保护通信最佳方案
应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Microsoft System Center Configuration Manager 2007 活动从来不局限于一台计算机。示例包括下列各项:
客户端与管理点通信。
站点服务器与所有站点系统通信,站点系统可以安装在远程计算机上。
所有域成员与域控制器通信以进行身份验证和授权。
站点层次结构可以跨广域网 (WAN) 链接以及防火墙和虚拟专用网 (VPN) 安装。
如果无法保证站点间 Configuration Manager 2007 通信的安全,则客户端可能受到未经授权的服务器的攻击,可能暴露高权限凭据,或者可能在 Configuration Manager 2007 站点数据库中插入伪造的数据。
最佳方案
使用纯模式 纯模式为 Configuration Manager 2007 客户端和服务器之间的大部分通信自动提供相互身份验证和加密。
要求安全密钥交换 默认情况下,将对新安装启用“要求安全密钥交换”;升级时将保留现有的密钥交换设置,但您应该启用此设置(即使层次结构中只有一个站点)以降低攻击者发送伪造站点控制文件的风险。如果您已扩展 Active Directory 架构并配置了发布,则 Configuration Manager 2007 通过 Active Directory 交换密钥,这有助于保证密钥交换过程的安全。如果尚未扩展 Active Directory 架构或者尚未正确配置发布,则管理员必须通过手动过程交换密钥。有关详细信息,请参阅如何要求在站点之间进行安全密钥交换。
考虑将非默认端口号用于客户端通信 将非默认端口用于协议(例如 HTTP 和 HTTPS)可降低攻击者的速度。例如,许多公司阻止 TCP 端口 80,使用另一个 HTTP 端口。您可以逐站点配置端口。但是,如果没有为整个层次结构配置同一端口,则 Configuration Manager 2007 客户端在漫游时可能会遇到问题。有关详细信息,请参阅如何为 Configuration Manager 客户端配置请求端口。
如果客户端不能查询 Active Directory,管理受信任的根密钥配置过程 如果客户端因为未启用 Active Directory 发布或者因为客户端是工作组或远程林客户端而不能查询全局编录,则它们必须依赖于受信任的根密钥来对有效的管理点进行身份验证。受信任的根密钥存储在客户端注册表中,可使用组策略进行设置或手动对其进行配置。如果客户端在第一次联系管理点之前没有受信任的根密钥的副本,则它信任与其通信的第一个管理点。为了降低攻击者将客户端误定向到非授权管理点的风险,您可以为客户端预设置受信任的根密钥。有关详细信息,请参阅如何在客户端上预设置受信任的根密钥。
使用 IPsec 保证站点系统间的通信安全 尽管 Configuration Manager 2007 纯模式可保护 Configuration Manager 2007 客户端与 Configuration Manager 2007 站点系统之间的信道,但是,Configuration Manager 2007 无法保护任何站点系统之间的信道,无论是在同一个站点中还是在不同站点中,无论是在内部网络中还是在外围网络中,也不考虑站点模式。您应该在所有站点系统之间实施 IPsec 以对其通信进行加密和身份验证。有关详细信息,请参阅在 Configuration Manager 2007 中实施 IPsec。如果不能启用 IPsec,则至少应在所有站点系统之间启用 SMB 签名。
配置防火墙以允许必需的 Configuration Manager 流量 安全最佳方案指示,除了明确配置的端口外,应拒绝防火墙中的所有端口。Configuration Manager 2007 是一项设计复杂的产品,需要多个端口以进行正确通信。端口使用视配置选项的不同而不同,如使用纯模式还是混合模式。有关详细信息,请参阅 Configuration Manager 使用的端口。
保护站点服务器与包源服务器之间的信道 Configuration Manager 2007 不保护站点服务器计算机与存储用于创建包的源文件的计算机之间的信道。使用 IPsec 保护 Configuration Manager 2007 在检索包源文件时使用的 SMB 通道,以帮助防止攻击者篡改文件。
保护安装媒体与站点服务器之间的信道 如果从网络位置运行安装程序,请确保在安装文件的源位置与站点服务器之间使用 IPsec,以帮助防止攻击者篡改文件。
另请参阅
其他资源
有关其他信息,请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。