保护基于 Internet 的客户端的最佳方案
应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Microsoft System Center Configuration Manager 2007 使您能够管理没有通过拨号或 VPN 技术连接到内部网络的客户端。尽管管理这些客户端有助于使它们更加安全,但您必须按照将部分站点系统暴露在 Internet 通信中的方式来配置您的 Configuration Manager 2007 基础结构。如果您计划支持基于 Internet 的客户端,则必须使用 Configuration Manager 2007 纯模式,因为它可以帮助减轻暴露在 Internet 上的部分风险。
使用 SSL 桥接到 SSL,使用带有身份验证的终端 在代理 Web 服务器上采用 SSL 终端的优点在于来自 Internet 的数据包将在转发到内部网络之前接受检查。代理 Web 服务器对来自客户端的连接进行身份验证,终止此连接,然后打开到基于 Internet 的站点系统的新授权连接。当 Configuration Manager 客户端使用代理 Web 服务器时,客户端标识(客户端 GUID)安全地包含在数据包有效负载内,因而管理点不会将代理 Web 服务器当作是客户端。如果您的代理 Web 服务器无法支持 SSL 桥接的要求,则也支持 SSL 隧道。此选项的安全性较低,因为来自 Internet 的 SSL 数据包不经过终止就转发至站点系统,因此不会检查是否包含恶意内容。
使用 Active Directory 部署站点服务器签名证书 有三个选项供客户端接收站点服务器签名证书:使用 SMSSIGNCERT 参数一起安装、查询 Active Directory 域服务,或从管理点自动获取。对于这三种解决方案,使用管理点自动部署是最不安全的解决方案,在对管理点的安全存在疑虑时不得使用。例如,驻留在外围网络中、接受来自 Internet 的连接以实现基于 Internet 的客户端管理的管理点没有在 Intranet 中只接受来自 Intranet 客户端的连接的管理点安全。但是,如果管理点只接受来自 Intranet 客户端的连接,而您不希望存在手动部署的管理开销,则通过管理点自动部署站点服务器签名证书的副本可能是合适的解决方案。有关详细信息,请参阅决定如何将站点服务器签名证书部署到客户端(纯模式)。
不要在基于 Internet 的客户端上创建分发点共享或分支分发点 尽管 Configuration Manager 2007 可能不会阻止您这么做,但在基于 Internet 的客户端上创建任何类型的分发点都会显著增加攻击面,因此应当避免。仅在能够在 Intranet 或外围网络内部进行管理的站点系统上创建分发点。
不要使用桥接外围网络和 Intranet 的站点系统 尽管可以为基于 Internet 的客户端配置服务器布局,以便所有必要的站点系统都是多宿主的,并且连接到外围网络和 Intranet,但是并不推荐此配置,因为在外围网络和 Intranet 之间没有安全边界。还有多个其他可用选项比桥接外围边界更加安全。有关详细信息,请参阅为基于 Internet 的客户端管理确定服务器布局。
隐私信息
在部署 Configuration Manager 2007 客户端时,启用客户端代理,以便您能够使用 Configuration Manager 2007 功能。用于配置功能的设置将应用到站点中的所有客户端,包括连接到 Internet,但从未直接连接到组织网络的客户端。例如,您可以配置站点的清单,此设置也会列出属于某位员工的基于 Internet 的家庭办公室计算机的清单。客户端信息存储在数据库中,不会发送回 Microsoft。在配置 Configuration Manager 2007 客户端之前,请考虑您的隐私要求。
另请参阅
概念
其他资源
有关其他信息,请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。