适用于：Microsoft Systems Management Server 2003 SP1

文档版本：1.1 版

致谢

执行编辑：Sandra Faucett

简介
保护 Microsoft® Systems Management Server (SMS) 环境的安全不可能一劳永逸。 您可以通过规划安全实施或保护现有实施来获得安全。 您可以通过检查安全配置、策略和过程来保持安全。 无论是已经部署了 SMS 还是正处于规划阶段，您都应遵循这些已确定的最佳实践来创建可能最安全的 SMS 环境，然后按照指导来维护这个可能最安全的环境。

本文档主要面向 SMS 管理员。 在拥有已经建成的安全基础结构的公司中，SMS 管理员必须与安全工程师和设计师密切合作，来提供符合所有公司安全策略的 SMS 环境。

  注意
通过搜索文本字符串“*SP”，可以在本文档中找到 SMS 2003 SP1 特有的内容。

在阅读本指南之前，请务必了解 SMS 的基本概念。 至少应阅读 Microsoft Systems Management Server 2003 Concepts, Planning, and Deployment Guide 中的第 1 章“Introducing Systems Management Server 2003”。 如果您已经安装了 SMS，请阅读您组织的 SMS 文档，并熟悉您的实施中的特性和设计决策。 您可能觉得面向 Microsoft Systems Management Server 2003 的方案和过程：  规划和部署 很有用。 本指南还要求您了解基本的安全原则。

本书包括一个名为 SMS  2003 Security Checklists.xls 的 Excel 工作表。 如果您熟悉 SMS 概念和安全过程，您可以直接使用该清单并将本指南作为参考信息。

SMS2003 Security checklists.xls

  重要
SMS 中的大多数安全配置可随时间变化。 如果已经部署了 SMS，则可以通过实施这些最佳做法而使站点更安全。 下面的两个设置使您的站点更安全，但它们在实施后无法撤消：

• 从标准更改为高级安全

• 启用客户端签名


在部署客户端后有两个设置难以更改。 如果尚未部署高级客户端，则仔细阅读本文档的以下  几节以确定在部署客户端前是否要为它们作计划：

• 考虑配置高级客户端以使用非默认 HTTP 端口

• 将高级客户端配置为使用“仅限于 Active Directory”模式


在本指南中
安全基础

保护 SMS

维护安全的 SMS 环境

管理 SMS 帐户

补充资料

本指南的目的是介绍建议的最佳实例和配置。 以下附录中提供了附加的概念性信息：

附录 A：SMS 对象安全和 WMI

附录 B：SMS 证书基础结构

附录 C：SMS 帐户、组和密码

附录 D：旧客户端安全环境

附录 E：SMS 安全过程

详细地址：http://www.microsoft.com/china/t ... csms03/default.mspx

学习之中