通过

如何在客户端上预设置受信任的根密钥

  • 项目

应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Microsoft System Center Configuration Manager 2007 混合模式客户端在为其站点建立管理点信任时存在漏洞期。如果客户端无法查询 Configuration Manager 2007 信息的全局编录,而且如果在安装过程中不预先在客户端上设置受信任的根密钥,则客户端将信任它联系的首个管理点并接受来自该管理点的受信任根密钥。攻击者尝试劫持初始通信并欺骗客户端信任受信任根密钥的伪副本尽管比较困难,但并不是不可能。为了减少此威胁,您可以在安装受信任根密钥时为客户端提供其副本。

备注

在纯模式下此过程不是必需的,因为信任是通过使用 PKI 证书建立。如果客户端可以查询管理点信息的全局编录,则此过程不是必需的。例如,如果您已启用 Active Directory 发布,则相同林中的客户端可以查询全局编录,但是工作组客户端和不同林中的客户端应使用此过程。

如果您已安装客户端,此过程对于减缓安全风险就可能太迟了,因为客户端可能已与管理点建立信任关系。您仍然可以验证客户端上受信任的根密钥是否是正确的受信任根密钥。有关详细信息,请参阅如何验证受信任的根密钥。如果检测到无效的受信任根密钥,请删除受信任的根密钥,然后使用此过程重新设置正确的受信任根密钥。有关删除受信任根密钥的详细信息,请参阅如何删除受信任的根密钥

如果在同一层次结构的站点之间移动客户端,您不需要更改受信任的根密钥,因为同一层次结构中的所有站点使用同一受信任的根密钥。如果将客户端迁移到新的层次结构,您应该按照本主题所述使用 SMSROOTKEYPATH 为客户端预先设置新站点层次结构的受信任根密钥。SMSROOTKEYPATH 将覆盖旧的受信任根密钥。您还可以删除受信任的根密钥,并且允许客户端与新站点中的管理点建立信任,但是预先配置是更安全的选项。

有关受信任的根密钥的详细信息,请参阅关于受信任的根密钥

使用文件预先设置受信任的根密钥

  1. 在文本编辑器中,编辑文件 <Configuration Manager 目录>\bin\<平台> mobileclient.tcf

  2. 找到条目 SMSPublicRootKey= 并将密钥从该行复制到文本文件。

  3. 将带受信任根密钥的文本文件保存到一个文件中,然后将其放到所有计算机都可以访问但又不会被篡改的地方。

  4. 使用任何客户端安装方法安装客户端时,请使用 Client.msi 属性 SMSROOTKEYPATH=<完整路径和文件名>。

不使用文件预先设置受信任的根密钥

  1. 在文本编辑器中,编辑文件 <Configuration Manager 目录>\bin\<平台> mobileclient.tcf

  2. 查找条目 SMSPublicRootKey= 并记下密钥,或者将其复制到剪贴板。

  3. 使用任何客户端安装方法安装客户端时,请使用 Client.msi 属性 SMSPublicRootKey=<密钥>,其中,密钥是从 mobileclient.tcf 复制的字符串。

另请参阅

其他资源

如何在 Configuration Manager 中管理受信任的根密钥
面向 Configuration Manager 安全的任务

有关其他信息,请参阅 Configuration Manager 2007 Information and Support
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。