Configuration Manager 在安全方面的新增功能
应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Microsoft System Center Configuration Manager 2007 引入了对 Systems Management Server (SMS) 2003 的重大安全更改。
Configuration Manager 2007 具有一种安全模式
在 SMS 2003 中,您可以选择标准安全或高级安全,建议选择高级安全。在 Configuration Manager 2007 中,只有一种安全模式且该模式等同于 SMS 2003 的高级安全模式。在 SMS 2003 中,某些站点不符合所有站点系统必须属于同一个 Active Directory 域的高级安全要求,但是,现在这是运行 Configuration Manager 2007 的要求。
如果您要安装新的站点,将不会提示您选择安全模式。如果要从 SMS 2003 升级,则必须在运行安装程序之前,将站点转换为高级安全。转换后,应删除任何多余的帐户。有关详细信息,请参阅从 SMS 2003 升级之后要删除的帐户。还应验证您是否具有使 Configuration Manager 2007 正常工作所需的正确帐户。有关详细信息,请参阅 Configuration Manager 帐户安全清单。
Configuration Manager 2007 具有两种站点模式
Configuration Manager 2007 可让您选择 Configuration Manager 2007 纯模式和 Configuration Manager 2007 混合模式。纯模式需要现有的公钥基础结构 (PKI) 实施,但提供 Configuration Manager 2007 客户端和服务器之间的相互验证。它是最安全的选项。混合模式为必须支持 SMS 2003 站点的层次结构的提供了后向兼容性,并可供没有资源来部署 PKI 的组织使用。如果在混合模式下部署,则可以选择在将客户端加入站点之前手动批准所有客户端,或者您可以允许自动批准所有所有已加入域的客户端。无论客户端是否属于可信域,都可能允许自动批准所有客户端,但这样会允许未知客户端加入站点,从而增大安全风险。
Configuration Manager 2007 只支持一种客户端类型
在 SMS 2003 中,您可以选择旧客户端和高级客户端。从 SMS 2003 SP1 开始,您只能在 Windows 98 或 Windows NT 4.0 客户端上安装旧客户端。在 Configuration Manager 2007 中,只有一个客户端,简称为 Configuration Manager 2007 客户端,并且它类似于 SMS 2003 高级客户端。在升级到 System Center Configuration Manager 2007 之前,必须删除站点层次结构中的所有旧客户端。
Configuration Manager 2007 只支持 SQL Server Windows 身份验证
在 SMS 2003 中,将 SMS 配置为使用 SQL Server 身份验证(以前称为标准安全)或 Windows 身份验证(以前称为集成安全)来访问站点数据库服务器。如果使用 SQL Server 身份验证,则必须向 SMS 提供 SQL 登录,以在访问站点数据库时使用。Configuration Manager 2007 只支持 Windows 身份验证,这意味着 Configuration Manager 2007 将使用站点服务器计算机帐户来访问站点数据库。新增了几种数据库角色以更好地控制 Configuration Manager 2007 对 SQL Server 的访问。
站点间通信安全
在 SMS 2003 中,您可以选择站点是否可以接受来自另一个站点的未签名数据。在 Configuration Manager 2007 中,所有数据都必须签名,不能选择禁用签名要求。
另外,在 SMS 2003 中,在默认情况下,不启用站点之间安全密钥交换。在 Configuration Manager 2007 中,对于全新安装,在默认情况下将启用要求站点之间的安全密钥交换。
客户端请求安装可以使用 Computer$ 帐户
即使 SMS 2003 站点使用高级安全,您也必须配置用户帐户才能执行客户端请求安装。在 Configuration Manager 2007 中,如果您未配置用户帐户,Configuration Manager 2007 将尝试站点服务器 computer$ 帐户。如果未定义客户端请求安装帐户,并且如果 computer$ 帐户没有对客户端计算机的管理权限,则客户端请求安装将会失败。
重要
建议不要将站点服务器 computer$ 帐户添加到“域管理”全局组,因为这违反了最低特权原则。较佳的备选方法是将站点服务器 computer$ 帐户添加到另一个全局组,然后使用组策略将该全局组作为限制组添加至本地管理员组。有关详细信息,请参阅关于如何将全局组配置为所有工作站上管理员组的成员的 Microsoft 知识库文章 320065。
安全配置向导帮助保护站点角色
随着 Windows Server 2003 SP1 的发行,安全配置向导 (SCW) 根据服务器扮演的角色提供服务器强化。可将 Configuration Manager 2007 模板添加至 SCW 来为 Configuration Manager 2007 站点系统角色提供建议的安全配置。运行 SCW 会替换先前的安全建议,以对需要 IIS 的 Configuration Manager 2007 角色运行 IIS 锁定和 URLScan。由于 SCW 提供了帮助保护服务器的自动方法,因此不再提供以前在“SMS 2003:安全的方案和过程”中提供的 IIS 和 SQL 手动强化清单。
必须安装 Configuration Manager 2007 SCW 模板,才能在站点服务器和站点系统上运行 SCW,此模板计划将包含在 Configuration Manager 2007 工具包中 (https://go.microsoft.com/fwlink/?LinkId=93071)(页面可能为英文)。
升级后的管理员对所有对象没有访问权限
升级之后,运行升级的用户可以访问 Configuration Manager 2007 控制台中的所有对象,但是现有管理员只能访问升级之前存在的对象。这甚至对于软件更新对象也成立。对所有 SMS 2003 软件更新对象具有完全控制权限的用户将对 Configuration Manager 2007 中的相同对象具有完全控制权限,但对新的对象类型(例如模板)没有任何权限。
帐户更改
因为在 Configuration Manager 2007 中不使用标准安全和旧客户端,所以不再需要与这些配置相关的任何帐户。Configuration Manager 2007 在安装或客户端安装期间不会创建任何用户帐户。下表中描述的多个新帐户在 Configuration Manager 2007 中介绍。
| 帐户名称 | 用途 |
|---|---|
站点系统安装帐户 |
安装和配置站点系统 |
健康状况引用发布帐户 |
发布到 Active Directory 域服务的网络访问保护 |
健康状况引用查询帐户 |
从 Active Directory 域服务查询的网络访问保护 |
捕获操作系统映像帐户 |
捕获操作系统部署的映像 |
软件更新点代理服务器帐户 |
同步软件更新目录(如果代理服务器要求身份验证) |
任务序列编辑器域加入帐户 |
操作系统部署中要求安全上下文加入域的任务序列 |
基于 Internet 的客户端的代理帐户 |
访问 Internet 时需要向代理服务器验证身份的基于 Internet 的客户端 |
不再需要 SMS_SiteSystemToSQLConnection 组,因为数据库访问由在 Configuration Manager 2007 安装期间自动创建的 SQL Server 角色来控制。有关详细信息,请参阅 关于 Configuration Manager 的数据库角色。
添加了新组(即 ConfigMgr 远程控制用户组)以包含“允许的查看者”列表中的成员。
另请参阅
概念
软件分发安全最佳方案和隐私信息
Configuration Manager 2007 中的新增功能
其他资源
Configuration Manager 中的帐户和组
Configuration Manager 2007 安全和隐私
有关其他信息,请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。