层次结构安全最佳方案
应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
安全注意事项可能影响您对于 Microsoft System Center Configuration Manager 2007 站点或站点系统的需求,以及它们在层次结构设计中的布局。在部署客户端时,安全注意事项非常重要。尽早把安全措施纳入部署计划中,以便 Configuration Manager 2007 实施能正常运行和保证安全。如果已经部署了 Configuration Manager 2007,请重新审查您的设计决策,并从安全角度对其进行分析。
最佳方案
隔离高度安全环境中的站点 连接层次结构中的两个或多个站点时,父站点按照设计可以修改任何子站点或孙站点。但是,任何站点都可能被用来攻击层次结构中的任何其他站点,并且可能会控制父站点、子站点或同级站点。此外,如果发布到 Active Directory 域服务,则任何站点均可能会写入同一林中的任何其他站点对象,包括不在同一层次结构中的站点。防止某个站点写入另一个站点的唯一方法是将站点放到独立的林中。
尽可能少地使用站点 有大量站点表现出相当低的风险,但是减少站点数量也就减少了攻击面,所以在设计部署时应予以考虑。为了安全减少站点数量必须与其他设计注意事项(如带宽、性能和客户端配置)进行慎重权衡。单一站点是最安全的选项,因为无需执行下列操作:
在站点间传输数据
管理站点间的发送程序帐户
信任其他站点的管理员
Configuration Manager 2007 中的性能增强使单一站点能够支持更多客户端,使合并分开的站点以提高性能成为可能。也许能够用受保护的分发点来替代较小的站点,从而减少站点数量(如果这与其他设计目标一致)。
避免站点跨林 林是 Active Directory 的管理边界。站点跨林会允许其他林管理站点,从而破坏此边界。如果以下站点系统安装在远离站点服务器林的林中,则支持这些站点系统,但这不是最佳安全方案。
服务器定位器点
回退状态点
分发点,配置为支持基于 Internet 的客户端
管理点,配置为支持基于 Internet 的客户端
软件更新点,配置为支持基于 Internet 的客户端
对于网络访问保护,您必须在远程林中有一个系统健康验证程序点,因为网络策略服务器 (NPS) 与站点服务器不在相同的林中。
适用于操作系统部署,使用 PXE 服务点时
适用于基于 Internet 的客户端,前提是必须将站点系统角色安装在外围网络中,以支持基于 Internet 的客户端。
支持一个林中安装一个主站点,一个远程林中安装一个子主站点。不支持在非父站点的林中安装辅助站点。支持在远离站点服务器的林中安装客户端。
层次结构中的所有站点之间要求安全密钥交换 默认情况下,为新的安装而不是升级启用安全密钥交换。层次结构中接受不安全密钥交换的任何站点均可能会复制整个层次结构中的不安全站点数据。所有站点(包括层次结构中的 SMS 2003 站点)始终要求安全密钥交换。有关详细信息,请参阅如何在站点之间手动交换公钥。
在混合模式下,将所有客户端升级到 Configuration Manager 2007,并且将站点配置为仅包含 ConfigMgr 2007 客户端 虽然使用纯模式是最佳选择(纯模式要求所有客户端运行 Configuration Manager 2007),但是如果必须使用混合模式,您仍然应当将层次结构中的所有客户端升级到 Configuration Manager 2007。对层次结构中的每个站点完成所有客户端升级后,您应当启用站点属性“站点模式”选项卡上的“此站点仅包含 ConfigMgr 2007 客户端”设置,以防止将包含敏感数据的策略发送到任何客户端。
将所有站点升级到 Configuration Manager 2007 如果站点层次结构中有任何 SMS 2003 站点,Configuration Manager 2007 将使用 MD5 哈希发送到 SMS 2003 站点的数据。
有关其他信息,请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。