在 Configuration Manager 2007 中实施 IPsec
应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Microsoft System Center Configuration Manager 2007 为在 Intranet 和 Internet 上安全地管理客户端到服务器的通信提供坚实的基础。但是,攻击者可能使用许多方法来尝试入侵您的网络。使用 IPsec 是缓解多种不同类型的攻击的常用方法。Configuration Manager 2007 将在 IPsec 环境中运行,当您担心攻击者侦听、监视或篡改网络通信时,则应使用它。
IPsec 允许您对通信安全保持高度控制。但是,为有效地配置、管理 IPsec 策略和进行疑难解答,您必须具备 IP 网络的高级知识、管理防火墙和筛选路由器的经验以及使用网络工具的经验。本文档假定读者具备一般 IPsec 设计和实施的应用知识。
有关使用 IPsec 和组策略进行服务器和域隔离的详细信息,请参阅 Microsoft 下载站点上的 https://go.microsoft.com/fwlink/?LinkId=93073(页面可能为英文)。此外,请参阅 IPsec 部署中的案例研究和技术白皮书中所学的课程:https://go.microsoft.com/fwlink/?LinkId=93074(页面可能为英文)。
IPsec 与支持基础结构之间的交互
Configuration Manager 2007 需要使用 Windows 操作系统提供的许多标准服务。这些服务包括名称解析、DHCP、RRAS、卷影服务以及在安全的网络环境中运行必需的其他基本服务。当您建立 IPsec 策略时,请仔细考虑这些服务以及它们在 Configuration Manager 环境中的使用。
通信路径
应考虑使用 IPsec 帮助保护三种主要的 Configuration Manager 通信路径。
站点到站点通信
站点到站点系统通信
客户端到站点系统通信
站点到站点通信
站点到站点通信发生在两种不同的情况下:
站点到站点数据复制
辅助站点请求安装
当在以父/子站点层次结构配置的站点之间交换数据时,发生站点到站点数据复制。状态消息、清单数据和状况消息从子站点流向父站点。软件分发包、软件更新、网络访问策略、操作系统部署映像、任务序列、配置基线分配从父站点流向子站点。虽然这些通信经过 Configuration Manager 2007 签名,但除非启用 IPsec,否则不会对它们进行加密。
如果从父主站点的 Configuration Manager 2007 控制台安装辅助站点,除非启用 IPsec,否则不会对文件进行加密。在主站点与正在安装的辅助站点之间启用 IPsec 有助于保障初始启动通信过程(包括从主站点发送到辅助站点的任何配置数据)的安全。
站点服务器到站点系统通信
站点到站点系统通信包含三项主要功能:
站点系统角色的初步设置
服务的配置
配置、状态和操作数据的传输
站点系统服务的初步设置在使用远程过程调用 (RPC) 时发生,并使用服务器消息块 (SMB) 传输数据。虽然纯模式使用站点服务器签名证书对策略进行签名,缓解针对站点服务器到站点系统通信的一些攻击,但无论在混合模式还是在纯模式下,这些通信都不安全。您应启用 IPsec 来帮助保护站点服务器到站点系统通信的安全,尤其是站点系统跨安全边界(如在 Active Directory 林之间或外围网络与 Intranet 之间)布局时。
IPsec 可帮助防止未经授权的站点系统冒充有效的站点系统,并使用受信任的连接获取对站点服务器或站点系统数据库的控制权进行攻击。
客户端到站点系统通信
如果您的 Configuration Manager 2007 站点在纯模式下运行,Configuration Manager 2007 将使用 Internet Information Services (IIS) 来在客户端和某些站点系统(包括管理理点)之间通过 SSL 建立安全连接,但不会对其他通信(如至回退状态点的连接)进行加密。当站点在混合模式下运行时,只有部分通信会被加密。确保在所有模式下对所有客户端到站点系统通信进行加密的唯一方法是使用 IPsec。
有关混合模式和纯模式如何使用 HTTP 和 HTTPS 的详细信息,请参阅在混合模式和纯模式下的客户端通信。
备注
不要为带外服务点站点系统服务器和被带外管理的计算机之间的 AMT 通信配置 IPsec 策略。
IPsec 策略配置
建议您在指定端点(站点服务器、站点系统和客户端)之间创建要求 ESP/3DES 的 IPsec 策略。数据包层加密会对这些系统增加 CPU 负载,因此也建议您在部署之前确保对配置进行适当的实验室性能测试。使用 Configuration Manager IPsec 策略限制可通过 IPsec Internet 密钥交换 (IKE) 进行身份验证的计算机,由此限制对指定站点系统的访问权限。您还可以使用来自证书颁发机构 (CA) 的证书身份验证来限制对系统的访问权限,该证书颁发机构专用于颁发与 Configuration Manager IPsec 配合使用的证书。
根据参与您的站点的每台计算机上的服务器角色配置,使用Configuration Manager 使用的端口主题中提供的端口信息来构造网络流量图。同时还会显示客户端角色,以备您计划使用 IPsec 对客户端到站点系统的通信进行加密,或在站点系统上运行 Configuration Manager 2007 客户端并需要允许必要的流量。
备注
提供了 Windows Server 2003 和 Windows XP 的更新,以帮助简化 IPsec 筛选器的创建与维护。有关详细信息,请参阅 https://go.microsoft.com/fwlink/?LinkId=93076(页面可能为英文)。
IPsec 与域控制器
在域控制器上配置 IPsec 有额外的注意事项,如果您在域控制器上宿主站点角色,这些事项可能影响与 Configuration Manager 2007 相关的 IPsec 策略。有关在 Windows Server 2003 成员服务器和 Windows Server 2003 域控制器之间配置 IPsec 的详细信息,请参阅 https://go.microsoft.com/fwlink/?LinkId=93078(页面可能为英文)。
安装了客户端组件的站点服务器
在同时为 IPsec 进行了配置和为纯模式安装并配置了 Configuration Manager 2007 客户端代理的站点系统配置中,您可以修改筛选器,以对 Configuration Manager 2007 通信允许 HTTP 和 HTTPS 流量以及对诊断允许 ICMP 通信。建议使用包含 IPsec 策略的组策略来实现此配置。
基于 Internet 的服务器的常用部署网络图示
此方案表示不支持 Intranet 客户端并跨越外围网络和 Intranet 的 Configuration Manager 2007 站点。所有基于 Internet 的站点系统均位于外围网络中,对于通过 Internet 进行连接的客户端接受连接。站点服务器和站点数据库服务器位于 Intranet 中。支持基于 Internet 的客户端的管理点与外围网络中的站点数据库副本通信。
.gif "基于 Internet 的图示:方案 1b")
此常用方案采用标准服务器隔离配置。在此配置中,站点服务器与站点系统之间的连接以及站点数据库与管理点之间的连接应使用基于子网的 IPsec 筛选器配置。如果使用基于子网的筛选器,且不需要支持未使用 IPsec 加密的入站会话的功能,您可以使用“任何 <-> 子网”IPsec 策略设计。您可以使用 Kerberos 身份验证,也可以使用计算机证书身份验证。建议使用计算机证书身份验证,但部署计算机证书需要额外的管理开销,且不受 Configuration Manager 2007 管理。如果通过防火墙使用 NAT 遍历,应将站点与站点系统之间的防火墙配置为允许 ISAKMP 流量(UDP 端口 500)和 UDP 端口 4500。
此配置的建议 IPsec 策略为:
IP 筛选器列表:
源地址<任何 IP 地址>
目标地址<您的子网>
筛选器操作:- 设置为“不允许不安全的通信”
身份验证方法:设置为“使用由此证书颁发机构 (CA) 颁发的证书”
策略中的其他设置应根据公司标准设置。
另请参阅
概念
其他资源
有关其他信息,请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。