保护客户端最佳方案
应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Microsoft System Center Configuration Manager 2007 必须接受来自客户端的数据,这带来了客户端可能攻击站点的风险,例如,通过发送格式不正确的清单或者尝试使站点系统过载。仅将 Configuration Manager 2007 部署到您信任的计算机和设备。
下列部分仅适用于客户端计算机。有关移动设备客户端的信息,请参阅移动设备客户端安全最佳方案和隐私信息。
混合模式的最佳方案
自动批准来自受信任域的客户端 批准可以从受信任域中的计算机手动或自动进行,或为所有计算机自动进行,并在混合模式站点的“站点模式”选项卡中配置为站点属性。最安全的批准方法是自动批准属于受信任域成员的客户端。在此模式下,不属于受信任域成员的客户端(包括工作组客户端)必须手动批准。如果希望在允许客户端接收包含敏感数据的策略之前手动验证每个客户端,请将批准模式设置为手动。不建议自动批准所有客户端,除非您具有其他访问控制来避免不受信任的计算机访问您的网络。如果客户端没有经自动方法批准,它仍然显示在 Configuration Manager 2007 控制台中,则可以通过在集合中查找并使用“操作”菜单中的“批准”来手动批准。
备注
如果从 Configuration Manager 2007 控制台中删除先前批准的客户端,当它重新出现在控制台中时,不会批准它,客户端仍将具有包含敏感数据的任何策略。
不要依赖于阻止来阻止客户端访问站点 Configuration Manager 2007 基础结构会拒绝被阻止的客户端,使它们无法与站点系统通信,从而无法下载策略、上载清单数据或者发送状况或状态消息。但如果该站点处于混合模式,则不要依赖阻止来防止不受信任的计算机或移动设备与该站点通信,因为被阻止的客户端可以使用新的自签名证书和硬件 ID 重新加入该站点。此功能旨在用来在使用操作系统部署功能以及纯模式客户端部署客户端时阻止丢失或被泄漏的启动媒体。如果此站点处于纯模式,且公钥基础结构支持证书吊销列表 (CRL),则请始终将证书吊销作为防止可能被泄漏的证书的主要防线。在 Configuration Manager 2007 中阻止客户端为保护您的层次结构提供第二道防线。有关详细信息,请参阅确定是否需要阻止 Configuration Manager 客户端。
将所有客户端升级到 Configuration Manager 2007 并选择“此站点仅包含 ConfigMgr 2007 客户端” 如果选中“此站点仅包含 ConfigMgr 2007 客户端”复选框,则只有经批准的客户端可以接收包含敏感数据的策略。但是,如果没有选中此复选框,包含敏感数据的策略可被发送到任何客户端。
纯模式的最佳方案
尽可能使用纯模式 纯模式使用 PKI 颁发的证书来提供站点系统和客户端之间的身份验证。纯模式旨在成为 Configuration Manager 2007 的最安全的模式。
将所有分发点配置为使用 BITS 如果您没有配置设置“允许客户端使用 BITS、HTTP 和 HTTPS 从此分发点传输内容”,则即使在纯模式下,客户端也将使用服务器消息块 (SMB) 与那些分发点通信。即使在纯模式下,Configuration Manager 2007 也不对 SMB 通信进行身份验证或加密。
不要启用“允许对漫游和站点分配使用 HTTP 通信” 启用此设置允许纯模式客户端在漫游到混合模式站点时使用 HTTP 取代 HTTPS 与常驻管理点和分发点通信。但是,如果没有为 Configuration Manager 2007 扩展 Active Directory 域服务架构,或者纯模式站点管理不受信任的域或工作组中 Intranet 上的客户端,则必须启用此设置。有关详细信息,请参阅决定是否需要为漫游和站点分配配置 HTTP 通信(纯模式)。
遵循证书管理的建议最佳方案 有关详细信息,请参阅证书管理最佳方案。
所有客户端计算机的最佳方案
选择适合您的风险概况的客户端安装方法 有多种方式可用于在被管理的计算机上安装 Configuration Manager 2007 客户端软件。下表讨论了每种方法的安全利弊和注意事项。
| 方法 | 利 | 弊 | 注意事项 |
|---|---|---|---|
手动安装 |
如果实施访问控制和更改控制,则非常安全。 |
相当耗费资源和进程;不适合扩展规模。 需要对每台计算机都具有管理权限的用户。 |
管理员必须为整个过程创建安全控制。 |
映像 |
如果实施访问控制和更改控制,则非常安全。 |
仅适合于部署新的客户端群体,而不能部署到现有计算机。 |
部署新的操作系统时,可以使用 Configuration Manager 2007 的操作系统部署功能来安装 Configuration Manager 2007 客户端软件。 |
组策略 |
轻松调整为大量客户端计算机。 使用 Active Directory 域服务中已经存在的安全控制。 使用管理权限自动运行。 |
需要与 Active Directory 域服务管理员协作。 组织单位可能与应该在整个站点中部署客户端的方式不匹配。 对于工作组客户端不起作用。 |
组策略交互可能太复杂,无法评估。进行监视以确保计算机接收客户端软件和正确的客户端设置。 |
客户端请求安装 |
轻松调整为大量客户端计算机。 |
需要对每个客户端具有管理权限的帐户。 需要文件和打印机共享。 需要在客户端个人防火墙中打开文件和打印共享端口和远程管理服务。有关详细信息,请参阅Configuration Manager 客户端的防火墙设置。 |
不要将域管理员帐户用作客户端请求安装帐户。考虑使用具有较小管理范围的多个客户端请求安装帐户,因此如果攻击者泄露一个帐户,他们不能获取所有 Configuration Manager 2007 客户端计算机的管理控制。有关详细信息,请参阅关于客户端请求安装帐户。 |
软件更新点客户端安装 |
与软件更新功能集成。 降低篡改文件风险,因为所有软件更新都需要签名。 使用管理权限自动运行。 |
需要 WSUS 基础结构。 不能对客户端安装和软件更新使用不同的 WSUS 服务器。 如果客户端尚未安装,则必须使用正确的服务器名称格式和端口号来配置 Active Directory 组策略对象。 |
配置错误的 Active Directory 组策略对象可能阻止客户端从软件更新点获取软件更新。有关详细信息,请参阅如何使用基于软件更新点的安装来安装 Configuration Manager 客户端。 |
软件分发 |
不需要本地管理员帐户升级现有客户端的简单方法 轻松调整为大量客户端计算机。 可配置为使用管理权限运行。 |
只对需要升级的现有客户端计算机起作用。 |
对于所有软件分发,您必须保证 Configuration Manager 2007 创建包所使用的源文件的安全。 |
在建立客户端映像之前删除证书 如果打算使用映像技术部署客户端,则始终应在捕获映像之前删除证书,例如纯模式客户端身份验证证书或者混合模式自签名证书。不这样做可能允许客户端互相模拟,并使得不可能验证每个客户端的数据。有关使用 Sysprep 准备好计算机以建立映像的详细信息,请参阅 https://go.microsoft.com/fwlink/?LinkId=93068(页面可能为英文)。
确保 Configuration Manager 客户端在安装时获取授权的受信任的根密钥副本 如果尚未扩展 Active Directory 架构,客户端依赖于受信任的根密钥来对有效的管理点进行身份验证。没有受信任的根密钥,客户端就无法验证管理点是否是站点的受信任的管理点,从而使手段高明的攻击者能够将客户端定向恶意的管理点。
将客户端计算机配置为使用“仅限于 Active Directory”模式 客户端配置最安全的选项是 SMSDIRECTORYLOOKUP=NoWINS,但是只有当您的客户端可以查询全局编录以便它不应该用于远程林或工作组中的客户端,或者尚未扩展 Active Directory 架构时,才可以使用该选项。如果客户端必须将 WINS 用于服务定位,但设置了 SMSDIRECTORYLOOKUP=NoWINS,则服务定位将失败。有关详细信息,请参阅Configuration Manager 和服务定位(站点信息和管理点)。如果未指定任何属性,则客户端以“安全 WINS”模式安装。“任何 WINS”模式不安全,不建议使用。有关详细信息,请参阅关于 Configuration Manager 客户端安装属性。
确保维护时段足以部署关键软件更新 Configuration Manager 2007 使您能够将客户端所隶属于的集合上的维护时段配置为限制 Configuration Manager 2007 可以用于安装软件的时间。如果设置的时段太短,客户端可能不能安装关键软件更新,从而使客户端容易遭受攻击(可通过软件更新缓解)。
安全问题
下列安全问题没有缓解措施。
状态消息未进行身份验证 不会对状态消息执行身份验证。在混合模式下,任何计算机均可将状态消息发送到管理点。在纯模式下,计算机可能必须从受信任的根 CA 获取有效的客户端身份验证证书,但是随后也可能发送任何状态消息。如果客户端发送无效的状态消息,则该消息将被放弃。针对此漏洞存在一些潜在的攻击。攻击者可能会发送伪造的状态消息以根据状态消息查询获取集合中的成员身份。任何客户端可能通过使用状态消息淹没管理点来针对管理点发起拒绝服务攻击。如果状态消息触发状态消息筛选规则中的操作,则攻击者可能会触发状态消息筛选规则。攻击者还可能发送表明报表信息不准确的状态消息。
可将策略的目标重新确定为非目标客户端 攻击者可能使用几种方法来使策略的目标确定为适用于完全不同的客户端的客户端。例如,受信任的客户端中的攻击者可能发送错误的清单或者发现信息,以将计算机添加到不应该属于的集合,然后接收该集合的所有播发。如果存在控制来帮助防止攻击者直接修改策略,攻击者可能采用现有策略来重新格式化和重新部署操作系统并将它发送到其他计算机,从而创建拒绝服务。这些类型的攻击需要精确计时和 Configuration Manager 2007 基础结构的额外知识。
客户端日志允许用户访问 所有客户端日志文件都允许用户具有读取访问权限和交互用户写入访问权限。如果启用详细日志记录,攻击者可能读取日志文件以查找有关符合性或者系统漏洞的信息。诸如在用户的上下文中执行的软件分发之类的过程必须能够使用低权限用户帐户写入日志。这意味着攻击者也可能使用低权限帐户写入日志。最严重的风险是攻击者可能删除日志文件中的信息,管理员可能需要这些信息来进行审核和入侵者检测。
隐私信息
在部署 Configuration Manager 2007 客户端时,启用客户端代理,以便您能够使用 Configuration Manager 2007 功能。用于配置功能的设置适用于站点中的所有客户端,不管它们是直接连接到公司网络、通过远程会话连接还是连接到 Internet 但受站点支持。客户端信息存储在数据库中,不会发送回 Microsoft。在配置 Configuration Manager 2007 客户端之前,请考虑您的隐私要求。
另请参阅
其他资源
如何在 Configuration Manager 中管理受信任的根密钥
有关其他信息,请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。