安全最佳方案清单
应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
使用此清单来验证您的 Microsoft System Center Configuration Manager 2007 环境是否符合推荐的安全最佳方案。此主题支持并汇总了 Configuration Manager 文档库中“Configuration Manager 2007 安全和隐私”部分的内容。在您的环境中实施这些最佳方案之前,请对它们进行全面测试。
如果遇到 Configuration Manager 2007 概念和安全过程,您可以直接从此清单进行处理,并使用本指南作为参考信息。
建议的安全配置
□ |
在整个层次结构中使用纯模式 |
□ |
为 Configuration Manager 2007 扩展 Active Directory 架构,并启用 Active Directory 发布 |
□ |
请勿使用工作组客户端或其他林中的客户端,因为这些客户端无法查询 Active Directory |
□ |
使用 IPsec 保证站点系统间的通信安全。 |
安全最佳方案基础知识
□ |
采用物理方式保护计算机 |
□ |
对所有计算机应用最新的安全更新 |
□ |
防护未经授权的管理员 |
□ |
强制实施角色分离以限制管理风险 |
□ |
设计深度防护 |
□ |
为所有系统创建并维护安全基准 |
□ |
使用强密码或密码短语 |
□ |
控制对导出的文件的访问权限 |
□ |
保护包源文件 |
层次结构安全最佳方案
□ |
在高度安全的环境中隔离站点 |
□ |
尽可能少地使用站点 |
□ |
避免站点跨林 |
□ |
要求层次结构中的所有站点之间进行安全密钥交换 |
□ |
在混合模式中,将所有客户端升级到 Configuration Manager 2007,并且将站点配置为仅包含 ConfigMgr 2007 客户端 |
□ |
将所有站点升级到 Configuration Manager 2007 |
服务连续性最佳方案
□ |
设计容错站点 |
□ |
创建备份和恢复计划 |
□ |
保护备份媒体 |
□ |
使用角色分离来提高可恢复性 |
保护通信最佳方案
□ |
使用纯模式 |
□ |
要求安全密钥交换 |
□ |
考虑使用非默认端口号进行客户端通信 |
□ |
如果客户端无法查询 Active Directory,则管理受信任的根密钥的设置过程 |
□ |
使用 IPsec 保证站点系统间的通信安全 |
□ |
配置防火墙以允许必需的 Configuration Manager 流量 |
□ |
保护站点服务器与包源服务器之间的信道 |
□ |
保护安装媒体与站点服务器之间的信道 |
保护站点系统的最佳方案
□ |
在站点系统上使用角色分离 |
□ |
减少攻击面 |
□ |
使用 Configuration Manager 2007 模板在所有站点系统上运行安全配置向导 |
□ |
对所有站点系统使用 NTFS |
□ |
不要删除站点系统上的 admin$ 共享 |
□ |
密切监视站点系统上基于 Internet 的站点设置 |
□ |
为站点系统配置静态 IP 地址 |
□ |
使用 FQDN 服务器名称 |
□ |
不安装使用本地系统帐户的其他服务 |
站点服务器的最佳方案
□ |
在成员服务器而不是域控制器上安装 Configuration Manager 2007 |
□ |
在辅助站点服务器上安装辅助站点,而不是使用请求安装 |
SQL Server 的最佳方案
□ |
对每个站点使用专用 SQL Server |
□ |
不要使用 Configuration Manager 站点数据库服务器来运行其他 SQL Server 应用程序 |
□ |
将 SQL Server 配置为使用 Windows 身份验证 |
□ |
在同一台计算机上 Configuration Manager 和 SQL Server |
□ |
按照 SQL Server 的安全最佳方案操作,注意下列问题:
|
需要 IIS 的站点系统的最佳方案
□ |
禁用不需要的 IIS 功能 |
□ |
不要将站点服务器放在具有 IIS 的计算机上 |
□ |
对 Configuration Manager 使用专用 IIS 服务器 |
管理点的最佳方案
□ |
在需要受信任的根密钥身份验证的单站点层次结构中,始终使用单独的管理点 |
□ |
如果在外围网络中配置了此站点系统角色,请将站点服务器配置为从站点系统检索数据 |
□ |
尽可能少地使用管理点 |
回退状态点的最佳方案
□ |
不要将任何其他站点系统角色与回退状态点放在一起 |
□ |
不要在域控制器上安装回退状态点 |
□ |
在纯模式下,在部署客户端之前部署回退状态点 |
□ |
避免在外围网络中使用回退状态点 |
服务器定位器点的最佳方案
□ |
不要将服务器定位器点放在外围网络中 |
保护客户端最佳方案
下列部分仅适用于客户端计算机。有关移动设备客户端的信息,请参阅移动设备客户端安全最佳方案和隐私信息。有关此清单的详细信息,请参阅保护客户端最佳方案。
混合模式的最佳方案
□ |
自动批准来自受信任域的客户端 |
□ |
不要依赖于阻止来防止客户端访问站点 |
□ |
将所有客户端升级到 Configuration Manager 2007 并选择“此站点仅包含 ConfigMgr 2007 客户端” |
纯模式的最佳方案
□ |
尽可能使用纯模式 |
□ |
将所有分发点配置为使用 BITS |
□ |
不要启用“对漫游和站点分配使用 HTTP 通信” |
□ |
按照证书管理的建议最佳方案进行操作 |
所有客户端计算机的最佳方案
□ |
选择适合您的风险配置文件的客户端安装方法 |
□ |
在创建客户端映像之前删除证书 |
□ |
将客户端计算机配置为使用“仅限于 Active Directory”模式 |
□ |
确保维护时段足以部署关键软件更新 |
保护基于 Internet 的客户端的最佳方案
□ |
使用 SSL 桥接到 SSL,使用带身份验证的终止 |
□ |
使用 Active Directory 部署站点服务器签名证书 |
□ |
不要在基于 Internet 的客户端上创建分发点共享或分支分发点 |
□ |
不要使用桥接外围网络和 Intranet 的站点系统 |
保护名称解析的最佳方案
□ |
不要依赖 WINS 进行名称解析 |
□ |
对所有站点系统和发送程序指定 FQDN |
证书管理最佳方案
□ |
仔细规划 PKI 并保护其安全 |
□ |
遵循证书管理的行业和组织最佳方案 |
□ |
在纯模式客户端上启用 CRL 检查 |
□ |
保护客户端身份验证证书的完整性 |
□ |
使用证书信任列表来定义受信任的根证书颁发机构 |
□ |
使用 Active Directory 部署站点服务器签名证书 |
□ |
保证站点服务器签名证书的安全 |
□ |
续订站点服务器签名证书时使用新的密钥对 |
□ |
验证是否所有证书都保存在安全的证书存储中 |
维护 Configuration Manager 安全的最佳方案
维护 Configuration Manager 安全的最佳方案
□ |
创建并遵守安全策略 |
□ |
使用测试实验室来测试将来有关安全问题的更改配置 |
□ |
保护测试实验室安全 |
□ |
测试备份和恢复过程 |
□ |
保护备份媒体 |
□ |
查看 Configuration Manager 设置 |
□ |
查看审核日志 |
□ |
定期测试 Configuration Manager 安全 |
□ |
制定事件响应计划 |
□ |
保护内部 Configuration Manager 文档安全 |
□ |
对组织进行培训以遵循安全最佳方案 |
□ |
监视 Configuration Manager 操作:
|
另请参阅
其他资源
如何在 Configuration Manager 中管理受信任的根密钥
Configuration Manager 安全最佳方案
Configuration Manager 安全清单
面向 Configuration Manager 安全的任务
有关其他信息,请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。