manager в точке обновления программного обеспечения и нажать кнопку Да, чтобы обновить номер версии.

Дополнительные сведения см. в процедуре "Публикация клиента Configuration Manager в точке обновления" в разделе Установка клиен��ов Configuration Manager с помощью обновления программного обеспечения статьи Установка клиентов на компьютерах под управлением Windows в Configuration Manager.

Настройте агент компьютера на клиентском устройстве: для параметра Не требовать ввода ПИН-кода BitLocker при перезапуске установите значение Всегда только для доверенных компьютеров, физический доступ к которым ограничен

Если установить для этого параметра клиента значение Всегда, Configuration Manager может установить программное обеспечение, чтобы обеспечить установку всех критических обновлений ПО и возобновление работы служб. Если злоумышленник перехватит процесс перезапуска, он сможет получить контроль над компьютером. Используйте этот параметр лишь в случае, если вы доверяете компьютеру, а физический доступ к этому компьютеру ограничен. К примеру, этот параметр можно применять к серверам, расположенным в центрах обработки данных.

Не устанавливайте для параметра Политика выполнения PowerShell для агента компьютера на клиентском устройстве значение Обходить.

Это значение параметра клиента позволит клиенту Configuration Manager запускать неподписанные сценарии PowerShell, что может привести к распространению вредоносных программ на клиентские компьютеры. Если использовать это значение необходимо, используйте пользовательские параметры клиента и устанавливайте это значение лишь для тех компьютеров, на которых требуется запускать неподписанные сценарии PowerShell.

Для мобильных устройств, которые будут зарегистрированы с помощью Configuration Manager и будут поддерживаться через Интернет: установите прокси-точку регистрации в сети периметра и точку регистрации в интрасети.

Такое разделение ролей поможет защитить точку регистрации от атак. Если точка регистрации атакована, злоумышленник сможет получить сертификаты для проверки подлинности и похитить учетные данные пользователей, регистрирующих свои мобильные устройства.

Для мобильных устройств: настройте параметры пароля, чтобы защитить мобильные устройства от несанкционированного доступа

Для мобильных устройств, зарегистрированных с помощью Configuration Manager: используйте элемент конфигурации мобильного устройства, чтобы настроить параметры пароля: сложность пароля должна соответствовать ПИН-коду, а минимальная длина должна быть не меньше длины по умолчанию.

Для управляемых с помощью коннектора Exchange Server мобильных устройств, на которые не установлен клиент Configuration Manager: настройте Параметры пароля коннектора Exchange Server: сложность пароля должна соответствовать ПИН-коду, а минимальная длина должна быть не меньше длины по умолчанию.

Для мобильных устройств: можно исключить подмену данных инвентаризации и данных состояния, разрешив запуск приложений лишь в том случае, если они подписаны доверенными компаниями, и запретив установку неподписанных файлов

Для мобильных устройств, зарегистрированных с помощью Configuration Manager: с помощью элемента настройки мобильных устройств установите для параметра безопасности Неподписанные приложения значение Запрещено, настройте для параметра Установка неподписанных файлов доверенный источник.

Для управляемых с помощью коннектора Exchange Server мобильных устройств, на которые не установлен клиент Configuration Manager: настройте Параметры приложений для коннектора Exchange Server: для параметров Установка неподписанного файла и Неподписанные приложения должно быть настроено значение Запрещено.

Для мобильных устройств: для предотвращения атак, связанных с повышением прав, блокируйте мобильное устройство, когда оно не используется

Для мобильных устройств, зарегистрированных с помощью Configuration Manager: используйте элемент настройки мобильного устройства, чтобы настроить параметр Время бездействия до блокировки мобильного устройства.

Для управляемых с помощью коннектора Exchange Server мобильных устройств, на которые не установлен клиент Configuration Manager: настройте Параметры пароля коннектора Exchange Server, чтобы настроить параметр Время бездействия до блокировки мобильного устройства.

Для мобильных устройств: Необходимо предотвращать повышение привилегий, ограничивая набор пользователей, имеющих право регистрировать свои мобильные устройства.

Используйте настраиваемые параметры клиента, а не параметры по умолчанию, чтобы только полномочные пользователи могли регистрировать мобильные устройства.

Для мобильных устройств: Не развертывайте приложения для пользователей, которые используют мобильные устройства, зарегистрированные в Configuration Manager или в Microsoft Intune, в следующих случаях:

  • Когда мобильное устройство используется несколькими людьми.

  • Когда устройство зарегистрировано администратором от имени пользователя.

  • Когда устройство передается другому лицу без удаления и повторной регистрации.

Связь пользователя с устройством создается во время регистрации. Она сопоставляет пользователя, который выполняет регистрацию, и мобильное устройство. Если другой пользователь использует мобильное устройство, он сможет запускать приложения, развертываемые для исходного пользователя, что может стать причиной несанкционированного получения прав. Аналогично, если администратор регистрирует мобильное устройство за пользователя, приложения, развернутые для пользователя, не будут устанавливаться на мобильные устройства, а вместо этого будут устанавливаться приложения, развернутые для администратора.

В отличие от связи пользователей с компьютерами Windows, невозможно вручную задать информацию о сопоставлении пользователей и устройств, зарегистрированных в Microsoft Intune.

Если вы передаете мобильное устройство, которое было зарегистрировано в Intune, удалите мобильное устройство из Intune, чтобы удалить сопоставление пользователей и устройств, а затем попросите текущего пользователя повторить регистрацию устройства.

Для мобильных устройств: убедитесь, что пользователи регистрируют собственные мобильные устройства для Microsoft Intune.

Поскольку во время регистрации создается связь, которая сопоставляет пользователя, выполняющего регистрацию, с мобильным устройством, то если администратор регистрирует мобильное устройство за пользователя, приложения, развернутые для пользователя, не будут устанавливаться на мобильном устройстве, а вместо этого будут устанавливаться приложения, развернутые для администратора.

Соединитель Exchange Server. Убедитесь, что соединение между сервером сайта Configuration Manager и компьютером Exchange Server защищено.

Используйте IPsec, если Exchange Server расположен локально; размещенный Exchange автоматически защищает соединение с помощью протокола SSL.

Соединитель Exchange Server. Использование принципа наименьших привилегий для соединителя

Список командлетов, минимально необходимых соединителю Exchange Server, см. в разделе Управление мобильными устройствами с помощью Configuration Manager и Exchange.

Для компьютеров Mac: Хранение и доступ к исходным файлам клиента из безопасного расположения.

Configuration Manager не проверяет, были ли эти исходные файлы клиента злоумышленно изменены перед установкой или регистрацией клиента на компьютере Mac. Загрузите эти файлы из надежного источника и обеспечьте для них безопасное хранение и доступ.

Для компьютеров Mac: Независимо от Configuration Manager выполняйте отслеживание и контроль периодов действия сертификатов, которые развернуты для пользователей.

Для обеспечения непрерывности бизнес-процессов следует контролировать и отслеживать срок действия сертификатов, которые используются для компьютеров Mac.Configuration Manager SP1 не поддерживает автоматическое продление сертификата или предупреждение о том, что истекает срок действия сертификата. Типичный срок действия — 1 год.

Сведения о том, как обновить сертификат, см. в разделе "Продление сертификата клиента для Mac" статьи Установка клиентов на компьютерах Mac в Configuration Manager.

Для компьютеров Mac: Рассмотрена настройка сертификата доверенного корневого ЦС только для протокола SSL, что позволит упростить защиту от повышения привилегий.

При регистрации компьютеров Mac сертификат пользователя для управления клиентом Configuration Manager устанавливается автоматически вместе с доверенным корневым сертификатом, с которым он образует цепочку. Если необходимо ограничить область доверия этого корневого сертификата только протоколом SSL, можно использовать следующую процедуру.

После выполнения данной процедуры корневой сертификат перестанет быть доверенным для проверки других протоколов, отличных от SSL, например для S/MIME, EAP или подписи кода.

System_CAPS_noteПримечание

Данную процедуру также можно использовать, если сертификат клиента был установлен независимо от Configuration Manager.

Чтобы ограничить область доверия сертификата корневого ЦС только протоколом SSL, выполните следующие действия.

  1. На компьютере Mac откройте окно терминала.

  2. Введите команду sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access

  3. В диалоговом окне Связка ключей в разделе Связки ключей выберите пункт Система, а затем в разделе Категория выберите пункт Сертификаты.

  4. Найдите и дважды щелкните сертификат корневого ЦС для сертификата клиента Mac.

  5. В диалоговом окне для сертификата корневого ЦС раскройте раздел Доверять и внесите следующие изменения.

    1. Для параметра Параметры использования сертификата измените используемое по умолчанию значение Всегда доверять на Использовать параметры системы по умолчанию.

    2. Для параметра Протокол защищенных сокетов (SSL) измените значение значение не указано на Всегда доверять.

  6. Закройте диалоговое окно. При появлении соответствующего запроса введите пароль администратора и нажмите кнопку Обновить параметры.

Вопросы безопасности клиентов Configuration Manager

Для следующих проблем безопасности нет способов смягчения последствий.

  • Сообщения о состоянии не проходят проверку подлинности

    Проверка подлинности не выполняется для сообщений о состоянии. Когда точка управления принимает подключения клиентов по протоколу HTTP, любое устройство может отправлять сообщения о состоянии в точку управления. Если точка управления принимает подключения клиентов только по протоколу HTTPS, устройство должно получить действующий сертификат проверки подлинности клиента от доверенного корневого центра сертификации, однако оно также может затем отправить любое сообщение о состоянии. Если клиент посылает недопустимое сообщение об изменении состояния, оно будет отвергнуто.

    Эта уязвимость позволяет злоумышленникам предпринимать различные атаки. Злоумышленник может переслать поддельное сообщение об изменении состояния для получения членства в коллекции на основании запросов сообщений об изменении состояния. Любой клиент может начать атаку типа "отказ в обслуживании" против точки управления, перегрузив ее сообщениями об изменении состояния. Если сообщения об изменении состояния инициируют действия в правилах фильтрации сообщений об изменении состояния, злоумышленник может инициировать правило фильтрации сообщений об изменении состояния. Злоумышленник может также послать сообщение об изменении состояния, которое будет неверно представлять информацию.

  • Политики могут быть перенаправлены на нецелевых клиентов

    Существует несколько методов, с помощью которых злоумышленники могут применить политику, направленную на одного клиента, к совершенно другому клиенту. Например, злоумышленник на доверенном клиенте может отправить ложные сведения об инвентаризации или сведения обнаружения, чтобы компьютер оказался добавлен к коллекции, к которой он не должен принадлежать, а потом получить все развертывания для этой коллекции. Хотя существуют средства, помогающие предотвращать непосредственное изменение политики злоумышленниками, злоумышленники могут использовать существующую политику для переформатирования и повторного развертывания операционной системы и отправки ее на другой компьютер, создавая атаку типа "отказ в обслуживании". Эти типы атак потребуют точного хронометража и углубленных знаний инфраструктуры Configuration Manager.

  • Журналы клиента разрешают доступ пользователей

    Все файлы журналов клиентов предоставляют пользователям доступ с правом чтения, а интерактивным пользователям – доступ с правом записи. Если включить режим подробного ведения журнала, злоумышленники смогут читать файлы журнала для поиска информации о согласовании или уязвимости системы. Такие процессы, как установка программного обеспечения, выполняемые в контексте пользователя, должны иметь возможность записи в журналы с учетной записью пользователя с низкими правами. Это означает, что злоумышленник также может писать в журналы с учетной записью с низкими правами.

    Наиболее серьезный риск заключается в том, что злоумышленник может удалять информацию из файлов журнала, необходимую администратору для аудита и обнаружения злоумышленника.

  • Компьютер может использоваться для получения сертификата, предназначенного для регистрации мобильных устройств.

    Когда Configuration Manager обрабатывает запрос регистрации, нет возможности убедиться в том, что запрос поступил от мобильного устройства, а не от компьютера. Если запрос поступил от компьютера, может быть установлен PKI-сертификат, который позволит зарегистрироваться в Configuration Manager. Чтобы предотвратить атаку с повышением привилегий в этом сценарии, следует разрешить регистрацию мобильных устройств только надежным пользователям и осуществлять детальный мониторинг действий регистраций.

  • Подключение клиента к точке управления не сбрасывается в случае блокирования клиента, а заблокированный клиент может продолжить отправку точке управления клиентских пакетов оповещения в качестве сообщений для поддержки соединения.

    Для System Center 2012 Configuration Manager с пакетом обновления 1 (SP1) и более поздних версий:

    В случае блокировки клиента, который вы больше не считаете надежными, при наличии у него связи для уведомления клиента Configuration Manager не отключает сеанс. Заблокированный клиент может продолжать отправлять пакеты на свою точка управления до тех пор, пока не отключится от сети. Эти пакеты будут небольшими, и клиенты не будут управляться средствами Configuration Manager, пока не будут разблокированы.

  • Если используется автоматическое обновление клиента, причем клиент загружает исходные файлы клиента с точки управления, эта точка не проверяется как надежный источник

    Для System Center 2012 Configuration Manager с пакетом обновления 1 (SP1) и более поздних версий:

    Если используется автоматическое обновление клиента в иерархии Configuration Manager, в которой некоторые сайты имеют версию Configuration Manager SP1, а другие — Configuration Manager без пакетов обновления, клиент в сайте Configuration Manager без пакетов обновления загружает исходные файлы клиента через назначенную ему точку управления, а не из точки распространения. Это гарантирует, что клиенты, назначенные в сайты Configuration Manager без пакетов обновления, не устанавливают исходные файлы Configuration Manager SP1, что могли бы привести к тому, что клиенты стали бы неуправляемыми. В этой ситуации точка управления не будет восприниматься клиентами в качестве надежного источника, и клиенты могут перенаправляться на фальшивую точку управления. Однако этот риск будет небольшим из-за того, что клиенты будут отклонять любые файлы установки, не подписанные Майкрософт. Клиенты всегда проверяют доверие перед загрузкой клиентской политики из точки управления.

  • При первой регистрации пользователями компьютеров Mac существует угроза DNS-спуфинга

    При подключении компьютера Mac к прокси-точке регистрации во время регистрации маловероятно, что он уже имеет сертификат корневого ЦС. На данном этапе сервер не является доверенным для компьютера Mac и предлагает пользователю продолжить. Если для разрешения полного доменного имени прокси-точки регистрации будет использоваться мошеннический DNS-сервер, он может направить компьютер Mac на мошенническую прокси-точку регистрации и установить сертификаты из недоверенного источника. Чтобы минимизировать этот риск, следуйте рекомендациям по предотвращению DNS-спуфинга в вашей среде.

  • Регистрация компьютеров Mac не ограничивает запросы на сертификаты

    Пользователи могут повторно зарегистрировать свои компьютеры Mac при каждом запросе нового сертификата клиента.Configuration Manager не проверяет наличие множественных запросов и не ограничивает число сертификатов, запрашиваемых с одного компьютера. Пользователь-мошенник может запустить сценарий, повторяющий запрос на регистрацию из командной строки, что приведет к отказу в обслуживании в сети или на выдающем центре сертификации (ЦС). Чтобы минимизировать этот риск, внимательно отслеживайте выдающий ЦС на предмет такого подозрительного поведения. Компьютер, на котором наблюдается такая модель поведения, должен быть немедленно заблокирован в иерархии Configuration Manager.

  • Подтверждение очистки не проверяет успешность очистки устройства

    При инициализации действия очистки для мобильного устройства и отображении в Configuration Manager подтверждения очистки проверяется успешность отправки сообщения системой Configuration Manager, а не реакция устройства на него. Кроме того, для мобильных устройств, управляемых с помощью соединителя Exchange Server, подтверждение очистки проверяет получение команды в Exchange, а не на устройстве.

  • Если параметры среды Configuration Manager с пакетом обновления 1 (SP1) настроены для внесения изменений в устройства Windows Embedded, то учетные записи могут оказаться заблокированными раньше ожидаемого.

    Если устройство Windows Embedded работает под управлением операционной системы, предшествующей Windows 7, и пользователь пытается войти в систему, пока фильтры записи отключены с целью записи изменений, внесенных Configuration Manager SP1, количество неудачных попыток входа в систему до блокировки учетной записи фактически уменьшается вдвое. Например, если Пороговое значение блокировки учетных записей равно 6 и пользователь 3 раза неправильно вводит пароль, учетная запись будет заблокирована, фактически создавая ситуацию отказа в обслуживании. Если пользователи должны входить в систему на встраиваемых устройствах в этой ситуации, предупредите их о возможном снижении порога блокировки.

Сведения о конфиденциальности клиентов Configuration Manager

При развертывании клиента Configuration Manager включаются агенты клиента, чтобы можно было пользоваться функциями управления Configuration Manager. Параметры, которые используются для настройки функций, применимы ко всем клиентам в иерархии Configuration Manager, независимо от того, подключены ли они к корпоративной сети напрямую, через удаленный сеанс или подключены к Интернету, но поддерживаются Configuration Manager.

Сведения о клиентах сохраняются в базе данных Configuration Manager и не отправляются в Майкрософт. Информация хранится в базе данных до тех пор, пока не будет удалена при выполнении задачи обслуживания сайта Удалить устаревшие данные управления конфигурацией. Эта задача выполняется каждые 90 дней. Можно настроить интервал удаления.

Прежде чем настраивать клиент Configuration Manager, следует рассмотреть требования к конфиденциальности.

Сведения о конфиденциальности для клиентов мобильных устройств, регистрируемых в Configuration Manager

Сведения о конфиденциальности, связанные с регистрацией мобильного устройства в Configuration Manager, см. в разделе Заявление о конфиденциальности Microsoft System Center 2012 Configuration Manager — приложение для мобильных устройств.

Состояние клиента

Configuration Manager осуществляет мониторинг действий клиентов и периодически оценивает клиента Configuration Manager и его зависимости с возможностью исправления. Состояние клиента по умолчанию – "включен"; он использует метрику серверной части для проверки активности клиентов, а также действия клиентской части для выполнения самопроверки, исправления и отправки сведений о состоянии клиента на сайт Configuration Manager. Клиент выполняет самопроверку в соответствии с настроенным администратором расписанием. Клиент отправляет результаты проверок на сайт Configuration Manager. Эти сведения шифруются при передаче.

Сведения о состоянии клиентов сохраняются в базе данных Configuration Manager и не отправляются в Майкрософт. Сведения не хранятся в зашифрованном виде в базе данных сайта. Сведения хранятся в базе данных до тех пор, пока не будут удалены в соответствии со значением параметра состояния клиента Сохранять историю состояний клиентов в течение следующего числа дней:. Значение этого параметра по умолчанию — каждый 31 день.

Прежде чем устанавливать клиент Configuration Manager с проверкой состояния клиента, следует рассмотреть требования к конфиденциальности.

Сведения о конфиденциальности мобильных устройств под управлением соединителя Exchange Server

Соединитель Exchange Server находит и осуществляет управление устройствами, подключающимися к серверу Exchange Server (локальному или размещенному) по протоколу ActiveSync. Записи, обнаруженные соединителем Exchange Server, сохраняются в базе данных Configuration Manager. Сведения, полученные от Exchange Server. Не содержат каких-либо дополнительных сведений из набора данных, отправляемых мобильными устройствами серверу Exchange Server.

Указанные сведения не отправляются в корпорацию Майкрософт. Сведения о мобильных устройствах хранятся в базе данных Configuration Manager. Информация хранится в базе данных до тех пор, пока не будет удалена при выполнении задачи обслуживания сайта Удалить устаревшие данные управления конфигурацией. Эта задача выполняется каждые 90 дней. Можно настроить интервал удаления.

Перед установкой и настройкой соединителя Exchange Server следует рассмотреть требования к конфиденциальности.