Основы безопасности для System Center Configuration ManagerFundamentals of security for System Center Configuration Manager

Применимо к: System Center Configuration Manager (Current Branch)Applies to: System Center Configuration Manager (Current Branch)

Обеспечение безопасности для System Center Configuration Manager включает несколько уровней.Security for System Center Configuration Manager consists of several layers. Первый уровень обеспечивается функциями безопасности Windows, которые относятся как к операционной системе, так и к сети (см. список ниже).The first layer is provided by Windows security features for both the operating system and the network and includes:

  • Общий доступ к файлам для передачи файлов между компонентами Configuration Manager.File sharing to transfer files between Configuration Manager components.

  • Списки управления доступом (ACL) для защиты файлов и разделов реестра.Access Control Lists (ACLs) to help secure files and registry keys.

  • Протокол IPsec для защиты обмена данными.Internet Protocol Security (IPsec) to help secure communications.

  • Групповая политика для настройки политики безопасности.Group Policy to set security policy.

  • Разрешения DCOM для распределенных приложений, таких как консоль Configuration Manager.Distributed Component Object Model (DCOM) permissions for distributed applications, like the Configuration Manager console.

  • Доменные службы Active Directory для хранения субъектов безопасности.Active Directory Domain Services to store security principals.

  • Безопасность учетной записи Windows, включая некоторые группы, создаваемые в процессе установки Configuration Manager.Windows account security, including some groups that are created during Configuration Manager setup.

Дополнительные компоненты безопасности, например брандмауэры и системы обнаружения вторжений, помогают обеспечить защиты всей среды.Then, additional security components, like firewalls and intrusion detection, help provide defense for the whole environment. Сертификаты, изданные в стандартных реализациях инфраструктуры открытых ключей (PKI), обеспечивают проверку подлинности, подписание и шифрование.Certificates issued by industry standard public key infrastructure (PKI) implementations help provide authentication, signing, and encryption.

В дополнение к функциям безопасности, предоставляемым Windows Server и сетевой инфраструктурой, Configuration Manager управляет доступом к консоли Configuration Manager и ее ресурсам несколькими способами.In addition to security provided by the Windows server and network infrastructure, Configuration Manager controls access to the Configuration Manager console and its resources in several ways. По умолчанию только локальные администраторы имеют права в отношении файлов и разделов реестра, необходимых для запуска консоли Configuration Manager на компьютерах, где она установлена.By default, only local administrators have rights to the files and registry keys that are required to run the Configuration Manager console on computers where it is installed.

Следующий уровень безопасности основан на доступе через инструментарий управления Windows (WMI), в частности, это относится к поставщику SMS.The next layer of security is based on access through Windows Management Instrumentation (WMI), specifically the SMS Provider. Поставщик SMS — это компонент Configuration Manager, который предоставляет пользователю доступ для запроса информации из базы данных сайта.The SMS Provider is a Configuration Manager component that grants a user access to query the site database for information. К поставщику по умолчанию имеют доступ только члены локальной группы "Администраторы SMS".By default, access to the provider is restricted to members of the local SMS Admins group. Эта группа изначально содержит только пользователя, установившего Configuration Manager.This group at first contains only the user who installed Configuration Manager. Чтобы предоставить другим учетным записям разрешение на доступ к репозиторию CIM и поставщику SMS, следует добавить в группу "Администраторы SMS" другие учетные записи.To grant other accounts permission to the Common Information Model (CIM) repository and the SMS Provider, add the other accounts to the SMS Admins group.

Последний уровень безопасности – это разрешения для объектов в базе данных сайта.The final layer of security is based on permissions to objects in the site database. По умолчанию локальная системная учетная запись и учетная запись, используемая для установки Configuration Manager, имеют доступ к администрированию всех объектов в базе данных сайта.By default, the Local System account and the user account that you used to install Configuration Manager can administer all objects in the site database. Можно предоставлять и отменять разрешения для дополнительных административных пользователей в консоли Configuration Manager, используя ролевое администрирование.You can grant and restrict permissions to additional administrative users in the Configuration Manager console by using role-based administration.

Администрирование на основе ролейRole-based administration

В Configuration Manager используется ролевое администрирование, позволяющее обеспечить безопасность таких объектов, как коллекции, развертывания и сайты.Configuration Manager uses role-based administration to help secure objects like collections, deployments, and sites. Эта модель администрирования централизованно определяет и управляет параметрами безопасности в масштабе иерархии для всех сайтов и параметров сайтов.This administration model centrally defines and manages hierarchy-wide security access settings for all sites and site settings. Роли безопасности назначаются административным пользователям и объединяют разрешения.Security roles are assigned to administrative users and group permissions. Разрешения связаны с различными типами объектов Configuration Manager, например разрешения на создание и изменение параметров клиентов.The permissions are connected to different Configuration Manager object types, like the permissions that are used to create or change client settings. Области безопасности группируют конкретные экземпляры объектов, которыми должен управлять пользователь с правами администратора, например приложение, устанавливающее Microsoft Office.Security scopes the group specific instances of objects that an administrative user is responsible to manage, like an application that installs Microsoft Office. Сочетание ролей безопасности, областей безопасности и коллекций определяет объекты, которые пользователь с правами администратора может просматривать и которыми он может управлять.The combination of security roles, security scopes, and collections define the objects that an administrative user can view and manage. Configuration Manager устанавливает некоторые роли безопасности по умолчанию для типичных задач управления.Configuration Manager installs some default security roles for typical management tasks. Однако можно также создавать свои собственные роли безопасности, соответствующие определенным бизнес-требованиям.But, you can create your own security roles to support your specific business requirements.

Дополнительные сведения см. в разделе Настройка ролевого администрирования для System Center Configuration Manager.For more information, see Configure role-based administration for System Center Configuration Manager.

Обеспечение безопасности клиентских конечных точекSecuring client endpoints

Подключения клиентов к ролям системы сайта защищаются с помощью самозаверяющих сертификатов, либо посредством PKI-сертификатов.Client communication to site system roles is secured by using either self-signed certificates, or by using PKI certificates. PKI-сертификаты необходимо использовать для клиентских компьютеров, обнаруженных Configuration Manager в Интернете, и клиентов мобильных устройств.You'll need to use a PKI certificate for computer clients that Configuration Manager detects to be on the Internet, and for mobile device clients. PKI-сертификаты используют протокол HTTPS для защиты клиентских конечных точек.The PKI certificate uses HTTPS to secure the client endpoints. Роли систем сайта, к которым подключаются клиенты, могут быть настроены на соединение с клиентами по протоколам HTTPS или HTTP.The site system roles that clients connect to can be configured for either HTTPS or HTTP client communication. Клиентские компьютеры всегда соединяются с использованием наиболее безопасного доступного метода.Client computers always communicate by using the most secure method that is available. Менее защищенный метод с использованием протокола HTTP применяется в интрасети только в том случае, если имеются роли системы сайта, разрешающие соединения по протоколу HTTP.Client computers only fall back to using the less secure communication method of HTTP on the intranet if you have site systems roles that allow HTTP communication.

Дополнительные сведения см. в разделе Технический справочник по элементам управления шифрования для System Center Configuration Manager.For more information, see Cryptographic controls technical reference for System Center Configuration Manager.

Учетные записи и группы Configuration ManagerConfiguration Manager accounts and groups

Configuration Manager использует учетную запись Local System для большинства операций с сайтом.Configuration Manager uses the Local System account for most site operations. Некоторые задачи управления могут потребовать создания и обслуживания дополнительных учетных записей.Some management tasks might require you to create and maintain additional accounts. Несколько групп по умолчанию, а также роли SQL Server создаются при установке.Several default groups and SQL Server roles are created during setup. Возможно, вам понадобится вручную добавить учетные записи компьютеров или пользователей в эти группы и роли SQL Server по умолчанию.You might have to manually add computer or user accounts to the default groups and SQL Server roles.

Дополнительные сведения см. в статье Учетные записи, используемые в System Center Configuration Manager.For more information, see Accounts used in System Center Configuration Manager.

КонфиденциальностьPrivacy

Продукты для управления предприятием дают много преимуществ, позволяя эффективно управлять большим числом клиентов. Однако следует также иметь в виду, что это программное обеспечение может повлиять на конфиденциальность пользователей в организации.Although enterprise management products offer many advantages because they can effectively manage lots of clients, you must also be aware of how this software might affect the privacy of users in your organization. System Center Configuration Manager включает в себя много средств для сбора данных и наблюдения за устройствами.System Center Configuration Manager includes many tools to collect data and monitor devices. По некоторым из них могут возникнуть вопросы, касающиеся соблюдения конфиденциальности.Some tools might raise privacy concerns.

Например, при установке клиента Configuration Manager многие параметры управления включены по умолчанию.For example, when you install the Configuration Manager client, many management settings are enabled by default. В результате клиентское программное обеспечение отправляет данные на сайт Configuration Manager.This causes the client software to send information to the Configuration Manager site. Сведения о клиентах сохраняются в базе данных Configuration Manager, и данные не отправляются в Майкрософт.Client information is stored in the Configuration Manager database, and the information is not sent to Microsoft. Перед развертыванием System Center Configuration Manager следует рассмотреть требования к конфиденциальности.Before you implement System Center Configuration Manager, consider your privacy requirements.