维护 Configuration Manager 安全的最佳方案
应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
保证您 Microsoft System Center Configuration Manager 2007 环境的安全不是一次便可完成随即抛之脑后的任务。每天,攻击者们不断发起新的攻击,以利用新发现的漏洞。合并的或新的产品系列可能完全更改组织的可接受安全风险度。定期查看 Configuration Manager 2007 安全实施的各个方面,包括设计、实施、策略和维护。
最佳方案
创建并遵守安全策略 文档化的策略和过程对于任何系统都是有利的,应针对 Configuration Manager 2007 安全加以实施。安全策略是有关标准和行为的声明。安全过程是对每个组织如何实施安全策略的详细说明。例如,您的安全策略可能声明何时可以接受使用远程工具。安全过程包括以下步骤:验证是否正在收集远程工具状态消息、查看验证报告的频率、怀疑违背策略时该怎么办。为了使策略有效,必须定期查看并根据需要进行修订。
有关策略和过程的详细信息,请参阅 TechNet 安全中心的 https://go.microsoft.com/fwlink/?LinkId=50941(页面可能为英文)。
使用测试实验室测试将来有关安全问题的更改配置 在安装并在测试实验室中使用 Configuration Manager 2007 之前,不要在任何生产服务器上安装它。没有首先在独立网络上进行测试就在生产环境中安装 Configuration Manager 2007,可能导致非预期甚至具有潜在破坏性的结果。将新的安全措施引入生产环境之前,请先在实验室中对其进行测试。验证您是否可以在不将新的漏洞引入网络的前提下实施安全过程。验证新措施不会干扰关键任务的业务活动。例如,实施 IPsec 对于数据传输安全是一项重要的安全措施,但如果实施不正确就会完全停止所有网络通信。
保护测试实验室 测试实验室需要与生产环境相当的安全。未受保护的测试实验室会让攻击者发现漏洞,而这些漏洞可能会在生产环境中重新生成。通常,实验室环境中的密码安全都不受重视。为了不影响测试,密码可能被贴在实验室的计算机上或经常被更改。攻击者可能会获得对实验室中开发的脚本和包的访问权并引入漏洞,而这些漏洞会在生产中被充分利用。
采用物理方式保证实验室环境的安全。为实验室强制实施与生产环境相同的密码标准。审核实验室环境是否有入侵迹象。
测试备份和恢复过程 除非定期测试备份过程,否则该过程毫无意义。Configuration Manager 2007 备份和恢复过程复杂,应定期对其进行测试。有关开发和实施备份和恢复过程的详细信息,请参阅备份和恢复概述。
保护备份媒体 Configuration Manager 2007 备份任务生成注册表、文件结构和 Configuration Manager 2007 站点数据库的副本。获得备份媒体访问权限的攻击者可能获得有关网络的重要信息,如 IP 地址、Active Directory 站点名称以及所有客户端计算机的状态。涉及备份媒体的攻击可能与对服务器的物理攻击同样严重。与所有备份一起,请将 Configuration Manager 2007 备份媒体存储在安全的位置,考虑加密备份文件,并建立受控过程来检查和还原媒体。
查看 Configuration Manager 设置 良好的更改和配置管理有助于保证安全。在缺少正确计划、测试、授权和更改跟踪的情况下,最好不要对生产进行任何更改。即使可能存在最佳的更改控制,仍需定期查看 Configuration Manager 2007 配置,以验证没有进行任何授权的更改。使用所需的配置管理监视对授权基线配置的更改。
备注
解除站点系统和用户帐户的授权时,验证所有相关权利和权限是否也被删除。
查看审核日志 您可以使用操作系统的审核工具监视操作系统的安全。启用安全审核后,监视 Configuration Manager 2007 相关事件的安全事件日志。仔细检查是否有任何涉及 Configuration Manager 2007 帐户或资源的失败。Windows 事件日志可能被填满,默认情况下,新项目将开始覆盖旧项目。为了诊断问题及其他原因,可能必须参考旧的事件日志。因此,建议您备份 Windows 事件日志,并将备份存储在安全且可访问的位置。必要时,请增大日志文件的默认大小,以容纳更多的数据。
监视 Configuration Manager 操作 监视 Configuration Manager 2007 的操作性活动,以确保仅发生授权活动。例如,监视大集合或可疑集合的创建、播发的创建、从大集合到正向其播发的集合的链接添加,或包的更新。
Configuration Manager 2007 状态子系统提供了审核事件,以监视此类活动。默认情况下,所有审核事件保留 180 天。默认情况下,其他服务器状态消息保留 30 天。Configuration Manager 2007 提供了一些默认状态消息查询,可用来审核与安全相关的活动。下面是状态消息查询列表的一部分,在监视未授权活动时,您会发现该列表非常有用:
已创建、已修改或已删除的安全权限
已创建、已修改或已删除的播发
已创建、已修改或已删除的包
已创建、已修改或已删除的程序
(无法运行)(无法启动)特定播发程序的客户端
服务器组件配置更改
客户端组件配置更改
远程工具活动(所有)
已创建、已修改或已删除的站点地址
已创建、已修改或已删除的站点边界
已创建、已修改或已删除的 SQL 命令
已创建、已修改或已删除的 SQL 任务
(特定用户的)(来自特定站点的)所有审核状态消息
定期测试 Configuration Manager 安全 测试 Configuration Manager 2007 安全,并在之后定期对其进行测试。尝试使用已创建的帐户和委托的任务访问所有类型的 Configuration Manager 2007 资源,以验证 Configuration Manager 2007 对象和数据是否受到保护。尝试使用未经授权帐户访问资源。
制定事件响应计划 设计事件响应计划可能与“从网络中拔下受影响的计算机、重新格式化和重新安装”一样简单,也可能是一项非常复杂的工作,好比需要受过专业培训、并且熟练掌握收集证据技巧以取得胜诉的辩论专家。决定响应的合适级别并定期实施计划。有关灾难恢复和事件响应的详细信息,请参阅 Microsoft TechNet 站点中关于灾难恢复和事件响应的描述 (https://go.microsoft.com/fwlink/?LinkId=28825)(页面可能为英文)。
保证内部 Configuration Manager 文档的安全 您的网络文档可以提供成功实施攻击所需要了解的所有情况。即使是 Configuration Manager 2007 的内部联系人列表,也可用于社会工程攻击。将您的 Configuration Manager 2007 文档保存在安全位置。使用粉碎机或安全的文档删除服务处理 Configuration Manager 2007 文档。如果保留灾难恢复的 Configuration Manager 2007 文档备份副本,请保证备份副本的安全。
对组织进行培训以遵循安全最佳方案 为您的最终用户制定全面的用户培训计划,使其了解保证安全是每个人的责任。对网络管理员进行有关正确的安全过程以及强制遵守安全策略的培训。Configuration Manager 2007 管理员如果没有锁定 Configuration Manager 2007 控制台,则无异于“邀请”不满员工对其发起攻击。而他们将成为帮助攻击者获取所有所需信息的“接待员”,这些信息将使重要商业机密的安全受到威胁。
隐私信息
备份媒体包含所有站点信息,包括敏感信息,如通过 Configuration Manager 2007 功能收集的计算机名称和 IP 地址。应按照本地隐私规则保护备份文件中的个人识别信息。
有关其他信息,请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。