• 项目

为 Configuration Manager 配置安全性

 

适用对象:System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System_CAPS_note注意

本主题出现在System Center 2012 Configuration Manager 的站点管理 指南和 System Center 2012 Configuration Manager 的安全性和隐私 指南中。

使用本主题中的信息来帮助你配置下列安全相关选项:

  • 为客户端 PKI 证书配置设置

  • 配置签名和加密

  • 配置基于角色的管理

  • 管理 Configuration Manager 使用的帐户

为客户端 PKI 证书配置设置

如果要为与使用 Internet Information Services (IIS) 的站点系统的客户端连接使用公钥基础架构 (PKI) 证书,请使用下列过程来为这些证书配置设置。

配置客户端 PKI 证书设置

  1. 在 配置管理器 控制台中,单击“管理”。

  2. 在“管理”工作区中,展开“站点配置”,单击“站点”,然后单击要配置的主站点。

  3. 在“主页”选项卡上的“属性”组中,单击“属性”,然后单击“客户端计算机通信”选项卡。

    System_CAPS_note注意

    此选项卡仅在主站点上可用。 如果看不到“客户端计算机通信”选项卡,请检查你是否未连接到管理中心站点或辅助站点。

  4. 如果希望分配给站点的客户端在连接到使用 IIS 的站点系统时始终使用客户端 PKI 证书,请单击“仅 HTTPS”。 或者,如果不需要客户端使用 PKI 证书,请单击“HTTPS 或 HTTP”。

  5. 如果选择了“HTTPS 或 HTTP”,请在希望为 HTTP 连接使用客户端 PKI 证书时单击“使用客户端 PKI 证书(客户端身份验证功能)(如果可用)”。 客户端使用此证书(而不是自签名证书)来向站点系统验证自身。 如果选择“仅 HTTPS”,则会自动选择此选项。

    System_CAPS_note注意

    如果检测到客户端位于 Internet 上,或者针对仅限 Internet 的客户端管理配置了客户端,则客户端始终使用客户端 PKI 证书。

  6. 单击“修改”为一个客户端上有多个有效 PKI 客户端证书的情况配置所选客户端选择方法,然后单击“确定”。

    System_CAPS_note注意

    有关客户端证书选择方法的详细信息,请参阅规划 PKI 客户端证书选择

  7. 选中或清除客户端的复选框以检查证书吊销列表 (CRL)。

    System_CAPS_note注意

    有关客户端 CRL 检查的详细信息,请参阅规划 PKI 证书吊销

  8. 如果必须为客户端指定受信任根证书颁发机构 (CA),请单击“设置”,导入根 CA 证书文件,然后单击“确定”。

    System_CAPS_note注意

    有关此设置的详细信息,请参阅规划 PKI 受信任的根证书和证书颁发者列表

  9. 单击“确定”以关闭站点的属性对话框。

为层次结构中的所有主站点重复此过程。

配置签名和加密

为站点系统配置站点中的所有客户端可支持的最安全签名和加密设置。 当你让客户端通过使用 HTTP 上的自签名证书与站点系统通信时,这些设置特别重要。

为站点配置签名和加密

  1. 在 配置管理器 控制台中,单击“管理”。

  2. 在“管理”工作区中,展开“站点配置”,单击“站点”,然后单击要配置的主站点。

  3. 在“主页”选项卡上的“属性”组中,单击“属性”,然后单击“签名和加密”选项卡。

    System_CAPS_note注意

    此选项卡仅在主站点上可用。 如果看不到“签名和加密”选项卡,请检查你是否未连接到管理中心站点或辅助站点。

  4. 配置所需的签名和加密选项,然后单击“确定”。

    System_CAPS_warning警告

    在未先验证可能分配给站点的所有客户端是否可支持此哈希算法并且它们具有有效的 PKI 客户端认证证书的情况下,请不要选择“需要 SHA-256”。 你可能必须在客户端上安装更新或修补程序来支持 SHA-256。 例如,运行 Windows Server 2003 SP2 的计算机必须安装知识库文章 938397 中引用的修补程序。

    如果选择此选项,而客户端无法支持 SHA-256 和使用自签名证书,则 配置管理器 将拒绝这些客户端。 在此方案中,SMS_MP_CONTROL_MANAGER 组件记录消息 ID 5443。

  5. 单击“确定”以关闭站点的“属性”对话框。

为层次结构中的所有主站点重复此过程。

配置基于角色的管理

使用此部分中的信息来帮助你在 配置管理器 中配置基于角色的管理。 基于角色的管理结合了安全角色、安全作用域和分配的集合来定义每个管理用户的管理作用域。 管理作用域包括管理用户可在 配置管理器 控制台中查看的对象,以及管理用户有权执行的与这些对象相关的任务。 基于角色的管理配置应用于层次结构中的每个站点。

下列过程中的信息可帮助你创建和配置基于角色的管理以及相关安全设置。

  • 创建自定义安全角色

  • 配置安全角色

  • 配置对象的安全作用域

  • 配置集合来管理安全性

  • 创建新管理用户

  • 修改管理用户的管理作用域

System_CAPS_important重要事项

基于角色的管理使用安全角色、安全作用域和集合。 它们结合起来定义每个管理用户的管理作用域。 你自己的管理作用域定义你在为另一个管理用户配置基于角色的管理时可分配的对象和设置。 有关规划基于角色的管理的信息,请参阅在 Configuration Manager 中规划安全性主题中的规划基于角色的管理部分。

创建自定义安全角色

配置管理器 提供了若干内置安全角色。 如果需要其他安全角色,你可以通过创建现有安全角色的副本然后对该副本进行修改来创建自定义安全角色。 你可以创建自定义安全角色来向管理用户授予他们需要但当前分配的安全角色中未提供的其他安全权限。 通过使用自定义安全角色,你可以只向管理用户授予他们需要的权限,并避免分配会授予超出其所需的权限的安全角色。

使用下列过程,通过使用现有安全角色作为模板来创建一个新安全角色。

创建自定义安全角色

  1. 在 配置管理器 控制台中,单击“管理”。

  2. 在“管理”工作区中,展开“安全”,然后单击“安全角色”。

    使用下列过程之一来创建新安全角色:

    - 要创建新的自定义安全角色,请执行下列操作:

  1.  选择现有安全角色以用作新安全角色的来源。

  2.  在“主页”选项卡上的“安全角色”组中,单击“复制”。 这将创建源安全角色的副本。

  3.  在复制安全角色向导中,为新的自定义安全角色指定“名称”。

  4.  在“安全操作分配”中,展开每个“安全操作”节点以显示可用操作。

  5.  要更改安全操作的设置,请在“值”列中单击向下箭头,然后选择“是”或“否”。

      <div class="alert">

      <table>
      <colgroup>
      <col style="width: 100%" />
      </colgroup>
      <thead>
      <tr class="header">
      <th><img src="images/Dn768230.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-caution(SC.12).jpeg" title="System_CAPS_caution" alt="System_CAPS_caution" />小心</th>
      </tr>
      </thead>
      <tbody>
      <tr class="odd">
      <td><p>在配置自定义安全角色时,请确保不要授予与新安全角色关联的管理用户不需要的权限。 例如,“安全角色”的“修改”值安全操作将向管理用户授予编辑任何可访问安全角色的权限,即使这些用户未与该安全角色关联。</p></td>
      </tr>
      </tbody>
      </table>

      </div>

  6.  配置权限之后,单击“确定”保存新安全角色。

- 要导入从另一个 System Center 2012 Configuration Manager 层次结构导出的安全角色,请执行下列操作:

  1.  在“主页”选项卡上的“创建”组中,单击“导入安全角色”。

  2.  指定包含要导入的安全角色配置的 .xml 文件,并单击“打开”以完成过程并保存安全角色。

      <div class="alert">

      <table>
      <colgroup>
      <col style="width: 100%" />
      </colgroup>
      <thead>
      <tr class="header">
      <th><img src="images/Hh221349.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />注意</th>
      </tr>
      </thead>
      <tbody>
      <tr class="odd">
      <td><p>导入安全角色之后,你可以编辑安全角色属性来更改与安全角色关联的对象权限。</p></td>
      </tr>
      </tbody>
      </table>

      </div>

配置安全角色

为安全角色定义的安全权限组称为安全操作分配。 安全操作分配表示对象类型以及可用于每个对象类型的操作的组合。 你可以为任何自定义安全角色修改可用的安全操作,但无法修改 配置管理器 提供的内置安全角色。

使用下列过程来修改安全角色的安全操作。

修改安全角色

  1. 在 配置管理器 控制台中,单击“管理”。

  2. 在“管理”工作区中,展开“安全”,然后单击“安全角色”。

  3. 选择要修改的自定义安全角色。

  4. 在“主页”选项卡上的“属性”组中,单击“属性”。

  5. 单击“权限”选项卡。

  6. 在“安全操作分配”中,展开每个“安全操作”节点以显示可用操作。

  7. 要更改安全操作的设置,请在“值”列中单击向下箭头,然后选择“是”或“否”。

    System_CAPS_caution小心

    在配置自定义安全角色时,请确保不要授予与新安全角色关联的管理用户不需要的权限。 例如,“安全角色”的“修改”值安全操作将向管理用户授予编辑任何可访问安全角色的权限,即使这些用户未与该安全角色关联。

  8. 完成配置安全操作分配的操作后,单击“确定”以保存新安全角色。

配置对象的安全作用域

你通过对象(而不是安全作用域)来管理对象的安全作用域关联。 安全作用域支持的唯一直接配置是更改其名称和描述。 要在查看安全作用域属性时更改安全作用域的名称和描述,你必须具有“安全作用域”安全对象的“修改”权限。

在 配置管理器 中创建新对象时,新对象与帐户的安全角色的每个关联安全作用域关联,当这些安全角色提供“创建”权限或“设置安全作用域”权限时,该帐户用于创建对象。 只有在创建了对象后,你才能更改与之关联的安全作用域。

例如,已为你分配了一个安全角色,该安全角色向你授予创建新边界组的权限。 在创建新边界组时,你没有可为其分配特定安全作用域的选项。 作为替代,会将你与之关联的安全角色中的可用安全作用域自动分配给新的边界组。 保存新边界组之后,你可以编辑与新边界组关联的安全作用域。

使用下列过程来配置分配给对象的安全作用域。

为对象配置安全作用域

  1. 在 配置管理器 控制台中,选择支持分配给安全作用域的对象。

  2. 在“主页”选项卡上的“分类”组中,单击“设置安全作用域”。

  3. 在“设置安全作用域”对话框中,选中或清除此对象与之关联的安全作用域。 必须将支持安全作用域的每个对象分配给至少一个安全作用域。

  4. 单击“确定”保存分配的安全作用域。

    System_CAPS_note注意

    在创建新对象时,你可以将对象分配给多个安全作用域。 要修改与对象关联的安全作用域的数量,你必须在创建对象之后更改此分配。

配置集合来管理安全性

没有用于为基于角色的管理配置集合的过程。 集合没有基于角色的管理配置;作为替代,你在配置管理用户时将集合分配给管理用户。 在用户已分配安全角色中启用的集合安全操作确定管理用户对集合和集合资源(集合成员)所拥有的权限。

如果管理用户拥有某个集合的权限,则对于限制为该集合的集合,他们也拥有权限。 例如,你的组织使用一个名为“所有台式机”的集合,并且有一个名为“所有北美台式机”集合,该集合限制为“所有台式机”集合。 如果管理用户拥有“所有台式机”的权限,则他们也拥有“所有北美台式机”集合的那些相同权限。 此外,管理用户无法对直接分配给他们的集合使用“删除”或“修改”权限,但可以对限制为该集合的集合使用这些权限。 以前面的例子为例,管理用户可以删除或修改“所有北美台式机”集合,但无法删除或修改“所有台式机”集合。

创建新管理用户

要授予个人或安全组成员访问权限以管理 配置管理器,请在 配置管理器 中创建一个管理用户,并指定 Windows 帐户“用户”或“用户组”。 必须为 配置管理器 中的每个管理用户分配至少一个安全角色和一个安全作用域。 你还可以分配集合来限制管理用户的管理作用域。

使用以下过程来创建新的管理用户。

创建新的管理用户

  1. 在 配置管理器 控制台中,单击“管理”。

  2. 在“管理”工作区中,展开“安全”,然后单击“管理用户”。

  3. 在“主页”选项卡上的“创建”组中,单击“添加用户或组”。

  4. 单击“浏览”,然后选择要用于这个新管理用户的用户帐户或组。

    System_CAPS_note注意

    对于基于控制台的管理,只能将域用户或安全组指定为管理用户。

  5. 对于“关联的安全角色”,单击“添加”打开可用安全角色的列表,选中一个或多个安全角色的复选框,然后单击“确定”。

  6. 选择以下两个选项之一以定义新用户的安全对象行为:

    - **与其关联安全角色相关的所有安全对象**:此选项将管理用户与“全部”安全作用域以及“所有系统”和“所有用户和用户组”的根级别内置集合关联。 分配给用户的安全角色定义对象的访问权限。 会将此管理用户创建的新对象分配到“默认”安全作用域。

- **仅指定安全作用域或集合中的安全对象**:默认情况下,此选项将管理用户与“默认”安全作用域以及“所有系统”和“所有用户和用户组”集合关联。 但是,实际安全作用域和集合仅限于那些与创建新管理用户所需的帐户关联的安全作用域和集合。 此选项支持添加或删除安全作用域和集合来自定义管理用户的管理作用域。
    System_CAPS_important重要事项

    前面的选项将每个分配的安全作用域和集合与分配给管理用户的每个安全角色关联。 可以使用第三个选项“仅限由管理用户的安全角色确定的安全对象”将单独的安全角色与特定安全作用域和集合关联。 在你创建新管理用户之后修改管理用户时,可以使用这第三个选项。

  7. 根据在步骤 6 中所做的选择执行以下操作:

    - 如果选择了“与其关联安全角色相关的所有安全对象”,请单击“确定”完成此过程。

- 如果选择了“仅指定安全作用域或集合中的安全对象”,你可以单击“添加”以选择其他集合和安全作用域,或选择列表中的一个或多个对象,然后单击“删除”以将它们删除。 单击“确定”完成此过程。

修改管理用户的管理作用域

你可以通过添加或删除与管理用户关联的安全角色、安全作用域和集合来修改该用户的管理作用域。 必须将每个管理用户与至少一个安全角色和一个安全作用域关联。 你可能必须将一个或多个集合分配到用户的管理作用域。 大多数安全角色都与集合交互,如果没有分配的集合,将无法正常工作。

当你修改管理用户时,你可以更改有关安全对象如何与分配的安全角色关联的行为。 你可选择的三个行为如下所示:

  • 与其关联安全角色相关的所有安全对象:此选项将管理用户与“全部”作用域以及“所有系统”和“所有用户和用户组”的根级别内置集合关联。 分配给用户的安全角色定义对象的访问权限。

  • 仅指定安全作用域或集合中的安全对象:此选项将管理用户与安全作用域和集合关联,这些安全作用域和集合关联和与用于配置管理用户的帐户关联安全作用域和集合相同。 此选项支持添加或删除安全角色和集合来自定义管理用户的管理作用域。

  • 仅限由管理用户的安全角色确定的安全对象:此选项使你能在单独的安全角色与用户的安全作用域和集合之间创建特定关联。

    System_CAPS_note注意

    只有在你修改管理用户的属性时,此选项才可用。

安全对象行为的当前配置会改变你用于分配其他安全角色的过程。 使用基于安全对象的不同选项的以下过程来帮助你对管理用户进行管理。

使用以下过程来查看和管理管理用户的安全对象配置:

查看和管理管理用户的安全对象行为

  1. 在 配置管理器 控制台中,单击“管理”。

  2. 在“管理”工作区中,展开“安全”,然后单击“管理用户”。

  3. 选择要修改的管理用户。

  4. 在“主页”选项卡上的“属性”组中,单击“属性”。

  5. 单击“安全作用域”选项卡以查看此管理用户的安全对象的当前配置。

  6. 要修改安全对象行为,请为安全对象行为选择一个新选项。 更改此配置之后,请参考相应的过程来了解为此管理用户配置安全作用域和集合以及安全角色的进一步指引。

  7. 单击“确定”完成该过程。

使用以下过程来修改其安全对象行为设置为“与其关联安全角色相关的所有安全对象”的管理用户:

选项:与其关联安全角色相关的所有安全对象

  1. 在 配置管理器 控制台中,单击“管理”。

  2. 在“管理”工作区中,展开“安全”,然后单击“管理用户”。

  3. 选择要修改的管理用户。

  4. 在“主页”选项卡上的“属性”组中,单击“属性”。

  5. 单击“安全作用域”选项卡,确认已针对“与其关联安全角色相关的所有安全对象”配置了管理用户。

  6. 要修改分配的安全角色,请单击“安全角色”选项卡。

    - 要为此管理用户分配其他安全角色,请单击“添加”,选中要分配的每个其他安全角色的复选框,然后单击“确定”。

- 要删除安全角色,请从列表中选择一个或多个安全角色,然后单击“删除”。

  7. 要修改安全对象行为,请单击“安全作用域”选项卡,并为安全对象行为选择新选项。 更改此配置之后,请参考相应的过程来了解为此管理用户配置安全作用域和集合以及安全角色的进一步指引。

    System_CAPS_note注意

    如果安全对象行为设置为“与其关联安全角色相关的所有安全对象”,你将无法添加或删除特定安全作用域和集合。

  8. 单击“确定”完成此过程。

使用以下过程来修改其安全对象行为设置为“仅指定安全作用域或集合中的安全对象”的管理用户。

选项:仅指定安全作用域或集合中的安全对象

  1. 在 配置管理器 控制台中,单击“管理”。

  2. 在“管理”工作区中,展开“安全”,然后单击“管理用户”。

  3. 选择要修改的管理用户。

  4. 在“主页”选项卡上的“属性”组中,单击“属性”。

  5. 单击“安全作用域”选项卡,确认已针对“仅指定安全作用域或集合中的安全对象”配置了用户。

  6. 要修改分配的安全角色,请单击“安全角色”选项卡。

    - 要为此用户分配其他安全角色,请单击“添加”,选中要分配的每个其他安全角色的复选框,然后单击“确定”。

- 要删除安全角色,请从列表中选择一个或多个安全角色,然后单击“删除”。

  7. 要修改与安全角色关联的安全作用域和集合,请单击“安全作用域”选项卡。

    - 要将新的安全作用域或集合与分配给此管理用户的所有安全角色关联,请单击“添加”并选择四个选项之一。 如果选择“安全作用域”或“集合”,请选中一个或多个对象的复选框以完成该选择,然后单击“确定”。

- 要删除安全作用域或集合,请选择对象,然后单击“删除”。

  8. 单击“确定”完成此过程。

使用以下过程来修改其安全对象行为设置为“仅限由管理用户的安全角色确定的安全对象”的管理用户。

选项:仅限由管理用户的安全角色确定的安全对象

  1. 在 配置管理器 控制台中,单击“管理”。

  2. 在“管理”工作区中,展开“安全”,然后单击“管理用户”。

  3. 选择要修改的管理用户。

  4. 在“主页”选项卡上的“属性”组中,单击“属性”。

  5. 单击“安全作用域”选项卡,确认已针对“仅指定安全作用域或集合中的安全对象”配置了管理用户。

  6. 要修改分配的安全角色,请单击“安全角色”选项卡。

    - 要为此管理用户分配其他安全角色,请单击“添加”。 在“添加安全角色”对话框上,选择一个或多个可用安全角色,单击“添加”,并选择要与所选安全角色关联的对象类型。 如果选择“安全作用域”或“集合”,请选中一个或多个对象的复选框以完成该选择,然后单击“确定”。

  <div class="alert">

  <table>
  <colgroup>
  <col style="width: 100%" />
  </colgroup>
  <thead>
  <tr class="header">
  <th><img src="images/Hh221349.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />注意</th>
  </tr>
  </thead>
  <tbody>
  <tr class="odd">
  <td><p>你至少必须配置一个安全作用域,然后才能将所选安全角色分配给管理用户。 如果选择多个安全角色,则配置的每个安全作用域和集合将与每个所选的安全角色关联。</p></td>
  </tr>
  </tbody>
  </table>

  </div>

- 要删除安全角色,请从列表中选择一个或多个安全角色,然后单击“删除”。

  7. 要修改与特定安全角色关联的安全作用域和集合,请单击“安全作用域”选项卡,选择安全角色,然后单击“编辑”。

    - 要将新对象与此安全角色关联,请单击“添加”,并选择要与所选安全角色关联的对象类型。 如果选择“安全作用域”或“集合”,请选中一个或多个对象的复选框以完成该选择,然后单击“确定”。

  <div class="alert">

  <table>
  <colgroup>
  <col style="width: 100%" />
  </colgroup>
  <thead>
  <tr class="header">
  <th><img src="images/Hh221349.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />注意</th>
  </tr>
  </thead>
  <tbody>
  <tr class="odd">
  <td><p>你至少必须配置一个安全作用域。</p></td>
  </tr>
  </tbody>
  </table>

  </div>

- 要删除与此安全角色关联的安全作用域或集合,请选择对象,然后单击“删除”。

- 完成修改关联对象的操作之后,单击“确定”。

  8. 单击“确定”完成此过程。

    System_CAPS_caution小心

    如果安全角色向管理用户授予集合部署权限,则这些管理用户可从他们具有对象“读取” 权限的任何安全作用域中分发对象,即使该安全作用域与其他安全角色关联。

管理 Configuration Manager 使用的帐户

配置管理器 支持为许多不同任务和用途使用 Windows 帐户。

使用以下过程来查看为不同任务配置的帐户,以及管理 配置管理器 用于每个帐户的密码。

管理 配置管理器 使用的帐户

  1. 在 配置管理器 控制台中,单击“管理”。

  2. 在“管理”工作区中,展开“安全”,然后单击“帐户”以查看为 配置管理器 配置的帐户。

  3. 要更改为 配置管理器 配置的帐户的密码,请选择该帐户。

  4. 在“主页”选项卡上的“属性”组中,单击“属性”。

  5. 单击“设置”打开“Windows 用户帐户”对话框,并指定 配置管理器 用于该帐户的新密码。

    System_CAPS_note注意

    你指定的密码必须与在 Active Directory 用户和计算机中为帐户指定的密码匹配。

  6. 单击“确定”完成该过程。