了解 Configuration Manager 安全

应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Microsoft System Center Configuration Manager 2007 的安全由多个安全层组成。首先,Windows 提供了针对操作系统和网络的安全功能。例如,Windows 提供了:

  • 在 Configuration Manager 2007 组件之间传输文件的文件共享

  • 保证文件和注册表项安全的访问控制列表 (ACL)

  • 保证通信安全的 IPsec

  • 用于设置安全策略的组策略

  • 针对 Configuration Manager 2007 控制台等分布式应用程序的 DCOM 权限

  • 存储安全主体的 Active Directory 域服务

  • Windows 帐户安全,包括一些在 Configuration Manager 2007 安装过程中创建的组

其他安全组件(如防火墙和入侵检测)有助于为整体环境提供全面防护。由行业标准 PKI 实施发行的证书有助于提供 Configuration Manager 2007 组件的身份验证,并为分发到移动设备客户端的应用程序签名。

Configuration Manager 2007 以几种方式控制对 Configuration Manager 2007 控制台的访问。默认情况下,只有管理员有权访问在 Configuration Manager 2007 控制台安装的计算机上运行控制台所需的文件和注册表项。

下一安全层通过 Windows 管理规范 (WMI) 访问,特别是 SMS 提供程序。默认情况下,SMS 提供程序受到本地 SMS 管理员组成员的限制。此组最初仅包括安装了 Configuration Manager 2007 的用户。要授予其他帐户对通用信息模型 (CIM) 存储库和 SMS 提供程序的权限,请将其他帐户添加到 SMS 管理员组中。

最后一个安全层是对站点数据库中对象的权限。默认情况下,您用来安装 Configuration Manager 2007 的本地系统帐户和用户帐户有权管理站点数据库中的所有对象。您可以在 Configuration Manager 2007 控制台中为其他用户授予权限。

安全模式

Configuration Manager 2007 中有两种安全模式。

纯模式是新 Configuration Manager 2007 站点的建议站点配置,因为它通过集成公钥基础结构 (PKI) 来提供更高级的安全性,从而帮助保护客户端到服务器的通信。PKI 可以帮助公司满足其安全和业务要求,但必须认真设计和实施它们才能满足当前和未来需求。安装仅支持 Configuration Manager 2007 操作的 PKI 可满足特定短期目标,但可能妨碍 PKI 以支持其他应用程序为目标的进一步扩展。如果您的组织已有设计完善的行业标准 PKI,Configuration Manager 2007 应当能够使用来自现有 PKI 的证书。

重要

纯模式要求在实施前进行精心规划和实验室测试。如果没有正确实施 PKI 基础结构以支持 Configuration Manager 2007,整个站点可能停止运行。没有完全了解要求,切勿在生产环境中实施纯模式。

尽管纯模式是 Configuration Manager 2007 中最安全的模式,但对于多数组织,混合模式下的安全性已足够,而且,此模式下要求的管理开销较小。在从现有 Systems Management Server (SMS) 2003 站点升级时,默认设置为混合模式,并且为安装了 SMS 2003 站点和 Configuration Manager 2007 站点的层次结构提供了后向兼容性。可以用混合模式安装,以后再迁移到纯模式。也可以从纯模式恢复到混合模式。在实施迁移和恢复之前,都需要对其进行全面规划。

纯模式站点不能向混合模式站点报告。从混合模式迁移到纯模式时,始终先转换中央站点,然后向下转换。

基于 Internet 的客户端

可将使用 VPN 或拨号技术连接到组织网络的计算机作为常规 Configuration Manager 2007 客户端来管理。可将连接到 Internet 但从不连接到组织网络的计算机配置为基于 Internet 的客户端。基于 Internet 的客户端只能属于纯模式站点。管理基于 Internet 的客户端需要认真规划站点系统所处的位置。例如,您可以将管理点和分发点置于外围网络中,也可以允许基于 Internet 的客户端遍历防火墙以访问组织网络内的站点系统,或者,您可以在外围网络中创建单独的站点以支持基于 Internet 的客户端。

隐私

在网络管理产品允许您高效管理大量客户端时,您还必须注意此软件影响您组织中用户的隐私的方式。Configuration Manager 2007 包括许多收集数据和监视客户端计算机的工具,其中一些工具可能会产生隐私问题。

在部署 Configuration Manager 2007 客户端时,启用客户端代理,以便您能够使用 Configuration Manager 2007 功能。用于配置功能的设置适用于站点中的所有客户端,不管它们是直接连接到公司网络、通过远程会话连接还是连接到 Internet 但受站点支持。客户端信息存储在数据库中,不会发送回 Microsoft。在实施 Configuration Manager 2007 之前,请考虑您的隐私要求。

Configuration Manager 帐户和组

对于大多数站点操作,Configuration Manager 2007 使用本地系统帐户。某些配置可能需要创建和维护其他帐户。安装期间将创建多个默认组和 SQL Server 角色,但您可能必须将计算机或用户帐户手动添加到这些默认组和角色中。

另请参阅

其他资源

Configuration Manager 2007 基础知识

有关其他信息,请参阅 Configuration Manager 2007 Information and Support
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。