レポートについて推奨するセキュリティ運用方法

  • [アーティクル]

適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

攻撃者は通常、脆弱点を見つけるために会社についてのできるだけ多くの情報を集めようとします。攻撃者はネットワーク環境についての情報を見つけるために Microsoft System Center Configuration Manager 2007 レポートへのアクセスを試みることもあります。たとえば、攻撃者がソフトウェア更新プログラムへの対応についてのレポートを見ることができた場合は、特定の攻撃に対して更新されていないコンピュータにその攻撃を行うことができます。

Configuration Manager 2007 レポートへの攻撃は、通常はサイト サーバー、サイト データベース サーバー、ソフトウェア配布、およびリモート ツールへの攻撃よりもリスクは低いと考えられます。

クエリとレポートを許可されたユーザーに限定する     クエリとレポートへのアクセス許可を割り当てるときは最小限の特権という原則を使用します。レポートは、Configuration Manager 2007 コンソールから実行するか、Internet Explorer などのレポート ビューアを通して実行できます。Configuration Manager 2007 コンソールに表示されるクエリのみが、Configuration Manager 2007 オブジェクト セキュリティに従います。Configuration Manager 2007 クエリを実行する場合は、クエリ内のオブジェクトに対する Configuration Manager 2007 オブジェクト セキュリティ アクセス許可が必要です。また、クエリの作成時に、コレクション クラスに対する読み取りおよびリソースの読み取りのアクセス許可を持っていない場合、[クエリ ステートメントのプロパティ]ダイアログ ボックスの[条件]タブの[値]にデータが返されません。

コレクションを限定して、ユーザーが使用を許可されたコレクション内のリソースのデータしか照会できないようにすることもできます。クエリの作成時にユーザーがコレクションの限定を指定しない場合も、ユーザーがすべてのリソースの表示を許可されていない場合は、コレクションの限定が適用されます。情報へのアクセスが必要な場合は、コレクションの限定によってそのユーザーが制限されていないか確認します。

レポート ユーザー グループを使用して、レポート ポイントへのアクセスを制御する     既定では、Administrators グループおよび Reporting Users グループのすべてのメンバが、レポート ポイント Web サイトにアクセスできます。ユーザーがレポート ポイントのレポートにアクセスする必要がある場合は、ユーザーを必要な各レポート ポイントのローカルのレポート ユーザー グループに加えます。レポート ユーザー グループは、既定ではメンバを持ちません。

Reporting Users グループには、既定で構成された Configuration Manager 2007 オブジェクト セキュリティ権限がありません。このグループには、Report SMS クラスの読み取りのセキュリティ権限が必要です。権限がない場合、グループのメンバはレポート Web サイトにアクセスできても、レポートにアクセスすることはできません。

SQL Server コンピュータに直接接続するユーザーのセキュリティを管理する    Configuration Manager コンソールおよび Configuration Manager レポート以外のレポート メカニズムを使用する場合、WMI セキュリティおよび Configuration Manager オブジェクト セキュリティは効果がありません。ODBC ドライバまたはスクリプティングの使用など、SQL Server ビューに直接アクセスするレポート メカニズムを使用する場合は、データ アクセスを認証ユーザーに制限するセキュリティ制御を実装する必要があります。

注意

テーブル内のデータに直接アクセスすることはサポートされていません。データへのアクセスでサポートされているのは、ビューを使用する方法だけです。

レポート ポイントへの HTTPS アクセスを有効にする     サイト システムでレポート ポイントの役割を構成する場合は、HTTPS を使用してレポート ビューアを起動するようにレポート ポイントを構成する必要があります。暗号化されていない HTTP トラフィックのセッション状態または資格情報を傍受すると、比較的容易にセキュリティ攻撃を行うことができます。セッション状態を盗むと、攻撃者はレポート ポイントにフル アクセスできます。この設定では、証明書の入手または SSL を使用する IIS の構成は行いません。HTTPS アクセス用のレポート ポイントを構成する前に、これらの構成を完了します。

注意

レポート ポイントでの HTTPS の構成は、ネイティブ モード構成とはまったく関係ありません。ネイティブ モードの場合でも、レポート ポイントでは既定で HTTP アクセスを使用します。

参照:

概念

Configuration Manager のレポート

その他のリソース

Configuration Manager 機能について推奨するセキュリティ運用方法とプライバシー情報

その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.