Configuration Manager 功能的安全最佳方案清单
应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
使用此清单验证您的 Microsoft System Center Configuration Manager 2007 环境是否与 Configuration Manager 2007 功能的推荐安全最佳方案相符。此主题支持并汇总了 Configuration Manager 文档库中“Configuration Manager 2007 安全和隐私”部分的内容。在您的环境中实施这些最佳方案之前,请对它们进行全面测试。
如果熟悉 Configuration Manager 2007 概念和安全过程,您可以直接从此清单进行处理,并使用本指南作为参考信息。
Configuration Manager 控制台安全最佳方案
Configuration Manager 控制台安全最佳方案和隐私信息
□ |
运行 Configuration Manager 控制台时始终使用具有最少权限的帐户 |
□ |
请勿允许非管理员用户在站点服务器上使用 Configuration Manager 控制台 |
□ |
限制从 Configuration Manager 控制台浏览网络 |
□ |
请勿允许低权限终端服务用户与站点系统角色建立连接 |
□ |
保护传输站点设置向导的 XML 输出 |
□ |
请勿允许非管理员用户通过远程桌面或终端服务访问站点服务器 |
软件分发安全最佳方案
□ |
始终配置播发以下载内容 |
□ |
如果需要使用管理权限运行,请不要允许用户与此程序交互 |
□ |
如果需要限制集合上的软件分发,请不要创建子集合 |
□ |
在创建包时设置包访问权限 |
□ |
在包访问级别保护软件 |
□ |
在升级之后,如果 SMS 2003 中有包,请更新所有包 |
分发点最佳方案
|
□ |
从站点服务器删除分发点角色 |
|
|
□ |
不要在基于 Internet 的客户端上创建分发点共享或分支分发点 |
|
|
□ |
切换到自定义网站后删除默认虚拟目录 |
|
|
□ |
实施访问控制以保护分支分发点 |
|
|
□ |
为启用 Application Virtualization Streaming 的分发点启用加密模式 |
|
软件更新安全最佳方案
□ |
请勿更改对软件更新包的默认权限 |
□ |
控制对软件更新下载位置的访问权限 |
□ |
使用 UTC 评估部署时间 |
□ |
采用最佳方案保护 WSUS 安全 |
□ |
启用 CRL 检查 |
□ |
如果软件更新点是在外围网络中配置的,则将站点服务器配置为从站点系统检索数据 |
□ |
如果必须将软件更新部署到 SMS 2003 客户端,则在层次结构中最高的主站点服务器上运行 Microsoft 更新清单工具 |
□ |
配置 WSUS 以使用自定义网站 |
□ |
为站点和分发点启用 BITS 2.5 |
操作系统部署安全最佳方案
□ |
实施访问控制以保护可启动媒体 |
□ |
如果客户端证书已泄露,请阻止此证书 |
□ |
保护站点服务器与 PXE 服务点之间的信道 |
□ |
仅在安全网段上使用 PXE 服务点 |
□ |
配置 PXE 服务点以仅响应指定网络接口上的 PXE 请求 |
□ |
需要提供密码才能启动 PXE |
□ |
当状态迁移点文件夹已解除授权时将其手动删除 |
□ |
请勿将删除策略配置为立即删除用户状态 |
□ |
控制对任务序列使用 USB 闪存驱动器的计算机的物理访问 |
□ |
实施访问控制以保护引用计算机映像过程 |
□ |
始终在引用计算机上安装最新的安全更新 |
□ |
监视启用了多播的未经授权分发点 |
□ |
如果您必须在未知计算机上部署操作系统,请实施访问控制来防止未经授权的计算机连接网络 |
□ |
始终将任务序列播发配置为下载内容 |
□ |
为多播包启用加密 |
资产智能安全最佳方案
□ |
保护注册证书 |
报表安全最佳方案
□ |
将查询和报表限制为授权查看器 |
□ |
使用报表用户组来控制对报表点的访问 |
□ |
管理直接连接至 SQL Server 计算机的用户的安全 |
□ |
对报表点启用 HTTPS 访问 |
所需的配置管理安全最佳方案
□ |
签署配置数据以验证配置项目的完整性 |
移动设备客户端安全最佳方案
□ |
尽可能使用纯模式 |
□ |
要求移动设备客户端使用密码 |
网络访问保护安全最佳方案
□ |
不要依赖 NAP 保护网络免受恶意用户的攻击 |
□ |
在整个站点层次结构中使用一致的 NAP 策略尽量减少混淆 |
□ |
不要在新的 Configuration Manager 站点上立即启用网络访问保护客户端代理 |
□ |
不要依赖 NAP 作为即时或实时强制机制 |
清单安全最佳方案
□ |
启用清单加密 |
□ |
禁用 IDMIF 和 NOIDMIF 收集 |
□ |
不要使用文件收集来收集重要文件或敏感信息 |
□ |
不要使用文件收集来收集重要文件或敏感信息 |
远程工具安全最佳方案
|
□ |
使用组策略或 Configuration Manager 来配置远程协助设置,但不要同时使用两者 |
|
|
□ |
请勿认为“询问权限”设置对 Windows 2000 客户端远程工具足够安全 |
|
|
□ |
启用“询问权限”设置 |
|
|
□ |
启用通知 |
|
|
□ |
防止用户更改策略或通知设置 |
|
|
□ |
限制“允许的查看者”列表 |
|
|
□ |
指定要求的全局组 |
|
|
□ |
指定用户帐户的域上下文 |
|
|
□ |
请勿依赖集合安全来控制远程工具访问 |
|
|
□ |
在远程管理 Windows 2000 计算机时,勿对特权帐户输入密码 |
|
LAN 唤醒安全最佳方案
□ |
使用单播发送唤醒数据包 |
□ |
如果必须使用子网导向型广播,则将路由器配置为只允许来自站点服务器且使用指定的非默认端口号的 IP 导向型广播 |
带外管理安全最佳方案
□ |
在购买基于 AMT 的计算机之前请求自定义的固件 |
□ |
使用带内设置代替带外设置 |
□ |
手动吊销证书并删除被 Configuration Manager 2007 SP1 站点阻止的基于 AMT 的计算机的 Active Directory 帐户。 |
□ |
控制设置证书的请求和安装 |
□ |
确保在现有证书过期之前请求新的设置证书 |
□ |
如果吊销了 AMT 设置证书,请从带外服务点站点系统服务器上的证书存储中删除该证书,并使用有效 AMT 设置证书重新配置带外管理组件 |
□ |
如果必须吊销内部 CA 提供的设置证书,则在“证书颁发机构”控制台中吊销该证书 |
□ |
使用专用证书模板设置基于 AMT 的计算机 |
□ |
使用带外管理代替 LAN 唤醒 |
□ |
如果计算机不支持带外管理,则禁用固件中的 AMT |
□ |
使用专用 OU 发布基于 AMT 的计算机 |
□ |
使用组策略限制 AMT 帐户的用户权限 |
□ |
使用专用集合进行带内设置 |
□ |
为服务器设置配置备用端口 |
□ |
仅适用于 Configuration Manager 2007 SP2:确保只有经过授权的管理员才能执行审核操作以及根据需要管理审核日志 |
另请参阅
其他资源
Configuration Manager 功能的安全最佳方案和隐私信息
Configuration Manager 安全清单