System Center Configuration Manager 2007 (SCCM 2007) 是微软推出的一款企业级系统管理工具,用于管理和维护企业的IT基础设施。本配置包(Configuration Pack)专注于漏洞评估,旨在确保组织的服务器、客户端和应用程序遵循最佳安全实践,降低潜在的安全风险。
配置基线是SCCM 2007中的一个重要概念,它定义了一组规则和设置,用来衡量系统的合规性。以下是三个主要的配置基线:
1. IIS_Baseline:这个配置基线关注的是Internet Information Services (IIS) web服务器的安全配置。它包括了多个配置项,如:
- IIS_LockdownTool:确保IIS锁定工具已运行,加强了IIS的安全性。
- IIS_LoggingEnabled:检查IIS日志记录是否开启,这对于监控和审计web服务器活动至关重要。
- IIS_OnDomainController:防止在域控制器上运行IIS,以减少攻击面。
- IIS_ParentPathsDisabled:关闭父路径支持,增加安全性。
- IIS_SampleApplicationsRemoved:移除示例应用,防止它们成为攻击目标。
- IIS_AdminPwdVirtualDir:检查IIS管理员密码虚拟目录的配置。
- IIS_MSADCScriptsDirs:管理数据访问组件(DAC)脚本目录的安全设置。
2. SQL_Baseline:针对SQL Server数据库服务器的安全配置,包含:
- SQL_DirectoryAccess:控制对SQL Server目录的访问权限。
- SQL_GuestAccountDisabled:禁用SQL Server的来宾账户,防止未授权访问。
- SQL_ServerOnDC:禁止在域控制器上运行SQL Server。
- SQL_Password:检查SQL Server的强密码策略。
- SQL_AdminInSysAdminRole:确保SQL管理员在sysadmin角色中。
- SQL_AuthenticationMode:验证SQL Server的身份验证模式是否为混合模式或Windows身份验证。
- SQL_SaPassword:确保SA账号的密码安全。
- SQL_SysadminRoleMembers:审核sysadmin角色成员。
- SQL_CmdExecRestrictedSysadmin:限制sysadmin角色的cmdexec权限,防止滥用。
3. Windows_Baseline:涵盖了Windows操作系统的一系列安全设置,例如:
- IE_EnhancedSecurityAdmin/NonAdmin:启用IE增强安全配置。
- IE_SecurityZoneSettings:检查浏览器的安全区域设置。
- Windows_NonNTFSFileSystems:管理非NTFS文件系统的使用。
- Windows_AnonymousUserDefined:匿名用户定义的设置。
- Windows_AutoLogonDisabled:禁用自动登录功能,增强系统安全性。
- Windows_GuestAccountDisabled:禁用Guest账户。
- Windows_PasswordExpirationEnabled:启用密码过期策略。
- Windows_SharedFoldersActive:监控共享文件夹的活动。
- Windows_UnnecessaryServicesDisabled:禁用不必要的服务,减少攻击点。
- Windows_FirewallEnabledNonVista/Vista:确保防火墙在非Vista和Vista系统上启用。
- Windows_AuditingEnabled:启用系统审核,便于追踪活动。
- Office_MacroSecurity:检查Office文档宏的安全设置。
配置项如IIS_AdminVirtualDir和IIS_LockDownTool通过ScriptDiscovery (VBScript)方法进行检测,确保这些关键安全设置已正确配置。例如,IISADMPWD配置项会检查IISADMPWD虚拟目录是否已安装,而IIS_LockdownTool则确认IIS锁定工具是否已运行。
通过SCCM 2007的配置包,管理员可以定期扫描网络中的设备,发现不符合安全基准的系统,并采取相应措施进行修复,从而提升整体网络环境的安全性。
