安全最佳方案基础知识

应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Microsoft System Center Configuration Manager 2007 中最严重的风险是未经授权的用户可能盗用其功能,然后可能将软件分发给所有 Configuration Manager 2007 客户端。由于 Configuration Manager 2007 能够使用管理权限安装软件,攻击者可以控制每一个 Configuration Manager 2007 客户端,包括计算机和设备。Configuration Manager 2007 还可以从任何客户端计算机检索任何文件,从而给安全和隐私带来严重后果,其严重程度取决于文档性质。

相反,Configuration Manager 2007 所收集的数据(硬件清单、软件清单、计数和所需的配置)的性质通常不被视为机密信息。同样地,由于拒绝服务攻击而短时间丧失 Configuration Manager 2007 功能通常不会带来灾难性影响,这不同于如失去电子邮件、网络通信、光和电源等情况。因缺乏可用性带来的最严重的影响通常在于无法针对零天攻击部署新软件更新。如果客户端因网络访问保护评估而受到限制,丢失 Configuration Manager 2007 基础结构也可能影响客户端的修正功能,从而可能限制它们访问整个网络。

最佳方案

以物理方式保护计算机安全    没有物理保证就没有安全。可通过物理方式访问 Configuration Manager 2007 站点系统的攻击者可能会使用 Configuration Manager 2007 攻击整个客户端群体。必须将所有潜在的物理攻击都视为高风险并采取适当的措施加以减轻。站点服务器和所有站点系统必须放置在安全的、控制进入的服务器机房中。理想情况是,将运行 Configuration Manager 2007 控制台的计算机放置到加锁的机房内,以防他人未经授权而接近它们。但是,如果该操作不可能实现(例如分支分发点的情况),当管理员不在现场时,通过使操作系统锁定工作站或使用安全的屏幕保护程序来保证这些计算机的安全。若要实施最少特权原则,请创建策略以要求 Configuration Manager 2007 使用低权限用户帐户登录到远程管理控制台,然后使用“运行方式”来启动 Configuration Manager 2007 控制台。

由于通常最终用户必须可以访问 Configuration Manager 2007 客户端计算机,因此,更难以用物理方式保证这些客户端计算机的安全。若要减轻这种威胁,请仅允许已授权的员工和访客进入业务办公室。如果有泄漏风险高的客户端计算机,请将它们存放在加锁的办公室并使用上锁的机箱和防盗电缆等额外的安全措施。Configuration Manager 2007 客户端可以是移动计算机和设备。教育用户养成良好安全习惯,例如,对便携式计算机加锁并对设备采用密码。如果便携式计算机或设备丢失或被盗,则采用组织中的既定流程,防止该计算机访问公司网络并立即在 Configuration Manager 2007 控制台中阻止该计算机,同时吊销客户端证书(如果是使用纯模式)。

将最新的安全更新应用于所有计算机     您可以使用 Configuration Manager 2007 软件更新功能将更新部署到 Configuration Manager 2007 客户端计算机。通过订阅安全通知服务来了解有关操作系统、Microsoft SQL Server 和 Configuration Manager 2007 的最新更新信息:https://go.microsoft.com/fwlink/?LinkId=28819(页面可能为英文)。

防止 未经授权的管理员    Configuration Manager 2007 对于使用 Configuration Manager 2007 攻击网络的经过授权的 Configuration Manager 2007 管理员没有任何防范措施。未经授权的管理员是一个高安全风险因素。未经授权的管理员可能发起无数攻击,包括但不限于以下形式:

  • 使用软件分发在企业的每台 Configuration Manager 2007 客户端计算机上自动安装和运行恶意软件。

  • 配置远程控制,不经客户端允许便对 Configuration Manager 2007 客户端进行远程控制。

  • 配置快速轮询间隔和超量清单,以造成对客户端和服务器的拒绝服务攻击。

  • 使用层次结构中的一个站点将数据写到另一站点的 Active Directory 数据。

您不能删除对 Configuration Manager 2007 控制台和 Configuration Manager 2007 站点系统的所有管理访问权限,否则 Configuration Manager 2007 将无法使用。审核所有管理活动并例行检查审核日志。要求在聘用之前对所有 Configuration Manager 2007 管理员进行背景审查,并定期重新审查以确定其是否符合聘用条件。安全性高的工作通常涉及强制休假,因为当管理员不在时,更容易发现未经授权的管理活动。

实施角色分离以限制管理风险    并非所有管理员都需要对 Configuration Manager 2007 具有完全管理访问权限。使用集合安全将管理范围限于尽可能少的管理员。用户角色分离;例如,允许一个人创建包对象,而允许另一人分发这些包对象,使得单个人员无法使用 Configuration Manager 2007 来部署恶意软件。有关对 Configuration Manager 2007 对象分配权限的详细信息,请参阅Configuration Manager 对象安全和 WMI 概述

考虑设计您的站点以限制管理范围;例如,为客户端和服务器创建不同的站点或站点层次结构。

重要

站点层次结构是管理边界。将站点一起加入层次结构后,即使未在子站点显式地授予对象权限,Configuration Manager 2007 设计使父站点也能向子站点发送软件包、集合和配置。存在允许子站点的恶意管理员控制父站点的攻击媒介。为缓解这种风险,请限制层次结构中的站点数并对管理员谨慎屏蔽层次结构中的所有站点。

设计深度防护     由于 Configuration Manager 2007 能够与众多的系统进行交互,因此必须考虑网络中的各个安全层以及这些安全层将与 Configuration Manager 2007 进行交互的方式。外围安全非常重要,但如果仅依赖如防火墙这样的外围安全,则在防火墙受到危害时会增加风险。将网络设计为安全性较低的客户端与安全性较高的客户端之间相互隔离,这可以提供另一层防护。将个人防火墙添加到客户端计算机可增加另一层安全。运行入侵检测软件和基于主机的入侵检测软件有助于筛选出可疑活动。运行防病毒软件是基本措施,可以使用 Configuration Manager 2007 来部署和维护防病毒软件。告知用户关于计算机的安全是网络安全策略的一个关键组成部分。

为所有系统创建和维护安全基准    安全基准是有关如何配置和管理计算机的详细描述。其描述了安全计算的所有相关配置设置。创建安全基准的其中一部分是尽可能使用最安全的操作系统。操作系统越新,则其设计更具有安全性,而且更可能包含使它更安全的功能。当有安全更新可用时,通过应用安全更新来保持操作系统和应用程序最新。您可以使用 Configuration Manager 2007 软件更新功能来将软件更新部署到 Configuration Manager 2007 客户端。请始终使用 NTFS 代替 FAT 分区,以便您可以设置访问控制权限。审核对安全基准的更改。您可以使用 Configuration Manager 2007 所需的配置管理功能来监视对安全基准的更改。

使用强密码或密码短语    始终对所有 Configuration Manager 2007 帐户和 Configuration Manager 2007 管理员帐户使用 15 个或更多字符的强密码。绝不能使用空密码。有关密码概念的详细信息,请参阅 TechNet 上关于帐户密码和策略的描述的白皮书 (https://go.microsoft.com/fwlink/?LinkId=30009)(页面可能为英文)。Configuration Manager 2007 会自动创建特定帐户并为它们生成强密码。

控制导出的文件的访问权限    Configuration Manager 2007 使您能够将许多对象(例如,任务序列、集合、包、站点设置和报表)导出到文本文件,然后在以后导入它们。实施访问控制过程以确保所有导出的文件都安全地存储,从而使攻击者无法在导入前修改内容或搜索文件内容中的信息。

保护包源文件    许多 Configuration Manager 2007 包(例如,操作系统部署、软件分发和软件更新)都需要目录或共享文件夹中的源文件,但 Configuration Manager 2007 不会控制源文件位置。实施访问控制过程,防止攻击者在将这些源文件处理到 Configuration Manager 2007 包之前篡改它们。

另请参阅

其他资源

Configuration Manager 安全最佳方案

有关其他信息,请参阅 Configuration Manager 2007 Information and Support
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。