• 项目

在 Configuration Manager 中管理内容的安全和隐私

 

适用对象:System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System_CAPS_note注意

本主题出现在在 System Center 2012 Configuration Manager 中部署软件和操作系统 指南和 System Center 2012 Configuration Manager 的安全性和隐私 指南中。

本主题包含 System Center 2012 Configuration Manager 中的客户端管理的安全和隐私信息。 请结合以下主题阅读本主题:

内容管理的最佳安全方案

为内容管理使用以下最佳安全方案:

最佳安全方案

更多信息

对于 Intranet 上的分发点,请考虑使用 HTTPS 和 HTTP 的优点和缺点

分发点的 HTTPS 和 HTTP 的区别:

  • 如果为分发点使用 HTTPS,配置管理器 不会使用包访问帐户来授予内容访问权限,但在通过网络传输内容时会对内容进行加密。

  • 如果为分发点使用 HTTP,你可以使用包访问帐户来进行授权,但在通过网络传输内容时不会对内容进行加密。

在大多数情况下,相对于使用包含加密但未包含授权的 HTTPS,为授权使用 HTTP 和包访问帐户更加安全。 但是,如果内容中有你希望在传输过程加密的敏感数据,请使用 HTTPS。

如果为分发点使用 PKI 客户端身份验证证书(而不是自签名证书),请使用强密码保护证书文件 (.pfx)。 如果将文件存储在网络上,请在将文件导入 Configuration Manager 中时保护网络通道的安全。

当你需要密码来导入你用于分发点以与管理点通信的客户端身份验证证书时,这可帮助保护证书免受攻击者的攻击。

在网络位置和站点服务器之间使用 SMB 签名或 IPsec 以防止攻击者篡改证书文件。

从站点服务器中删除分发点角色。

默认情况下,分发点安装在站点服务器所在的服务器上。 客户端不必与站点服务器直接通信,因此,为了减少攻击面,请将分发点角色分配给其他站点系统,并将其从站点服务器中删除。

包访问级别的安全内容。

System_CAPS_note注意

这一点不适用于 配置管理器 SP1 上基于云的分发点,这些分发点不支持包访问帐户。

分发点共享允许所有用户以“读取”方式访问。 要限制可访问内容的用户,请在为 HTTP 配置了分发点时使用包访问帐户。

有关包访问帐户的详细信息,请参阅 Configuration Manager 中内容管理的操作和维护主题中的管理帐户以访问包内容部分

如果在你添加分发点站点系统角色时 Configuration Manager 安装 IIS,请在分发点安装完成时删除 HTTP 重定向以及 IIS 管理脚本和工具

分发点不需要 HTTP 重定向以及 IIS 管理脚本和工具。 为了减少攻击面,请为 Web 服务器 (IIS) 角色删除这些角色服务。

有关分发点的 Web 服务器 (IIS) 角色服务的详细信息,请参阅 受支持的配置的配置管理器主题中的站点系统要求部分。

在创建包时设置访问权限

由于只有在你重新分发包时,对包文件上的访问帐户所做的更改才会生效,因此请在第一次创建包时小心设置包访问权限。 在以下情况下这一点特别重要:

  • 包很大。

  • 你要将包分发到多个分发点。

  • 用于内容分发的网络带宽容量有限。

实现访问控制来保护包含预留内容的媒体

预留内容已压缩但未加密。 攻击者可读取和修改随后下载到设备的文件。配置管理器 客户端将拒绝被篡改的内容,但仍将进行下载。

通过仅使用随 配置管理器 一起提供的 ExtractContent 命令行工具 (ExtractContent.exe) 来导入预留内容,并确保内容已经过 Microsoft 签名

为了避免篡改和特权提升,请仅使用随 配置管理器 一起提供的已授权命令行工具。

保护站点服务器和包源位置之间的信道的安全

在你创建应用程序和包时,在站点服务器和包源位置之间使用 IPsec 或 SMB 签名。 这可帮助防止攻击者篡改源文件。

如果在安装了任何分发点角色之后更改站点配置选项以使用自定义网站(而不是默认网站),请删除默认虚拟目录

当你从使用默认网站更改为使用自定义网站时,配置管理器 不会删除旧虚拟目录。 删除 配置管理器 最初在默认网站下创建的虚拟目录:

  • SMS_DP_SMSPKG$

  • SMS_DP_SMSSIG$

  • NOCERT_SMS_DP_SMSPKG$

  • NOCERT_SMS_DP_SMSSIG$

对于从 配置管理器 SP1 起开始提供的基于云的分发点:保护你的订阅详细信息和证书

在使用基于云的分发点时,请保护以下高价值的项目:

  • 你的 Windows Azure 订阅的用户名和密码。

  • Windows Azure 管理证书。

  • 基于云的分发点服务证书。

安全地存储证书,如果在配置基于云的分发点时通过网络浏览到这些证书,请在站点系统服务器和源位置之间使用 IPsec 或 SMB 签名。

对于从 配置管理器 SP1 起开始提供的基于云的分发点:对于服务持续性,请监视证书的到期日期

当基于云的分发点服务的已导入管理证书将要过期时,配置管理器 不会向你发出警告。 你必须独立于 配置管理器 监视过期日期,并确保在到期日期之前续订然后导入新证书。 如果从外部证书颁发机构 (CA) 购买 配置管理器 基于云的分发点服务证书,这一点特别重要,因为你可能需要额外的时间来获取续订的证书。

System_CAPS_note注意

如果任一证书过期,则“云服务管理器”将生成状态消息 ID 9425CloudMgr.log 文件将包含一个通过过期日期和登录 UTC 指示证书 is in expired state 的条目。

内容管理的安全问题

内容管理具有以下安全问题:

  • 客户端不会在下载内容之前对其进行验证

    配置管理器 客户端只有在将内容下载到其客户端缓存后才会验证内容上的哈希。 如果攻击者篡改要下载的文件列表或篡改内容本身,则下载过程可能会占用客户端的大量网络带宽,并随后会在遇到无效哈希时丢弃内容。

  • 你无法限制用户或组访问基于云的分发点所承载的内容

    从 配置管理器 SP1 开始,当你使用基于云的分发点时,会将内容自动限制为仅供你的企业访问,并且你无法将其进一步限制为仅供所选用户或组访问。

  • 被阻止的客户端可继续从基于云的分发点下载内容,最多可继续下载 8 个小时

    从 配置管理器 SP1 开始,当你使用基于云的分发点时,客户端通过管理点进行验证,然后使用 配置管理器 令牌来访问基于云的分发点。 该令牌的有效时间为 8 小时,因此,如果你因为客户端不再受信任而将其阻止,则在此令牌的有效期过期之前,客户端可继续从基于云的分发点下载内容。 此时,管理点将不会为该客户端发出其他令牌,因为该客户端已被阻止。

    为避免被阻止的客户端在这 8 小时内下载内容,你可从 配置管理器 控制台“管理”工作区中“云”节点的“层次结构配置”停止云服务。 有关详细信息,请参阅 为 Configuration Manager 管理云服务

内容管理的隐私信息

配置管理器 不会在内容文件中包括任何用户数据(尽管管理用户可能会选择这样做)。

在配置内容管理之前,请考虑隐私要求。