System Center 2012 Configuration Manager:R.I.P.本机模式

  • Article

正如所有 Configuration Manager 客户所知,安全性充满挑战,而且常常需要复杂的安装配置。设置证书颁发机构、颁发证书和维护证书是一项艰巨的任务,而且在大多数情况下,涉及与组织中的多个团队交互。

我们为拥有高度安全的环境付出了高昂的代价,在此情况下,管理员、高级管理人员和员工不必担心他们的数据受到影响。

Configuration Manger 利用现有的 PKI 基础结构实现客户端和站点系统角色之间的安全通信。

System Center Configuration Manager 2012 之前的 Configuration Manager 2007 具有被称为本机模式和混合模式的概念:本机模式背后的理念是除了保护所有站点与站点的通信之外,还保证站点服务器及其所有站点系统的安全。这涉及在所有已安装的站点上配置站点签名证书,以及增加一种限制,即本机模式站点必须始终向本机模式站点报告。

在 System Center 2012 Configuration Manager 的规划阶段期间,我们倾听客户的反馈,重新考虑了这种本机模式和混合模式模型,并且反复讨论了我们以前的保证站点安全的概念。结果产生了客户端计算机通信。

客户端计算机通信的关键概念:

  • 客户端计算机通信事关保证端点安全。此方案中的两个端点是客户端和客户端与之通信的站点系统角色。
  • 客户端可以通过使用 HTTP 或 HTTPS 协议进行通信。HTTPS 需要为客户端和站点系统角色配置有效的 PKI 证书,以便相互进行身份验证。
  • 智能客户端行为:此概念使客户端能够选择最安全的可用通信选项:
    1. 如果客户端配置了有效的 PKI 证书,而且具有可用的 HTTPS 站点系统角色,则客户端使用 HTTPS。
    2. 如果客户端配置了有效的 PKI 证书,但具有可用的 HTTPS 站点系统角色,而且客户端被配置为使用 HTTP,则客户端使用 HTTP 与站点系统角色进行通信。

现在我们举几个示例应用场景,以了解这种全新的模型如何工作。

 

应用场景 1:在不安装新站点的情况下,将客户端管理扩展到互联网。

Woodgrove Bank 目前拥有 20,000 个内联网客户端。这些客户端从未脱离公司网络。管理层最近对公司政策作出了一些变更,以解决员工工作生活平衡和申请更灵活工作安排方面的问题。随着新政策生效,公司向 30% 的员工发放了崭新的笔记本电脑,而且允许他们在家中工作。

当 Configuration Manager 管理员首次阅读这份备忘录时,他的第一反应是“在互联网上管理这些笔记本电脑之前,我要做大量的额外工作!”

目前,所有客户端都由一个单独的 System Center 2012 Configuration Manager 主站点 (PR1) 进行管理。所有站点系统角色均被配置为通过 HTTP 进行通信。

得知本机模式和基于互联网的客户端管理如何在 Configuration Manager 2007 中工作之后,管理员的第一个假设是他必须安装新的本机模式主站点。目前,管理员当前没有中心管理站点,因此,他认为这意味着拥有两个层次结构才能进行管理,或者重新设计现有层次结构。

但是,当他调查 System Center 2012 Configuration Manager 中的更改时,他认识到不需要一个额外的站点。相反,需要的只是一些基于互联网的角色,这些角色为 HTTPS 通信而配置:

下面是针对这一方案的两种解决方案外观的比较,这两种解决方案均支持 Configuration Manager 2007 和 System Center 2012 Configuration Manager 中基于互联网的客户端管理:

*站点系统角色周围的红色光环表示能够进行 HTTPS 通信的站点和角色。

接下来的挑战是当互联网客户端返回内联网时,如何对这些客户端进行管理。我们的管理员不希望更改现有的层次结构,而且不希望将内联网上的所有客户端和站点系统角色配置为具有 PKI 证书。针对这一问题的答案是启用前面提到的一个全新的关键概念 - 智能客户端行为。

要启用这一行为,只需从上一屏幕截图中的属性页面选中此复选框:

选中复选框之后,内联网上的互联网客户端可以在内联网上与 HTTP 站点系统角色进行通信。

 

应用场景 2:将站点从 HTTP 通信转换为 HTTPS 通信

Trey Research 拥有 5,000 个由一个单独的主站点 (PR1) 管理的客户端。在最近推动安全性工作之后,Configuration Manager 管理员得到指示,要求使用 PKI 证书相互进行身份验证,所有客户端必须通过 HTTPS 进行通信。

如果站点一直运行 Configuration Manager 2007,需要将整个站点从混合模式迁移到本机模式。这将涉及检查所有客户端是否具有 PKI 客户端证书、为所有站点系统角色重新配置 IIS、将站点配置为使用站点服务器签名证书、自动重新安装站点系统以便在本机模式下工作,以及等待站点服务器重新签署所有客户端策略。这种“全面迁移”的方法需要大量细心的规划,以确在迁移之后客户端不会不受管理,而且建议在空闲期间进行这种更改。

由于 Trey Research 部署的是 System Center 2012 Configuration Manager,管理员不必承担这方面的风险和在周末工作。相反,他可以执行以下操作:

  1. 在站点属性的客户端计算机通信选项卡上,选择 HTTPS 或 HTTP
     
    这使站点系统角色可以使用 HTTP 或 HTTPS 通信。
  2. 然后,配置以下内容以启用智能客户端行为:

    此复选框允许启用 PKI 或没有启用 PKI 的客户端在同一站点中同时共存和受到管理。
  3. 管理员可以在某个时间开始将一个站点系统角色从 HTTP 迁移到 HTTPS,并且逐渐为客户端计算机推广 PKI 证书。这提供了检查站点系统角色和客户端是否与 HTTPS 配置配合工作的安全机会。由于站点系统仍然接受 HTTP 连接,因此,所有客户端均保持受到管理:
    • 如果客户端具有有效的 PKI 证书,而且存在可用的 HTTPS 站点系统角色,则这些客户端通过 HTTPS 进行通信。
    • 如果客户端没有有效的 PKI 证书,则客户端恢复 HTTP 通信。
  4. 当所有客户端具有 PKI 证书时,管理员将站点系统设置从 HTTPS 或 HTTP 更改为仅 HTTPS。然后,清除使用可用的 PKI 客户端证书(客户端身份验证功能) 选项,该选项将不可更改。此配置确保不允许客户端通过 HTTP 进行通信,而且满足新的安全目标。

我希望这些信息和示例应用场景更清楚地阐明我们为 System Center 2012 Configuration Manager 所作的更改,以及您如何从它们为通过 HTTPS 管理客户端所提供的灵活性中受益 - 无论这是在互联网上管理客户端,还是在内联网上提供更大的安全性。

有关更多信息,请参阅 System Center 2012 Configuration Manager 文档库中的以下内容:

  -- Abhishek Pathak

本文按“原样”提供,不包含任何保证,而且不授予任何权利。