Configuration Manager 加密控制概述
应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
为了保护网络上的数据,您可以签名数据,使得数据在传输中如果被修改,则放弃该数据。您还可以加密数据,以防止攻击者通过网络监视器等网络协议分析器读取数据。Microsoft System Center Configuration Manager 2007 在混合和纯模式下都使用签名和加密,以下部分对此进行了描述。
所有站点模式下的加密控制
在 Configuration Manager 2007 中某些信息可以被签名和加密,不考虑站点模式。
哈希内容
站点服务器上的分发管理器服务为所有包哈希内容文件。策略提供程序将哈希包括在软件分发策略中。如果播发设置为“从分发点下载内容并在本地运行”,当客户端下载内容时,将在本地重新生成哈希并将其与策略中提供的哈希进行比较。如果哈希匹配,则内容没有被更改,客户端可以安装。如果软件有哪怕一个字节被改变,哈希将不匹配,软件将不会安装。此外,此检查还有助于确保安装正确的软件,因为已用策略交叉检查了实际内容。但是,如果播发设置为“从分发点运行程序”,客户端将不验证哈希。
哈希策略
当 Configuration Manager 2007 客户端请求策略时,它们首先会获得策略分配,以便知道要向其应用哪些策略,之后只请求这些策略正文。每个策略分配都包含根据相应策略正文计算出的哈希。客户端检索适用的策略正文,然后对此正文计算哈希。如果已下载策略正文的哈希与策略分配中的哈希不匹配,策略正文将被放弃。
签署所需的配置管理数据
在 Configuration Manager 2007 导入配置数据之前,将验证文件的数字签名。如果文件没有签名,或如果数字签名验证检查失败,您将收到警告,并提示您继续导入。仅当您充分信任发布者和文件的完整性时才继续导入。
站点到站点签名和加密
站点控制文件包含站点及其所有子站点的所有配置属性。当管理员更改子站点的配置时,父站点将更改包含在站点控制文件中发送到子站点服务器。如果子站点上的管理员更改了配置,更改将包含在站点控制文件中发送给父站点。子站点还将清单和状态等数据发送给父站点,父站点则将包和收集定义等数据发送给子站点。
在站点间发送任何数据之前,发送站点服务器都会生成一个哈希并用其私钥签名。接收站点服务器使用公钥检查签名,并将哈希与本地生成的值进行比较。如果两者匹配,接收站点将接受站点控制文件。如果值不匹配,站点控制文件将被拒绝。
相关配置允许 Configuration Manager 2007 自动将站点到站点通信密钥分发到父站点或子站点,即使信道并不安全。如果您要进行全新安装,“要求安全密钥交换”将默认启用,但如果您正在升级,则将保留当前设置。
启用“要求安全密钥交换”后,可以两种方式交换站点到站点通信公钥:
如果已为 Configuration Manager 2007 扩展了 Active Directory 域服务架构,而且 Configuration Manager 2007 具有发布到 Active Directory 的权限,站点服务器将自动向其在系统管理容器中的站点对象发布其站点到站点通信公钥。
如果尚未启用 Active Directory 架构,或如果 Configuration Manager 2007 没有发布到 Active Directory 的权限,Configuration Manager 2007 管理员必须使用 Preinst 命令转储公钥,然后,将公钥手动复制到目标站点。
重要
自动密钥交换在林间不起作用。如果站点层次结构跨越了林边界,管理员必须手动交换密钥,即使两个林都已扩展架构且 Configuration Manager 2007 正发布到 Active Directory。
站点控制文件内的一些信息被加密;但站点控制文件本身在站点间传输时不加密。您应使用 IPsec 启用对站点到站点通信的加密。有关详细信息,请参阅在 Configuration Manager 2007 中实施 IPsec。
清单签名和加密
无论模式如何,计算机的清单始终要签名,但是,移动设备的清单仅在纯模式下才会签名。在混合模式下,加密是可选的,但建议使用。有关详细信息,请参阅如何加密客户端清单报表。
状态迁移加密
存储在状态迁移点、用于操作系统部署的数据始终被加密。
签署软件更新
所有软件更新必须由受信任的发布者签名,以保护其不被篡改。在客户端计算机上,Windows Update Agent (WUA) 将在目录中扫描更新,但如果在本地计算机的受信任发布者存储中找不到数字证书,安装更新将会失败。如果发布更新目录时使用了自签名证书(如自签名的 WSUS 发布者),此证书还必须位于本地计算机的受信任根证书颁发机构证书存储中,以验证证书的有效性。WUA 还检查本地计算机上是否启用了“允许使用来自 Intranet Microsoft 更新服务位置的签名内容”组策略设置。必须为 WUA 启用此策略设置,以扫描更新发布服务器创建和发布的更新。
在系统中心更新发布服务器中发布软件更新时,数字证书在软件更新发布到更新服务器时对更新进行签署。您可以指定 PKI 证书,或使更新发布服务器生成自签名证书以签署更新。
移动设备管理中的证书
如果移动运营商没有锁定移动设备,Configuration Manager 2007 可帮助安装移动应用程序签名验证所需的证书,方法是将证书作为配置项目发送,或将证书与客户端软件一起安装。如果您的移动设备被锁定,则不能使用 Configuration Manager 2007 来部署证书。有关详细信息,请参阅将证书部署到移动设备客户端。
如果您为移动设备启用了硬件清单,Configuration Manager 2007 还将列出安装在移动设备上的证书清单。
带外管理中的证书(Configuration Manager 2007 SP1 和更高版本)
带外管理至少使用两种类型的 PKI 颁发的证书:AMT 设置证书和 Web 服务器证书。
带外服务点使用 AMT 设置证书来准备计算机以进行带外管理。将要设置的基于 AMT 的计算机必须信任带外管理点提供的证书。默认情况下,基于 AMT 的计算机由计算机制造商配置为使用外部证书颁分机构 (CA),如 VeriSign、Go Daddy、Comodo 和 Starfield。如果从外部 CA 之一购买设置证书,并配置 Configuration Manager 以使用此设置证书,则基于 AMT 的计算机将信任设置证书的 CA,设置将成功。但是,安全最佳方案是使用您自己的内部 CA 颁发 AMT 设置证书。有关详细信息,请参阅带外管理安全最佳方案和隐私信息。
基于 AMT 的计算机在其固件内运行 Web 服务器组件,而该 Web 服务器组件使用传输层安全性 (TLS) 对与带外服务点的信道进行加密。AMT BIOS 没有手动配置证书的用户界面,因此您必须有 Microsoft 企业证书颁发机构,以便自动批准来自主站点服务器的证书请求,并在基于 AMT 的计算机上安装证书。请求使用 PKCS#10 请求格式,它又反过来使用 PKCS#7 将证书信息传输到基于 AMT 的计算机。
尽管基于 AMT 计算机已验证到管理它的计算机,但管理它的计算机上没有相应的客户端 PKI 证书。相反,这些通信使用 Kerberos 或 HTTP Digest 身份验证。使用 HTTP Digest 时,将使用 TLS 进行加密。
Configuration Manager 2007 SP2 可能需要其他类型的证书:用于 802.1X 经过身份验证的有线网络和无线网络的可选客户端证书。基于 AMT 的计算机可能需要客户端证书才能对 RADIUS 服务器进行身份验证。当 RADIUS 服务器是为 EAP-TLS 身份验证而配置时,始终需要客户端证书。当 RADIUS 服务器是为 EAP-TTLS/MSCHAPv2 或 PEAPv0/EAP-MSCHAPv2 而配置时,RADIUS 配置应指定是否需要客户端证书。站点服务器将使用与为基于 AMT 的计算机申请和安装 Web 服务器证书相同的过程申请此证书,并将其安装在基于 AMT 的计算机上。
有关详细信息,请参阅关于带外管理的证书。
多播包的加密 (Configuration Manager 2007 R2)
使用多播传输包时,每个操作系统部署包都有启用加密的选项。如果启用加密,则不需要额外的证书配置。启用多播的分发点将自动生成用于对包加密的对称密钥。每个包都有不同的加密密钥。密钥使用标准 Windows API 存储在启用多播的分发点上。当客户端连接到多播会话时,将在使用 PKI 颁发的客户端身份验证证书(纯模式)或自签名证书(混合模式)进行加密的通道上发生密钥交换。客户端仅在多播会话期间将密钥存储在内存中。
纯模式下的加密控制
纯模式是建议的模式,因为它通过集成公钥基础结构 (PKI) 提供更高级别的安全,以帮助保护客户端到服务器的通信。但是,若没有充分理解 PKI 规划、部署和操作就实施纯模式仍可能使您易受攻击。例如,如果您没有正确保护根 CA 的安全,攻击者可能破坏您的整个 PKI 基础结构的信任。而且,如果您没有正确部署和管理必要的纯模式证书,那么可能使您的所有客户端处于不受管理状态,这样,它们就无法接收重要的软件更新或包。
重要
纯模式仅帮助保护客户端和一些站点系统之间的通信。纯模式不会保护站点服务器和站点系统之间,或者站点服务器之间的信道。
纯模式证书
纯模式需要几种类型的证书:
需要 IIS 的站点系统需要 Web 服务器证书以加密通过 SSL 与客户端的通信。以下站点系统需要 Web 服务器证书。
管理点
代理管理点
分发点
软件更新点
状态迁移点
所有客户端(包括客户端计算机和移动设备客户端)都需要客户端身份验证证书。您还必须将客户端身份验证证书部署到管理点和状态迁移点,即使它们没有安装 Configuration Manager 2007 客户端。如果您的客户端已有客户端身份验证证书,Configuration Manager 2007 可能可以使用您的现有证书。
站点服务器需要自定义站点服务器签名证书以签署发送给客户端的策略。此证书必须有文档签名功能,并有特定的文本字符串作为使用者名称。所有客户端都必须有站点服务器签名证书的副本,以便验证策略上的签名。
有关详细信息,请参阅纯模式的证书要求。
如果 Configuration Manager 2007 层次结构中的所有计算机都使用来自同一证书颁发机构的证书,则只需部署一个受信任的根证书颁发机构。但是不要求使用同一证书颁发机构,因此您可能需要在客户端和服务器上安装多个根 CA。如果没有使用 Microsoft PKI 解决方案,您可能还需要在站点系统上安装中间 CA 证书。
有关详细信息,请参阅部署纯模式所需的 PKI 证书。
备注
所有 Configuration Manager 2007 证书的使用者名称或使用者备用名称中必须仅包含单字节字符。有关详细信息,请参阅纯模式证书和双字节字符集。
基于 Internet 的客户端管理证书
基于 Internet 的客户端管理要求纯模式以及所有纯模式证书基础结构。此外,如果站点支持基于 Internet 的客户端管理且您对传入的 Internet 连接使用的是具有 SSL 终端(桥接)的代理服务器,您必须在代理服务器上配置服务器身份验证和客户端身份验证证书。如果使用的是没有 SSL 终端(隧道)的代理服务器,那么代理服务器上不需要其他证书。有关详细信息,请参阅确定将代理 Web 服务器与基于 Internet 的客户端管理配合使用的要求。
纯模式下的移动设备客户端证书
如果您有分配到纯模式站点的移动设备,这些移动设备需要证书以支持纯模式。纯模式移动设备客户端需要站点服务器签名证书的副本、支持移动设备的管理点和分发点的 Web 服务器证书副本以及中间 CA 和根 CA 的副本。移动设备需要个人存储中具有客户端身份验证功能的证书。有关详细信息,请参阅关于移动设备客户端的纯模式证书。
客户端计算机需要证书以进行计算机身份验证,与之不同,移动设备需要用户身份验证证书以对纯模式站点系统进行身份验证。
纯模式下的操作系统部署证书
当您使用 Configuration Manager 2007 在纯模式下部署操作系统时,客户端计算机还必须具有与管理点通信的证书,即使计算机处于过渡阶段(如从任务序列媒体或 PXE 服务点启动)。要支持这种情况,必须用私钥创建和导出 PKI 客户端身份验证证书,以及必须在站点服务器属性中配置管理点受信任的根 CA 的证书。
如果您正在创建可启动媒体,请在创建可启动媒体时导入客户端身份验证证书。您应对可启动媒体设置密码以帮助保护私钥和任务序列中配置的其他敏感数据。从可启动媒体启动的每台计算机将根据客户端功能(如请求策略)需要向管理点显示同一证书。
如果使用 PXE 启动,您将客户端身份验证证书导入 PXE 服务点,它将同一证书加载到从该 PXE 服务点启动的每个客户端。您应请求用户连接到 PXE 服务点以提供密码,从而帮助保护私钥和任务序列中的其他敏感数据。
如果任意这些客户端身份验证证书被泄露,您应在“证书”节点的站点属性中阻止这些证书。管理这些证书需要管理操作系统部署证书权限。
部署了操作系统并安装 Configuration Manager 2007 后,客户端将需要自己的 PKI 客户端身份验证证书以进行纯模式通信,如本部分前面所述。
有关详细信息,请参阅如何管理纯模式证书和操作系统部署。
纯模式下支持扩展 Configuration Manager
独立软件供应商 (ISV) 可以创建扩展 Configuration Manager 2007 的应用程序。例如,ISV 可以创建扩展以支持 Macintosh 或 UNIX 计算机等非 Windows 客户端平台。但是,如果站点处于纯模式,即使扩展后的客户端也必须使用证书与 Configuration Manager 2007 管理点通信。Configuration Manager 2007 可以将证书分配给启用 ISV 代理客户端和管理点之间通信的 ISV 代理。如果您使用需要 ISV 代理证书的扩展,请参阅此产品的文档。如果您需要创建 ISV 代理证书,请参阅 Configuration Manager 2007 软件开发工具包 (SDK) 以获取详细信息。
如果 ISV 证书被泄露,您应在“证书”节点的站点属性中阻止此证书。
纯模式下未加密的通信
在纯模式下,通信通常通过 SSL 加密。但是,在以下情况下,纯模式客户端与站点系统的通信不使用加密:
为播发配置了“从分发点运行程序”选项
客户端未能建立到分发点的 HTTPS 连接
客户端正与以下站点系统通信:
回退状态点
服务器定位器点
PXE 服务点
系统健康验证程序点
在纯模式下,客户端计算机配置为 HTTP 通信以实现漫游和站点分配,从而与 服务器定位器点通信
分支分发点,即使在纯模式下都始终使用服务器消息块 (SMB) 协议
分发点没有配置为“允许客户端使用 BITS、HTTP 和 HTTPS 从此分发点传输内容”。没有此设置,客户端将始终使用 SMB,即使在纯模式下。
报表点配置为独立于站点模式使用 HTTP 或 HTTPS。
有关详细信息,请参阅在混合模式和纯模式下的客户端通信。
纯模式下的签名
在纯模式下,客户端策略分配由站点服务器签名证书签署,以避免被泄露的管理点发送被篡改的策略等安全风险。当您使用基于 Internet 的客户端管理时这种保护措施尤其有关系,因为此环境需要暴露在 Internet 通信中的管理点。而且,客户端和服务器之间的客户端通信也要签名,例外情况请参阅“纯模式下未加密的通信”部分。
CRL 检查
在 IIS 中默认启用证书吊销列表 (CRL) 检查,因此,如果您的 PKI 部署使用的是 CRL,在大部分 Configuration Manager 站点系统上不必配置其他选项。例外情况是软件更新要求手动步骤来启用 CRL 检查以验证软件更新文件上的签名。有关详细信息,请参阅如何对软件更新启用 CRL 检查。
当以纯模式安装站点时,默认情况下为处于纯模式的客户端计算机启用 CRL 检查,但当以混合模式安装站点,然后迁移到纯模式时,默认情况下禁用 CRL 检查。启用 CRL 检查会增加管理和处理开销,但更安全。但是,如果启用了 CRL 检查而客户端不能访问 CRL,客户端将无法与站点通信。有关详细信息,请参阅确定是否需要在客户端上启用证书吊销检查 (CRL)(纯模式)。
混合模式下的加密控制
在混合模式下,一些证书仍然可用,但它们是自签名证书且不需要 PKI 基础结构。大多数情况下,自签名证书不需要管理员操作。
策略签名
客户端在混合模式下请求策略时,发回的策略分配将由管理点的自签名证书签署。纯模式更安全的一个原因是除由 PKI 颁发的管理点证书签署外,策略还由中央站点服务器签名证书签署。在混合模式下,泄露管理点的攻击者可以创建和签署任意策略。如果客户端无法验证策略分配上的签名,客户端将放弃策略分配。
操作系统部署证书
当您使用 Configuration Manager 2007 在混合模式下部署操作系统时,客户端计算机还必须具有与管理点通信的证书,即使计算机处于过渡阶段(如从任务序列媒体或 PXE 服务点启动)。要在混合模式下支持此方案,Configuration Manager 2007 将生成自签名证书。如果自签名证书被泄露,您应在“证书”节点的站点属性中阻止这些证书,以免攻击者使用它们假冒受信任的客户端。
客户端和服务器身份验证
在混合模式下,客户端使用 Active Directory 域服务或使用 Configuration Manager 2007 受信任的根密钥对其管理点进行身份验证,如关于受信任的根密钥中所述。客户端不对其他服务器角色进行身份验证,如状态迁移点或软件更新点。混合模式下的客户端生成自签名证书,管理点使用这些证书对客户端进行身份验证。由于所有客户端都可以生成将被管理点接受的自签名证书,因此混合模式提供的安全性最低。但是,只有被批准的客户端才会获得充分信任,以接收所有包含敏感信息的策略。
Configuration Manager 中使用的加密算法
在 Configuration Manager 2007 中使用的主要哈希算法是 SHA-1。当两个 Configuration Manager 2007 站点相互通信时,它们使用 SHA-2 对其通信进行签名。在 Configuration Manager 2007 中实施的主要加密算法是 3DES。此外,如果实施纯模式,您可以按照纯模式的证书要求所述将 PKI 配置为使用密钥长度最大的 RSA 证书。对于大多数加密操作来说,Configuration Manager 使用 Windows CryptoAPI 库 rsaenh.dll 中的 SHA-1、SHA-2、3DES 和 RSA 算法。
备注
如果您的站点层次结构中有 SMS 2003 站点,Configuration Manager 2007 将使用 MD5 哈希来签署与 SMS 2003 子站点的通信。对于在 SMS 2003(无 Service Pack)中创建的包,在使用 SMS 2003(带任何 Service Pack)或 Configuration Manager 2007 中的更新分发点向导对其进行更新之前,这些包使用 MD5 计算哈希,而更新之后将使用 SHA-1 计算哈希。
另请参阅
其他资源
有关其他信息,请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。