Configuration Manager 控制台安全最佳方案和隐私信息
应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Microsoft System Center Configuration Manager 2007 控制台是与 SMS 提供程序连接的接口。保护 Configuration Manager 2007 控制台计算机,帮助限制对该站点的未经授权访问。
最佳方案
运行 Configuration Manager 控制台时始终使用具有最少权限的帐户 如果您在远程服务器或工作站上安装 Configuration Manager 2007 控制台,则不要使用 Configuration Manager 管理员帐户登录该服务器或工作站。而应该使用普通用户帐户登录,使用“运行方式”(Windows Server 2003 和 Windows XP)或“用户访问控制”(Windows Vista 和 Configuration Manager 2007)启动 Windows Server 2008 操作系统 控制台,并且提供具有 Configuration Manager 2007 管理权限的帐户的凭据。
请勿允许非管理员用户在站点服务器上使用 Configuration Manager 控制台 如果 Configuration Manager 2007 管理员不需要对站点服务器计算机具有完全管理权限,请勿允许他们在站点服务器上运行控制台。而应该在安全的客户端计算机上安装 Configuration Manager 2007 控制台,并且分配 Configuration Manager 2007 对象安全权限,将用户访问权限限制为尽可能少的权限。
限制从 Configuration Manager 控制台浏览网络 Configuration Manager 2007 可以在 Microsoft 管理控制台 (MMC) 窗口中自动显示网页,以显示报表和呈现产品起始页。在 MMC 中使用网页浏览到其他网站会增加攻击者获取控制台计算机(可能还包括站点)的控制权限的风险。
请勿允许低权限终端服务用户与站点系统角色建立连接 允许低权限用户直接访问终端服务会话是一种额外特权。
保护传输站点设置向导的 XML 输出 传输站点设置向导允许您将站点设置导出到 XML 文件,将其保存在本地文件夹或网络共享文件夹中。如果将 XML 文件保存到网络位置,通信将通过 SMB 进行,并且未受到保护。使用 IPsec 帮助保护信道或本地保存文件,并且使用安全的方法将其传输到网络共享位置。
请勿允许非管理员用户通过远程桌面或终端服务访问站点服务器 在站点服务器上这样配置权限时,终端服务用户可以访问能允许他们获得额外特权的文件。而应该在安全的客户端计算机上安装 Configuration Manager 2007 控制台,并且分配 Configuration Manager 2007 对象安全权限,将用户访问权限限制为尽可能少的权限。
隐私信息
当您安装 Configuration Manager 2007 时,您可以选择是否参与客户体验改善计划。如果选择参与,Configuration Manager 2007 将收集有关系统配置、一些 Configuration Manager 2007 组件的性能以及 Configuration Manager 2007 生成的错误事件的统计信息。Windows 会定期将包含摘要数据的小文件发送给 Microsoft。Microsoft 使用数据识别改善产品的方法。
您的参与状态应用到该站点的所有 Configuration Manager 2007 控制台会话。您可以随时更改您的参与状态。从一个控制台会话更改设置将更改所有控制台会话的设置。有关 CEIP 的其他常规信息,请参阅 https://go.microsoft.com/fwlink/?LinkId=81182(页面可能为英文)。
另请参阅
任务
其他资源
Configuration Manager 功能的安全最佳方案和隐私信息
有关其他信息,请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。