Поделиться через


Безопасность и конфиденциальность управления содержимым в Configuration Manager

 

Применимо к:System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

В этой статье содержатся сведения о безопасности и конфиденциальности для управления содержимым в System Center 2012 Configuration Manager. Прочитайте их вместе со следующими статьями.

Рекомендации по обеспечению безопасности для управления содержимым

Используйте следующие рекомендации по безопасности для управления содержимым.

Рекомендация по безопасности

Дополнительные сведения

Для точек распространения, находящихся в интрасети, оцените преимущества и недостатки использования протоколов HTTPS и HTTP.

Различия между HTTPS и HTTP для точек распространения.

  • При использовании протокола HTTPS для точки распространения Configuration Manager не использует учетные записи пакетного доступа для авторизации доступа к содержимому, однако содержимое шифруется при передаче через сеть.

  • При использовании протокола HTTP для точки распространения можно задействовать учетные записи пакетного доступа с целью авторизации, но содержимое не шифруется при передаче через сеть.

В большинстве случаев использование HTTP и учетных записей пакетного доступа для авторизации обеспечивает больший уровень безопасности, чем использование протокола HTTPS с шифрованием, но без авторизации. Однако, если в содержимом присутствуют секретные данные, которые необходимо шифровать во время передачи, используйте протокол HTTPS.

Если для точки распространения используется PKI-сертификат проверки подлинности клиента, а не самозаверяющий сертификат, следует защитить файл сертификата (.pfx) надежным паролем. Если файл хранится в сети, обеспечьте защиту сетевого канала при импорте файла в Configuration Manager.

Обязательный пароль при импорте сертификата проверки подлинности клиента, используемого для соединения точки распространения с точками управления, помогает защитить сертификат от злоумышленников.

Используйте подписывание SMB или протокол IPsec при обмене данными между сетевым расположением и сервером сайта, чтобы предотвратить незаконное изменение файла сертификата.

Удаление роли точки распространения с сервера сайта.

По умолчанию точка распространения устанавливается на сервере, который является сервером сайта. Клиенты не должны в обязательном порядке напрямую обмениваться данными с сервером сайта, поэтому следует назначить роль точки распространения другим системам сайта и удалить ее с сервера сайта.

Защита содержимого на уровне пакетного доступа.

System_CAPS_noteПримечание

Это не относится к облачным точкам распространения Configuration Manager SP1, которые не поддерживают учетные записи доступа к пакетам.

Общая папка точки распространения доступна для чтения всем пользователям. Чтобы разрешить доступ к содержимому только определенным пользователям, создайте учетные записи пакетного доступа при настройке точки распространения для работы по протоколу HTTP.

Дополнительные сведения об учетной записи доступа к пакетам см. в разделе Управление учетными записями для доступа к содержимому пакета статьи Использование и отслeживание управления содержимым в Configuration Manager.

Если при добавлении роли системы сайта "Точка распространения" системой Configuration Manager была выполнена установка служб IIS, удалите перенаправление HTTP, а также сценарии и средства управления IIS по завершении установки точки распространения.

Перенаправление HTTP и сценарии и средства управления IIS не требуются для точки распространения. Чтобы снизить вероятность атак злоумышленников, удалите эти службы из роли веб-сервера (IIS).

Дополнительные сведения о службах роли веб-сервера (IIS) для точек распространения см. в разделе Требования к системе сайта статьи Поддерживаемые конфигурации для диспетчера конфигурации.

Настройка разрешений пакетного доступа при создании пакета

Изменения, внесенные в учетные записи доступа к файлам пакетов, вступают в силу только при повторном распространении пакета, поэтому следует внимательно установить разрешения на доступ при создании пакета. Это особенно важно для следующих сценариев.

  • Большой пакет.

  • Пакет распространяется в множество точек распространения.

  • Пропускная способность сети, через которую распространяется содержимое, ограничена.

Применение элементов управления доступом для защиты носителя с предварительно подготовленным содержимым

Предварительно подготовленное содержимое сжато, но не зашифровано. Злоумышленник может читать и изменять файлы, которые затем загружаются на устройства. Клиенты Configuration Manager будут отклонять незаконно измененное содержимое, но по-прежнему загружать такие файлы.

Импортировать предварительно подготовленное содержимое следует только с помощью программы командной строки ExtractContent (ExtractContent.exe), поставляемого с Configuration Manager. Также следует убедиться, что данное средство подписано корпорацией Майкрософт.

Чтобы предотвратить незаконное изменение и повышение привилегий, используйте только авторизованную программу командной строки, поставляемое с Configuration Manager.

Обеспечьте защиту соединения между сервером сайта и расположением источника пакета.

Используйте протокол IPsec или подписывание SMB между сервером сайта и расположением источника пакета при создании приложений и пакетов. Это поможет предотвратить незаконное изменение исходных файлов злоумышленником.

Если после установки каких-либо ролей точек распространения в настройках сайта указывается использование настраиваемого веб-сайта вместо веб-сайта по умолчанию, следует удалить виртуальные каталоги, заданные по умолчанию.

При переключении с веб-сайта по умолчанию на настраиваемый веб-сайт Configuration Manager не удаляет старые виртуальные каталоги. Удалите виртуальные каталоги, изначально созданные Configuration Manager для веб-сайта по умолчанию.

  • SMS_DP_SMSPKG$

  • SMS_DP_SMSSIG$

  • NOCERT_SMS_DP_SMSPKG$

  • NOCERT_SMS_DP_SMSSIG$

Для облачных точек распространения, которые доступны, начиная с Configuration Manager с пакетом обновления 1 (SP1): защитите сведения о подписке и сертификаты

При использовании облачных точек распространения необходимо обеспечить защиту следующих элементов, представляющих большую ценность:

  • Имя пользователя и пароль для вашей подписки Windows Azure.

  • Сертификат управления Windows Azure.

  • Сертификат службы облачной точки распространения.

Сертификаты следует хранить безопасно, и при просмотре по сети в ходе настройки облачной точки распространения нужно использовать протокол IPsec либо подписи SMB между сервером системы сайта и исходным местоположением.

Для облачных точек распространения, которые доступны, начиная с Configuration Manager с пакетом обновления 1 (SP1): для непрерывности обслуживания отслеживайте сроки действия сертификатов

Configuration Manager не выдает предупреждающих сообщений при импорте сертификатов для управления облачными точками распространения с истекающим сроком действия. Необходимо отслеживать истечение сроков действия независимо от Configuration Manager и обязательно продлевать и импортировать новые сертификаты до даты истечения срока действия. Это особенно важно при покупке сертификата службы облачной точки распространения Configuration Manager в стороннем центре сертификации (CA), так как может потребоваться некоторое время на получение обновленного сертификата.

System_CAPS_noteПримечание

Если срок действия сертификата истекает, диспетчер облачных служб создает сообщение о состоянии с кодом 9425, а файл CloudMgr.log будет содержать записи о сертификате is in expired state, причем срок действия также будет указан в формате UTC.

Проблемы безопасности управления содержимым

Управление содержимым связано со следующими проблемами безопасности.

  • Клиенты не проверяют содержимое до его загрузки

    Клиенты Configuration Manager проверяют хэш содержимого только после его загрузки в кэш клиента. Если злоумышленник незаконно изменил список загружаемых файлов или само содержимое, процесс загрузки может занять значительную часть полосы пропускания сети, прежде чем клиент обнаружит неверный хэш и отклонит содержимое.

  • Нельзя ограничить доступ к содержимому на облачной точке распространения для пользователей или групп

    Начиная с Configuration Manager с пакетом обновления 1 (SP1), при использовании облачных точек распространения доступ к содержимому будет автоматически ограничен данным предприятием, и его нельзя ограничить далее для различных пользователей и групп.

  • Заблокированный клиент может продолжить загрузку содержимого из облачной точки распространения до 8 часов

    Начиная с Configuration Manager с пакетом обновления 1 (SP1), при использовании облачных точек распространения проверка подлинности клиентов выполняется с помощью точки управления, и клиент использует токен Configuration Manager для доступа к облачной точке распространения. Токен будет действителен до 8 часов, поэтому в случае блокировки клиент, который больше не является доверенным, может продолжать загрузку содержимого из облачной точки распространения до тех пор, пока не истечет срок действия токена. На этом этапе точка управления не выдаст новый маркер для клиента, так как клиент будет заблокирован.

    Чтобы помешать заблокированному клиенту загружать содержимое до истечения 8 часов, можно остановить облачную службу в узле Облако в разделе Конфигурация иерархий области Администрирование консоли Configuration Manager. Дополнительные сведения см. в статье Управление облачными службами для Configuration Manager.

Сведения о конфиденциальности управления содержимым

Configuration Manager не включает какие-либо данные пользователей в файлы содержимого, однако пользователь с правами администратора может это сделать.

Перед настройкой параметров управления содержимым проанализируйте требования к конфиденциальности.