Configuration Manager 安全和隐私规划
应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Microsoft System Center Configuration Manager 2007 安全控制非常灵活,可随时实施或更改。如果提前对多项与安全有关的配置(如更改默认端口号和使用自定义网站)进行规划,将更容易实施。在使用 Configuration Manager 2007 时,隐私也是一项重要的规划注意事项。
建议的安全配置
下列配置被认为可能是最安全的 Configuration Manager 2007 环境。
在整个层次结构中使用纯模式。
扩展面向 Configuration Manager 2007 的 Active Directory 架构,并启用 Active Directory 发布。在相同的林中配置客户端,以使它们可以查询 Active Directory。
使用 IPsec 保证站点系统间的通信安全。
即使已安装了具有不同配置的 Configuration Manager 2007,您也可以随时升级到此配置。
使用纯模式
纯模式要求您将所有站点和客户端升级到 Configuration Manager 2007,并使用来自公钥基础结构 (PKI) 的证书对站点系统和客户端进行身份验证。尽管这会增加管理开销,但客户端和站点系统之间的身份验证及加密消除了多个攻击媒介。例如,在纯模式下,管理点在接受清单信息之前对客户端进行身份验证,而在混合模式下,客户端不经过身份验证。有关详细信息,请参阅在纯模式和混合模式之间选择。
备注
在混合模式下,如果选中“此站点仅包含 ConfigMgr 2007 客户端”复选框,则只有经批准的客户端可以接收包含敏感数据的策略。但是,如果没有选中此复选框,包含敏感数据的策略可被发送到任何客户端。
使用架构扩展和 Active Directory 发布
架构扩展不是运行 Configuration Manager 2007 所必需的,但它们确实可创建更安全的环境。您应启用 Active Directory Configuration Manager 2007 架构扩展和发布到 Active Directory 的 Configuration Manager 2007,以便管理点可以在 Active Directory 中发布其证书及位置。您还应当规划站点以使所有客户端都处在与站点服务器相同的林中;这样,林中的客户端可以识别来自受信任源的已授权管理点。您不应当使用工作组中的客户端,因为它们不能在 Active Directory 中查询站点信息。
Active Directory 还可以存储用于对站点间数据传输进行签名的公钥。公钥在恢复操作过程中更改时,新密钥自动传播到子站点和父站点。如果要从 SMS 2003 升级,您还应当升级 Configuration Manager 2007 的架构扩展。有关架构扩展的详细信息,请参阅决定是否应扩展 Active Directory 架构。
使用 IPsec 保证站点系统间的通信安全
纯模式或混合模式都不保证站点服务器和站点系统之间的信道的安全。如果不使用象 IPsec 这样的方法来保证这些通道的安全,攻击者可以对站点系统发起各种欺骗和中间人攻击。有关详细信息,请参阅在 Configuration Manager 2007 中实施 IPsec。
端口规划
从安全角度来看,使用非默认端口通常很有利,因为这样使攻击者更难探测环境以准备发起攻击。如果要使用非默认端口,最轻松的方法是在开始阶段进行规划,并在层次结构中的所有站点上统一使用这些端口,尤其是要支持漫游时。如果没有为客户端部署选定的非默认端口,之后,您将需要返回并重新配置。
自定义网站规划
Configuration Manager 2007 允许您为 IIS 使用自定义网站,而不使用默认网站。尽管不建议在 IIS 中使用站点系统宿主非 Configuration Manager 2007 应用程序,但是,如果您确实选择让两种应用程序并存,则应当始终使用自定义网站。自定义网站是站点范围的设置,而不是站点系统设置;您必须将组织中的所有站点系统配置为使用自定义网站。
帐户规划
对大部分站点操作,Configuration Manager 2007 主要使用本地系统帐户,但是,可在 Configuration Manager 2007 控制台中创建并配置多个可选帐户以执行特定功能。在规划阶段,决定需要配置哪些可选帐户,然后与组织中的帐户管理员一起创建这些帐户。有关详细信息,请参阅 Configuration Manager 中的帐户和组 中的每个帐户的详细说明。
安全权限规划
System Center Configuration Manager 2007 根据安全权限授予访问其功能的权限。配置 Configuration Manager 2007 安全的一部分是创建各种安全权限,以便 Configuration Manager 2007 管理员可以访问某些功能和数据。
您应当确定要在组织中使用的角色并进行规划,分配尽可能少的安全权限以执行这些角色。有关详细信息,请参阅Configuration Manager 对象安全和 WMI 概述。
隐私规划
尽管配置管理产品使您可以有效地管理大量客户端,您仍然必须了解此软件可能影响您组织中用户的隐私的方式。Configuration Manager 2007 包含多个工具,可用于收集数据和监视客户端计算机,其中有一些可能会引发隐私问题。在部署 Configuration Manager 2007 之前,请考虑您的隐私要求。有关详细信息,请参阅Configuration Manager 隐私概述。
权限注意事项
如果安装了新的 Configuration Manager 2007 站点服务器,则站点重置会将访问控制列表 (ACL) 设置回为原始设置。如果您升级现有的 Systems Management Server (SMS) 2003 站点,则安装程序不会更改已升级目录的权限。此外,如果重置从 SMS 2003 升级的站点,则站点重置不会重新设置已升级目录的 ACL。
另请参阅
其他资源
Configuration Manager 单个站点规划和部署
Configuration Manager 2007 安全和隐私
有关其他信息,请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。