保护站点系统的最佳方案
应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Microsoft System Center Configuration Manager 2007 使用各种具有特殊功能的站点系统。Configuration Manager 2007 客户端与管理点进行交互。管理点与站点服务器和 Configuration Manager 2007 站点数据库服务器交互。客户端可能需要服务器定位器点才能找到管理点。此外,您选择实施的功能可能还需要其他站点系统角色,包括外围网络中的站点系统角色以支持基于 Internet 的客户端管理。站点系统的多样性必然会增加企业中 Configuration Manager 2007 的攻击面。如果无法保护站点服务器、管理点和站点数据库服务器,则可能允许攻击者欺骗站点系统,并将未经授权的软件分发到 SMS 客户端。保护不当的站点系统还可能导致站点服务器的安全受到威胁。要减轻这些威胁,每个站点系统都必须尽可能安全。
所有站点系统的最佳方案
在站点系统上使用角色分离 可以在单台计算机上安装所有站点系统角色,但是此方案通常不可取,因为这会创建了单一失败点。但是,角色分离的概念有几个例外。通常最好将 SQL Server 的专用版本安装在与站点服务器相同的计算机上,并将该计算机用作站点数据库服务器。此配置允许 Configuration Manager 2007 最大程度地控制数据库配置并简化 SQL Server 的安全配置。
减少攻击面 隔离不同服务器上的每个站点服务器角色降低了利用单个站点系统中的漏洞攻击不同站点系统的机会。许多站点系统角色要求在站点系统上安装 Internet Information Services (IIS)。有关详细信息,请参阅安装 Configuration Manager 的先决条件。安装 IIS 会增加攻击面。如果必须组合站点系统角色以降低硬件开销,请将仅要求 IIS 的角色与要求 IIS 的其他角色合并。
重要
建议组合需要 IIS 的站点系统角色的例外情况是回退状态点。回退状态点角色决不应当分配到任何其他 Configuration Manager 2007 站点系统角色,因为它从客户端接受未经授权的数据,即使是在纯模式下也是如此。
在所有站点系统上运行安全配置向导 安全配置向导 (SCW) 帮助您创建可应用到网络中任何服务器的安全策略。在安装 Configuration Manager 2007 模板之后,SCW 识别 Configuration Manager 2007 服务器角色、服务、端口和应用程序,在允许必需的流量的同时阻止被认为是不必要的通信。SCW 的 Configuration Manager 2007 模板计划在 Configuration Manager 2007 工具包中提供,可从以下位置下载:https://go.microsoft.com/fwlink/?LinkId=93071(页面可能为英文)。
为所有站点系统使用 NTFS 尽管某些站点系统允许使用 FAT32 分区,但您应该始终使用 NTFS 来允许文件级别的访问控制。
请勿删除站点系统上的 admin$ 共享 站点系统上的 Admin$ 共享是 Configuration Manager 2007 所必需的,不应禁用或删除。Configuration Manager 2007站点服务器使用 Admin$ 共享来连接到站点系统并在其上执行服务操作。
密切监视站点系统中基于 Internet 的站点设置 Configuration Manager 2007 控制台不会阻止您配置站点角色以支持基于 Internet 的客户端,即使它作为基于 Internet 的站点角色不受支持。例如,在创建分支分发点之后,您可以为该角色配置站点系统属性以使用 Internet FQDN 并允许 Internet 连接,即使分支分发点不允许支持基于 Internet 的客户端。定期监视站点系统的 Internet 配置。
为站点系统配置静态 IP 地址 静态 IP 地址帮助在站点系统之间配置 IPsec,这是建议的最佳方案。静态 IP 地址比较容易防止遭受名称解析攻击。
使用 FQDN 服务器名称 即使仅在某些情况下(如支持基于 Internet 的客户端管理或使用 IPv6 时)才需要 FQDN 服务器名称,您也应该为所有站点系统配置 FQDN 服务器名称,因为 FQDN 配置使用 DNS 而不是 WINS 进行名称解析,相比 WINS 而言,DNS 可以更安全地进行管理。有关详细信息,请参阅确定是否使用 FQDN 服务器名称。
不安装使用本地系统帐户的其他服务 通过不安装使用本地系统帐户的其他服务将站点服务器和站点系统上使用本地系统帐户的情况降至最低。这确保其他进程无法利用该系统的计算机帐户增强的权限,从而无法通过其他系统访问 Configuration Manager 2007 文件和数据。将 SQL 服务器配置为使用域用户帐户而不是本地系统帐户运行。
备注
IIS 需要本地系统,但是由于许多站点系统角色都需要 IIS,因此必须在站点系统上安装 IIS。为了降低攻击者危及 IIS 并随后使用本地系统破坏 Configuration Manager 2007 服务器的风险,请不要运行非 Configuration Manager 2007 Web 应用程序,并且将角色分离用于需要 IIS 的站点系统角色,如本节的后面部分所述。
站点服务器的最佳方案
在成员服务器而不是域控制器上安装 Configuration Manager 2007 Configuration Manager 2007 站点服务器和站点系统不要求在域控制器上安装。除了域数据库以外,域控制器没有本地安全帐户管理 (SAM) 数据库。在成员服务器上安装 Configuration Manager 2007 允许您在本地 SAM 数据库而不是域数据库中维护 Configuration Manager 2007 帐户。这也可以减少域控制器上的攻击面。
在辅助站点服务器上安装辅助站点,而不是使用请求安装 理论上,攻击者可以在安装之前劫持辅助站点安装包并篡改文件,尽管确定此攻击的进行时间非常困难。可以在传输文件之前通过使用 IPsec 对主站点服务器和辅助站点服务器进行相互验证来降低攻击风险。此外,如果使用请求安装,主站点的计算机帐户必须是辅助站点服务器本地管理员组(拥有超出正常操作的权限)的成员。
SQL Server 的最佳方案
Configuration Manager 2007 使用 SQL Server 作为后端数据库。如果数据库受到破坏,攻击者可能绕过 Configuration Manager 2007 控制台而直接访问 SQL Server,进而通过 Configuration Manager 2007 发起攻击。针对 SQL Server 的攻击必须视为超高风险并采取合适的措施加以缓解。
为每个站点使用专用 SQL Server 虽然多个站点可以共享一台运行 SQL Server 的计算机来存储数据,但这不是建议的配置。如果某个 Configuration Manager 2007 站点数据库在一个 SQL Server 上受到破坏,攻击者能够更轻松地访问相同 SQL Server 上的其他 Configuration Manager 2007 站点数据库。在站点之间共享 SQL Server 可能使得难以恢复站点,这会在关键时刻延迟 Configuration Manager 2007 的正常运行。如果某个站点正在与其他站点共享 SQL Server 并发生失败,您必须确保失败站点的恢复过程不会影响其他正常运行的站点。这种情况下的恢复过程变得更加复杂,因为您必须将恢复过程只隔离到失败站点。
请勿使用 Configuration Manager 站点数据库服务器来运行其他 SQL Server 应用程序 增加对 Configuration Manager 2007 站点数据库服务器的访问权限会增加 Configuration Manager 2007 数据的风险。此外,如果 Configuration Manager 2007 站点数据库受到破坏,相同 SQL Server 计算机上的其他应用程序也会面临风险。
将 SQL Server 配置为使用 Windows 身份验证 Configuration Manager 2007 将始终使用 Windows 帐户和 Windows 身份验证访问站点数据库,但是仍然可以将 SQL Server 配置为使用 SQL Server 混合模式。SQL Server 混合模式允许配置其他 SQL 登录来访问数据库,这不是必需的,并且增加了攻击面。
在同一台计算机上安装 Configuration Manager 和 SQL Server 在同一台计算机上安装 SQL Server 和 Configuration Manager 2007 似乎违背了角色分离以提高可用性的思想,但它并不是一个重要的安全问题。如果 Configuration Manager 2007 站点数据库或站点服务器脱机,则其他服务器实际上没有发挥作用。在同一台计算机上安装 Configuration Manager 2007 和 SQL Server 可以简化 SQL Server 配置,因此降低了造成与安全相关错误的风险。
遵循 SQL Server 的安全性最佳方案 遵循 SQL Server 2005 的最佳方案,网址为 https://go.microsoft.com/fwlink/?LinkId=95071(页面可能为英文),并且考虑下列注意事项:
站点服务器计算机帐户必须是运行 SQL Server 的计算机上的管理员组的成员。如果您采纳“显式设置管理主体”的建议,用来在站点服务器上运行安装程序的帐户必须是 SQL 用户组的成员。
如果使用域用户帐户安装 SQL Server,您必须确保服务主体名称 (SPN) 已填充到 Active Directory 域服务,否则 Kerberos 身份验证会失败,Configuration Manager 2007 安装程序也会失败。有关详细信息,请参阅如何为 SQL Server 站点数据库服务器配置 SPN。
需要 IIS 的站点系统的最佳方案
多个服务器角色需要 IIS。适当保护 IIS 使得 Configuration Manager 2007 可以正常工作,同时降低风险。在实践中请尽量减少使用需要 IIS 的服务器。例如,尽量将管理点合并到最小的数量。在您的环境中仅使用一个服务器定位器点。
禁用不需要的 IIS 功能 只为您要支持的服务器角色安装最少的 IIS 功能。有关详细信息,请参阅安装 Configuration Manager 的先决条件。
请勿将站点服务器放在具有 IIS 的计算机上 角色分离有助于减少攻击面,并提高可恢复性。此外,站点服务器的计算机帐户通常对所有站点系统角色(并且如果使用客户端请求安装,可能在 Configuration Manager 2007 客户端上)具有管理权限。IIS 和 Configuration Manager 2007 都通过使用本地系统帐户运行,因此如果破坏者能够破坏站点服务器上运行的 IIS,则有可能获得所有 Configuration Manager 2007 功能的本地系统访问权限。
为 Configuration Manager 使用专用 IIS 服务器 尽管在 Configuration Manager 2007 使用的 IIS 服务器上可能宿主多个基于 Web 的应用程序,但这样可能显著增加攻击面。配置不佳的应用程序可能使得攻击者能够控制共存的站点系统,进而获得整个站点的控制权限。如果必须在 Configuration Manager 2007 站点系统上运行其他基于 Web 的应用程序,您应该始终为 Configuration Manager 2007 站点系统创建自定义网站。有关详细信息,请参阅如何为 Configuration Manager 站点配置自定义网站。
管理点的最佳方案
在需要受信任的根密钥身份验证的单个站点层次结构中,始终使用单独的管理点 如果没有扩展 Active Directory 架构,而且 Configuration Manager 2007 没有权限发布到 Active Directory 域服务,Configuration Manager 2007 客户端在通信之前会使用受信任的根密钥对管理点进行身份验证。中央站点服务器上的受信任的根密钥用于签署管理点的证书。如果必须恢复中央站点,客户端将继续信任管理点,直到在重建的中央站点服务器上生成新的受信任的根密钥。此外,如果必须恢复管理点,客户端将在受信任的根密钥签署了管理点证书后立即信任新的管理点。但是,如果客户端向同时充当站点管理点的中央站点服务器报告,而该计算机被恢复,则客户端将不信任该管理点,直到在客户端上删除当前受信任的根密钥,并使用新的受信任的根密钥重新设置。要避免这种情况,请扩展 Active Directory 架构并启用站点发布。如果不能这么做,并且有客户端向中央站点报告,请勿将管理点角色分配到中央站点服务器。有关受信任的根密钥的详细信息,请参阅关于受信任的根密钥。
如果在外围网络中配置了此站点系统角色,请将站点服务器配置为从站点系统检索数据 默认情况下,站点系统将其数据传递回站点服务器。站点系统可以被配置为要求站点服务器提取数据,这样做允许更好地控制端口以及数据传输所需的权限。设置“仅允许从此站点系统由站点服务器启动的数据传输”适用于整个站点系统以及其上配置的所有站点系统角色。
尽可能少地使用管理点 每个主站点中包含一个管理点不会造成高安全风险,但减少管理点数量会减少攻击面。管理点需要 IIS。为了减少网络的攻击面,某些公司制定有关减少 IIS 服务器数量的策略。如果这是需要特别关注的问题,可以通过将所有客户端分配到单个站点并将其当作常驻站点上的漫游客户端来安装尽可能少的管理点。
回退状态点的最佳方案
请勿使任何其他站点系统角色与回退状态点并存 回退状态点设计为接受来自任何计算机的未经身份验证的通信。任何其他站点角色与回退状态点并存将显著增加该站点角色的风险。
不要在域控制器上安装回退状态点
在纯模式下,在部署客户端之前部署回退状态点 无回退状态点的纯模式站点可能导致您不知道由于 PKI 相关的证书问题而存在大量客户端未受管理的情形。例如,如果纯模式客户端的证书存在问题,纯模式管理点将拒绝与该客户端的所有通信,该客户端将不受管理。但是,如果将客户端分配到一个回退状态点,它将成功报告与回退状态点的纯模式通信失败,因为回退状态点不使用 PKI 证书。回退状态点在纯模式和混合模式下都有利,不过大量混合模式客户端不受管理的可能性更小,因为它们不依赖在 Configuration Manager 外部管理的 PKI 证书。
避免在外围网络中使用回退状态点 按设计,回退状态点接受来自任何客户端的数据。将回退状态点放在外围网络中可能有助于对基于 Internet 的客户端进行疑难解答,但是您必须权衡疑难解答好处与使站点系统在可公开访问的网络中接受未经身份验证的数据所带来的风险。如果必须将回退状态点放在外围网络或任何不受信任的网络中,请将站点服务器配置为从站点系统请求数据,而不允许回退状态点连接到站点服务器并启动数据传输。要将站点服务器配置为提取数据,请设置站点系统属性中的“仅允许从此站点系统由站点服务器启动的数据传输”。
服务器定位器点的最佳方案
请勿将服务器定位器点放在外围网络中 如果需要使客户端计算机在外围网络中查找 Configuration Manager 2007 资源,请使用其服务器定位器点的名称手动配置这些客户端。
与安全相关的最佳方案的其他资源
有关保护 Configuration Manager 2007 控制台计算机的信息,请参阅 Configuration Manager 控制台安全最佳方案和隐私信息
有关保护分发点和分支分发点的信息,请参阅软件分发安全最佳方案和隐私信息。
有关保护用于操作系统部署的 PXE 服务点和状态迁移点的信息,请参阅操作系统部署安全最佳方案和隐私信息。
有关保护报表点的信息,请参阅报表安全最佳方案。
另请参阅
其他资源
有关其他信息,请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。